ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


17.12.2002
Технические решения для физически разделенных сетей

Юрий Рудаков, начальник отдела сетевых технологий компании «ЕПОС»

На брандмауэр надейся, но сам не плошай!

Народный ЕПОС

 

Структура решает все

Информационные системы корпораций, правительственных учреждений и других организаций находятся в постоянном развитии. За последние десятилетия пройден огромный путь от централизованной обработки данных на базе мэйнфреймов до сетей масштаба предприятия, состоящих из нескольких находящихся на достаточно большом расстоянии друг от друга объединенных локальных сетей ПК, связанных между собой ведомственной глобальной сетью.

Стремительное развитие всемирной сети Интернет, ее информационные ресурсы и услуги стали жизненно необходимы для многих учреждений. Хотя доступ в Интернет и дает учреждению очевидные преимущества, он в тоже время открывает ресурсы внутренней сети всему миру. Совершенно очевидно, что это несет в себе определенную угрозу для учреждения. Для защиты от этой угрозы, как правило, используется брандмауэр (Firewall). Это программно-аппаратное устройство размещается между внутренней сетью организации и Интернет, обеспечивая контролируемую связь и воздвигая внешнюю стену или границу (рис.1). Целью создания такой границы является защита внутренней сети от несанкционированного проникновения извне через Интернет и организация единого центра, в котором должны применяться средства защиты и контроля.

 


Рис.1 Структура сети с использованием брандмауэра

 

В приведенной выше структуре в качестве брандмауэра используется простой фильтрующий маршрутизатор. Существуют и другие типы брандмауэров – более сложные, в которых реализованы функции шлюзов прикладного уровня и уровня коммутаций, но их рассмотрение выходит за рамки данной статьи, поскольку структура сети не изменяется в зависимости от типа примененного брандмауэра.

Брандмауэры позволяют решить многие вопросы, связанные с безопасностью внутренней сети, однако, им присущи некоторые ограничения:

  • Брандмауэр в общем случае это совокупность программно-аппаратных средств, имеющих потенциальные изъяны в защите, доказать отсутствие которых чрезвычайно сложно;
  • Брандмауэр не может защитить от внутренних угроз безопасности;
  • Брандмауэр не может в полной мере защитить от угрозы передачи инфицированных вирусами программ или файлов.

Недостатки, присущие брандмауэрам, оставляют шанс для нарушителей системы защиты информации, поэтому для построения высоконадежных систем защиты применяют физическое разделение внутренней закрытой корпоративной сети (КС) и открытой сети Интернет (ИС) учреждения (рис.2).

 


Рис.2 Структура сети учреждения с физическим разделением КС и ИС

 

Шипы и розы

Физическое разделение сетей, несомненно, позволяет отделить зерна корпоративной информации от плевел Интернетовской пестроты, вирусов и атак внешних пользователей, причем очень надежно.

Конечно же, при таком решении остается место для брандмауэров как в сети Интернет, так и в корпоративной сети учреждения. Однако роль шлюза между сетями ИС и КС будет выполнять уже не брандмауэр, а специально назначенный администратор – «пограничник». На этого администратора в соответствии с выбранной политикой безопасности возлагаются задачи контроля над информацией, проходящей через границу между сетями. Он же и осуществляет физический перенос информации по заявкам пользователей установленным порядком.

С точки зрения пользователя существование непрозрачной границы между двумя такими сетями не добавляет удобств в его работе. Но с этим приходится мириться и считать это платой за высокую степень безопасности внутренней корпоративной информации от внешних атак.

Другим малоприятным фактом, связанным с физическим разделением сетей, является их стоимость. Действительно, при проектировании таких сетей необходимо создавать кабельные системы отдельно для каждой из них и учитывать довольно жесткие требования НД ТЗИ, предъявляемые к оборудованию, на котором обрабатывается информация с ограниченным доступом.

Кроме этого, на рабочих местах пользователей закрытой корпоративной сети, которым по характеру работы необходим доступ к ресурсам и сервисам Интернет, приходится устанавливать дополнительный ПК, подключенный к сети Интернет учреждения. Это влечет за собой дополнительные экономические затраты и создает дополнительные сложности с обеспечением требуемых характеристик ПК по ПЭМИН (побочные электромагнитные излучения и наводки) и их взаимным размещением. С позиций эргономики наличие двух мониторов, клавиатур, системных блоков и другой периферии на одном столе превращает рабочие места пользователей в нечто похожее на пульты операторов центра управления космическими полетами и создает определенные неудобства при работе на них и в их обслуживании. Попытки же расположить ПК, подключенные к сети Интернет в отдельных помещениях, не приветствуются пользователями руководящего состава, да и мало удобны для других работников. Малоэффективными экономически и с точки зрения обеспечения требований по ПЭМИН, являются попытки уменьшения количества периферии на рабочем столе за счет применения переключателей KVM.

Взирая на столь безрадостную картину, пора задаться вопросом – «А не много ли шипов у прекрасных роз безопасности в физически разделенных сетях?» Вопрос может оказаться риторическим, если во главу угла поставить безопасность информации, для достижения которой все средства хороши. При этом, если использовать хорошо известные средства для решения поставленной задачи, то есть решать ее в лоб, то получается дорого и громоздко. А если поискать другие, не совсем очевидные решения?

Наводим порядок в тумбочках

Для начала разберемся с рабочими местами пользователей. Так ли уж необходимо иметь двойной комплект ПК на столе для работы в физически разделенных сетях? Ответом на этот вопрос можно считать разработку лицензиата ДСТСЗИ СБ Украины компании «ЕПОС» – автоматизированное рабочее место (АРМ) «МЕЖА». Технические решения, использованные в АРМ «МЕЖА» учитывают требования НД по ТЗИ.

АРМ «МЕЖА» на базе ПК «Expert» с защитой информации предназначено для обеспечения работы как в открытых сетях ИС, так и в закрытых корпоративных сетях КС.

АРМ «МЕЖА» предполагает кабельное соединение с двумя физически разделенными локальными сетям ИС и КС и сеансовый характер работы в них. Сеансовый характер работы подразумевает текущее подключение только к одной из двух сетей при помощи устройства управления доступом (УУД). Для этих целей на системном блоке АРМ имеется переключатель выбора сети ИС или КС, в которой будет проходить сеанс.

Загрузка операционной системы (ОС) и приложений для каждого сеанса производится с разных жестких дисков, при этом доступ к жесткому диску, не участвующему в сеансе, средствами BIOS, ОС и приложений невозможен.

Для обмена данными в каждой сети предусмотрена отдельная сетевая карта, при этом сетевая карта, не участвующая в сеансе, блокируется УУД и к ней также невозможен доступ средствами BIOS, ОС и приложений.

Такие решения делают невозможным несанкционированный доступ к информации с ограниченным доступом для пользователей открытой сети, а также предотвращают проникновение вирусов Интернет в корпоративную сеть.

Отличительные особенности системного блока АРМ «МЕЖА» представлены на рис.3.

Устройство управления доступом конструктивно выполняется в виде отдельного устройства с размерами как у 3,5' НГМД и размещается в корпусе системного блока на свободном месте для его установки. Переключатель выбора сети расположен в торце корпуса УУД и имеет выход на лицевую панель системного блока. Доработанная сетевая карта сохраняет все свои первоначальные функциональные и технические характеристики и может использоваться как обычно - без подключения к УУД.

Преимущества применения АРМ «МЕЖА».

Экономические и эргономические:

  • один компьютер вместо двух.

Защита информации:

  • по ПЭМИН;
  • по НДС: дополнительная возможность идентификации пользователя вводом цифрового кода с клавиатурной панели или «смарт карты» в УУД специального исполнения.

После того, как мы навели порядок на рабочих местах при помощи новинки - АРМ «МЕЖА», посмотрим, есть ли еще резервы для улучшения ситуации с физически разделенными сетями.

Большая приборка на корабле

Проведем ревизию наших кабельных систем, а в физически разделенных сетях их у нас две. Как правило, это структурированные кабельные системы (СКС) с этажными коммутационными центрами, кроссовыми панелями, соединительными шнурами и коммутационными розетками пользователей. Около десятка производителей СКС, представленных на нашем рынке, могут нам предложить свою продукцию практически ничем не отличающуюся друг от друга, для построения этих двух кабельных систем. Выбирая из них по критерию минимальной стоимости, мы принципиально не решаем ничего.

Однако, если внимательно рассмотреть некоторые особенности технических решений известных производителей, то мы увидим определенную выгоду от их применения.

По мнению специалистов компании "«ЕПОС", наибольший интерес при построении кабельных систем для сетей с защитой информации представляют экранированные и оптические компоненты СКС компании Tyco Electronics AMP с торговой маркой "NETCONNECT".

Экранированные компоненты СКС "NETCONNECT" прошли в Украине сертификационные испытания Государственной экспертизы по критериям технической защиты информации.

В кабельных системах с физическим разделением двух сетей хорошие результаты дает применение экранированной кабельной системы АМР Communication Outlet (AMP CO). Система АМР СО состоит из специальных розеток с унифицированным разъемом (Edge Connector) и большого количества сменных адаптерных вставок. Особого внимания заслуживают двойные адаптерные вставки, с помощью которых реализуется принцип "Cable Sharing". Эта технология позволяет по одному 4-х парному кабелю подключать два компьютера или один АРМ «МЕЖА» (Рис.4), что достигается простой сменой адаптерных вставок в розетке и на коммутационной панели.

Предлагаемые технические решения обладают следующими преимуществами:

  • Требуется в два раза меньше пассивного сетевого оборудования;
  • Стоимость монтажа розеток и панелей в два раза меньше;
  • Гибкость и безопасность - подключение пользователя к одной и только одной из двух сетей или к обеим сетям достигается простой сменой вставок;
  • Возможность модернизации существующих кабельных систем без прокладки кабеля за счет замены розеток и коммутационных панелей.

 


Рис.4 Применение СКС АМР СО для физического разделения сетей

 

Рассмотренные выше технические решения, такие как АРМ «МЕЖА» и способ физического разделения сетей на основе СКС АМР СО, являются результатом НИР и ОКР, проводимых в рамках госзаказа и собственных инициативных разработок компании «ЕПОС».

И о погоде

Подведем некоторые итоги нашим поискам решений, которые улучшают довольно не простую ситуацию, которая складывается при построении и оснащении рабочих мест в физически разделенных сетях.

Мы рассмотрели решения, которые позволяют уменьшить количество компьютерного оборудования на рабочих местах и пассивного сетевого оборудования необходимого для построения двух кабельных систем.

Несомненно это позволяет снизить не только первоначальные затраты, но и расходы на эксплуатацию таких систем. Структура модернизированной сети, при таких решениях, по сути, соответствует приведенной на рис.2, однако количество используемого пассивного сетевого оборудования в два раза меньше (рис.5).

 


Рис.5 Структура модернизированной сети с физическим разделением ИС и КС

 

Нейтральная полоса незримой границы между двумя сетями теперь проходит не по рабочим столам между компьютерами и по стенам между кабельными соединениями двух сетей, а сжалась до предела тонкой воздушной прослойки и проходит внутри АРМ «МЕЖА» и в середине кабелей СКС АМР СО. Это не маловажный факт, из которого мы можем извлечь не только экономическую пользу.

Такое мощное средство защиты, как физическое разделение сетей, применяется в тех случаях, когда защищаемая информация может являться объектом повышенного интереса разведок иностранных государств или объектом промышленного и экономического шпионажа. Проектируя такую сеть, необходимо помнить о возможности извлечения необходимой информации по каналам ПЭМИН, при помощи специальных средств радиоэлектронной разведки.

Перечислим некоторые технические средства и меры, которые необходимо применять для защиты информации по каналам ПЭМИН:

  • ПК с защитой информации;
  • Экранированные и оптические кабельные системы;
  • Защита по цепям промышленной электросети;
  • Экранирование активного сетевого оборудования;
  • Рациональное размещение оборудования.

Технические решения, предложенные в данной статье для построения физически разделенных сетей, позволяют уменьшить количество используемого оборудования и, следовательно, облегчить задачу защиты по каналам ПЭМИН. С другой стороны, сигнальные витые пары разделяемых сетей находятся в экранированных кабелях. В экранированных же конструкциях должно находится активное сетевое и компьютерное оборудование, прежде всего для защиты от ПЭМИН корпоративной информации. Положительным моментом тонкой воздушной границы между оборудованием разделяемых сетей является то что, защищая корпоративную сеть, мы одновременно защищаем и сеть Интернет. Особое внимание при построении сетей с защитой информации следует уделять разумному сочетанию медной и оптической проводки, которое позволяет ослабить уровни излучения и взаимных наводок оборудования до значений требуемых по НД ТЗИ.


Поделиться информацией