Kihiline kaitsesüsteem. Turvalisus. Tasemed: palju ja erinevaid

Sügava kaitse põhimõte on julgeolekuspetsialistide seas üha enam levimas. Selle praktiline rakendamine on aga sageli vale. Kaitsestrateegia ei tohiks piirduda vaid arvukate kontrollikontrollide ja kaitsetehnoloogiate hunnikuga. Kihilise kaitse olemus on kaitsevahendite läbimõeldud paigutus. Kihilise kaitse edukaks korraldamiseks on vaja läbi viia hea ohuanalüüs, mille käigus on vaja kindlaks teha:

• ressursid ja nende tähendus;
• ohud, millega ressursid kokku puutuvad, ja iga ohu tõenäosus;
• ohuvektorid, mida saab kasutada ettevõtte ründamiseks.

Sügava kaitse kontseptsioon on olnud kasutusel tuhandeid aastaid, seega kasutan sageli kasutatud näidet keskaegsest lossist, et illustreerida, mis on sügavuti kaitsmine ja mis mitte. Esitluse selguse huvides lihtsustame probleemi ja võtame arvesse ainult ühte ohuvektoritest, mille eest lossi tuleb kaitsta: otserünnak läbi peavärava. Lossil on selle ohuvektori vastu palju kaitsemehhanisme. Kui kaitse on korralikult korraldatud, peavad murdvargad ületama kõik barjäärid, enne kui nad saavad tõeliselt ohustada lossi inim-, sõjalisi, poliitilisi või materiaalseid ressursse.

Esiteks peavad ründajad lossile lähenedes vältima noolerahet. Seejärel, kui rippsild on üles tõstetud, peavad ründajad ületama vallikraavi ja sisenema tõstetud sillaga suletud väravast. Pärast seda peavad ründajad läbima müüridest moodustatud kitsa käigu ja proovima siseväravast läbi pääseda, samal ajal kui lossi kaitsjad neid ründavad.

See stsenaarium on hea näide mitmekihilisest kaitsest, mis on organiseeritud ühe ohuvektori vastu. Ainuüksi kaitsevahendite olemasolu ei tähenda aga, et ettevõttel on tõeliselt mitmekihiline kaitse konkreetsete ohtude vastu. Näiteks üks lossi ähvardav ohuvektor on müüride õõnestamine. Kraav kaitseb selle ohu eest, aga kui piirajatel õnnestub see kuivendada? Vaevalt saab lossi kaitsmist ešeloniliseks nimetada, kui puuduvad lisavahendid, näiteks sügavale maasse minev vundament või valmis keeva vaiguvaru, mida saab iga hetk müüridest vaenlasele peale valada.

IT-maailmas pole ükski kaitse ületamatu ja ükski infoturbestrateegia poleks täielik ilma mitmekihilise strateegiata. Seda strateegiat ei ole lihtne rakendada ettevõttes, mis peab oma teabevarasid kaitsma. Kui lukkude eeliseks oli üks sisenemispunkt, siis ettevõtete tööstusvõrkudes on mitu sisestust (eriti ühendused tarnijate, teenusepakkujate ja klientidega), muutes kaitsemehhanismid poorsemaks. Lisaks on ohuvektorite arv praegu palju suurem kui paar aastat tagasi. 1990. aastate alguses seisnes võrguturve sisuliselt kaitse paketttasemel rünnakute eest ja tulemüürid olid lisavõimalustega ruuterid. Tänapäeval põhjustavad siseressursse ähvardavad ohud puhvri ületäitumine, SQL-i asendused, pahatahtlikud veebilehed, aktiivse sisuga meilid, traadita ühendused, võltsitud URL-id ja paljud muud tüüpi rünnakud.

Sellises dünaamilises ja keerulises keskkonnas võib ründaja õigetel asjaoludel mööda minna mis tahes takistusest. Mõelge näiteks viirusetõrjeprogrammidele. Uus ründevektor võib klassikalistest kontrollidest mööda minna, nagu IM-programmid viirusetõrjeutiliitide kontrollidest. Ettevõtte võrku saab ühendada ühe arvuti ilma kohustusliku viirusetõrjeprogrammita. Oluline viirusesignatuuri värskendus võib viibida või seda ei pruugita harukontorisse rakendada. Viirusetõrjemootor võib viirusest ilma jääda või viirusetõrjeprogramm võib ebaõige paigamise tõttu kokku kukkuda. Kõik need sündmused toimuvad tegelikkuses.

Põhjalik mitmekihiline kaitsestrateegia

Tänapäeva keskkonnas on olulisem kui kunagi varem kasutada iga ohu vastu mitut relva. Kasutades näitena viirusetõrjeprogrammi, võime kaaluda, kuidas kombineeritud tehnikate abil luua terviklik kihiline kaitse viiruste ja muude kahjulike programmide vastu.

Algtase on viirusetõrjeprogramm, mis sihib kõige levinumaid ohuvektoriid (või sisenemispunkte), sealhulgas meili, veebi ja kiirsuhtlust. Viirusetõrjetehnoloogia tuleks installida SMTP-lüüsiserveritesse, mis töötlevad sissetulevat meililiiklust, ja viirusetõrjetarkvara tuleks juurutada tulemüüridesse ja sisestusseadmetesse, mis peatavad veebisirvimise ja failide allalaadimise ajal saadetud andmed. IM-turvalisus on vähem küps kui meili- ja veebilahendused. Lisaks süvendab probleemi IM-teenuste laialdane kasutamine ja IM-klientide võime lüüsi turvameetmetest mööda minna. Siiski on lahendusi, mis suudavad viirusetõrjefiltri ja muude turvafunktsioonidega suunata sise- ja välissõnumid ühe kanali kaudu.

Kuid e-post, veeb ja kiirsuhtlus pole ainsad pahavara levitamise vektorid. Näiteks võivad need olla irdkandjad, nagu disketid, kompaktkettad, USB-seadmed ja välkmäluseadmed. Kasutaja võib tuua sülearvuti Interneti-kohvikusse, luua ühenduse Wi-Fi-võrguga, saada rünnata ning seejärel naasta koos arvutiga kontorisse ja luua ühenduse ettevõtte võrguga, möödudes perimeetrikaitsest. Need on vaid mõned viisid, kuidas ohtlikud programmid võivad levida. Spetsiaalsete tööriistade abil on võimatu blokeerida kõiki sissetungimise teid. Lõppkokkuvõttes ilmuvad kaitstud vektorid ja avatud vektorid igas organisatsioonis ilma ennetavate meetmeteta.

Mis juhtub, kui pahavara möödub ebaturvalise vektori kaudu perimeetri kaitsest või kui spetsiaalne turvameede on ebatõhus? Edasine areng sõltub kihilise kaitse olemasolust. Keskajal oli linnusekaitsjate peamiseks mureks igakülgne kaitse ümbruskonna rünnaku vastu. Kaitsekindlustused said alguse lossi kaugematest lähenemistest ja muutusid lossi keskpunktile lähenedes üha võimsamaks. Kõige kaitstum oli peatorn, mis oli loss lossis. Kui kujutada kaitsejooni kontsentriliste ringidena ümber kaitstava objekti, siis ilmneb selle lähenemisviisi valimise põhjus. Mida kaugemal objektist, seda suurem on ümbermõõt ja seda rohkem on vaja ressurssi igakülgse kaitse korraldamiseks.

Eespool käsitletud erinevad viirusetõrjemeetodid tagavad kaitse laiuse, kuid mitte sügavuse. Näiteks skannib nakatunud faili ainult üks viirusetõrjetööriist, olenevalt vektorist, millest fail pärineb. Kuigi laius on oluline, ei saa te loota võrgu füüsilisel või loogilisel perimeetril mingit ohtu blokeerida. Seetõttu blokeeritakse kõige lihtsamad või sagedamini kasutatavad nakkusvektorid ja seejärel moodustub sügavam kaitsering.

Teine kaitsetase võib olla tuvastamise, ravi ja täiendava ennetamise kombinatsioon. Tuvastamistööriistade näide on failide skannimine sisseelamisprotsessi ajal. Paljud viirusetõrjetooted skannivad faile enne, kui rakendused saavad neid avada. Desinfitseerimisfunktsiooni täidab ka viirusetõrjelahendus, mis faile karantiini paneb või taastab. Kui failide kontrollimine allaneelamise ajal toob kaasa kasutajasüsteemide või protsessorite jõudluse märgatava languse, saate madala töökoormuse perioodidel regulaarselt skannida serveri ja tööjaama köiteid ja muid failide salvestusruume.

Mitmed muud tuvastamisvahendid võivad ulatuda keerukatest kuni lihtsateni, kuid tõhusateni. Keerulised süsteemid hõlmavad volitamata juurdepääsu tuvastamise ja ennetamise süsteeme, mis jälgivad liiklust võrkudes, otsides viiruseid ja usse. Need kallid süsteemid tuginevad aga teadaolevate rünnakute andmebaasile, mida tuleb pidevalt uuendada. Lisaks on pakettide analüüsimisel probleemiks pakettide kadumine ja andmevoogude vale rekonstrueerimine. Lihtsad lahendused hõlmavad peibutuskaustade korraldamist, mis sisaldavad faile, mis on hõlpsasti juurdepääsetavad muutmiseks. Spetsiaalsed protsessid tuvastavad seejärel failides tehtud muudatused. Failid on lihtsalt sööt ja iga katset neid muuta võib pidada tõendiks pahatahtliku programmi tegevusest.

Saate rakendada teise taseme ennetavat juhtimist, paigutades hostmasinatele tulemüürid, muutes failide muutmise protseduurid võimalikult rangeks ja kõrvaldades või piirates juurdepääsu jagatud kaustadele. Kõigi nende meetmete tulemusena on viirustel ja ussidel raskem tuvastada faile ja süsteeme, mis pole veel nakatunud.

Kaitse töökindluse hindamine

Kihiline kaitse on tõhus viis võidelda mitme vektoriga, pidevalt muutuvate ohtudega kaasaegses infokeskkonnas. Kaitse peab olema mitte ainult lai, vaid ka sügav. Te ei tohiks piirduda ainult füüsilise kaitsealaga, arvestades ainult füüsilise võrgu ja süsteemi piire. Erinevalt lossiarhitektist, kes pidi kindlustama ühe sisestuspunkti, peab IT-administraator tegelema mitme punktiga üksikute arvutite, rakenduste, andmesalvede ja protsesside näol. Kaitse on tõeliselt kihiline, kui iga ressursi jaoks on konkreetse ohu vastu rohkem kui üks kaitsevahend.

Aastaks 2025 võib seda nimetada tõhusaks vastuseks Ameerika strateegiale kohese globaalse streigi vastu, ütleb erru läinud kolonel Viktor Litovkin.

Kihiline raketitõrjesüsteem

Raketirünnaku hoiatussüsteemi (MAWS) peakonstruktor Sergei Boev ütles ajakirjanikele, et kihilise riikliku raketitõrjesüsteemi loomine lõpetatakse meie riigis 2025. aastaks. Ta nimetas selle loomist vastuseks õhurünnakurelvade aktiivsele arengule maailmas, mis tänapäeval suuresti määravad sõjaliste konfliktide käigu.

"Raketitõrjesüsteemil on kaks ešeloni - maa ja kosmos. Maapealsesse ešeloni kuuluvad meie riigi perimeetril paiknevad raketirünnakute hoiatusjaamad, samuti õhutõrjeraketi- ja raketitõrjesüsteemid, mis on võimelised kinni püüdma nii strateegilisi kui ka keskmise ja lühema ulatusega rakette.

Kosmoseešelon, mis on ühtlasi raketirünnakute hoiatussüsteem, kasutab luuretehnikat, sealhulgas satelliiditehnikat, et tuvastada rakettide stardid mis tahes suunas, kuid eelkõige Venemaa suunas. Kui me räägime kihilisest kaitsest, siis eeldame radarijaamade ja õhutõrjesüsteemide paigutamist mitte ainult piki perimeetrit, vaid ka riigi sees. Selline lähenemine võimaldab mitte jätta märkamata rünnakuid riigi olulistele tööstuspiirkondadele, sõjalistele objektidele ja kultuurikeskustele,“ selgitab sõjaväeekspert FBA Economics Todayle.

Eeldatakse, et 2025. aastaks ühendab kihiline kaitse raketitõrje- ja õhutõrjesüsteemid ühtseks tervikuks, sealhulgas meie liitlaste territooriumil postsovetlikus ruumis. Sellise vihmavarju loomine toob eksperdi hinnangul kaasa piiride hägustumise taktikalise ja strateegilise õhutõrje ning raketitõrjesüsteemide vahel.

Kiire ülemaailmne streik

Kihiline raketitõrjesüsteem hõlmab selliseid lühimaasüsteeme nagu Tunguska, Buk, Pantsir ja Tor-M2 ning keskmise ulatusega S-300 ja Vityaz. Nagu märkis sõjaväeekspert Aleksei Leonkov, täiendab kihilist kaitsesüsteemi S-500 kaugõhutõrjesüsteemi kasutuselevõtt, mis suudab tabada sihtmärke kuni 100 kilomeetri kõrgusel maapinnast.

"Sellist kaitset võib nimetada tõhusaks vastuseks USA massilise kosmoserünnaku kontseptsioonile, mida tuntakse kui "flash global strike". Kaitsesüsteemi arendatakse, sealhulgas võttes arvesse paljutõotavaid arenguid, mida pole veel teenistuses kasutusele võetud, sealhulgas hüperhelikiirusega tiibraketid. Kuigi vaenlasel selliseid relvi pole, oleme valmis sellised raketid kinni pidama, kui need ilmuvad. Väärib märkimist, et ühelgi teisel riigil, sealhulgas USA-l, pole nii arenenud õhutõrjesüsteemi,” resümeerib Viktor Litovkin.

Nagu märkis Sergei Boev, valmib kiire globaalse streigi strateegia 2030. aastaks. Selleks hetkeks saavad USA rünnakute läbiviimiseks üheaegselt kasutada erineva konfiguratsiooniga mandritevahelisi ballistilisi rakette, hüperhelikiirusega relvi ja erineva paigutusega tiibrakette. Rumeeniasse ja Poolasse paigutatud maapealsed Aegise raketitõrjesüsteemid kujutavad meile siinkohal otsest ohtu. Praeguste väljakutsete põhjal on kihilise raketitõrjesüsteemi kasutuselevõtt 20. aastate keskpaigaks meie riigi strateegiline ülesanne.

Katke lähedalasuvad lähenemised

Õhutõrjeraketisüsteem Pantsir-S1 on universaalne vahend võitluseks õhusihtmärkidega kiirusega kuni 1000 m/s 200–20 tuhande meetri kaugusel. Kompleks suudab hävitada 5 meetri kuni 15 tuhande meetri kõrgusel lendavaid sihtmärke. Ta suudab võidelda ka vaenlase kergete soomukite ja tööjõuga. See kompleks suudab peaaegu kohe tuvastada ja hävitada vaenlase lennuki, helikopteri, tiibraketti või juhitava pommi.

Seda õhutõrjeraketi- ja kahurisüsteemi saab paigutada ratas- või roomikšassiile, võimalik on ka statsionaarne paigaldus. Kompleksis on häirete eest kaitstud sidesüsteem.

Õhusihtmärkide hävitamine toimub kahurrelvade ja infrapuna- ja radarijuhistega õhutõrjerakettide abil.

Igal sõidukil on kolm lokaatorit: varajase hoiatamise ja sihtmärgi määramise radar, jälgimis- ja juhtimisradar ning passiivne optiline radar.

Sihtmärgituvastusradar suudab kohe jälgida kuni paarkümmend objekti ning edastada nende koordinaadid ja kiirusandmed pardaarvutisse. Lisaks määrab see radar sihtmärgi tüübi ja rahvuse.

Sihtmärkide ja rakettide jälgimise radar määrab suures osas kompleksi kõrge efektiivsuse, selle valmistamisel kasutatakse faasmaatriksi antenni. Sellise radari kasutamine võimaldab õhutõrje raketisüsteemil tulistada korraga kolme sihtmärki, samas kui kahest raketist koosnev salvo on võimalik neist kõige ohtlikumast.

Optilis-elektroonilist süsteemi (OES) kasutatakse nii madalalt lendavate kui ka maapealsete sihtmärkide tulistamiseks.

Õhutõrjeraketisüsteem Buk

Keskmise ulatusega vastutegevus

Buk-M1 iseliikuv tulistamissüsteem (SOU) on varustatud nelja raketi ja 9S35 sentimeetrise tegevusraadiusega radariga. Iseliikuv relv on mõeldud õhusihtmärkide otsimiseks, jälgimiseks ja hävitamiseks. Installatsioon sisaldab digitaalset arvutikompleksi, side- ja navigatsiooniseadmeid, televisiooni-optilist sihikut ja autonoomset elutagamissüsteemi. SOU võib töötada autonoomselt, ilma et see oleks seotud komandopunkti või sihtmärgi tuvastamise jaamaga. Tõsi, sel juhul vähendatakse kahjustatud piirkonda 6-7 kraadi nurga ja 120 kraadini asimuutiga. SOU suudab oma funktsioone täita raadioelektrooniliste häirete tingimustes.

Buki kompleksi laadimispaigaldis suudab hoida, transportida ja laadida kaheksa raketti.

Kompleks on relvastatud tahkekütuse üheastmelise õhutõrjerakettiga 9M38. Sellel on poolaktiivse tööpõhimõttega radarijuhtimissüsteem ja plahvatusohtlik killustuslõhkepea. Lennu algfaasis tehakse korrektsioon raadiosignaalide abil ja viimases etapis - suunamise tõttu.

Õhutõrjeraketisüsteem S-400 "Triumph".

Kaugeleulatuslik ja lähiruum

Õhutõrjeindeks 40Р6, vastavalt NATO klassifikatsioonile SS SA-21 Growler. Kompleks on mõeldud kaasaegsete ja paljutõotavate kosmoserünnakurelvade hävitamiseks keskmise ja pika ulatusega.

Õhutõrjesüsteem S-400 (samaaegne 12 raketi väljalaskmine) koos Iskander OTRK ja Bastioni ranniku laevatõrjesüsteemidega mängib Venemaa relvajõudude kontseptsioonis võtmerolli.

1. TÖÖ ÜLDKIRJELDUS

1.1 Asjakohasus

1.2 Sihtmärk

1.3 Ülesanded

2. TÖÖ PÕHISISU

2.1 Kaitse sügavuti

2.2 Kihilise infoturbesüsteemi komponendid

2.2.1 Viirusetõrjeprogrammid

2.2.2 Raie ja auditeerimine

2.2.3 Füüsiline kaitse

2.2.4 Autentimine ja paroolikaitse

2.2.5 Tulemüürid

2.2.6 Demilitariseeritud tsoon

2.2.7 VPN

2.2.8 Sissetungi tuvastamise süsteem

3. TÖÖ PEAMISED TULEMUSED

KASUTATUD TEABEALLIKATE LOETELU

põhjaliku teabe kaitse viirusetõrje

TÖÖ ÜLDKIRJELDUS.

Kihilise infoturbesüsteemi uurimine kontoritüüpi arvutisüsteemides on asjakohane suurte organisatsioonide võrkude vastu suunatud rünnakute arvu pideva kasvu tõttu, mille eesmärk on näiteks kopeerida konfidentsiaalset teavet sisaldavaid andmebaase. Selline turvasüsteem on väga võimas tööriist ründajate vastu ja suudab tõhusalt ära hoida nende volitamata juurdepääsu (AT) katseid kaitstud süsteemile.

1.2 Eesmärk

Käesoleva töö eesmärgiks on uurida kihilist kaitsesüsteemi “kontori” tüüpi arvutisüsteemidele.

1.3 Eesmärgid

Selle eesmärgi saavutamiseks on vaja lahendada järgmised ülesanded:

Õppida kihilise turvasüsteemi ehituse ja toimimise põhimõtteid;

Õppida sõltumatuid turvasüsteeme, mis sisalduvad kihilises infoturbesüsteemis;

Määrata kaitsesüsteemidele esitatavad nõuded;

2. TÖÖ PÕHISISU

2.1 Kaitse süvitsi

Defence in Depth on infokindlustuse kontseptsioon, mille puhul on arvutisüsteemis paigaldatud mitu erinevat kaitsesüsteemi kihti. Selle eesmärk on pakkuda arvutisüsteemile üleliigset turvalisust turvakontrollisüsteemi rikke korral või kui ründaja kasutab teatud haavatavust.

Põhjaliku kaitse idee on kaitsta süsteemi mis tahes rünnaku eest, kasutades tavaliselt järjestikku mitmeid sõltumatuid meetodeid.

Algselt oli süvakaitse puhtalt sõjaline strateegia, mis võimaldas mitte ennetada ja ära hoida, vaid lükata edasi vaenlase rünnakut, võita veidi aega erinevate kaitsemeetmete õigeks positsioneerimiseks. Täielikumaks mõistmiseks võib tuua näite: okastraat hoiab jalaväge tõhusalt tagasi, kuid tankid sõidavad sellest kergesti üle. Tank aga ei saa tankitõrjehekkidest läbi sõita, erinevalt jalaväest, kes neist lihtsalt mööda läheb. Kuid kui neid kasutatakse koos, siis ei pääse ei tankid ega jalavägi kiiresti läbi ja kaitsval poolel on aega valmistuda.

Under kihiline kaitse(sügav kaitsmine) mõistetakse kaasaegses arvutikirjanduses kui praktilist strateegiat teabekindluse saavutamiseks võrguseadmetes. See strateegia esindab tasakaalu kaitseomaduste ning kulude, jõudluse ja funktsionaalsete omaduste vahel.

Teabekindlus saavutatakse siis, kui teave ja infosüsteemid on kaitstud rünnakute eest turvateenuste, nagu kättesaadavus, terviklikkus, autentimine, konfidentsiaalsus ja tõrketaluvus, rakendamise kaudu. Neid teenuseid rakendavad rakendused peavad põhinema kaitsmise, tuvastamise ja reageerimise paradigmal.

Kihilise kaitsestrateegia infoturbe saavutamine nõuab kolme põhielemendi tasakaalu leidmist.

1. Personal – infoturbe saavutamine algab organisatsiooni juhtimistasandilt. Juhtivpersonal peab selgelt mõistma võimalikke ohte organisatsiooni eesmärkide saavutamisele. Sellele peaks järgnema ressursside inventuur, teabe tagamise põhimõtete ja protseduuride määratlemine, töötajate rollide määramine ja vastutuse määratlemine. See hõlmab ka füüsilise kaitse protseduure ja personali ohutusmeetmeid.

2. Tehnoloogia – selle tagamiseks, et piisav
Kui tehnoloogiad on valitud ja õigesti rakendatud, on vaja välja töötada ja rakendada tõhusad poliitikad ja protseduurid teabekindluse tagamiseks. Need peaksid sisaldama järgmist: turbepoliitika, süsteemitaseme arhitektuur ja standardid, nõutavate toodete valimise kriteeriumid, süsteemikomponentide konkreetne konfiguratsioon ja riskihindamise protseduurid.

Funktsionaalsed toimingud – see aspekt keskendub
kõigi igapäevaste tegevuste kohta, mida on vaja säilitada
organisatsiooni turvalisus. Sellised funktsionaalsed toimingud võivad hõlmata näiteks järgmisi toiminguid: turvapoliitika(de) väljatöötamine, paigaldamine ja hooldus; kasutatud infotehnoloogiate muudatuste kontrollimine ja sertifitseerimine; paigaldatud turvakontrolli juhtimine; hetkeohtude kontroll ja neile reageerimine; rünnakute tuvastamine ja neile reageerimine; infotehnoloogia komponentide taastamise ja uuesti installimise protseduurid jne.

Kaitse rakendamine mitmes kohas. Kuna
ründajad võivad rünnata süsteemi paljudest kohtadest, sealhulgas välisest ja sisemisest, mida organisatsioon peab rakendama
kaitsemehhanismid erinevates punktides, mis peavad kaitsma võrke ja infrastruktuuri, kaitsma võrgupiire ja
territoorium, samuti arvutiseadmete kaitse;

Kihilise kaitse kasutamine hõlmab kaitsemehhanismide paigaldamist potentsiaalse ründaja ja sihtmärgi vahele;

Turvalisuse stabiilsuse määramine saavutatakse teabekindluse iga komponendi kaitsevõime hindamisega;

Rünnakute ja sissetungimise tuvastamise infrastruktuuri rakendamine,
meetodite ja vahendite kasutamine selle infrastruktuuri abil saadud tulemuste analüüsimiseks ja korreleerimiseks.

Sügava kaitse kontseptsioon on nüüdseks üldtunnustatud, nii et kaitsevahendite tootjad rakendavad seda, vabastades terved kaitsevarustuse read, mis toimivad koos ja mida juhib reeglina üks juhtseade.