Важнейшей задачей для оперативного управления сетью и перспективного планирования ее развития является задача учета потребления ресурсов сети на значительных временных интервалах (часы, сутки, недели, месяцы) различными группами пользователей - определенных либо статически (некоторый абонент; региональный научный центр как единое целое), либо динамически (участники видеоконференции из разных организаций, участники традиционных конференций и/или собраний). Другая важная задача, обычно упускаемая из вида при построении систем сетевого мониторинга, связана с оперативным отслеживанием состояния сети и ее компонентов с целью обнаружения аномального поведения, которое может быть следствием атак на сеть или нарушениями порядка использования сетевых ресурсов абонентами. Принимая во внимание высокую ценность сетевых ресурсов (в первую очередь -- пропускной способности внешних каналов), следует, прежде всего, обеспечить возможность оперативного и ретроспективного анализа нерегулярностей и аномалий. Таким образом, система мониторинга должна также рассматриваться, как важная компонента системы обеспечения безопасности корпоративной сети.
Системы сетевого мониторинга должны разрабатываться также с учетом возможных помех различного рода (зашумление исходных данных) и непосредственных атак на эти системы. В силу явной недостаточности традиционной классификации по протоколам/номерам портов необходимо привлекать дополнительную информацию более высоких семантических уровней. В современных сетях практически повсеместно используется протокол SNMP, который действительно прост по своей сути, но требует заметных дополнительных усилий для обеспечения постоянного сбора, хранения, анализа данных и визуализации результатов этого анализа. В сетях достаточно большого масштаба эти усилия и затраты становятся настолько значительными, что поверхностный подход к построению системы сбора и анализа статистики приводит к неэффективным, немасштабируемым решениям.
Сама по себе задача исследования характеристик интенсивных потоков данных в современных корпоративных сетях при загрузке в сотни и более Мбит/сек является нетривиальной и требует тщательного изучения.
Упрощенные подходы к анализу трафика и попытки получения информации о сетевых приложениях на основании легкодоступных атрибутов и характеристик потоков данных чаще всего оказываются непродуктивными. Так, в большинстве упомянутых выше файлообменных приложений активно используются приемы, затрудняющие достоверную идентификацию таких приложений (динамическое назначение портов, децентрализованные хранилища, использование широко распространенных прикладных протоколов в качестве транспортных, а также криптографические методы сокрытия и маскировки трафика). Поэтому для обнаружения сетевых аномалий необходим тщательный анализ. Эти обстоятельства требуют использования дополнительных технических, программных и алгоритмических средств и, возможно, изощренных математических моделей исследуемых процессов.
Следует признать, что современное состояние системы мониторинга сети не полностью удовлетворяет перечисленным требованиям. Развитие системы для более полного соответствия этим требованиям запланировано на ближайшее будущее.
С задачами мониторинга тесно связана проблема обеспечения безопасности сети в целом и отдельных ее абонентов. Техническая сторона обеспечения информационной безопасности базируется на использовании специального оборудования (сетевых экранов) и программных средств (например, средств антивирусного контроля).
Организационная сторона определяется рядом нормативных документов (международных, национальных и ведомственных), задающих политику безопасности корпоративной СПД СО РАН, которая, в свою очередь, определяет комплекс мероприятий, направленных на обеспечение сотрудников организаций-абонентов Сети возможностью выполнять свои должностные обязанности круглый год, 7 дней в неделю, 24 часа в сутки. К таким мероприятиям относятся:
Эти мероприятия проводятся на постоянной основе, в режиме, не препятствующем нормальному рабочему процессу в организациях.
Любое использование сетевых ресурсов, не разрешенное явным образом, запрещено. Каждый пользователь (индивидуальный или коллективный) имеет доступ только к тем ресурсам, которые необходимы для его работы. Перечень ресурсов, доступных пользователю, определяется его организацией и фиксируется в ее анкете. Несанкционированный доступ к сетевой инфраструктуре или конфиденциальной информации, а также нецелевое использование инфокоммуникационных ресурсов не допускаются и должны пресекаться администраторами всех уровней.
Безопасность сети обеспечивается всеми ее субъектами. Пользователи сети отвечают за корректное использование сетевых служб, а также за своевременное оповещение администраторов о замеченных запрещенных действиях в сети. Организации должны, строго следуя политике безопасности СПД, разрабатывать ее локальную реализацию и обеспечивать соблюдение ее положений. Правила доступа сотрудников к ресурсам сетей организаций (в том числе к информации пользователей) определяются внутренней политикой абонента. К локальным ресурсам абонента имеют доступ только сотрудники этой организации.
Администраторы организаций-абонентов Сети -- поддерживают сетевые службы на выделенных им участках и выполняют мероприятия, определенные политикой безопасности, систематически проводят мониторинг и обновляют программное обеспечение систем безопасности узлов СПД РАН.
Сотрудники ЦУС исследуют безопасность СПД, формулируют базовые положения политики безопасности, контролируют ее реализацию, а также координируют взаимодействие сетевого сообщества по вопросам безопасности.
Определение уровней доступа к ресурсам, предназначенным для внешнего использования (mail, WWW, FTP серверы и т.п.) и контроль над использованием этих ресурсов, возлагается на абонента -- собственника этих ресурсов. Конкретные шаги по выполнению этих обязанностей определяются Регламентом использования Информационно-телекоммуникационных ресурсов СО РАН, утвержденном Постановлением Президиума СО РАН от от 25.11.99 320 и опубликованном на сайте Отделения![[*]](footnote.png)
.
Сетевая инфраструктура управляется только уполномоченными на это администраторами сети. Работа других лиц, требующая доступа к ресурсам сети и прав на управление какими-либо устройствами, возможна только по разрешению руководства ЦУС. Удаленный доступ администраторов к сети для целей управления возможен при условии выполнения жестких требований аутентификации и шифрования.
Удаленный доступ пользователей к локальной сети абонента определяется внутренними нормативными документами его организации и должен не противоречить нормативным документам СПД. Конфигурация персональных компьютеров пользователей сети, находящихся за ее пределами, должна удовлетворять требованиям СПД СО РАН по обеспечению безопасности.
Следует отметить, однако, что прогресс в области инфокоммуникаций ведет к постоянному возникновению и обнаружению новых угроз, принуждает к совершенствованию средств защиты. Поэтому даже в перспективе едва ли можно говорить о завершенности подобных работ, структур и систем, но поддержание вероятности реализации какой-либо из известных угроз информационной безопасности сети на приемлемо низком уровне вполне реально.
Ниже рассматриваются наиболее типичные подходы к обеспечению информационной безопасности СПД, реализованные в региональных научных центрах. Особое внимание уделено двум аспектам -- это защита от нежелательной корреспонденции (спам) и от вирусных атак. Проблема спама является едва ли не самой актуальной проблемой службы электронной почты. Эта проблема порождает существенное нецелевое расходование емкости каналов связи, вычислительных мощностей почтовых серверов, дискового пространства, рабочего времени пользователей.
Одним из наиболее эффективных методов борьбы со спамом в СПД СО РАН стала общепринятая в мировой практике технология ``GreyListing''. Она заключается в том, что при попытке передачи письма почтовому серверу отправитель получает специальную диагностику, означающую временную невозможность принять это сообщение, после чего он должен повторить попытку отправления через некоторое время. Как правило, отправители спама не делают такой попытки. Тем самым пресекается распространение нежелательной корреспонденции.
Соображения безопасности приводят к необходимости выделения автономных сегментов сети для административные служб (бухгалтерия, планово-финансовая группа, отдел кадров и т.п.), имеющих ограниченную коннективность и ограниченную возможность выхода в Internet.
На большинстве маршрутизаторов СПД СО РАН специально настроенные сетевые фильтры отсекают потенциально опасную часть трафика и разграничивают доступность различных сетевых сервисов. Использование адресного пространства Интранет и выход в Интернет через трансляцию адресов и кэш-сервер закрывают доступ к пользовательским компьютерам из внешних сетей. Постоянный сбор IP-статистики позволяет выявлять и расследовать причины инцидентов, связанных с несанкционированным доступом на узлы сети.
Антивирусная проверка всей почтовой корреспонденции, поступающей на сервер электронной почты, выполняется с помощью серверной версии антивирусного пакета, базы данных которого обновляются несколько раз в сутки.
В ряде региональных научных центров работают Централизованные службы обновления операционных систем и антивирусного программного обеспечения.