Архитектура системы
5.4. Архитектура системы
Соединение с Интернетом приводит к необходимости внесения ряда изменений в архитектуру автоматизированной системы организации, чтобы увеличить общую безопасность АС. Проблемы, связанные с брандмауэрами, обсуждаются в другой главе. Другими важными архитектурными вопросами, требующими принятие решения на уровне политики, являются использование Интернета для соединения физически разделенных сетей(виртуальных частных сетей), удаленный доступ к системам из Интернета, и доступ к внутренним базам данных из Интернета. Все эти вопросы рассмотрены ниже.
Введение в обнаружение происшествия
5.5.1. Введение в обнаружение происшествия
Обнаружение происшествия (intrusion detection) играет важную роль в реализации политики безопасности организации. Вместе с развитием информационных систем должны развиваться и системы безопасности для поддержания своей эффективности. Использование распределенных систем привело к появлению большого числа уязвимых мест, и поэтому недостаточно просто "закрыть двери и запереть их на все замки". Требуются гарантии того, что сеть безопасна - что "все двери закрыты, надежны, а замки крепки". Системы обнаружения происшествий могут частично обеспечить такие гарантии.
Обнаружения происшествия выполняет две важные функции в защите информационных ценностей. Во-первых, оно является обратной связью, позволяющей уведомить сотрудников отдела информационной безопасности об эффективности компонент системы безопасности. В некотором смысле обнаружение происшествий аналогично лакмусовой бумажке для подсистем защиты периметра безопасности, таких как брандмауэры и системы управления доступом по коммутируемым линиям. Отсутствие обнаруженных вторжений при наличии надежной и эффективной системы обнаружения происшествий является свидетельством того, что оборона периметра надежна. Во-вторых, оно является пусковым механизмом, приводящим в действие запланированные ответные меры безопасности.
Эта часть содержит обзор различных методов, которые могут быть использованы для обнаружения вторжения в компьютерные информационные системы. Там приводится достаточно представительный список средств, которые используют организации сегодня, так как постоянно будут появляться новые средства. Не все из этих средств могут быть использованы в любой сети. Вместо этого вы должны использовать те средства, которые являются уместными в контексте ваших ценностей, вашей оценки риска, вашего обоснования затрат на защиту, и ваших ресурсов, которые могут быть использованы в таких ситуациях.
Безопасность обычно реализуется с помощью комбинации технических и организационных методов. Вашей организации следует принять решение о том, какую роль будут играть технические методы в реализации или обеспечении безопасности. Методы, приведенные здесь, в основном являются техническими, но некоторые из них нуждаются в сопровождении организационными мерами, связанными с ними.
Последняя часть раздела содержит примеры положений политики безопасности о обнаружении происшествий.
Методы обнаружения происшествия
5.5.2. Методы обнаружения происшествия
Обнаружение происшествия может быть реализовано несколькими способами, и выбор метода должен основываться на типе защищаемой сети, используемой системе для защиты периметра, и уровня защиты, требуемого политикой безопасности организации. Существует ряд методов для обнаружения вторжения злоумышленника.
Независимо от того, какой метод используется, организация должна иметь специальную группу для расследования происшествий. Этот могут быть ответственные за прием звонков от пользователей о подозрениях на происшествие, или это может быть специальная группа, использующая предупредительные меры и средства для предотвращения происшествий. "NIST Computer Security Handbook" содержит более подробную информацию о создании этой группы, а в центрах CERT и CIAC можно найти много полезной информации для этой группы и получить оперативную консультацию.
Одним из методов является пассивное ожидание заявлений от пользователей о подозрительных событиях. Обычно в заявлениях может сообщаться, что какие-то файлы изменились или были удалены, или что диски на серверах заполнены до отказа по непонятным причинам. Достоинством этого метода является то, что его легко реализовать. Но у него имеется ряд серьезных недостатков. Ясно, что такой метод не обеспечит дополнительной защиты информационных систем или гарантий выполнения политики безопасности. Умные атакующие вообще не будут делать ничего такого, что приведет к появлению подозрительных симптомов. Со временем станет ясно, что сеть была атакована, но будет слишком поздно, чтобы предотвратить ущерб организации. В худшем случае первым признаком того, что что-то не в порядке, может оказаться появление в организации сотрудников правоохранительных органов или репортеров.
Другим методом является периодический анализ журналов, поиск в них сообщений о необычных событиях. Такими событиями могут быть большое число неудачных попыток аутентификации, большое число попыток нарушить полномочия по доступу к файлам, необычные пакеты в сетевом трафике, и т.д. Этот метод обеспечивает некоторую дополнительную защиту по сравнению с пассивным ожиданием заявлений от пользователей. При довольно частом аудите он может дать достаточно информации, чтобы ограничить последствия атаки. Как правило, современные компьютеры и сети предоставляют требуемые возможности по аудированию в качестве опций конфигурации систем. Часто эти возможности по умолчанию отключены и должны быть явно включены. Этот метод требует принятия постоянных организационных мер. Его эффективность зависит от согласованного и частого просмотра администраторами системных журналов. Если протоколирование встроено в операционную систему или приложение, и эта операционная система или приложение недостаточно защищены от атак, этот метод может быть обойден умными атакующими, которые скрывают свои следы с помощью отключения режима протоколирования в ходе их проникновения, или путем очистки системных журналов.
Можно легко создать средства мониторинга на основе стандартных утилит операционной системы, используя вместе различные программы. Например, может быть создан список контрольных проверок правильности установок полномочий по доступу к файлам. Этот список может потом периодически сопоставляться с текущими установками полномочий по доступу. Различия могут свидетельствовать о неавторизованных модификациях, произведенных в системе.
Важно не делать наблюдение по графику. Системные администраторы могут периодически выполнять многие из команд, используемых для наблюдения, в течение дня. Если они, кроме того, выполняют ряд команд в случайные моменты времени, злоумышленнику становится труднее предсказать ваши действия. Например, если злоумышленник знает, что в 5 часов утра система проверяется на то, что все пользователи отключились, он просто подождет некоторое время, и после завершения этой проверки подключится к системе. Но если системный администратор осуществляет наблюдение в случайные моменты времени дня, злоумышленник не сможет угадать, когда это будет и будет подвергаться большему риску быть обнаруженным.
Средства проверки целостности для Unix, такие как Tripwire, вычисляют эталонные контрольные суммы для файлов или файловых систем, а при последующих проверках вычисляют заново и сравнивают с эталонными для обнаружения модификаций. Эти средства требуют опытного администратора для установки. Требуются определенные затраты времени системного администратора, чтобы гарантировать правильность проверок целостности. Так как механизмы безопасности не являются частью операционной системы или приложения, становится гораздо менее вероятным, что атакующий сможет скрыть свои следы. К сожалению, эти средства могут быть полезны только для выявления атак, связанных с модификацией системных модулей и не могут выявить другие атаки, например, те, в ходе которых информация крадется с помощью копирования файлов.
Сигналы тревоги и предупреждения от систем управления доступом периметра безопасности могут являться признаком начала атаки. Некоторые системы управления доступом, такие как брандмауэры и системы управления доступа удаленных пользователей, могут быть сконфигурированы так, что будут подавать сигналы тревоги при нарушении определенных правил доступа, превышения числа ошибок и т.д. Эти сигналы тревоги могут быть звуковыми, визуальными, сообщениями электронной почты, сообщениями пейджера, или сообщениями системам управления сетью, например SNMP-пакетами. После установки эти средства обнаружения достаточно просто администрировать, так как система может быть сконфигурирована так, что будет посылать сигналы тревоги сетевому администратору, который уже наблюдает за другими параметрами состояния сети, то есть специально выделенный сотрудник не требуется. Тем не менее, будут обнаруживаться только те происшествия, в ходе которых злоумышленник пересекает периметр безопасности. Вторжения из внешних сетей через скрытые или неизвестные каналы не будут обнаружены, так же, как и неавторизованный доступ к критическим серверам сотрудниками организации. Другим фактором, который надо учитывать, является то, что если атакующий смог проникнуть через системы периметр безопасности, то нет гарантий, что он не отключил подачу сигнала тревоги на этих системах.
Существуют автоматизированные средства, которые выполняют анализ трафика в реальном масштабе времени, и используют экспертные системы для обнаружения необычной активности, которая может оказаться признаком атаки. Эти средства могут размещаться на отдельном хосте и устанавливаться на каждой критической системе, или выполнять функции по контролю сегментов сетей и устанавливаться в центральных местах для наблюдения за трафиком. После установки этих средств могут быть обнаружен как внешние, так и внутренние атаки. Так как они не зависят от операционной системы, установленной на сервере или хосте и систем управления доступом периметра безопасности, то атакующим, даже если они и проникли на эти системы, гораздо труднее обойти их. Успешность применения этих систем зависит от точности предсказания последовательностей событий, являющихся признаками проникновения, и это не всегда возможно. Если программа настроена на слишком специфическую последовательность событий, то поведение реального атакующего может не соответствовать ему. Если же указаны слишком общие последовательности событий, от система будет выдавать слишком много ложных сигналов тревоги. Этот подход требует использования сложных эвристик, которые могут чрезмерно усложнить использование этого средства.
Существуют также средства, которые анализируют статистические аномалии и делают на их основе выводы о наличии атаки. Это делается путем создания статистического профиля различных субъектов сетевой активности, таких как отдельные пользователи, группы пользователей, приложения, сервера и т.д., и последующего наблюдения за поведением таких субъектов. Если наблюдаемое поведение выходит за рамки статистического профиля, то это - признак возможной атаки. Этот подход также требует использования сложных эвристик, которые сильно затрудняют использование этого средства.
Использование электронных подписей для программ может помочь установить авторство модулей программ. При периодическом анализе подлинности модулей в защищаемых системах можно выявить подмену программ злоумышленником. Этот экстравагантный подход теоретически позволяет защититься от атак, которые не обнаруживаются средствами периметра безопасности сети, от таких атак, которые используют скрытые каналы, или от атак внутренних пользователей, которые достаточно умны, чтобы обойти средства защиты хоста. Возможные достоинства этого подхода должны быть сопоставлены с низкой вероятностью атак такого рода и сложностью защиты, а также его возможностями обнаружить только модификации программ, такие как замена программ троянскими конями.
Ответные действия
5.5.3. Ответные действия
Политика компьютерной безопасности должна определить, какой подход должен использоваться сотрудниками организации в ходе ответных мер при подозрении на атаку. Порядок действий в таких ситуациях должен быть определен заранее и размножен в письменном виде. Должен быть учтен ряд типовых проблем, возникающих при происшествии, чтобы их решение было логичным с точки зрения интересов организации, а не подсказанным паникой, которая может возникнуть при обнародовании факта атаки. Ниже приводятся вопросы, на которые надо обязательно заранее дать ответ:
Кто будет отвечать за принятие решений об ответных действиях? Следует ли привлекать сотрудников правоохранительных органов? Будет ли ваша организация сотрудничать с другими при попытках установить личность злоумышленника? Будет ли атака отражена сразу после ее обнаружения, или вы позволите потенциальному злоумышленнику продолжить свои действия? Если вы позволите ему продолжать, то могут быть получены дополнительные улики, позволяющие выявить способ атаки, что позволит предотвратить ее в будущем, а также возможно выследить злоумышленника и довести дело до суда.Ответы на эти вопросы должны быть частью порядка улаживания происшествия. Если такой порядок не определен, то его надо разработать. Системы обнаружения атаки и порядок улаживания происшествия, кратко описанные здесь, являются только частью программы компьютерной безопасности в организации. Хотя отдельные компоненты имеют самостоятельную ценность (управление доступом, обнаружение атаки, и т.д.), чтобы результат был максимальным, все компоненты должны быть согласованы друг с другом на основании политики безопасности, разработанной для конкретной сети. Например, если сигналы тревоги от сервера поступают группе технической поддержки клиент-серверных приложений, а сигналы тревоги брандмауэра - группе сетевых администраторов, атака может быть недооценена или вообще проигнорирована.
Улаживание происшествий с безопасностью
5.5. Улаживание происшествий с безопасностью
Происшествие с безопасностью - это событие, которое нанесло или может нанести вред (отрицательно сказаться на) работе компьютеров и сетей, последствием которого могут быть компьютерное мошенничество, использование компьютеров не по назначению, потеря или разрушение собственности организации или информации. Примерами происшествий являются проникновения в компьютерные системы, использование уязвимых мест в компьютерных системах, заражение компьютеров вирусами или другими вредоносными программами.
Хотя при защите соединения с Интернетом в основном защищаются от внешних угроз, неправильное использование соединений с Интернетом внутренними пользователями часто тоже является значительной угрозой. Внутренние пользователи могут получить доступ к большому числу внутренних баз данных через VPN или интранеты, которого не имели ранее. Они могут также взаимодействовать с другими системами в Интернете, что может привести к тому, что ваш компьютер станет компьютером, с которого будет организована атака. Улаживание происшествий должно охватывать и такие внутренние происшествия, а не только те, которые вызываются внешними угрозами.
Ответственность должностных лиц за безопасность
5.6.1. Ответственность должностных лиц за безопасность
Успех политики безопасности больше зависит от усилий и опытности людей, реализующих политику, чем от сложных технических средств контроля. Эффективная безопасность в Интернете начинается с сетевого администратора (часто называемого администратором ЛВС или системным администратором).
Сетевые администраторы отвечают за реализацию безопасности в ЛВС в той степени, в которой это требуется при соединении с Интернетом. Если имеется несколько сетевых администраторов, важно, чтобы их обязанности были согласованы. Например, атака на веб-сервер организации может потребовать приведения в действие планов обеспечения непрерывной работы и восстановления веб-сервера, выполняемых веб-администратором, а также усиления наблюдения за сетью и ее аудирования, выполняемых сетевым администратором, и усиленного контроля потоков данных через брандмауэр, выполняемого администратором брандмауэра. От размера сети организации зависит, какие административные функции должны выполняться одним и тем же человеком или группой людей..
Организация должна явно указать ФИО сотрудника или отдел, ответственный за поддержание безопасности соединения с Интернетом. Часто эта обязанность возлагается на сетевого администратора, но может быть дана и отдельной организации, профессионально занимающейся компьютерной безопасностью. В этом случае, сетевой администратор и ответственный за безопасность должны хорошо координировать свои действия и ответственный за безопасность должен хорошо разбираться в технических деталях протоколов в Интернете.
Сотрудник или отдел, ответственный за безопасность в Интернет, - это человек, ответственный за безопасность в Интернете, может иметь большие технические возможности, позволяющие ему конфигурировать брандмауэр, создавать и удалять пользователей систем и просматривать системные журналы. За этими действиями должно осуществляться наблюдение с помощью принципа разделения обязанностей (если есть несколько сетевых администраторов) или путем тщательного отбора человека на эту должность. Недовольный или вступивший в сговор с преступниками сетевой администратор - это очень большая проблема.
Организации с высоким риском могут использовать следующие политики:
При выборе кандидатур на ключевые должности должен осуществляться тщательный отбор. Кандидаты на такие важные должности как системный или сетевой администратор, сотрудник отдела безопасности и другие должности, которые считаются руководством организации важными, должны пройти тщательный отбор перед тем, как им будут даны их полномочия.
Сотрудникам, назначенным на должности системных и сетевых администраторов и другие должности, доступ предоставляется последовательно. Другими словами, новый сотрудник, назначенный на должность администратора, не получает всех полномочий в системе, если его работа не требует этого. Если его обязанности увеличиваются, он получает больше привилегий.
Начальники системных и сетевых администраторов отвечают за определение круга их обязанностей таким образом, чтобы администраторы не имели чересчур много системных и сетевых привилегий.
К сожалению, политику безопасности не всегда соблюдают. Для любой из политик, рассмотренных в этом руководстве, организации стоит указать наказания за несоблюдение политики. Для большей части политик наказывать необходимо только тогда, когда нарушение является серьезным.
Администратор ЛВС может временно блокировать доступ любого пользователя, если это требуется для поддержания работоспособности компьютера или сети. (Более строгая политика может потребовать получения разрешения от ответственного за информационную безопасность перед блокированием или разблокировкой доступа).
Допустимое использование
5.6.2. Допустимое использование
Организациям необходимо определить правила допустимого использования Интернета и WWW, аналогично тому, как определяются правила использования служебного телефона. Хотя кажется, что можно просто сказать что-то вроде следующего "Интернет может использоваться только для коммерческих задач организации", это требование является невыполнимым. Если политика не может быть реализована, то нарушения неизбежны и политика не сможет быть основанием для применения к нарушителям наказаний.
Организации с высоким уровнем риска, которых не устраивает вариант периодического использования Интернета сотрудниками в личных целях, могут принять некоторое альтернативное решение, более уместное и реализуемое в рамках конкретной организации:
Для использования Интернета сотрудниками должен использовать либо отдельный канал связи, либо коммутируемое подключение у провайдера Интернета. Машины, испоьзующие этот сервис, не должны быть соединены с внутренними сетями и могут использоваться периодически в соответствии с политикой организации в отношении допустимого использования Интернета.
Могут использоваться программные средства, такие как брандмауэр, для блокирования доступа к сайтам в Интернете, не включенным в список разрешенных в организации сайтов.
Для организаций с любым уровнем риска некоторые виды использования соединения с Интернетом должны быть запрещены в любом случае. Такими видами использования являются:
компрометация персональных данных пользователей внесение помех в работу компьютеров или искажение программ и данных, находящихся на компьютерах использование компьютерных систем и их ресурсов по назначению чрезмерное использование ресурсов, которые нужны для работы организации (люди, пропускная способность канала, процессорное время) использование нелицензионных копий программ использование компьютера для начала атаки на другие компьютерные системы использование государственных, корпоративных или университетских компьютеров для личных целей или в целях, для которых они не предназначены неавторизованное сканирование и зондирование, а также другое исследование узлов сети недопустимым образом использование, приводящее к загрузке, выгрузке, модификации или удалению файлов на других машинах сети, на которых такие действия считаются неавторизованнымиНезависимо от типа политики организации в области допустимого использования Интернета главным фактором, влияющим на поведение пользователей, является их обучение. Пользователи должны быть знать, что они являются составной частью репутации организации и использование ими Интернета влияет на репутацию. Пользователи должны знать, что каждое посещение ими сайтов Интернета оставляет на них следы, и знать, почему организация оставляет за собой право наблюдать за использованием Интернета. Администраторы должны знать о своих обязанностях в отношении используемых программно-аппаратных средств (например, для блокирования доступа к сайтам, наблюдения за работой) для реализации принятой в организации политики.
Организационные меры
5.6. Организационные меры
Политика безопасности Интернета должна быть тесно связана с повседневным использованием Интернета сотрудниками организации и повседневным управлением сетью и компьютерами. Она также должна быть интегрирована в культуру организации посредством обучения. Этот документ в основном описывает технические стороны политики. Но административные вопросы, такие как распределение обязанностей за поддержание безопасности, порой более важны. Этот раздел описывает дополнительные аспекты безопасности в Интернете, которые должны быть учтены с помощью организационных мер.
Помимо массы технических и административных обязанностей сетевого администратора, связанных с поддержанием работоспособности сетей организации, ряд его обязанностей напрямую связан с соединением с Интернетом. Эта глава описывает проблемы, которые не были рассмотрены в других главах.
Распределение ответственности за поддержание безопасности Наказание за нарушение политики безопасности Допустимое использование Интернета, включая ограничение на доступ к определенным WWW-сайтам или группам новостей USENET, и т.д., в соответствии с политикой организации. (Проблемы, связанные с электронной почтой, описаны в главе про электронную почту). Разработка политики в отношении конфиденциальности личной информации, включая электронную почту и наблюдение за сетью.Архивные копии брандмауэра
6.7.3.1. Архивные копии брандмауэра
Для обеспечения возможности восстановления после сбоя или стихийного бедствия, брандмауэр, как и любой другой сетевой хост, должен иметь политику относительно создания архивных копий. Для всех файлов данных, а также системных файлов конфигурации должен иметься некоторый план создания архивных копий.
Для брандмауэра (его системных программ, конфигурационных файлов, баз данных и т.д.) должны создаваться ежедневные, еженедельные и ежемесячные архивные копии, чтобы в случае сбоя можно было восстановить данные и файлы конфигурации. Архивные копии должны храниться в безопасном месте на носителе, с которого можно только считать информацию, чтобы их случайно не затерли, которое должно быть заперто, чтобы носители были доступны только соответствующим сотрудникам.
Другой альтернативой будет иметь запасной брандмауэр, сконфигурированный как основной, и поддерживаемый в холодном резерве, чтобы в случае сбоя основного, запасной мог быть включен и использован вместо него, пока основной брандмауэр восстанавливается.
По крайней мере один брандмауэр должен быть сконфигурирован и держаться в холодном резерве, чтобы в случае сбоя брандмауэра, он мог быть включен вместо него для защиты сети.
Администрирование брандмауэра
6.7. Администрирование брандмауэра
Брандмауэр, как и любое другое сетевое устройство, должен кем-то управляться. Политика безопасности должна определять, кто отвечает за управление брандмауэром.
Должны быть назначены два администратора брандмауэра (основной и заместитель) ответственным за информационную безопасность (или кем-либо из руководства) и они должны отвечать за работоспособность брандмауэра. Основной администратора должен производить изменения в конфигурации брандмауэра, а его заместитель должен производить любые действия только в отсутствие основного, чтобы не возникало противоречивых установок.
Каждый администратор брандмауэра должен сообщить свой домашний телефонный номер, номер пейджера, сотового телефона или другую информацию, необходимую для того, чтобы связаться с ним в любое время.
Анализ возможностей маршрутизации и проксисерверов
6.3. Анализ возможностей маршрутизации и прокси-серверов
В хорошей политике должно быть написано, может ли брандмауэр маршрутизировать пакеты или они должны передаваться прокси-серверам. Тривиальным случаем брандмауэра является маршрутизатор, который может выступать в роли устройства для фильтрации пакетов. Все, что он может - только маршрутизировать пакеты. А прикладные шлюзы наоборот не могут быть сконфигурированы для маршрутизации трафика между внутренним и внешним интерфейсами брандмауэра, так как это может привести к обходу средств защиты. Все соединения между внешними и внутренними хостами должны проходить через прикладные шлюзы (прокси-сервера).
Аутентификация
6.2. Аутентификация
Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации:
Имя/пароль
Это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов
Одноразовые пароли
Они используют программы или специальные устройства для генерации нового пароля для каждого сеанса. Это означает, что старые пароли не могут быть повторно использованы, если они были перехвачены в сети или украдены другим способом.
Электронные сертификаты
Они используют шифрование с открытыми ключами
Цель
1.1. Цель
Этот документ создан для того, чтобы помочь организации создать согласованную политику безопасности для работы в Интернете. Он содержит краткий обзор Интернета и его протоколов. Он рассматривает основные виды использования Интернета и их влияние на политику безопасности. Кроме того, в нем есть примеры политик безопасности для сред с низким, средним и высоким уровнем угроз.
Читатели, которым требуется более общая информация о компьютерной безопасности, могут прочитать NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook.
Целостность системы
6.11. Целостность системы
Для предотвращения неавторизованной модификации конфигурации брандмауэра должна иметься некоторая форма гарантий целостности. Обычно для рабочей конфигурации системы вычисляются контрольные суммы или криптографические хэш-функции, которые хранятся потом на защищенном носителе. Каждый раз, когда конфигурация брандмауэра модифицируется авторизованным на это человеком (обычно администратором брандмауэра), необходимо обновить контрольные суммы файлов и сохранить их на сетевой файловой системе или на дискетах. Если проверка целостности системы покажет, что конфигурация брандмауэра была изменена, то сразу станет ясно, что система была скомпрометирована.
Данные для проверки целостности брандмауэра должны обновляться при каждой модификации конфигурации брандмауэра. Файлы с этими данными должны храниться на носителе, защищенном от записи или выведенном из оперативного использования. Целостность системы на брандмауэре должна регулярно проверяться, чтобы администратор мог составить список файлов, которые были модифицированы, заменены или удалены.
Что там должно быть
2.1. Что там должно быть
Как описано в "NIST Computer Security Handbook", обычно политика должна включать в себя следующие части:.
Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики - это может помочь добиться соблюдения политики. В отношении политики безопасности в Интернете организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с Интернетом (напрямую или опосредованно) или собственно соединения Интернет. Эта политика также может определять, учитываются ли другие аспекты работы в Интернете, не имеющие отношения к безопасности, такие как персональное использование соединений с Интернетом.
Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться Интернетом и при каких условиях.
Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.
Роли и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в Интернете, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.
Соблюдение политики. Для некоторых видов политик Интернета может оказаться уместным описание, с некоторой степенью детальности, нарушений , которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.
Консультанты по вопросам безопасности и справочная информация. Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности. Они должны уметь разъяснять правила работы в Интернете или правила работы на конкретной системе.
Действия при попытках нарушения безопасности
6.14. Действия при попытках нарушения безопасности
Уведомление об инциденте - это процесс, посредством которого определенные аномальные события фиксируются в журналах и сообщаются администратору брандмауэра. Требуется политика, в которой определялись бы типы записей в журналах об особых событиях и порядок действий при появлении подобных записей. Это должно быть согласовано с общим порядком действий при инциденте с безопасностью. Следующие правила уместны для всех сред.
Брандмауэр должен конфигурироваться так, чтобы создавались ежедневные, еженедельные и ежемесячные отчеты, для того чтобы при необходимости можно было проанализировать сетевую активность.
Журналы брандмауэра должны анализироваться каждую неделю для выявления следов атак.
Администратора брандмауэра должен уведомляться в любое время об атаке с помощью электронной почты, пейджера, или других средств, чтобы он мог сразу же предпринять необходимые контрмеры.
Брандмауэр должен обнаруживать попытки сканирования или зондирования, чтобы не происходило утечки защищаемой информации за пределы брандмауэра. Аналогичным образом он должен блокировать работу всех типов программ, которые, как известно, представляют угрозу безопасности сети (таких как ActiveX и Java) для усиления безопасности сети.
Для кого эта книга
1.2. Для кого эта книга
This document was written for readers involved in policy issues at three distinct levels:
Этот документ был написан для тех, кто участвует в разработке политики безопасности на трех уровнях:
Лица из верхнего звена управления организацией, которым требуется понимать некоторые риски и последствия использования Интернета, чтобы они могли рационально распределить ресурсы и назначить ответственных за те или иные вопросы. Начальники подразделений организации, которым требуется разрабатывать специфические политики безопасности Администраторы организации, которым нужно понимать, почему им надо применять те или иные программно-аппаратные средства для защиты, и каковы причины использования организационных мер и правил работы в Интернете, которым им надо будет обучать пользователей Интернета в организации.Документация
6.12. Документация
Важно, чтобы правила работы с брандмауэром и параметры его конфигурации были хорошо документированы, своевременно обновлялись и хранились в безопасном месте. Это будет гарантировать, что при невозможности связаться с администратором брандмауэра или при его увольнении, другой опытный человек сможет после прочтения документации быстро осуществить администрирование брандмауэра. В случае проникновения такая документация также поможет восстановить ход событий, повлекших за собой этот инцидент с безопасностью.
Доверительные взаимосвязи в сети
6.8. Доверительные взаимосвязи в сети
Коммерческие сети часто требуют взаимодействия с другими коммерческими сетями. Такие соединения могут осуществляться по выделенным линиям, частным глобальным сетям, или общественным глобальным сетям, таким как Интернет. Например, многие правительства штатов используют выделенные линии для соединения с региональными офисами в штате. Многие компании используют коммерческие глобальные сети для связи своих офисов в стране.
Участвующие в передаче данных сегменты сетей могут находиться под управлением различных организаций, у которых могут быть различные политики безопасности. По своей природе сети таковы, что общая сетевая безопасность равна безопасности наименее безопасного участка сети. Когда сети объединяются, должны быть определены взаимосвязи по доверию во избежание уменьшения безопасности всех других сетей.
Надежные сети определяются как сети, у которых имеется одинаковая политика безопасности или в которых используются такие программно-аппаратные средства безопасности и организационные меры, которые обеспечивают одинаковый стандартный набор сервисов безопасности. Ненадежные сети - это те сети, не реализован такой стандартный набор сервисов безопасности, или где уровень безопасности является нестабильным или неизвестным. Самой безопасной политикой является позволять соединение только с надежными сетями. Но бизнес может потребовать временного соединения с деловыми партнерами или удаленными сайтами, при котором будут использоваться ненадежные сети.
Единовременная регистрация
4.14. Единовременная регистрация
Для выполнения своих повседневных задач пользователю может понадобиться зарегистрироваться на большом числе компьютеров и сетей. Часто каждая система требует от пользователя ввода имени и пароля. Так как запоминание большого числа паролей для пользователей является трудным, это ведет к тому, что пароли пишутся на бумаге (и часто на мониторах ПЭВМ) или забываются. Другой реакцией пользователя является использование одного и того же пароля на всех компьютерах. Тем не менее, разные системы могут иметь различные правила для паролей или иметь различные периоды проверки корректности пароля, что может снова привести пользователей к записыванию нескольких паролей на бумаге.
Системы с одной аутентификацией в начале работы делают использование нескольких паролей прозрачным для пользователя. Это реализуется несколькими способами:
Некоторые системы просто создают скрипты, содержащие пары имя-пароль и команды входа в удаленные системы. Это освобождает пользователя от хлопот, но переносит их на обслуживающий персонал, которому требуется поддержание скриптов. Такие скрипты часто требуют безопасного хранения, и их неавторизованное использование может дать доступ ко всем системам, на которых зарегистрирован пользователь. Другой подход базируется на Kerberos и использует криптографию для передачи привилегий пользователя сети или серверу, к которому пользователю нужен доступ. Эти системы требуют создания и работы серверов привилегий, а также интеграции этой технологии в каждую систему, к которой должен иметь доступ пользователь.Финансовые транзакции
4.11. Финансовые транзакции
Так или иначе, но компьютеры и сети давно используются для обработки финансовых транзакций. Перевод денег со счета на счет в электронном виде используется для транзакций банк-банк, а банкоматы используются для операций клиент-банк. Авторизация покупателя с помощью кредитных карт выполняется с помощью телефонных линий и сетей передачи данных.
Для поддержания безопасности этих транзакций они выполняются с помощью частных сетей или шифруются. Использование частных глобальных сетей (как и для EDI) ограничивало возможности взаимодействия. И только Интернет дал дешевую возможность осуществлять финансовые транзакции.
Существует три основных класса финансовых транзакций и пять основных типов механизмов платежа:
Физическая безопасность брандмауэра
6.13. Физическая безопасность брандмауэра
Физический доступ к брандмауэру должен строго контролироваться во избежание несанкционированных изменений конфигурации брандмауэра или его состояния, а также для того, чтобы нельзя было наблюдать за работой брандмауэра. Кроме того, должна иметься пожарная и другая сигнализация и система создания архивных копий, позволяющие гарантировать бесперебойную работу брандмауэра.
Брандмауэр организации должен находиться в отдельном помещении, доступ в которое разрешен только ответственному за сетевые сервисы, администратору брандмауэра и администратору архивных копий брандмауэра.
Комната, в которой находится брандмауэр, должна быть оборудована пожарной сигнализацией и кондиционером для того, чтобы можно было гарантировать ее нормальное состояние. Размещение и состояние огнетушителей должны регулярно проверяться. Если имеются источники бесперебойного питания, то брандмауэр должен быть обязательно подключен к одному из них.
Ftpсайты
1.2. Ftp-сайты
ftp.cisco.com | Информация о продуктах Cisco, примеры правил фильтрации и т.д. |
rtfm.mit.edu | Архивы FAQ групп телеконференций USENET в МТИ |
ftp.greatcircle.com | Информация о брандмауэрах |
net.tamu.edu | Средства безопасности из Texas A&M University (TAMU) |
ftp.uu.net | Архивы UUNET |
Группы новостей
1.3. Группы новостей
Компьютерная безопасность
alt.security | Вопросы безопасности в компьютерных системах |
alt.security.index | Указатели на интересные вещи в misc.security |
comp.risks | Риски для общества от компьютеров |
comp.security.announce | Сообщения из CERT о безопасности |
comp.security.firewalls | Дискуссии по поводу брандмауэров |
comp.security.misc | Безопасность компьютеров и сетей |
comp.security.unix | Безопасность в Unix |
Сетевой обмен с помощью TCP/IP :
comp.protocols.tcp-ip | Протоколы TCP и IP |
Telecom:
comp.dcom.cellular
comp.dcom.telecom
comp.dcom.telecom.tech
Оборудование конкретных производителей:
comp.dcom.sys.cisco
comp.dcom.sys.wellfleet
Новые виды передачи пакетов :
comp.dcom.frame-relay
comp.dcom.isdn
comp.dcom.cell-relay
Хранение электронных писем
8.9. Хранение электронных писем
Официальные документы организации, передаваемые с помощью электронной почты, должны быть идентифицированы и должны администрироваться, защищаться и сопровождаться настолько долго, насколько это нужно для деятельности организации, аудита, юристов, или для других целей. Когда электронная почта - это единственный способ передачи официальных документов компании, то к ним применяются те же самые процедуры, как если бы они передавались на бумаге.
Для предотвращения случайного удаления писем, сотрудники должны направлять копии таких сообщений в официальный файл или архив. Должны храниться как входящие, так и выходящие сообщения с приложениями. Любое письмо, содержащее формальное разрешение или выражающие соглашение организации с другой организацией, должно копироваться в соответствующий файл (или должна делаться его печатная копия) для протоколируемости и аудита.
Период хранения всех писем определяется юристами. Если сообщения хранятся слишком долго, организация может вынуждена сделать такую информацию публичной по решению суда.
Идентификация и аутентификация
5.1. Идентификация и аутентификация
Идентификация и аутентификация (ИдиА) - это процесс распознавания и проверки подлинности заявлений о себе пользователей и процессов. ИдиА обычно используется при принятии решения, можно ли разрешить доступ к системным ресурсам пользователю или процессу. Определение того, кто может иметь доступ к тем или иным данным, должно быть составной частью процесса классификации данных, описанной в разделе 5.6.
Эта глава предполагает, что было принято решение о том, что можно устанавливать соединения с внутренними машинами из Интернета. Если такие соединения запрещены, то в ИдиА нет необходимости. Многие организации отделяют системы, доступные из Интернета, от внутренних систем с помощью брандмауэров или маршрутизаторов.
Аутентификация через Интернет имеет ряд проблем. Достаточно легко можно перехватить данные идентификации и аутентификации (или вообще любые данные) и повторить их, чтобы выдать себя за пользователя. При аутентификации вообще пользователи часто выражают недовольство ею и часто совершают ошибки, что делает возможным получение данных ИдиА с помощью социальной инженерии. Наличие дополнительной ИдиА при использовании Интернета делает необходимым распространение среди пользователей данных для ИдиА , что будет лишь усложнять им работу. Другой проблемой является возможность вклиниться в сеанс пользователя после выполнения им аутентификации.
Существует три основных вида аутентификации - статическая, устойчивая и постоянная. Статическая аутентификация использует пароли и другие технологии, которые могут быть скомпрометированы с помощью повтора этой информации атакующим. Часто эти пароли называются повторно используемыми паролями. Устойчивая аутентификация использует криптографию или другие способы для создания одноразовых паролей, которые используются при проведении сеансов работы. Этот способ может быть скомпрометирован с помощью вставки сообщений атакующим в соединение. Постоянная аутентификация предохраняет от вставки сообщений атакующим.
Информационные транзакции
4.10. Информационные транзакции
Обеспечение информацией - основной и дорогой элемент коммерции. Информация в коммерции может иметь несколько форм:
Статические данные, такие как историческая информация, карты и т.д. Корпоративная информация, такая как телефонные номера, адреса, структура организации и т.д. Информация о продукции или об услугах Платная информация, такая как новости, периодические издания, доступ к базам данных и т.д.Использование Интернета для предоставления этих сервисов гораздо дешевле, чем использование факса, телефона или обычной почты. Потенциальные клиенты могут искать и получать информацию в нужном им темпе, и это не будет требовать дополнительных затрат на службу технического сопровождения.
Обычно такие информационные сервисы используют WWW как базовый механизм для предоставления информации. Целостность и доступность предоставляемой информации - главные проблемы обеспечения безопасности, требующие применения средств безопасности и создания политики безопасности.
Интранет
6.6. Интранет
Хотя брандмауэры обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или компаниях брандмауэры часто используются для создания различных подсетей в сети, часто называемой интранетом. Брандмауэры в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться брандмауэрами и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть брандмауэр для финансового отдела или бухгалтерии в организации.
Решение использовать брандмауэр обычно основывается на необходимости предоставлять доступ к некоторой информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учет доступа и использования конфиденциальной и критической информации.
Для всех систем организации, на которых размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должны использоваться внутренние брандмауэры и фильтрующие маршрутизаторы для обеспечения строгого управления доступом и аудирования. Эти средства защиты должны использоваться для разделения внутренней сети организации рвди реализации политик управления доступом, разработанных владельцами информации (или ответственными за нее).
Использование электронной почты
8.1. Использование электронной почты
Электронная почта или e-mail - самый популярный вид использования Интернета. С помощью электронной почты в Интернете вы можете послать письмо миллионам людей по всей планете. Существуют шлюзы частных почтовых систем в интернетовский e-mail, что занчительно расширяет ее возможности.
Помимо взаимодействия один-один, e-mail может поддерживать списки электронных адресов для рассылки, поэтому человек или организация может послать e-mail всему этому списку адресов людей или организаций. Иногда списки рассылки e-mail имеют элементы, являющиеся указателями на другие списки рассылки, поэтому одно письмо может быть в конце концов доставлено тысячам людей.
Разновидностью списков рассылки являются дискуссионные группы на основе e-mail. Их участники посылают письмо центральному серверу списка рассылки, и сообщения рассылаются всем другим членам группы. Это позволяет людям, находящимся в разных временных зонах или на разных континентах, вести интересные дискуссии. При помощи специальных программ люди могут подписаться на список или отписаться от него без помощи человека. Сервера списков рассылки часто предоставляют другие сервисы, такие как получение архивов, дайджестов сообщений, или связанных с сообщениями файлов. Группы новостей USENET являются усовершенствованием дискуссионных почтовых групп.
Электронная почта становится все более важным условием ведения повседневной деятельности. Организациям нужны политики для электронной почты, чтобы помочь сотрудникам правильно ее использовать, уменьшить риск умышленного или неумышленного неправильного ее использования, и чтобы гарантировать, что официальные документы, передаваемые с помощью электронной почты, правильно обрабатываются. Аналогично политике использования телефона, организациям нужно разработать политику для правильного использования электронной почты.
Политика должна давать общие рекомендации в таких областях:
Использование электронной почты для ведения деловой деятельности Использование электронной почты для ведения личных дел Управление доступом и сохранение конфиденциальности сообщений Администрирование и хранение электронных писемИсследования
4.7. Исследования
Проведение исследований с помощью Интернета включает в себя использование клиентских программ для поиска и чтения информации с удаленных серверов. Клиентские программы могут быть следующих типов:
FTP - FTP-программы позволяют подключаться к удаленным системам, просматривать файловые структуры на них, и загружать оттуда файлы Gopher - разработан в университете Миннесоты, он по существу предоставляет графический интерфейс для выполнения просмотра и загрузки файлов в встиле FTP World Wide Web - веб-браузеры гораздо более удобны для чтения информации в Интернете. Программа-клиент для просмотра информации в WWW обычно имеет возможности FTP-клиента и Gopher-клиента, помимо расширенных возможностей мультимедиа. Специфические системы - существует ряд информационных систем на основе Интернета, которые требуют использования специальной программы-клиента, а не веб-браузера. Как правило они предоставляют доступ к информации, защищенной авторскими правами или информации, хранимой в реляционных базах данных.Основной риск, связанный с использованием Интернета для исследований - это возможность занесения вирусов или других РПС. С появлением "макро-вирусов", которые содержатся в стандартных документах текстовых процессоров, загрузка документов стала такой же рискованной, как и загрузка выполняемых файлов. Кроме того, доступность "приложений-помощников" и загружаемых "апплетов" для обеспечения отображения файлов специальных форматов (таких, как PostScript) увеличила риск троянских коней. Смотрите политику для этой области в разделах про импорт программ и WWW.
Вторичным риском являются следы, которые программы-клиенты оставляют при просмотре содержимого информационных серверов в Интернете. Большинство серверов имеет возможность записывать как минимум IP-адрес клиента, а веб-сервера могут часть получить информацию о типе используемого браузера, последнем посещенном сайте, и адресе электронной почты, используемой в браузере, а также другую критическую информацию. Помимо этого, программа веб-сервера может сохранять файл "визиток"(cookie) на компьютере, где находится браузер, что позволяет серверу отслеживать визиты клиента на сервер и посещаемые им области.
Электронная коммерция
4.8. Электронная коммерция
Использование компьютеров и сетей претерпело три фазы, или "волны":
Базовая автоматизация офиса - в эпоху мэйнфреймов с помощью компьютеров выполнялись такие функции, как биллинг, финансовые операции, ведение кадровых список. Сквозная автоматизация офиса - после появления ПЭВМ и локальных сетей с помощью компьютеров стали выполняться такие функции, как набор текстов, деловая переписка, финансовый анализ и т.д. Автоматизация взаимодействия с клиентами - после того, как ПЭВМ стали обычным явлением как дома, так и в оффисе, а Интернет сделал дешевым взаимодействие, контакты между компаниями и их клиентами (людьми, другими компаниями и т.д.) стали все чаще осуществляться с помощью компьютера.Взаимодействие покупателя с продавцом с помощью компьютеров и сетей и есть электронная коммерция. В целях изучения безопасности мы разделим электронную коммерцию на 4 класса: электронная почта, электронный обмен данными, информационные транзакции и финансовые транзакции. Электронная почта была рассмотрена выше, следующие разделы будут описывать оставшиеся 3 класса.
Электронная почта
4.5. Электронная почта
Хотя мультимедийная форма WWW привлекает основное внимание, именно электронная почта способствовала росту Интернета. Использование электронной почты для осуществления важных деловых взаимодействий растет быстрыми темпами. Хотя электронная почта является дешевым способом взаимодействия с клиентами, деловыми партнерами, с ее использованием связан ряд проблем с безопасностью:
Адреса электронной почты в Интернете легко подделать. Практически нельзя сказать наверняка, кто написал и послал электронное письмо только на основе его адреса. Электронные письма могут быть легко модифицированы. Стандартное SMTP-письмо не содержит средств проверки целостности. Существует ряд мест, где содержимое письма может быть прочитано теми, кому оно не предназначено. Электронное письмо скорее похоже на открытку - его могут прочитать на каждой промежуточной станции. Обычно нет гарантий доставки электронного письма. Хотя некоторые почтовые системы предоставляют вам возможность получить сообщение о доставке, часто такие уведомления означают лишь то, что почтовый сервер получателя (а не обязательно сам пользователь) получил сообщение.Эти уязвимые места делают важным для организации разработку политики, определяющей допустимое использование электронной почты для коммерческих целей.
Электронный обмен данными
4.9. Электронный обмен данными
Электронный обмен данными(EDI) - это термин, не нуждающийся в пояснениях. Простейшей его формой является обмен информацией между двумя бизнес-субъектами (называемых в EDI торговыми партнерами) в стандартизованном формате. Базовой единицей обмена является набор транзакций, который в общем соответствует стандартному бизнес-документу, такому как платежное поручение или накладная на товар. С помощью стандартов, основу которых составляют X.9 и UN/EDIFACT, деловое сообщество разработало группу стандартных наборов транзакций.
Каждый набор транзакций состоит из большого числа элементов данных, требуемых для данного бизнес-документа, каждый из которых имеет свой формат и место среди других элементов данных. Если транзакция содержит более , чем одну транзакцию(несколько платежных поручений в одну фирму), то группе транзакций будет предшествовать заголовок функциональной группы, а за группой будет следовать концевик функциональной группы.
Компании стали использовать EDI, чтобы уменьшить время и затраты на контакты с поставщиками. Так в автомобильной промышленности большие компании требовали от поставщиков использовать EDI для всех транзакций, что позволило сохранить огромное количество бумаги и значительно ускорить процесс поставки и сократить усилия на поддержание актуальности баз данных. Обычно для выполнения EDI-транзакций использовались частные глобальные сети, которые были дешевле, чем аренда выделенных линий, но предоставляли сервис надежной и безопасной доставки.
Интернет может обеспечить возможности взаимодействия, необходимые для EDI, по низким ценам. Но Интернет не обеспечивает сервисов безопасности (целостности, конфиденциальности, контроля участников взаимодействия), требуемых для EDI. Как и электронная почта в Интернете, транзакции EDI уязвимы к модификации, компрометации или уничтожению при посылке через Интернет. Использование криптографии для обеспечения требуемых сервисов безопасности изменило положение, и многие компании и правительственные агентства перешли на EDI в Интернете.
Книги
1.5. Книги
Practical Unix and Internet Security, 2nd Edition | |
Author | Simson Garfinkel and Gene Spafford |
Copyright Date | 1996 |
ISBN | 1-56592-148-8 |
Publisher | O'Reilly & Associates, Inc. |
Firewalls and Internet Security | |
Author | William Cheswick and Steven Bellovin |
Publisher | Addison Wesley |
Copyright Date | 1994 |
ISBN | 0-201-63357-4 |
Building Internet Firewalls | |
Author | Brent Chapman & Elizabeth Zwicky |
Publisher | O'Reilly & Associates, Inc. |
Copyright Date | 1995 |
ISBN | 1-56592-124-0 |
Actually Useful Internet Security Techniques | |
Author | Larry Hughes |
Publisher | New Riders Press |
Copyright Date | Sep-95 |
ISBN | 1-56205-508-9 |
Computer Crime: A Crimefighter's Handbook | |
Authors | David Icove, Karl Seger and William VonStorch |
Publisher | O'Reilly & Associates, Inc. |
Copyright Date | 1995 |
ISBN | 1-56592-086-4 |
Computer Security Basics | |
Authors | Deborah Russell & G.T. Gangemi Sr. |
Publisher | O'Reilly & Associates, Inc. |
Copyright Date | 1991 |
ISBN | 0-937175-71-4 |
Security in Computing | |
Author | Charles P. Pfleeger |
Publisher | Prentice Hall |
Copyright Date | 1989 |
ISBN | 0-13-798943-1. |
Network Security: Private Communication in a Public World | |
Authors | Charles Kaufman, Radia Perlman, and Michael Speciner |
Publisher | Prentice Hall |
Copyright | 1995 |
ISBN | 0-13-061466-1 |
Unix System Security | |
Author | Rik Farrow |
Publisher | Addison Wesley |
Copyright Date | 1991 |
ISBN | 0-201-57030-0 |
Unix Security: A Practical Tutorial | |
Author | N. Derek Arnold |
Publisher | McGraw Hill |
Copyright Date | 1993 |
Unix System Security: A Guide for Users and Systems Administrators | |
Author | David A. Curry |
Publisher | Addison-Wesley |
Copyright Date | 1992 |
ISBN | 0-201-56327-4 |
Unix Security for the Organization | |
Author | Richard Bryant |
Publisher | Sams |
Copyright Date | 1994 |
ISBN | 0-672-30571-2 |
Этот список был составлен и ведется Jody Patilla (jcp@tis.com), специалистом из Trusted Information Systems.
Коммутируемое соединение
4.2. Коммутируемое соединение
Удаленный доступ по телефонным каналам стал самой популярной формой удаленного доступа. Обычно удаленный компьютер использует аналоговый модем для дозвона до модема в режиме автоответа, подключенного к корпоративному компьютеру. Методы обеспечения безопасности этого соединения включают:
Ограничение круга лиц, знающих о номерах телефонов, к которым подключены модемы - этот подход уязвим к автоматизированным атакам с помощью "боевых диалеров", простых программ, использующих модемы с автодозвоном для сканирования блоков телефонных номеров и выявления номеров с модемами. Использование пар имя-пароль - так как атакующему нужно подключиться к телефонной линии, чтобы узнать имя и пароль, коммутируемые соединения менее уязвимы к атакам с помощью перехватчиков паролей, которые делают многократно используемые пароли практическими бесполезными с глобальных сетях. Тем не менее, использование перехватчиков паролей на внутренних сетях, выбор в качестве паролей легко угадываемых слов, и социальная инженерия делают получение паролей легким. Часто злоумышленники представляются сотрудниками отделов технической поддержки для того, чтобы узнать у законных пользователей их пароли. Усиленная аутентификация - существует много методов, которые могут быть использованы для обеспечения или замены обычных паролей. Эти методы включают: Модемы с обратным звонком - эти устройства требуют от пользователя ввести имя и пароль при установлении соединения. Затем корпоративный модем разрывает соединение и ищет авторизованный номер телефона для данного пользователя. После этого он сам звонит по этому номеру и устанавливает соединение. Пользователь снова вводит имя и пароль для установления соединения. Этот подход уязвим к атакам переназначения звонка, и не обеспечивает гибкости, требуемой для установления соединения с отелями и аэропортами. Одноразовые пароли - системы запрос-ответ на основе криптографии, такие как S/Key Bellcore, и SecurID Security Dynamics. Они требуют, чтобы пользователь использовал программный или аппаратный генератор паролей. Эти устройства создают уникальный пароль для каждого сеанса и требуют, чтобы пользователь как знал имя и пароль, так и обладал генератором паролей. Хотя этот метод все-таки уязвим к атакам повтора сеанса, именно этот подход обеспечивает минимально допустимый уровень безопасности для большинства соединений с удаленным доступом. Аутентификация на основе местонахождения удаленного пользователя - новые технологии аутентификации используют такие технологии, как системы глобального позиционирования для реализации аутентификации на основе местонахождения. Если пользователь осуществляет соединение не из авторизованного места, доступ запрещен. Эта технология все еще ненадежна, дорога и сложна в использовании. Но она может оказаться уместной для многих приложений. Уязвимости при ее использовании связаны с возможностью атакующего дать фальшивую информацию о своем местонахождении. Большинство подходов используют криптографию для защиты от такой формы атаки.В заключение можно сказать, что коммутируемый доступ обеспечивает злоумышленников точкой доступа к сети организации, даже если у организации нет доступа к Интернету.
Контроль за импортом программ
5.2. Контроль за импортом программ
Данные на компьютерах редко бывают статичными. Принимаются новые электронные письма. Новые программы загружаются с дискет, CD-ROMов, или с серверов сети. Интерактивные веб-программы загружают выполняемые файлы, которые выполняются на компьютере. Любое изменение несет в себе риск заражения вирусами, разрушения конфигурации компьютера, или нарушения лицензий на использование программ. Организациям нужно защищаться с помощью различных механизмов в зависимости от уязвимости к этим рискам.
Контроль за импортом программ позволяет организации решить следующие задачи:
Защита от вирусов и троянских коней(РПС), их обнаружение и удаление Контроль за интерактивными программами(Java, Active X) Контроль за соблюдением лицензий на программыКаждая задача может быть классифицирована по следующим критериям:
Контроль - кто является инициатором процесса, и как можно определить, что была импортирована программа Тип угрозы - выполняемая программа, макрос, апплет, нарушение лицензионного соглашения Контрмеры - проверка на вирусы, отключение сервиса, изменение прав по доступу, аудирование, удалениеПри импорте программ на компьютере и их запуске на нем имеется риск, что эти программы обладают дополнительной функциональностью или их реальные функции отличаются от заявленных. Импорт может происходить в форме непосредственного действия пользователя или являться побочным эффектом других действий и не быть заметен. Примерами явного импорта являются:
Передача файлов - использование FTP для переноса файла на компьютер. Чтение электронной почты - чтение сообщения, загруженного на компьютер, или использование внешней программы (например, MS Word) для чтения приложений к письму. Загрузка программ с дискеты или по сетиПримерами скрытого импорта является чтение веб-страницы, загружающей Java-апплет на ваш компьютер или открытие файла, зараженного макро-вирусом.
Корректное использование электронной почты
8.6. Корректное использование электронной почты
Все служащие должны использовать электронную почту так же, как и любое другое официальное средство организации. Из этого следует, что когда письмо посылается, как отправитель, так и получатель должен гарантировать, что взаимодействие между ними осуществляется согласно принятым правилам взаимодействия. Взаимодействие с помощью почты не должно быть неэтичным, не должно восприниматься как конфликтная ситуация, или содержать конфиденциальную информацию.
Легкость использования
4.13. Легкость использования
Состав пользователей многих систем, подключенных к Интернету, может быть весьма разнообразным - от секретарей до ученых, от новичков до опытных пользователей. Частым бизнес-требованием является требование, чтобы все приложения можно было легко использовать среднему пользователю. Это требование трудно оценить, но с точки зрения безопасности часто оно переводится так: "если средство безопасности становится помехой людям при выполнении ими своей работы, вы должны отключить такое средство".
Двумя составными элементами легкости использования являются уменьшение числа раз, когда пользователь должен аутентифицироваться в системе и разработка интерфейса пользователей со средствами безопасности таким, чтобы он соответствовал уровню или предпочтениям пользователей системы. Эти вопросы обсуждаются в следующих разделах.
Начальник отдела
6.21. Начальник отдела
Ниже приведена таблица учета административных проблем, связанных с доступом к Интернету
Пользователи должны иметь по одному адресу электронной почты | Чтобы не раскрывать коммерческой информации. | ||
SMTP | Сервис электронной почты для организации должен осуществляться с помощью одного сервера | Централизованный сервис легче администрировать. В SMTP-серверах трудно конфигурировать безопасную работу. | |
POP3 | POP-пользователи должны использовать APOP-аутентификацию. | Чтобы предотвратить перехват паролей. | |
IMAP | Рекомендовать переход на IMAP. | Он лучше подходит для удаленных пользователей, имеет средства шифрования данных. | |
Новости USENET | NTTP | Блокировать на брандмауэре | Не нужен для деятельности организации |
WWW | HTTP | Направлять на www.my.org | Централизованный WWW легче администрировать. WWW-сервера тяжело конфигурировать |
* | Все другие | маршрутизировать |
Низкий и средний риск
Низкий и средний риск
Соединение с Интернетом - это ресурс организации. Деятельность сотрудников организации в Интернете может наблюдаться, протоколироваться и периодически проверяться для того, чтобы организация имела гарантии того, сотрудники работают правильно, и могла защититься от неавторизованного использования Интернета. Кроме того, организация может получить доступ к любой информации пользователей или к любому взаимодействию пользователей. Организация может разгласить информацию, полученную таким образом уполномоченным на это третьим лицам, включая правоохранительные органы или запросы FOIA. Использование (список ресурсов) означает согласие пользователя с тем, что за его деятельностью осуществляется контроль.
Низкий риск
Низкий риск
Требуется аутентификация для доступа к системам организации из Интернета. Минимальным стандартом для аутентификации является использование паролей, как описано в ***.
Низкий риск
Политика контроля за импортом программ для Среды с низким риском должна в основном описывать меры по доведению до пользователей их обязанностей по регулярной проверке на вирусы.
Предотвращение:
Пользователи должны знать о возможностях заражения вирусами и РПС из Интернета и о том, как использовать антивирусные средства.
Обнаружение:
Коммерческие антивирусные средства могут использоваться для еженедельной проверки на вирусы. Ведение журналов работы антивирусных средств не является необходимым.
Сотрудники должны информировать системного администратора о любом обнаруженном вирусе, изменении конфигурации, или необычном поведении компьютера или программы. После получения информации об обнаружении вируса системный администратор должен информировать всех пользователей, имеющих доступ к программам или файлам данных, которые могли быть заражены вирусом, что возможно вирус заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса системным администраторам.
Удаление:
Любая машина, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети . Машина не должна подключаться к сети до тех пор, пока системные администраторы не удостоверятся в удалении вируса. По возможности должны использоваться коммерческие антивирусные программы для удаления вируса. Если такие программы не могут удалить вирус, все программы в компьютере должны быть удалены, включая загрузочные записи при необходимости. Все эти программы должны быть повторно установлены из надежных источников и повторно проверены на вирусы. (В России зарегистрированные пользователи могут обратиться по электронной почте к фирме-производителю программы и получить обновление программы со средствами удаления вируса).
Низкий риск
Следует соблюдать правила лицензий производителей программ для всех коммерческих программ, загруженных по Интернету. Тестовые версии программ должны быть удалены по истечении периода тестирования, или организацией должна быть приобретена легальная версия программы.
Низкий риск
Любой удаленный доступ по небезопасным сетям для администрирования брандмауэра должен использовать усиленную аутентификацию, такую как одноразовые пароли и смарт-карты.
Низкий риск
Пользователь
Все пользователи, которым требуется доступ к Интернету, должны делать это, используя одобренное организацией программное обеспечение и через Интернет-шлюзы организации.
Между нашими частными сетями и Интернетом установлен брандмауэр для защиты наших компьютеров. Сотрудники не должны пытаться обойти его при соединении с Интернетом с помощью модемов или программ для сетевого тунеллирования.
Некоторые протоколы были блокированы или их использование ограничено. Если вам требуется для выполнения ваших обязанностей какой-то протокол, вы должны обратиться к начальнику вашего отдела и ответственному за безопасное использование Интернета.
Начальник отдела
Должен быть помещен брандмауэр между сетью компании и Интернетом для того, чтобы предотвратить доступ к сети компании из ненадежных сетей. Брандмауэр должен быть выбран ответственным за сетевые сервисы, он же отвечает за его сопровождение.
Все остальные формы доступа к Интернету (такие как модемы) из сети организации, или сетей, подключенных к сети организации, должны быть запрещены.
Все пользователи, которым требуется доступ к Интернету, должны делать это с помощью одобренных организацией программ и через шлюзы с Интернетом.
Сотрудник отдела автоматизации
Все брандмауэры при аварийном завершении должны делать невозможным доступ ни к каким сервисам, и требовать прибытия администратора брандмауэра для восстановления доступа к Интернету.
Маршрутизация источника должна быть запрещена на всех брандмауэрах и внешних маршрутизаторах.
Брандмауэр должен отвергать трафик из внешних интерфейсов, который имеет такой вид, будто он прибыл из внутренней сети.
Брандмауэр должен вести детальные системные журналы всех сеансов, чтобы их можно было просмотреть на предмет выявления нештатных ситуаций в работе.
Для хранения журналов должен использоваться такой носитель и место хранения, чтобы доступ к ним ограничивался только доверенным персоналом.
Брандмауэры должны тестироваться перед началом работы и проверяться на предмет правильности конфигурации.
Брандмауэр должен быть сконфигурирован так, чтобы он был прозрачен для выходящих соединений. Все входящие соединения должны перехватываться и пропускаться через брандмауэр, если только противное решение явно не принято ответственным за сетевые сервисы.
Должна постоянно вестись подробная документация на брандмауэр и храниться в безопасном месте. Такая документация должна включать как минимум схему сети организации с IP-адресами всех сетевых устройств, IP-адреса машин у провайдера Интернета, таких как внешние сервера новостей, маршрутизаторы, DNS-сервера и т.д., и другие параметры конфигурации, такие как правила фильтрации пакетов и т.д. Такая документация должна обновляться при изменении конфигурации брандмауэра.
Низкий риск
Пользователь
Программы для поиска и просмотра информации в Интернете, такие как WWW, Gopher, WAIS, и т.д. предоставляются сотрудникам в-основном для более лучшего исполнения ими своих должностных обязанностей.
Любое использование их в личных целях не должно мешать обычной трудовой деятельности сотрудников организации, не должно быть связано с ведением коммерческой деятельности в личных интересах, выходящих за рамки обязанностей сотрудника, и не должно потенциально угрожать организации.
Сотрудникам организации, пользующимся Интернетом, запрещено передавать или загружать на компьютер материал, который является непристойным, порнографическим, фашистским или расистским.
Пользователям WWW напоминается, что веб-браузеры оставляют "отпечатки пальцев" на сайтах, позволяющие установить, кто и когда посещал эти сайты.
Менеджер
Пользователям должны быть известны и доступны места, где можно взять лицензионные программ для WWW.
Сотрудник отдела автоматизации
Должно иметься и поддерживаться локальное хранилище полезных веб-браузеров, приложений для отображения различных форматов документов и плагинов. Оно должно быть доступно для сотрудников организации .
Низкий риск
Пользователь
На веб-сайтах организации не может размещаться оскорбительный или нудный материал.
На веб-сайтах организации не может размещаться персональные рекламные объявления
Менеджер
Менеджерам и пользователям разрешено иметь веб-сайт.
Материалы о сотрудниках на веб-сайтах или доступные с их помощью должны быть минимальны.
На веб-сайтах организации не может размещаться оскорбительный или нудный материал.
Конфиденциальная информация ее должна делаться доступной.
Сотрудник отдела автоматизации
Должен поддерживаться и быть доступен для внутреннего пользования локальный архив программ веб-серверов и средств публикации информации на них.
Низкий риск
Пользователь
Использование служб электронной почты для целей, явно противоречащий интересам организации или противоречащих политикам безопасности организации -явно запрещено, также как и чрезмерное использование ее в личных целях.
Использование адресов организации в письмах-пирамидах запрещено.
Организация предоставляет своим сотрудникам электронную почту для выполнения ими своих обязанностей. Ограниченное использование ее в личных целях разрешается, если оно не угрожает организации.
Использование электронной почты таким образом, что это помогает получать личную коммерческую выгоду, запрещено.
Менеджер
Все сотрудники должны иметь адреса электронной почты.
Справочники электронных адресов должны быть доступны для общего доступа.
Если организация обеспечивает доступ к электронной почте внешних пользователей, таких как консультанты, контрактные служащие или партнеры, они должны прочитать политику доступа к электронной почте и расписаться за это.
Содержимое почтовых сообщений считается конфиденциальным, за исключением случая проведения расследований органами внутренних дел.
Сотрудник отдела автоматизации
POP-сервер должен быть сконфигурирован так, чтобы исключать использование незашифрованных паролей с локальных машин.
Низкий риск Когда для входящих
Низкий риск
Когда для входящих Интернетовских сервисов нет прокси-сервера , но требуется пропускать его через брандмауэр, администратор брандмауэра должен использовать конфигурацию или "заплатку", которая позволит использовать требуемый сервис. Когда прокси-сервер разрабатывается производителем, то "заплатка" должна быть отключена.
Средний-высокий
Все входящие интернетовские сервисы должны обрабатываться прокси-сервером на брандмауэре. Если требуется использование нового сервиса, то его использование должно быть запрещено до тех пор, пока производитель брандмауэра не разработает для него прокси-сервер и он не будет протестирован администратором брандмауэра. Только по специальному разрешению руководства можно разрабатывать свой прокси-сервер или закупать его у других производителей.
Обучение безопасности в Интернете низкий риск
Обучение безопасности в Интернете - низкий риск
Организация должна проводить периодическое обучение в области безопасности всех руководителей, операторов и конечных пользователей так, как это описано в политике организации. Такое обучение должно дополняться доведением новых проблем с безопасностью, постоянно возникающих в Интернете. Пользователям рекомендуется просматривать списки рассылки, связанные с безопасностью, чтобы быть в курсе всех проблем и технологий и знать все новости, сообщаемые отделом информационной безопасности.
Обучение безопасности в Интернете средний риск
Обучение безопасности в Интернете - средний риск
В организации должна быть достаточно либеральная политика в отношении использования Интернета, но опытные пользователи должны повышать свой уровень в отношении эффективного использования Интернета и рисков, связанных с ним. Следует добавить приведенные ниже положения к тем, что указаны для организации с низким риском.
Обучение безопасности в Интернете должно включать проведение как комплексных, так и индивидуальных занятий со специалистами центров по обучению безопасности, краткое доведение информации о новостях и советов по использованию , а также другое необходимое обучение, как это принято в организации. . При обучении обязательно должны быть изучены следующие вопросы - использование брандмауэров, загрузка информации и программ, проблемы, связанные с апплетами, электронной почтой, списками рассылки, домашними страницами, браузерами, шифрование.
Администраторы брандмауэра и ЛВС, а также технический персонал сетей, подключенных к Интернету, должны пройти курс обучения в области контроля за безопасностью в сети, достоинств и недостатков различных подходов, возможных видов атак, сетевой архитектуры и вопросов, связанных с политикой безопасности.
Системные и сетевые администраторы должны пройти полный курс обучения в области администрирования брандмауэров.
Некоторые средства сканирования (например, pingall, SATAN) стали обязательным элементом при проведении контроля защищенности сети для выявления активных систем, их IP-адресов, параметров конфигурации и т.д. Кроме того, для выявления уязвимых мест в системах крайне полезны как бесплатные, так и коммерческие средства (например, SATAN, ISS, NETProbe, PINGWARE, COPS, Tripwire и др.). Все сетевые и системные администраторы должны уметь их использовать. Они также должны знать текущее состояние дел в этой области безопасности.
Новые пользователи должны пройти вводный курс обучения работе в Интернете, который включает серьезную отработку практических навыков и обзор проблем безопасности. Все пользователи должны расписаться в журнале проведения инструктажей по использованию Интернета.
Обучение безопасности в Интернете высокий риск
Обучение безопасности в Интернете - высокий риск
Организация должна стремиться повысить доступность Интернета для своих сотрудников, но делать это консервативным методом и только после обучения пользователей в области правил безопасности при использовании Интернета. Уместна следующая политика помимо политики, указанной для организации со средним риском.
Пользователи должны быть постоянно информированы о текущих проблемах с безопасностью в Интернете путем чтения сообщений и предупреждений об ошибках в программах и уязвимых местах и других советах, разборах имевших место происшествий, а также пройти курс обучения таким образом, как это определено в организации. При обучении обязательно должны быть изучены следующие вопросы - использование брандмауэров, загрузка информации и программ, проблемы, связанные с апплетами, электронной почтой, списками рассылки, домашними страницами, браузерами, шифрование.
Обучение пользователей
5.7. Обучение пользователей
Большинство компьютерных пользователей организации попадает в одну из трех категорий - интернет-мастера; пользователи, обладающие знаниями, но не обладающие опытом; пользователи, которые знают Интернет, провели в нем много времени, но не знают, как он устроен.
Большинство пользователей знает, что с использованием Интернета связан риск, но не понимает, с чем он связан, и как его избежать. Они часто не умеют распознать проблему с безопасностью, или как обезопасить себя при повседневном использовании Интернета. Они не знают последствий недопустимого или неавторизованного использования Интернета.
Доведите до пользователей их обязанности в области безопасности, и научите их, как надо себя вести - это изменит их поведение. Пользователи не могут соблюдать политики, которые они не понимают. Обучение также способствует индивидуальной отчетности, которая является самым важным способом повышения компьютерной безопасности. Не зная необходимых мер безопасности и как их применять, пользователи не смогут до конца отвечать за свои действия. Обучение также необходимо сетевым администраторам, которым требуются специальные навыки для понимания и реализации технологий, требуемых для обеспечения безопасности соединения с Интернетом. Риски, связанные с Интернетом, должны быть доведены до руководства организацией, чтобы обеспечить его поддержку.
Все пользователи, администраторы и руководители подразделений, имеющие доступ к Интернету, должны пройти начальный инструктаж в области безопасности и периодически проходить его снова. Обучение опытных пользователей должно быть, в основном, сосредоточено на вопросе допустимого использования Интернета. Например, почему организация приняла решение запретить прием определенных групп новостей USENET. Почему личные письма, в заголовке которых указан почтовый домен организации, отражаются на репутации, независимо от того, использовалась фраза о том, что точка зрения, выраженная в письме - это личное мнение или нет. Некоторые пользователи, окончившие университет, могут испытать шок при доведении до них таких требований. Должен быть сделан упор на ролях и их ответственности, помимо технических проблем безопасности. Технических специалистов надо обучать их обязанностям при реализации технических сторон политики на их системах и сетях, как это описано в пункте 5.6.1.
Пользователи, которые уже что-то знают, должны обучаться способам использования Интернета. Они могут быть достаточно хорошо знакомы с BBS, и должны быть проинформированы, что их письма будут теперь распространяться по всему миру, а не только в США или среди небольшой группы пользователей. Эти пользователи должны быть осмотрительны - перед тем, как написать письмо, следует сначала посмотреть, о чем пишут в данной группе новостей. Они не должны загружать программы или подписываться на информацию, пока не будут понимать последствий своих поступков - они могут подвергнуть организацию риску. А других пользователей, которые более продвинуты, чем остальные, надо учить, как стать более опытным пользователем Интернета, помимо обучения допустимому использованию Интернета, ответственности при работе в нем и технических вопросов безопасности.
Неграмотным же пользователям требуется объяснять все. Они должны узнать, что такое Интернет, какие виды сервисов он предоставляет, кто является его пользователями, и как установить с ним соединение. Они должны узнать о группах новостей и списках рассылки в Интернете, поисковых системах и этике в Интернете. Кроме того, они должны узнать все то, что изучают более грамотные пользователи.
Основные типы политики
1.5. Основные типы политики
Термин Политика компьютерной безопасности имеет различное содержание для различных людей. Это может быть директива одного из руководителей организации по организации программы компьютерной безопасности., устанавливающая ее цели и назначающая ответственных за ее выполнение. Или это может быть решение начальника отдела в отношении безопасности электронной почты или факсов. Или это могут быть правила обеспечения безопасности для конкретной системы (это такие типы политик, про которые эксперты в компьютерной безопасности говорят, что они реализуются программно-аппаратными средствами и организационными мерами). В этом документе под политикой компьютерной безопасности будем понимать документ, в котором описаны решения в отношении безопасности. Под это определение подпадают все типы политики, описанные ниже.
При принятии решений администраторы сталкиваются с проблемой совершения выбора на основе учета принципов деятельности организации, соотношения важности целей, и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.
Необходимым элементом политики является принятие решения в отношении данного вопроса. Оно задаст направление деятельности организации. Для того чтобы политика была успешной, важно, чтобы было обоснованно выбрано одно направление из нескольких возможных.
Основы email
Основы e-mail
Основными почтовыми протоколами в Интернете (не считая частных протоколов, шлюзуемых или туннелируемых через Интернет) являются SMTP (Simple Mail Transport Protocol), POP (Post Office Protocol) и IMAP (Internet Mail Access Protocol).