Введение
Цифровая трансформация бизнес-процессов приводит к существенному усложнению инфраструктуры предприятий. Распределенные сети, облачные сервисы и удаленный доступ размывают традиционный периметр защиты. Статистика инцидентов за 2023–2024 годы свидетельствует о росте целевых атак на корпоративный сектор, где основной целью становится получение доступа к критическим данным или нарушение непрерывности бизнес-процессов [2]. Существующие подходы к построению систем защиты информации (СЗИ) часто базиру-ются на избыточном внедрении средств безопасности без оценки их влияния на производительность инфраструктуры, что приводит к необоснованным затратам и снижению скорости работы сервисов.
Объектом исследования выбрана корпоративная информационная система предприятия со стандартной трехуровневой ар-хитектурой. Предметом исследования являются методы и технические средства обеспечения информационной безопасности, применяемые для защиты каналов передачи и хранения данных.
Целью исследования является систе-матизация и анализ существующих подходов к построению СЗИ, обеспечивающих требуемый уровень защищенности при ми-нимизации негативного влияния на производительность сетевой инфраструктуры.
Для достижения цели решаются следующие задачи:
- Актуализировать модель угроз для современной корпоративной сети с учетом векторов атак на прикладном уровне.
- Провести сравнительный анализ про-изводительности технических средств защиты (NGFW) на основе открытых данных и спецификаций.
- Систематизировать подходы к оценке эффективности СЗИ.
Методы исследования включают си-стемный анализ, синтез архитектурных решений, анализ нормативно-технической документации.
1. Анализ модели угроз и уязвимостей
Классификация угроз безопасности информации должна соответствовать акту-альному состоянию технологий. В текущих условиях требуется адаптация к требованиям ФСТЭК России, в частности к Приказу № 17 и Приказу № 21. Однако нор-мативная база задает лишь минимальный уровень требований. Для построения эффективной системы необходимо учитывать специфические векторы атак, характерные для распределенных сетей.
Анализ отчетов ведущих вендоров в области кибербезопасности показывает сме-щение активности злоумышленников в сторону прикладного уровня (L7 модели OSI) [2, 1]. Традиционные методы периметровой защиты, основанные на фильтрации пакетов по IP-адресам и портам, неэффективны против атак, использующих легитимные протоколы (HTTP/HTTPS, DNS).
1.1. Актуальные векторы атак
В рамках исследования выделены следующие классы угроз, требующие приоритет-ной нейтрализации:
- Эксплуатация уязвимостей веб-приложений. SQL-инъекции, меж-сайтовый скриптинг (XSS) остаются основными методами компрометации серверов.
- Фишинг и целевые письма. Использование социальной инженерии для получения учетных данных привиле-гированных пользователей.
- Латеральное перемещение. После первоначального взлома злоумыш-ленник перемещается внутри сети, используя слабую сегментацию.
- Утечки через разрешенные каналы. Использование облачных хранилищ и мессенджеров для вывода данных за периметр.
1.2. Оценка уязвимости инфраструктуры
Уязвимость системы определяется не только наличием ошибок в программном коде, но и конфигурационными ошибками. Анализ типовых корпоративных сетей выявляет следующие распространенные проблемы [5]:
- Наличие открытых портов управления (SSH, RDP) во внешнем сегменте сети.
- Использование протоколов без шиф-рования (Telnet, FTP, HTTP) во внутреннем сегменте.
- Отсутствие сегментации сети на уровни безопасности (DMZ, внутренняя сеть).
Для количественной оценки уязвимости применяется анализ результатов сканирования специализированными средствами (MaxPatrol, XSpider). Критические уязвимости (CVSS score ≥ 9.0) подлежат устра-нению в приоритетном порядке.
2. Принципы построения системы защиты информации
Построение эффективной СЗИ базиру-ется на нескольких ключевых принципах [7, 9]:
- Эшелонированная защита (defense in depth) — организация нескольких по-следовательных рубежей: периметр, внутренняя сегментация, конечные точки, мониторинг.
- Принцип наименьших привилегий — пользователи и сервисы наделяются только теми правами, которые необходимы для выполнения их функций.
- Непрерывный мониторинг — сбор и корреляция событий со всех узлов защиты.
- Автоматизация реагирования — сокращение временного интервала между обнаружением инцидента и блоки-ровкой угрозы [8].
3. Обзор технических средств защиты
В рамках исследования рассматривают-ся три класса технических средств, оказы-вающих наиболее существенное влияние на производительность сети [6]:
3.1. Межсетевое экранирование нового поколения (NGFW)
Традиционные межсетевые экраны работают на сетевом уровне и имеют минималь-ную задержку. NGFW добавляют функции глубокого анализа пакетов (DPI), контроля приложений и предотвращения вторжений (IPS). Анализ технической документации выявляет зависимость пропускной способности от включенных модулей защиты [3]. Данные таблицы 1 показывают, что включение полного профиля защиты снижает пропускную способность более чем в 3 раза. Для критических сегментов сети, где важна низкая задержка (VoIP, базы данных реального времени), полное включение функций NGFW нецелесообразно. В литературе предлагается дифференцированный подход: для пользовательского сегмента использовать полный профиль, для серверного — только фильтрацию по состояниям и сигнатуры критических уязвимостей.
Таблица 1: Влияние режимов работы NGFW на производительность (по данным технической документации UserGate F800, 2024 г.)
|
Режим работы |
Пропускная способность (%) | Задержка (мс) | CPU (%) |
|
Без защиты |
100 | 0,5 | 5 |
|
Stateful Inspection |
85 | 1,2 | 15 |
|
NGFW (без IPS) |
60 | 2,5 | 45 |
|
Полный профиль |
30 | 4,8 | 85 |
3.2. Системы предотвращения утечек (DLP)
DLP-системы анализируют содержимое передаваемых данных. Основной проблемой является нагрузка на конечные точки и серверы сбора событий. Анализ показывает, что контентный анализ в реальном времени увеличивает время открытия файлов на 15–20%. Для снижения влияния предлагается использовать гибридную схему: на конечных точках — контроль устройств и буфера обмена (легкие агенты), на пе-риметре — глубокий контентный анализ почтового и веб-трафика.
3.3. Системы мониторинга и реагирования (SIEM)
SIEM-системы собирают и коррелиру-ют события из различных источников для выявления аномалий и инцидентов. Ключевая роль таких систем — централизован-ное управление и автоматизация реагирования. Внедрение SIEM позволяет сократить время обнаружения инцидентов (MTTD) и время реагирования (MTTR).
4. Организационно-правовые аспекты
Построение системы защиты информации в Российской Федерации регламенти-руется рядом нормативных актов. Основными документами выступают Федеральный закон № 149-ФЗ «Об информации…» и Федеральный закон № 152-ФЗ «О персо-нальных данных». Требования регуляторов (ФСТЭК, ФСБ) определяют обязательный состав мер защиты для различных классов информационных систем.
Однако формальное соблюдение требований не гарантирует реальную безопасность. Возникает конфликт между требованиями регуляторов и бизнес-процессами. Например, требование обязательного логи-рования всех действий пользователей приводит к росту объема хранимых данных и нагрузке на системы хранения.
В ходе анализа выявлены следующие противоречия [4]:
- Требование изоляции сетей vs. необходимость свободного обмена данными между подразделениями.
- Использование сертифицированных средств vs. функциональность и удоб-ство администрирования.
- Стоимость соответствия требованиям (compliance) может быть экономически нецелесообразной для систем низкого класса защиты.
Предлагается подход, основанный на риск-ориентированной модели: меры защиты выбираются на основе оценки ущерба от реализации угроз, что позволяет сосредоточить ресурсы на защите критических активов.
5. Заключение
В работе проведён систематический обзор подходов к построению комплексной системы защиты информации в корпоративной сети. Получены следующие результаты:
- Актуализирована модель угроз для современной корпоративной сети. Установлено, что традиционные периметровые методы неэффективны против атак прикладного уровня и латерального перемещения.
- На основе анализа технической документации подтверждено, что актива-ция полного набора функций NGFW снижает пропускную способность более чем в три раза. Предложен дифференцированный подход к конфигу-рированию.
- Рассмотрены организационно-правовые аспекты построения СЗИ в Российской Федерации, выявлены основные противоречия между требованиями регуляторов и бизнес-процессами.
Результаты работы подтверждают, что комплексный подход к построению СЗИ, основанный на актуальной модели угроз и учете влияния средств защиты на производительность, позволяет повысить уровень защищенности корпоративной инфраструктуры.
Перспективы дальнейших исследований связаны с внедрением методов машинного обучения для улучшения качества корре-ляции событий в SIEM-системах, адапта-цией подходов для сегментов Интернета вещей (IoT), а также разработкой методов автоматизированного выбора конфигура-ции средств защиты на основе заданных критериев.
Библиографический список
- Kaspersky Lab. Kaspersky security bulletin 2023. Статистика инцидентов. Электронный ресурс, 2024. Дата обращения: 15.03.2026. URL: https://secu relist.ru/kaspersky-security-bul letin-2023/.
- Positive Technologies. Отчет о киберу-грозах за 2023 год, 2024.
- UserGate. Техническая документация. Модель f800. Спецификации производи-тельности. Электронный ресурс, 2024. Дата обращения: 10.03.2026. URL: http s://usergate.com/products/f800/s pecs.
- ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации. Общие положения, 2017.
- В.Г. Грибунин. Анализ уязвимостей сетевой инфраструктуры, 2022.
- М.С. Долинский. Сравнительный анализ межсетевых экранов нового поколения, 2023.
- Д.П. Зегжда. Основы безопасности информационных систем: учебное пособие, 2020.
- С.К. Петров. Автоматизация реагирования на инциденты ИБ, 2022.
- В.Ф. Шаньгин. Защита информации в компьютерных системах и сетях, 2021.