Уязвимости периметра корпоративных сетей

Использование однонаправленных шлюзов

Рассмотрим более подробно ситуацию, когда для разделения критичного сегмента и КСПД применяются однонаправленные шлюзы. Типовой вариант применения однонаправленного шлюза предполагает его установку на границах критичного сегмента в целях гарантированной изоляции сегмента с меньшим уровнем доверия от сегмента с большим уровнем доверия.

На практике наиболее распространены два сценария:

  • сценарий № 1 – когда диод может быть «направлен» из критичного сегмента;
  • сценарий № 2 – когда диод может быть «направлен» внутрь критичного сегмента.

Оба случая требуют более детального рассмотрения в контексте применения DLP-решений.

Сценарий № 1

Утеря и/или хищение конфиденциальной информации происходит следующим образом: данные, хранящиеся в более доверенном сегменте, преднамеренно или непреднамеренно передаются через диод в менее доверенный сегмент.

В этом случае возможно реализовать промежуточную точку контроля для данных, передаваемых через диод. В ней осуществляется анализ передаваемых данных компонентом решения DLP, применяемого в КСПД. Это может быть как промежуточный файловый сервер, так и почтовый сервер, выполняющий роль MTA.

Такой сценарий представляется более простым с точки зрения интеграции с системой DLP.

Сценарий № 2

В этом случае, передавая предварительно полученные данные внутрь доверенного сегмента, злоумышленник использует АРМ или сервер в ТСПД для дальнейшего хищения данных и вывода их за границы периметра и не оставляет следов в силу ограниченности охвата ресурсов в ТСПД средствами контроля и защиты информации.

Предположим, бухгалтерская или CRM-система в корпоративном сегменте содержит данные конфиденциального характера. Такие данные, будучи похищенными, могут быть переданы в технологический сегмент, а оттуда – злоумышленнику скомпрометированным персоналом. Здесь важен как сам разовый факт утечки конфиденциальной информации, так и ситуация, при которой такие утечки в условиях отсутствия DLP в доверенном сегменте останутся незамеченными длительное время. Следовательно, сценарий № 2 более опасен.

Задачи периметральной системы охраны

Периметр — это основной рубеж защиты, поэтому к технике здесь выдвигаются повышенные требования. Правильно установленная и настроенная аппаратура отличает проникновение нарушителей от дождя, снега или ветра, не реагирует на птиц, мелких животных. Чтобы снизить вероятность ошибок, используют дифференциальную логику анализа: контроллер сверяет показания соседних датчиков. Если на участках рядом одинаковые показания — процессор воспринимает их как фон, поэтому в непогоду сложностей не бывает.

В зависимости от настроек и задач по сигналу средств охраны может происходить одно или несколько действий:

  • информация на пульте оператора;

  • световое и звуковое оповещение в зоне предполагаемого проникновения;

  • уведомление на телефон, компьютер, монитор, пульт и другие устройства;

  • включение освещения в точке срабатывания или по всему периметру для облегчения поисковых работ;

  • передача изображения территории с вероятным нарушителем на мониторы охраны;

  • включение функции слежения, регистрация перемещений нарушителя;

  • автоматическая блокировка дверей и ворот, запуск предусмотренных механизмов активной охранной системы.

Контроль периметра — основная часть охранной аппаратуры

Для устранения влияния обрывов и коротких замыканий устанавливают дополнительные средства защиты оборудования на каждые 100-150 метров, чтобы отключение одного участка не повлияло на работу остальной аппаратуры.

Гарантированная защита

Эффективный контроль потоков при реализации как сценария № 1, так и сценария № 2 возможен с использованием интеграции между компонентами однонаправленного шлюза и DLP.

Наш опыт реализации комплексных проектов с применением однонаправленных шлюзов АПК InfoDiode показывает, что при организации взаимодействия с DLP следует ориентироваться на применение максимально универсального решения по интеграции «однонаправленный шлюз – DLP». Такое решение должно минимально зависеть от API конкретного производителя DLP и эффективно решать задачи выявления фактов передачи конфиденциальной информации в условиях применения разными заказчиками DLP-систем самых разных производителей.

В частности, для решения этой задачи каждый узел АПК InfoDiode предоставляет сетевой файловый доступ к содержимому и метаинформации по каждому передаваемому через себя сообщению. При включении соответствующей функции назначенной группе пользователей становится доступна папка dlp в корне файлового сервера. Содержимое этой папки состоит из набора пар файлов:

  • <идентификатор сообщения>.data – содержимое передаваемого сообщения;
  • <идентификатор сообщения>.meta – метаинформация о передаваемом сообщении, в том числе:
    • тип сообщения (File или Email);
    • полное исходное имя файла;
    • имя пользователя-отправителя;
    • объем принятого сообщения в байтах.

Предоставляемый таким образом доступ позволяет DLP-системе проводить регулярное сканирование папки файлового сервера с целью обнаружения передачи конфиденциальных данных.

С целью упрощения взаимодействия и необходимости реализации на системах DLP логики повторного сканирования файлов доступ через папку dlp предоставляется только к содержимому успешно принятых сообщений. Доступ к сообщениям, не принятым успешно, не предоставляется.

Прогрессивный подход к защите КИИ

Применение DLP-решений не только не теряет своей актуальности, но и выходит на новый уровень с учетом особенностей подходов по обеспечению защиты КИИ. Эффективное сочетание СЗИ повышает уровень защиты и минимизирует потенциальный ущерб организации от действий злоумышленников, направленных на похищение конфиденциальной информации.  

1 Краткий обзор судебной практики по применению ст. 274.1 Уголовного кодекса РФ // Information Security/Информационная безопасность. 2020. № 2 .

Безопасность периметра — это?

Любая частная территория принадлежит кому-то, поэтому объекты нередко ограничивают в доступе для посторонних лиц. Например, в здание офиса могут пройти только сотрудники по бесконтактному доступу и посетители при соблюдении правил входа. Посторонние люди, которые здесь не работают и не пришли на встречу, проникнуть на территорию никак не смогут. 

Чтобы не нанимать штат охраны, на объектах используют видеонаблюдение. Оно помогает обнаруживать вторжения, визуально проверять факт нарушения и захватывает ценные изображения. 

Таким образом обеспечение периметра безопасностью — это технологическое решение, которое позволяет контролировать проникновение нежелательных лиц на территории, и упрощает решение конфликтных ситуаций. 

Какую выбрать периметральную систему охраны

На практике используются не отдельные устройства и технологии, а комплексные решения в виде готовых систем периметральной охраны. Любой комплект можно улучшить, подогнать под конкретные требования, условия работы и особенности периметра.

ЗАО «Компания Безопасность» занимается проектированием, монтажом и обслуживанием периметральных охранных систем любой сложности. Разрабатываем и устанавливаем защитную технику для промышленных предприятий, коттеджных поселков, частных коммерческих зданий, банков и других объектов в Москве, Подмосковье и других регионах России.

Если нужна консультация по современным периметральным системам охраны — позвоните и сообщите подробности задачи. Инженер выезжает на объект, осматривает территорию и предлагает самые действенные и надежные решения для защиты периметра.

Четвертый уровень

Ограждение стоек в машзале — четвертый периметр безопасности

Это услуга для бизнеса, которому важно поддерживать требования безопасности, например, для сертификации по PCI-DSS. В этом случае мы выделяем в зале место под серверные стойки (до 110 шт), огораживаем его решетчатыми конструкциями враспор, от пола до потолка

Внутри выгородки стойки размещаются по специальному макету — его разрабатывают индивидуально под каждый проект, учитывая воздушные потоки и температуру оборудования. Фактически каждая такая выгородка, помимо чисто физической защиты оборудования, позволяет смоделировать уникальный, единственный в своем роде комплекс: СКС, холодные и горячие коридоры, обособленная сигнализация и пр. 

Говоря о периметрах защиты и контроле доступа, сразу хотим ответить на вопрос по проверке Роскомнадзора на соответствие ФЗ-152. Запирающиеся шкафы, изолированные зоны и даже отдельный машзал — это лишь часть организационных мер по обеспечению безопасности персональных данных. Согласно Приказу от 18 февраля 2013 г. N 21 состав и содержание мер по обеспечению безопасности ПД подбираются в соответствии с четырьмя уровнями защищенности информации и касаются не только технической защиты. Закон накладывает на организации целый ряд административных требований в отношении тех или иных соглашений, инструкций, моделей угроз и пр. Без них не получится пройти проверку Роскомнадзора по ФЗ-152 даже при наличии бронированного серверного шкафа и выделенного серверного зала с  несколькими десятками периметров безопасности. Подробно про роли ЦОД и оператора ПД мы уже писали — посмотрите, если тема актуальна. Вживую увидеть, как устроены периметры безопасности в GreenBushDC вы можете на экскурсии по дата-центру: заполните и мы свяжемся с вами, чтобы согласовать дату и время.

Достоинства и недостатки системы

А какие выгоды мы получаем, установив такой умный комплекс оборудования на своем объекте?

И какие подводные камни есть у такой установки?

Давайте представим все положительные и негативные стороны сигнализации периметра в виде таблицы.

Учитывая опыт использования периметральной сигнализации, можем смело сказать, что на современном крупном или стратегически важном объекте без такого оборудования не обойтись. В заключении перечислим наиболее востребованные современные модели систем периметральной сигнализации, это:

В заключении перечислим наиболее востребованные современные модели систем периметральной сигнализации, это:

  • «Гюрза»;
  • «Болид»;
  • «Рубеж»;
  • «Ворон».

Если дорогой читатель заинтересовался внедрением такой системы сигнализации периметра на своем объекте, то он всегда сможет получить более подробную информацию.

Всего Вам хорошего!

Классификация технических средств

Системы охраны периметра делятся на две большие группы, по принципу обнаружения: радиолучевые и радиоволновые приборы.

Радиолучевые приборы

Состоят из передатчика и приёмника СВЧ-сигналов. Формируют зону покрытия в форме эллипсоида вращения, длина которой соответствует расстоянию между блоками, а диаметр различается для разных типов оборудования и может доходить до нескольких метров. Оборудования монтируют на грунт на специальных опорах, либо на ограждение.

Находит широкое применение на участках, где соблюдается требование прямой видимости между приборам.

  • необходима расчистка территории, зону видимости не должны перекрывать растения, постройки, мусор;
  • на небольших расстояниях от приёмника и передатчика могут появляться «слепые зоны», на расстоянии 0.3-0.4 м от земли. Для опытного злоумышленника, знакомого с такими системами этого может быть вполне достаточно.

Радиоволновые приборы

В этой системе применяются два параллельно натянутых провода, подключённых к приёмнику и передатчику. Провода действуют как большая антенна, которая реагирует на появление близости других тел. При этом провода необходимо монтировать либо поверх ограждения, либо на специальных трубостойках. Существуют также варианты, когда один из проводников помещают под землю, на глубину до 0,3м.

Ключевые составляющие периметральной охранной сигнализации

Все охранные системы состоят из следующих компонентов:

  • Пульт (компьютер), на который поступает вся информация. Через него также обеспечивается срабатывание сигнализации: запуск освещения, сирены, записи, движение камер и др.
  • Видеонаблюдение, что ведется при помощи видеокамер или видеорегистраторов. В самые простые системы составляющая как видеонаблюдение нет, но на данный момент самая эффективная система является той у которой это составляющая есть. С их помощью контролируется периметр и не срабатывает тревога при ложном срабатывании системы, а также ведется контроль работы людей, охраняющих территорию.
  • Освещение. Имеется дежурное освещение – для постояльцев и сотрудников и освещение для тревоги – очень яркое мигание для фиксирования нарушения.
  • Датчики-извещатели, для фиксирования нарушителя.
  • Звуковая сирена.
  • Система питания и кабели.

Основным является датчик системы сигнализации. Именно к их выбору стоит отнестись очень тщательно.

По принципу работы они делятся на несколько типов:

  •  Емкостные – реагируют касание к ограде за счет изменения электрической емкости.
  • Радиоволновые – реагируют на изменение электромагнитного периметра при попадании в него злоумышленника.
  • Проводно-радиоволновые – имеют вид двух параллельных кабелей и устройства регистрации изменения электромагнитного периметра между ними.
  • Инфракрасные – самые распространенные и результативные в использовании. ИК-излучение исходит от передатчика, а датчик-приемник его регистрирует. Не которые датчики фиксируют изменения термического фона на территории.
  • Вибрационные – элементом чувствительности в них является сенсорный кабель, через который при помощи датчика регистрируются токи при его деформации. Вследствии чего датчик реагирует на них сигналом тревоги. Достоинство – их можно закрепить на разные виды заборов и ограждений.

Что такое периметральная охранная сигнализация?

В систему работы периметральной сигнализации входят датчики нескольких типов, блоки по обработке информации и соединительные линии. Поскольку периметр может охватывать большие площади и длинные участки, обычные датчики, которые используется в закрытых помещениях, не подходят. Кроме того, что они должны быть устойчивыми к климатическим условиям, должны работать на более далёкие расстояния, чем те, которые бывают в помещениях. В работе системы применяются виды датчиков:

  1. инфракрасные оптические системы;
  2. кабельные вибрационные датчики;
  3. радиоволновые системы;
  4. микроволновые устройства.

Инфракрасные оптические датчики

В состав оптических датчиков входят два компактных блока, один из которых излучает инфракрасные лучи, а другой их принимает с помощью светодиодного приёмника. Если луч пересечь, тут же произойдёт срабатывание датчика и появится тревожный сигнал.

Длина, на которую датчик может передавать луч, достигает 80-100 м. Главном образом их устанавливают на верхах изгородей, предотвращая попытки пересечений через ограду. Система работает обычно ночью. Имеет большой недостаток, передатчик и приёмник заметны посторонним глазом, их может увидеть любой, кто подошёл к ограде.

На лёгких ограждениях (ограждения из металлической сетки), применяются вибрационные датчики. В данной системе с помощью стяжек на ограждении крепится специальный кабель. Как правило, подключаются две линии, которые присоединены к контроллеру.

При попытке проникнуть на охраняемую территорию или разрушить изгороди, в проводе на сенсорных проводах появляются электрические заряды, которые приводят в действие сигнализацию. Сама чувствительность такой системы может меняться из-за различных условий, чтобы уменьшить количество ложных срабатываний.

В радиоволновых системах расположены два параллельных отрезка провода, между которыми создаётся электромагнитное поле. При любом попадании между проводами посторонней вещи (объекта) произойдёт обычное изменение магнитного поля, которое тут же зафиксируют датчики. Рекомендуется такую сигнализацию устанавливать на тех изгородях, которые сделаны из немагнитного материала (бетон, кирпич, дерево).

Радиоволновые датчики

Данный вид сигнализации может применяться и на территориях, где нет заграждений. Просто два провода вкапываются неглубоко в землю. Если кто-то пересечёт эту линию, тут же произойдёт срабатывание сигнала. Такой линейный датчик сможет охранять территорию до 120м. Не всегда есть возможность установить непрерывный забор, например из-за рельефа, объект расположен на крутом берегу реки, и необходимо, чтобы на территорию никто не приникал. Здесь и поможет данная сигнализация.

В состав микроволновых охранных систем для периметра, как и оптических, входят передатчик и приёмник. Устанавливаются на территории до 60 м., так, что бы создавалось объёмное пространство. От земли датчики должны находиться на расстоянии 1,5 м, а от плоскости поверхности ограждения 0,4-0,5 м. Если в этот объём попадёт нарушитель, сработает сигнализация.

На видео: Как подключить перимитральную сигнализацию.

Плюсы и минусы

У таких системы охранной сигнализации много положительных сторон:

  • Весь обслуживающий процесс и настройку можно проводить через компьютер
  • Большой охват охраняемой территории, даже если датчики находятся луг от друга за сотню метров.
  • Система безразлична к перепадам температурного режима, порывам ветра, мелким животным и другим факторам.
  • Кабели в некоторых разновидностях системы скрываются под землей, поэтому злоумышленникам может быть не просто ее обезвредить.

Однако есть и минусы:

  • Очень редко подключают к пультовой охране, из-за неоднократных ложных срабатываний.
  • Достаточно высокая цена.

Технология разработки комплекса для периметра

Главное при разработке новой сети — комплексный подход к изучению условий и поиску решений. Нужно проанализировать внешние угрозы, особенности внутреннего распорядка, найти максимально эффективные решения для обеспечения безопасности. Базовый порядок работ:

  1. Анализ уязвимости. Инженер проверяет периметр, находит проблемные участки, учитывает все возможности несанкционированного доступа и варианты проникновения. С такими сведениями проще найти оптимальные решения для контроля периметра.

  2. Проектирование и подбор моделей под конкретные условия и задачи. Учитывается разнородность ограждения, тип конструкции, подбираются датчики, контроллеры, рабочие технологии. Оборудование должно работать комплексно, чтобы упростить локализацию. Разработчик продумывает способы обезопасить кабель и технику от случайных и намеренных повреждений, ложных срабатываний.

  3. Интеграция в действующие сети. Если на объекте уже есть защита, новую охранную сеть объединяют с действующей. Если проводится установка с нуля — закладывают ресурсы для последующего расширения, модернизации, установки дополнительных датчиков, камер, контроллеров.

  4. Монтаж. От соблюдения технологии установки зависит надежность охраны, количество ложных сработок. При монтаже учитывают любые способы повреждения кабелей и аппаратуры, располагают приборы в труднодоступных точках. Если велика вероятность повреждения — используют антивандальное исполнение.

  5. Запуск и настройка. Специалисты проверяют работу сети, тестируют цепи, оценивают эффективность и скорость отклика. Если требуется — проводится обучение операторов.

Особенности разработки периметральных систем охраны

Защитное оборудование может проходить по нескольким типам границ:

  • забор из железобетона, кирпича, металлопрофиля, жесткой металлической решетки, сетки, живые изгороди;

  • глухая стена здания или сооружения;

  • стена с окнами, воротами, дверями, выходами вентиляционных шахт;

  • кровля;

  • водные объекты и береговая линия;

  • ворота, КПП, калитки, другие элементы с ограждением и в виде открытой территории.

Из-за разнородности границ в рамках одного охраняемого объекта может использоваться несколько типов охранных устройств с объединенным или независимым управлением, средствами оповещения, контроля.

Актуальные модели

Самыми распространенными системами периметральной сигнализации являются 3 различных комплекса:

  1. Периметральная сигнализация «Гюрза» представляет собой систему вибрационного типа, которая предназначена для установки на ограждениях, выполненных из сетки «Рабица», колючей проволоки или лёгкого рельефного металлического листа (профнастил). Общая длина периметра может достигать 1000 метров. На ограждение монтируется специальный трибоэлектрический кабель, который обладает высокой чувствительностью к вибрации. Длина одного участка 500 метров, поэтому базовая сигнализация «Гюрза» состоит из двух зон.
  2. Сигнализация для охраны периметра «Болид» работает по вибрационному принципу. Как и в системе «Гюрза», здесь используется специальный сенсорный кабель. Сигнализация надёжно обеспечивает защиту от перелаза, подкопа или попытки разрушения ограждения. По стоимости данная система считается самой недорогой из всех типов охранной сигнализации. Компания «Болид» так же выпускает контроллер периметровых датчиков С2000-Периметр, который позволяет подключить до 32 датчиков различных типов, причём каждый шлейф может достигать 1500 метров в длину. Контроллер преобразует протоколы разных датчиков в единый протокол комплекса «Орион», что позволяет организовывать охранную сигнализацию на любых типах устройств.
  3. Сигнализация «Рубеж» представляет собой лучевую оптическую систему, которая состоит из двух комплектов передатчиков и приёмников инфракрасного излучения. Периметральная система охранной сигнализации «Рубеж-3М» позволяет организовать одну охранную зону из двух параллельных разнесённых лучей протяжённостью 300 метров или два рубежа по 300 метров, но с одним лучом каждый.   

Обзор распространённых систем

«Ворон»

Комплекс «ВОРОН-3М-К» реализован с использованием волоконно-оптических датчиков деформации, которые устанавливают на заграждения различных типов (сетка, забор). Предназначен для создания протяжённых многозонных и многорубежных систем периметральной защиты. В комплекс входит пультовая (аппаратно-программная) часть и линейная, то система датчиков. Главным плюсом производитель называет полное отсутствие электрических элементов и кабелей питания на всём протяжении периметра. Возможно сопряжение системы с камерами видеонаблюдения.

«Болид»

Широко распространена для охраны крупных объектов. По периметру прокладывается трибоэлектрический кабель, который можно монтировать на любые ограждения или под землёй. Гарантирует надёжную защиту от перелаза, подкопа и пролома ограждения.

К преимуществам относят отсутствие мёртвых зон, простота в монтаже и обслуживание, невысокую стоимость и возможность наращивания за счёт модульного принципа.

«Гюрза»

Это также популярная в России система охраны периметра. Работает она по вибрационному принципу. Вдоль территории устанавливается трибокабель с датчиками, которые чувствительны к воздействию на элементы ограждения с усилием 6-20кг. Такая величина гарантирует срабатывание при перелезании человека, при этом прибор не будет реагировать на мелких животных и птиц. Кабели и датчики могут монтироваться на:

  • ограждения из колючей проволоки;
  • деревянные, кирпичные и ж/б ограждения, заборы из профнастила;
  • крыши зданий и сооружений;
  • близко растущие к охраняемому объекту деревья.

Прибор электрически пассиве, не обнаруживается сканирующими устройствами, устойчив к воздействию электромагнитных полей и импульсов.

Защита от атак DDoS Azure уровня «Стандартный»

Защита от атак DDoS Azure уровня «Стандартный» предоставляет дополнительные возможности по устранению рисков по сравнению с уровнем службы «Базовый», которые разработаны для ресурсов виртуальной сети Azure. Службу «Защита от атак DDoS» уровня «Стандартный» легко включить, и для ее использования не нужно изменять приложение.

Политики защиты можно настроить на основе мониторинга выделенного трафика и алгоритмов машинного обучения. Они применяются к общедоступным IP-адресам, связанным с ресурсами, развернутыми в виртуальных сетях, такими как Azure Load Balancer, Шлюз приложений Azure и экземпляры Azure Service Fabric.

Данные телеметрии доступны в представлениях Azure Monitor в режиме реального времени во время атаки и для статистических целей. Вы можете добавить защиту на прикладном уровне, используя Брандмауэр веб-приложения в Шлюзе приложений Azure. Защита обеспечивается для общедоступных IP-адресов Azure IPv4.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Работатека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: