Основы и цель

6.1. Основы и цель

Многие организации присоединили или хотят присоединить свои локальные сети к Интернету, чтобы их пользователи имели легкий доступ к сервисам Интернета. Так как Интернет в целом не является безопасным, машины в этих ЛВС уязвимы к неавторизованному использованию и внешним атакам. Брандмауэр - это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Брандмауэр - это не одна компнента, а стратегия защиты ресурсов организации, доступных из Интернета. Брандмауэр выполняет роль стражи между небезопасным Интернетом и более надежными внутренними сетями.

Основная функция брандмауэра - централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход брандмауэра, его эффективность близка к нулю. Например, если менеджер, находящийся в командировке, имеет модем, присоединенный к его ПЭВМ в офисе, то он может дозвониться до своего компьютера из командировки, а так как эта ПЭВМ также находится во внутренней защищенной сети, то атакующий, имеющий возможность установить коммутируемое соединение с этой ПЭВМ, может обойти защиту брандмауэра. Если пользователь имеет подключение к Интернету у какого-нибудь провайдера Интернета, и часто соединяется с Интернетом со своей рабочей машины с помощью модема, то он или она устанавливают небезопасное соединение с Интернетом, в обход защиты брандмауэра.

Брандмауэры часто могут быть использованы для защиты сегментов интранета организации, но этот документ в-основном будет описывать проблемы, связанные с Интернетом. Более подробная информация о брандмауэрах содержится в " NIST Special Publication 800-10 "Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls.""

Брандмауэры обеспечивают несколько типов защиты:

Они могут блокировать нежелательный трафик Они могут направлять входной трафик только к надежным внутренним системам Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом. Они могут протоколировать трафик в и из внутренней сети Они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.

Каждая из этих функций будет описана далее.

Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. Прозрачность - это видимость брандмауэра как внутренним пользователям, так и внешним, осуществляющим взаимодействие через брандмауэр. Брандмауэр прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно брандмауэры конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу за брандмауэр); и с другой стороны брандмауэр конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.

Основы Интернета

1.3. Основы Интернета

Интернет - это всемирная "сеть сетей", которая использует для взаимодействия стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol). Интернет был создан для облегчения взаимодействия между организациями, выполняющими правительственные заказы. В 80-е годы к нему подключились учебные заведения, правительственные агентства, коммерческие фирмы и международные организации. В 90-е годы Интернет переживает феноменальный рост. Сейчас к Интернету присоединены миллионы пользователей, приблизительно половина из которых - коммерческие пользователи. Сейчас Интернет используется как основа Национальной Информационной Инфраструктуры США(NII).

Отображение имен в адреса с помощью DNS

6.10. Отображение имен в адреса с помощью DNS

В Интернете доменная служба имен обеспечивает средства для отображения между доменными именами и IP-адресами, например отображает имя server1.acme.com в адрес 123.45.67.8. Некоторые брандмауэры могут быть сконфигурированы так, что будут являться еще и основным, вторичным или кэширующим DNS-серверами.

Принятие решения относительно администрирования DNS-сервиса вообще-то не относится к области безопасности. Многие организации используют услуги третьей организации, такой как провайдер Интернета, для администрирования своей DNS. В этом случае брандмауэр может быть использован как кэширующий сервер DNS для улучшения производительности, при этом вашей организации не надо будет самой поддерживать базу данных DNS.

Если организация решила иметь свою базу данных DNS, брандмауэр может функционировать еще и как DNS-сервер. Если брандмауэр должен быть сконфигурирован как DNS-сервер (основной, вторичный, кэширующий), необходимо, чтобы также были предприняты другие меры безопасности. Одним из преимуществ использования брандмауэра еще и как DNS-сервера является то, что он может быть сконфигурирован так, что будет скрывать информацию о внутренних хостах сайта. Другими словами, когда брандмауэр выступает в роли DNS-сервера, внутренние хосты получают полную информацию о внутренних и внешних данных DNS. А внешние хосты, с другой стороны, не имеют доступа к информации о внутренних машинах. Для внешнего мира все соединения с любым хостом внутренней сети кажутся исходящими от брандмауэра. Если информация о хостах скрыта от доступа извне, атакующий не будет знать имен хостов и внутренних адресов, предоставляющих те или иные сервисы Интернету.

Политика безопасности для скрытия DNS-информации может иметь следующий вид:

Если брандмауэр должен работать как DNS-сервер, то он должен быть сконфигурирован так, чтобы скрывать информацию о сети, чтобы данные о внутренних хостах не предоставлялись внешнему миру.

Переносные компьютеры

4.4. Переносные компьютеры

В последние годы их использование значительно возросло из-за падения цен на них, уменьшения веса и размера. Рыночные исследования фирмы International Data Corporation показали, что в 1995 году одна четверть компьютеров были компьютерами-лаптопами. Большинство лаптопов, используемых коммерческими и государственными организациями, имеют высокоскоростные модемы, диски емкостью от 500Мб и выше. На них запускается большое число коммуникационных программ. Все чаще для использования их на рабочем месте применяются порты-расширители. Менее часто используется перенос дисковых накопителей на основе PCMCIA-карт между переносным компьютером и настольным компьютером в офисе.

Портативные компьютеры используются для решения коммерческих задач и часто с их помощью осуществляется удаленный доступ к корпоративным сетям. Хотя механизмы, используемые при соединении, те же самые, что и описанные выше (коммутируемый доступ, telnet и т.д.), использование переносных компьютеров приводит к появлению новых уязвимых мест.

Местоположение удаленного компьютера может часто меняться, может быть каждый день. Модемы с обратным дозвоном обычно бесполезны в такой ситуации. Удаленный компьютер часто используется в общественных местах, таких как самолеты и аэропорты. С помощью подглядывания из-за плеча могут быть раскрыты данные и пароли. Удаленный компьютер часто оставляется без присмотра в относительно небезопасных местах, таких как номер в отеле или арендованный автомобиль. Данные, хранимые на диске, уязвимы к копированию или неавторизованному чтению. Удаленные компьютеры часто теряются или крадутся в ходе командировок сотрудников, что приводит к компрометации всей информации. Служащие часто не хотят сразу сообщать о потере, что делает вполне возможным удаленный доступ злоумышленника. Некоторые большие организации (в которых используется более 4000 переносных компьютеров) теряют в среднем один портативный компьютер в неделю. Переносные компьютеры используют внутренние модемы для коммутируемого доступа, причем та же PCMCIA-карта (вернее встроенный в нее интерфейс с ЛВС) используется для доступа к сети организации, когда лаптоп находится в офисе. Если на работе имеется доступ к телефону, то встроенный модем может использоваться для организации коммутируемых входящих и выходящих соединений с BBS или провайдером Интернета.

Пользователи переносных компьютеров все чаще являются также пользователями сотовых телефонов, и ведут по нему разговоры, в которых раскрывается важная информация, связанная с безопасностью. Разговор по сотовому телефону уязвим к перехвату его криминальными элементами, конкурентами или журналистами. Использование сотовых или других форм радиомодемов для передачи данных увеличивает уровень уязвимости.

Пересмотр политики безопасности для брандмауэра

6.17. Пересмотр политики безопасности для брандмауэра

Из-за постоянного появления новых технологий и тенденции организаций вводить новые сервисы, политика безопасности для брандмауэра должна регулярно пересматриваться. Если сеть изменилась, это надо делать обязательно.

Поиск информации в Интернете с помощью браузера

7.1. Поиск информации в Интернете с помощью браузера

Существует ряд рисков, связанных с использованием WWW-браузеров для поиска и получения информации из Интернета. Программы веб-браузеров являются очень сложными и станут еще сложнее. Чем более сложна программа, тем менее она безопасна. Ошибки в ней могут использоваться для сетевых атак.

Политика использования Интернета низкий риск

Политика использования Интернета - низкий риск

Интернет считается важной ценностью организации. Пользователям рекомендуется использовать Интернет и учиться делать это профессионально. С помощью такого открытого доступа сотрудники должны лучше выполнять свои обязанности.

Сотрудники не должны использовать Интернет для своих личных целей, и не должны посещать вредные и порнографические сайты, а также не должны получать доступ или использовать информацию, которая считается оскорбительной. Деятельность сотрудников, нарушающих это, будет контролироваться и они будут наказаны, вплоть до уголовного наказания.

Доступ к Интернету с компьютера, принадлежащего организации или через соединение, принадлежащее организации, должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.

Пользователи, посылающие письма в группы новостей USENET и списки рассылки, должны включать пункт о том, что это их личное мнение, в каждое сообщение.

Невозможно составить список всех возможных видов неавторизованного использования, поэтому дисциплинарные наказания применяются только после того, как другие способы исчерпали себя. Примерами неприемлемого использования, которое приводит к наказаниям, являются :

неавторизованные попытки получить доступ к компьютеру использование рабочего времени и ресурсов организации для личной выгоды кража или копирование файлов без разрешения посылка конфиденциальных файлов организации во внешние компьютеры или в другие внутренние компьютеры неавторизованными на это людьми отказ помогать сотрудникам отдела информационной безопасности посылка писем-пирамид по электронной почте

Политика использования Интернета средний риск

Политика использования Интернета - средний риск

Компьютеры и сети организации могут использоваться только для выполнения служебных обязанностей. Допускается редкое их использование в личных целях. Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры .

Другой подход может быть таким:

Сетевое оборудование организации, включая сервера, доступные из Интернета, а также подключенные к ним компьютеры и установленные на них программы могут использоваться только для разрешенных целей. Начальники подразделений могут разрешить иногда иной доступ, если он не мешает выполнять служебные обязанности, не является слишком продолжительным и частым, служит интересам организации, таким как повышение квалификации ее сотрудников, и не приводит к дополнительным расходам для организации.

Письма пользователей в группы новостей USENET, списки рассылки и т.д. должны включать строку о том, что точка зрения выраженная в письме - личная точка зрения, а не точка зрения организации.

Личные бюджеты пользователей онлайновых сервисов не должны использоваться с компьютеров организации. Для получения доступа к платным сервисам с компьютера организации, она должна предварительно осуществить подписку на них и заплатить за это деньги.

Пользователям выдаются пароли для работы на компьютерах организации, чтобы защитить критическую информацию и сообщения от неавторизованного использования или просмотра. Такие пароли не защищают от просмотра информации руководством организации. Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей.

Начальники подразделений отвечают за обеспечение гарантий того, что их подчиненные понимают политику допустимого использования Интернета.

Доступ к Интернету с домашнего компьютера должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.

Политика использования Интернета высокий риск

Политика использования Интернета - высокий риск

Организация полностью соединена с Интернетом и другими сетями. В целом, пользователи имеют неограниченный доступ к сети. Но доступ из Интернета или других сетей к ресурсам организации разрешен только тогда, когда это требуется для выполнения служебных обязанностей.

Для личного использования Интернета сотрудниками имеется отдельный сервер доступа. Этот сервис должен использоваться только для отдельных сотрудников с обоснованием доступа к нему. С его помощью можно получать доступ только с тем сайтам, которые одобрены организацией.

Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры .

Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей

Политика обнаружения атаки низкий риск

Политика обнаружения атаки - низкий риск

Программно-аппаратные средства:

Функции протоколирования в операционных системах и приложениях должны быть включены на всех хостах и серверах.

Функции подачи сигналов тревоги, а также протоколирование, должны быть включены на всех брандмауэрах и других средствах управления доступом периметра безопасности.

Организационные меры:

Должны выполняться периодические проверки целостности брандмауэров и других систем управления доступом периметра безопасности.

Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности.

Должен производиться еженедельный анализ системных журналов хостов и серверов во внутренней, защищенной сети.

Пользователи должны быть обучены сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.

Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет, не является ли эта проблема признаком атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.

Политика обнаружения атаки средний риск

Политика обнаружения атаки -средний риск

Программно-аппаратные средства:

На всех хостах и серверах должны быть включены функции протоколирования.

Все критические сервера должны иметь дополнительные средства наблюдения за работой пользователей

На всех важных серверах должны быть установлены дополнительные средства наблюдения, такие как tripwire, и соответствующие средства управления доступом к сервисам, а также дополнительные средства протоколирования, обеспечиваемые операционной системой. Таким образом должны быть защищены сервера DNS, сервера аутентификации, сервера безопасности для Unix, контроллеры домена и сервера Exchange для среды Windows NT, и любые сервера приложений, которые считаются важными для решения задач организации.

Организационные меры:

Пользователи должны пройти курс обучения и быть обучены сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.

Должны периодически запускаться средства обнаружения атаки на хост, такие как tripwire.

Сотрудники отдела информационной безопасности или ответственные за нее должны установить контакты с организациями, занимающимися расследованием происшествий с компьютерной безопасностью, а также FIRST (смотрите ww.first.org) и обмениваться информацией об угрозах, уязвимых местах и происшествиях.

Если критические системы не были скомпрометированы, организация должна сначала попытаться выследить злоумышленника, а потом устранить последствия атаки. (ФИО сотрудника) отвечает за принятие решения о том, какие действия будут приниматься для устранения уязвимых мест или попыток получить дополнительную информацию о злоумышленнике. Этот человек должен иметь образование, позволяющее решать юридические проблемы, возникающие в связи с происшествием.

Политика обнаружения атаки высокий риск

Политика обнаружения атаки - высокий риск

Программно-аппаратные средства:

На всех хостах и серверах должны быть включены функции протоколирования.

На всех серверах должны быть установлены дополнительные средства наблюдения, такие как tripwire, и соответствующие средства управления доступом к сервисам, а также дополнительные средства протоколирования, обеспечиваемые операционной системой.

На всех критических серверах должны быть установлены дополнительные средства обнаружения атак, которые работают по принципам, отличным от тех, которые используются основными средствами этого рода, установленными на всех серверах. Например, если основным средством обнаружения атаки является tripwire, которое использует сравнение контрольных сумм для проверки целостности системы, то на важных серверах должны быть установлены экспертные системы, использующие статистические аномалии для выявления атаки.

Во всех местах сети, в которых происходит концентраций трафика, должны быть установлены средства обнаружения атак, следящие за появлением в трафике признаков атак, соответствующим признакам, имевшим место при известных атаках.

Организационные меры:

Должен производиться ежедневный анализ системных журналов хостов и серверов во внутренней, защищенной сети.

На всех хостах должны ежедневно запускаться средства обнаружения атаки на хост, такие как tripwire.

Системы анализа трафика для обнаружения вторжения должны периодически проверяться на предмет правильности работы и корректной конфигурации.

Сотрудники отдела информационной безопасности или ответственные за нее должны установить контакты с организациями, занимающимися расследованием происшествий с компьютерной безопасностью, а также FIRST (смотрите www.first.org) и обмениваться информацией об угрозах, уязвимых местах и происшествиях.

Организация должна попытаться возбудить уголовное дело против злоумышленника, но не должна оставлять незаделанными уязвимые места, чтобы получить больше информации о злоумышленнике.

Постоянная доступность для взаимодействия

4.12. Постоянная доступность для взаимодействия

По мере того, как Интернет становится более важным для выполнения повседневной деловой деятельности, к средствам обеспечения безопасности соединения с Интернетом все чаще предъявляются требования непрерывности работы. Эти требования часто оказывают большое влияние на политику безопасности, требуя компромиссных решений между стоимостью дублирующих комплектов и стоимостью временной работы без средств обеспечения безопасности.

Простым примером является брандмауэр. Брандмауэр может оказаться критическим местом - если он выйдет из строя, все связь с Интернетом может оказаться невозможной на время устранения аварии. Если временная потеря связи с Интернетом не оказывает большого влияния на деятельность организации, политика может просто определять, что работа с Интернетом прекращается до тех пор, пока не будет восстановлен брандмауэр. Для организаций с низким уровнем риска политика может позволять отключать брандмауэр и работать с Интернетом без него на время аварии. Тем не менее, если связь с Интернетом важна, или организация имеет высокий уровень риска, политика может требовать использования брандмауэра с горячим или холодным резервом. Задачи организации определяют, какое решение будет принято.

Для очень больших организаций производительность может также диктовать использование нескольких средств безопасности, таких как брандмауэры и сервера аутентификации. Например, организации, обеспечивающей деятельность нескольких тысяч внешних пользователей в Интернете, может потребоваться несколько соединений с Интернетом класса T1, что в свою очередь потребует использования нескольких брандмауэров. Организации с несколькими тысячами внутренних пользователей, имеющих тенденцию соединяться с системой в одно и то же время (утром, вечером и т.д.) может потребоваться несколько серверов аутентификации для того, чтобы время подключения было в допустимых пределах.

Основными способами удовлетворения требований постоянной доступности являются:

Планирование ресурсов. Замечен интересный феномен - как только брандмауэр установлен, пользователи начинают жаловаться, что соединение с Интернетом стало медленнее. Правильно выбранные средства безопасности, такие как брандмауэр, обычно не являются самым узким местом в системе. Но важно детальное планирование выделения ресурсов, так как средства безопасности, сильно уменьшающие производительность работы, будут быстро отключаться. Данные из спецификаций брандмауэров должны делиться пополам при моделировании нужной производительности, а производительность критических средств обеспечения безопасности должна проверяться и настраиваться в тестовой сети. Избыточность - для всех организаций, кроме тех, что имеют низкий уровень риска, необходим резервный брандмауэр в горячем резерве. Аналогично, использование серверов аутентификации или серверов безопасного удаленного доступа обычно требует наличия возможности быстро переключаться на резервный сервер. Синхронизация - вот главный вопрос при использовании резервных серверов безопасности - все обновления, резервные копии и модификации должны производиться на обоих системах. Восстановление - когда вышедший из строя блок восстановлен и принесен назад, должен осуществляться тщательный контроль его конфигурации. Должна быть проанализирована конфигурация программ и оборудования, чтобы гарантировать, что работают все необходимые продукты, их версии актуальны, и к ним применены все модификации и исправления, и что не добавлены или включены ненужные сервисы в ходе восстановления. Любые отладочные возможности, использовавшиеся для тестирования, должны быть удалены или отключены.

Потенциальные проблемы с электронной почтой

8.3. Потенциальные проблемы с электронной почтой

которые содержат ссылки на программы,

A.noneline { font-family: Arial, Serif; text-decoration: none; } FONT.arial { font-family: Arial, Serif; } TD.arial { font-family: Arial, Serif; } TH.arial { font-family: Arial, Serif; } PRE { font-family: Monospace; color: navy; } SAMP { font-family: Monospace; color: navy; } TT { font-family: Monospace; color: navy; } VAR { font-family: Monospace; color: navy; }

Приложение 2. Глоссарий

Активное содержимое WWW-страницы, которые содержат ссылки на программы, которые загружаются и выполняются автоматические WWW-браузерами.

ActiveX Программные компоненты, которые могут быть автоматически загружены вместе с WWW-страницей и выполнения браузером Microsoft, Inc. - Internet Explorer.

Апплеты Небольшие приложения, написанные на различных языках программирования, которые автоматически загружаются и выполняются WWW-браузерами, поддерживающими апплеты

Браузер Клиентская программа для работы в WWW

Брандмауэр Метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами.

FTP Протокол передачи файлов. Используется для передачи файлов по сети.

Gopher Протокол, разработанный для того, чтобы позволить пользователю передавать текстовые и двоичные файлы между компьютерами в сети.

HTML Язык гипертекстовой разметки документов. Используется для создания Web-страниц.

HTTP Протокол передачи гипертекста. Базовый протокол WWW, использующийся для передачи гипертекстовых документов.

Java Новый язык программирования, разработанный Sun Microsystems, Inc. Он может использоваться как обычный язык программирования для разработки сетевых приложений. Кроме того, он используется для написания небольших приложений, называемых апплетами. Среда для выполнения Java-апплетов должна быть безопасной, то есть апплет не должен иметь возможности модифицировать что-либо вне WWW-браузера.

Пакеты-убийцы Метод вывода из строя системы путем посылки ей Ethernet- или IP-пакетов, которые используют ошибки в сетевых программах для аварийного завершения работы системы.

Почтовые бомбы Блокирование сайта путем вывода из строя почтового сервера посылкой огромного числа писем. Используется для предотвращения получения сайтом писем в ходе атаки или для мести.

Новости (news) Протокол передачи сетевых новостей(NNTP) для распространения новостей в Usenet . Usenet - это система асинхронного обсуждения текстов по различным тематикам, называемым группами новостей (newsgroups).

Плагин (Plug-in) Набор динамически подключаемых библиотек, используемых для увеличения функциональных возможностей основной программы, такой как WWW-браузер. Они обычно используются для того, чтобы позволить WWW-браузеру отображать и обрабатывать данные в различных форматах, или чтобы добавить новые возможности отображения стандартных форматов.

Подглядывание из-за плеча Кража паролей или PIN-кодов путем наблюдения за их набором на клавиатуре.

Социальная инженерия Обход системы безопасности информационной системы с помощью нетехнических мер(обмана и т.д.).

Спамминг (spamming) Посылка большого числа одинаковых сообщений в различные группы UNENET. Часто используется для организации дешевой рекламной компании, пирамид или просто для надоедания людям.

Фальсификация (spoofing) Использование различных технологий для обхода систем управления доступом на основе IP-адресов с помощью маскирования под другую систему, используя ее IP-адрес.

SSL Протокол безопасной передачи данных, разработанный Netscape Communications, Inc. Этот протокол использует межконцевое шифрование трафика на прикладном уровне.

SYN-переполнение Метод вывода системы из строя путем посылки ей такого числа SYN-пакетов, которое не может обработать сетевой драйвер. Смотрите пакеты-убийцы.

Telnet Протокол, используемый для терминального (возможно удаленного) подключения к хосту.

USENET Система обсуждения новостей на основе электронной почты, вначале разработанная для коммутируемых соединений, а сейчас использующая TCP/IP.

Вирус Небольшая программа, которая вставляет саму себя в другие программы при выполнении.

Червь Программа, которая копирует себя с одной системы на другую по сети.

Назад | Содержание раздела

Примеры политик

6.19. Примеры политик

Все организации должны использовать как минимум политику для уровня с низким риском. Для среднего риска надо добавить части с пометкой "Средний риск", а для высокого - части с пометкой "Высокий риск" и "Средний риск".

Примеры политик безопасности для электронной почты

8.8. Примеры политик безопасности для электронной почты

Примеры политик для поиска информации

7.2. Примеры политик для поиска информации

Примеры политик вебсерверов

7.4. Примеры политик веб-серверов

Примеры специфических политик для отдельных сервисов

6.20. Примеры специфических политик для отдельных сервисов

Соединение с Интернетом делает доступными для внутренних пользователей разнообразные сервисы, а для внешних пользователей - большое число машин в организации. Должна быть написана политика (на основе анализа и учета вида деятельности организации и задач, стоящих перед ней), которая четко и ясно определяет, какие сервисы разрешено использовать, а какие - запрещено, как для внутренних, так и для внешних пользователей.

Имеется большое число Интернетовских сервисов. В 4 главе описывались самые популярные сервисы, такие как FTP, telnet, HTTP и т.д. Другие популярные сервисы кратко описаны здесь.

r-команды BSD Unix, такие как rsh, rlogin, rcp и т.д., предназначены для выполнения команд пользователями Unix-систем на удаленных ситсемах. Большинство их реализаций не поддерживают аутентификации или шифрования и являются очень опасными при их использовании через Интернет.

Протокол почтового отделения (POP) - это протокол клиент-сервер для получения электронной почты с сервера. POP использует TCP и поддерживает одноразовые пароли для аутентификации (APOP). POP не поддерживает шифрования - читаемые письма можно перехватить.

Протокол чтения сетевых новостей (NNTP) использует TCP и является протоколом с многоэтапной передачей информации. Хотя NNTP относительно прост, недавно имел место ряд атак на распространенные программы NNTP. NNTP-сервера не должны работать на той же машине, что и брандмауэр. Вместо этого надо использовать имеющиеся стандартные прокси-сервисы для NNTP.

Finger и whois выполняют похожие функции. Finger используется для получения информации о пользователях системы. Часто он дает больше информации, чем это необходимо - в большинстве организаций finger должен быть отключен или его использование должно быть ограничено с помощью брандмауэра. Whois очень похож на него и должен быть также отключен или ограничен.

Протоколы удаленной печати в Unix lp и lpr позволяют хостам печатать, используя принтеры, присоединенные к другим хостам. Lpr - это протокол с использованием очереди запросов на печать, а lp использует rsh для этого. Обычно их обоих стоит отключить с помощью брандмауэра, если только его производитель не сделал прокси-сервера для них.

Сетевая файловая система (NFS) позволяет делать дисковые накопители доступными для пользователей и систем в сети. NFS использует очень слабую форму аутентификации и считается небезопасным при использовании его в недоверенных сетях. NFS должен быть запрещен с помощью брандмауэра.

Живое аудио (real audio) позволяет получать оцифрованный звук по сетям TCP/IP. Кроме него был разработан еще ряд сервисов для использования мультимедийных возможностей WWW.

Какие сервисы надо разрешать, а какие - запрещать, зависит от потребностей организации. Примеры политик безопасности для некоторых сервисов, которые могут потребоваться в типовой организации, приведены в таблице 5.2

Состояние(Да/Нет) = могут ли пользователи использовать этот сервис Аутентификация (Да/Нет) = выполняется ли аутентификация перед началом использования сервиса

Публикация информации

4.6. Публикация информации

Интернет серьезно упрощает задачу предоставления информации гражданам общества, клиентам организации и деловым партнерам - по крайней мере тем, кто имеет компьютер, подключенный к Интернету. Сегодня в США около 35 процентов домов имеют персональные компьютеры, и только половина из них подключена к Интернету. Наверное только через несколько лет электронная публикация сможет догнать публикацию в газетах и журналах.

Тем не менее, любое использование средств электронной публикации информации, которое уменьшает число запросов информации по телефону или по почте, может помочь организации сократить расходы на эту статью и принести дополнительные прибыли. Существуют два вида публикации информации - принудительная и по инициативе читателя. Подписка на журналы - пример принудительной публикации - информация регулярно посылается подписчикам. Газетные киоски - пример публикации по инициативе читателя - читатели должны захотеть получить информацию.

Электронный эквивалент принудительной публикации - создание списка рассылки, в котором информация посылается всем, подписанным на этот список. Обычно для посылки сообщений в список рассылки, а также для включения в список рассылки или удаления из него используется специальная программа - сервер списка рассылки. Сервера списков рассылки относительно безопасны в том отношении, что пользователям не нужно иметь соединение с сетью организации, публикующей информацию, для получения информации. Тем не менее, они имеют несколько уязвимых мест:

Программа-сервер рассылки обрабатывает данные от пользователей для включения их в список, для удаления из их списка, или получения информации о самом списке. Существует много бесплатных программ-серверов рассылки, и ряд из них не проверяет до конца введенные пользователем данные. Злоумышленники могут послать команды Unix или очень большие строки для того, чтобы вызвать непредусмотренные режимы работы или совершить проникновение путем переполнения буфера. При неправильном конфигурировании сервер рассылки может сделать видимым список подписчиков для каждого подписчика. Это может дать информацию для проведения в дальнейшем атаки "отказ в обслуживании" или "социальная инженерия"

Существует два электронных эквивалента публикации по инициативе читателя, используемых в Интернете, - FTP-серверы и WWW-серверы. Оба они успешно заменили электронные доски объявлений(BBS), хотя ряд BBS все еще используются в правительственных учреждениях США.

Для предоставления FTP-сервиса в Интернете, практически все, что нужно - это компьютер и подключение к Интернету. FTP-сервера могут быть установлены на любой компьютер, работающий под управлением Unix, а также на многие, работающие под управлением Microsoft Windows. Имеется много коммерческих и бесплатных версий программ для FTP, часто как часть стека TCP/IP, обеспечивающего драйверы для подключения к сервисам Интернет. Они могут позволять осуществлять полностью анонимный доступ, где не требуются пароли, или они могут сконфигурированы так, что будут требовать для получения доступа к сервису пары имя-пароль. FTP-сервера обеспечивают простой интерфейс, напоминающий стандартный интерфейс Unix для работы с файлами. Пользователи могут получить файлы, а затем просмотреть их или выполнить, если у них есть соответствующие программы.

Если FTP-сервер неправильно сконфигурирован, он может предоставлять к ЛЮБОМУ файлу на компьютере-сервере, или даже в сети, присоединенной к этому компьютеру. FTP-сервера должны ограничивать доступ отдельным деревом поддиректорий, и требовать имя и пароль при необходимости.

Если вы не жили на необитаемом острове последние несколько лет, вы наверное знаете о колоссальном росте Всемирной паутины (WWW). Веб-сервера предоставляют дешевый способ публикации информации, содержащей текст, встроенные рисунки, или даже аудио и видео. Использование стандартов Гипертекстового Языка Разметки Документов (HTML) и Протокола передачи гипертекстовой информации(HTTP) позволяет пользователям легко копировать и просматривать Web-документы, несмотря на большое разнообразие клиентских платформ .

Хотя разработка профессионального веб-сайта сложна и дорога, любой компьютер, подключенный к Интернету, может выступить в роли веб-сервера. Имеется большое число как коммерческих, так и бесплатных программ WWW-сервера для различных операционных систем. Многие последние версии операционных систем включают программ, необходимые для организации веб-сервера, а также полезные программы-мастера, позволяющие автоматизировать установку и конфигурирование.

Как и FTP-сервера, WWW-сервера могут приводить к появлению серьезных уязвимых мест в корпоративных сетях при неправильной конфигурации. Смотрите раздел WWW для более подробной информации о политике безопасности для WWW- и FTP-серверов.

Разработка пользовательского интерфейса

4.15. Разработка пользовательского интерфейса

Разработка пользовательского интерфейса для средств обеспечения безопасности в Интернете должна быть согласована с интерфейсом других приложений, которые регулярно используются пользователями. Когда средства безопасности приобретаются, или встроены в приобретаемые приложения, пользовательский интерфейс находится вне зоны контроля организации. Но для средств, разработанных в организации, важно, чтобы интерфейс был удобен для пользователя, а не для сотрудника службы безопасности.

Шифрование

5.3. Шифрование

Шифрование - это основное средство, обеспечивающее конфиденциальность информации, посылаемой по Интернету. Шифрование может использоваться для защиты любого трафика, такого как электронные письма или загружаемые файлы. Кроме того, шифрование может защитить информацию при ее хранении, например в базах данных, находящихся на компьютере, физическую безопасность которого нельзя обеспечить (например, на ноутбуке сотрудника в командировке).

При использовании шифрования возникает ряд административных проблем:

Правительство США сейчас наложило ограничения на экспорт сильных криптографических алгоритмов, которыми сейчас считаются системы шифрования с ключом длиннее 40 бит, не позволяющие восстановить ключ. Внутри США нет ограничений на использование шифрования. Но для использования его в зарубежных странах или в сетях, часть которых находится за границей, нужно получить разрешение на экспорт. Кроме того, некоторые страны, такие как Франция и Китай, имеют свои собственные ограничения на использование шифрования. Поэтому в каждом случае надо тщательно разбираться, не будут ли нарушены законы другой страны.

Способность руководства организации контролировать внутренние каналы связи или аудировать свои компьютерные системы зависит от использования шифрования. Если служащий шифрует посылаемое электронное письмо, или жесткий диск на своем компьютере, то системные администраторы не смогут произвести аудит таких сообщений и файлов. Кроме того, при потере ключей для расшифровки, данные могут быть потеряны навсегда. Если вашей организации требуется подобный контроль или гарантии восстановления данных, то политика должна требовать в обязательном порядке использования систем шифрования, поддерживающих восстановление ключей.

Существует большое число алгоритмов шифрования и стандартов длин ключей. Политика должна требовать использования алгоритмов, которые уже достаточно долго используются и доказали на практике, что они обеспечивают безопасность данных. Длина ключей шифрования должна определяться на основе важности шифруемых данных. Как правило, в настоящее время ключи короче, чем 40 бит, могут использоваться только в корпоративной сети за брандмауэром. В Интернете ведущие криптографы рекомендуют использовать ключи с длиной не менее 75 бит - но лучше длиной 90 бит. DES использует 56 бит, которые будут приемлемы только на год-два. NIST разрабатывает новый стандарт усиленного шифрования. Пока же рекомендуется тройной DES, имеющий эффективную длину ключа 112 бит.

Руководство по компьютерной безопасности NIST содержит более подробную информацию о шифровании и криптографии.

Система общего назначения

3.5. Система общего назначения

Система общего назначения - это "взаимосвязанный набор информационных ресурсов, которые находятся под единым административным управлением, позволяющих решать общие(неспецифические) задачи или обеспечивать их выполнение". Обычно задачей систем общего назначения является обеспечение обработки или взаимодействия между приложениями. Системы общего назначения включают в себя компьютеры, сети и программы, которые обеспечивают работу большого числа приложений, и обычно администрируются и сопровождаются отделом автоматизации в организации.

Политика безопасности для систем общего назначения как правило применима и для Интернета, так как сервера, коммуникационные программы и шлюзы, обеспечивающие связь с Интернетом, обычно находятся под единым управлением.

Системные журналы (сообщения о событиях и итоговые отчеты)

6.18. Системные журналы (сообщения о событиях и итоговые отчеты)

Большинство брандмауэров предоставляют большие возможности по протоколированию трафика и сетевых событий. Некоторыми из событий, имеющих отношение к безопасности, которые должны фиксироваться в журналах брандмауэра, являются: аппаратные и дисковые ошибки, подключения и отключения пользователей, продолжительности соединений, использование привилегий администратора, входящий и выходящий почтовый трафик, попытки установления TCP-соединений, типы входящего и выходящего трафика прокси-серверов.

Сотрудник отдела автоматизации

h2>Таблица 6.3 Обобщенная политика безопасности >

Политика	Авторизованный FTP-сервис	Анонимный FTP-сервис
Поместить сервер снаружи брандмауэра	Нет	Да
Поместить сервер в служебную сеть, не содержащую критических данных	Нет	Да
Поместить сервер в защищенную сеть	Да	Нет
Поместить сервер на брандмауэр	Нет	Нет
Сервис будет доступен с любой машины в Интернете	Нет	Да

Списки рассылки

1.4 Списки рассылки

Брандмауэры
Адрес регистрации: пошлите письмо majordomo@greatcircle.com, содеражщее строку "subscribe firewalls user@host". Этот список модерируется Брентом Чапменом, президентом Great Circle Associates.

Bugtraq
Для включения в список пошлите письмо по адресу LISTSERV@NETSPACE.ORG и в теле сообщения (не в строке темы письма) напишите:"SUBSCRIBE BUGTRAQ". Это список по безопасности, в котором обсуждаются все технические подробности уязвимых мест и ведется Aleph1@underground.org.

Рекомендации CERT
Адрес для регистрации: cert-advisory-request@cert.org

Средства CERT
Адрес отражателя: cert-tools@cert.org
Адрес для регистрации: cert-tools-request@cert.org

Alert
Адрес отражателя: alert@iss.net
Адрес регистрации: request-alert@iss.net
Этот список модерируется Кристофером Клаусом, президентом Internet Security Systems, Inc

Best of Security
Для включения в список пошлите письмо по адресу best-of-security-request@suburbia.net и укажите в теле сообщения "subscribe best-of-security". Этот список модерируется Юлианом Ассанджем.

Средний риск

Доступ к информации класса ХХХ и ее обработка из Интернета (при ее несанкционированной модификации, раскрытии или уничтожении имеет место небольшой ущерб) требует использования паролей, а доступ ко всем остальным видам ресурсов требует использования устойчивой аутентификации.

Доступ в режиме telnet к корпоративным ресурсам из Интернета требует использования устойчивой аутентификации.

Средний риск

Политика контроля за импортом программ для Среды со средним риском должна требовать более частых проверок на вирусы, и использования антивирусных программ для проверки серверов и электронной почты.

Предотвращение:

Программы должны загружаться и устанавливаться только сетевым администратором (который проверяет их на вирусы или тестирует).

На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на файловых серверах на вирусы. Рабочие станции должны иметь резидентные в памяти антивирусные программы, сконфигуированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Все приходящие электронные письма должны проверяться на вирусы. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения их проверки на вирусы.

Программа обучения сотрудников компьютерной безопасности должна содержать следующую информацию о риске заражения вирусами:

Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены раньше. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно обновляться (ежемесячно или ежеквартально) для того, чтобы можно было обнаружить самые новые вирусы. Важно сообщать системному администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.

Обнаружение:

Должны использоваться коммерческие антивирусные программы для ежедневных проверок на вирусы. Антивирусные программы должны обновляться каждый месяц. Все программы или данные, импортируемые в компьютер (с дискет, электронной почты и т.д.) должны проверяться на вирусы перед их использованием.

Журналы работы антивирусных средств должны сохраняться и просматриваться системными администраторами. Сотрудники должны информировать системного администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.

При получении информации о заражении вирусом системный администратор должен информировать всех пользователей, которые имеют доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус возможно заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса системным администраторам.

Удаление:

Любая машина, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети . Машина не должна подключаться к сети до тех пор, пока системные администраторы не удостоверятся в удалении вируса. По возможности должны использоваться коммерческие антивирусные программы для удаления вируса. Если такие программы не могут удалить вирус, все программы в компьютере должны быть удалены, включая загрузочные записи при необходимости. Все эти программы должны быть повторно установлены из надежных источников и повторно проверены на вирусы. (В России зарегистрированные пользователи могут обратиться по электронной почте к фирме-производителю программы и получить обновление программы со средствами удаления вируса).

Средний риск

Если это возможно, брандмауэыр должны быть сконфигурированы так, чтобы блокировать загрузку апплетов из внешних источников и загрузку апплетов из внутренних доверенных сетей внешними пользователями, если только для защиты от недоверенных источников не используется технология аутентификации.

Пользователи должны сконфигурировать свои браузеры так, чтобы загрузка апплетов была возможна только из надежных источников. Если это невозможно, то браузеры следует сконфигурировать так, чтобы загрузка апплетов была запрещена.

При необходимости следует разрешить загружать апплеты только в исследовательских сетях, но не в тех, которые используются для обеспечения работы организации.

Средний риск

Предпочтительным методом администрирования брандмауэра является работа с локального терминала. Физический доступ к терминалу брандмауэра должен быть разрешен только администратору брандмауэра и администратору архивных копий.

Когда требуется удаленный доступ для администрирования брандмауэра, он должен осуществляться только с других хостов внутренней сети организации. Такой внутренний удаленный доступ требует усиленной аутентификации, такой как одноразовые пароли и смарт-карты. Удаленный доступ по небезопасным сетям, таким как Интернет, требует использования сквозного шифрования всего трафика соединения и усиленной аутентификации.

Средний риск

Пользователь

Для удаленного доступа к внутренним системам организации требуется усиленная аутентификация с помощью одноразовых паролей и смарт-карт.

Начальник отдела

Администраторы брандмауэра и другие руководители, ответственные за компьютерную безопасность, должны регулярно пересматривать политику сетевой безопасности (не реже чем раз в три месяца). При изменении требований к работе в сети и сетевым сервисам политика безопасности должна быть обновлена и утверждена заново. При необходимости внесения изменений администратора брандмауэра отвечает за реализацию изменений на брандмауэре и модификацию политики.

Структура и параметры внутренней сети организации не должны быть видимы из-за брандмауэра.

Сотрудник отдела автоматизации

Брандмауэр должен быть сконфигурирован так, чтобы по умолчанию все сервисы, которые не разрешены, были запрещены. Должен производиться регулярный аудит его журналов на предмет выявления попыток проникновения или неверного использования Интернета.

Брандмауэр должен практически сразу уведомлять системного администратора при возникновении ситуации, требующей его немедленного вмешательства, такой как проникновение в сеть, отсутствие места на диске и т.д.

Брандмауэр должен работать на специальном компьютере - все программы, не относящиеся к брандмауэру, такие как компиляторы, редакторы, коммуникационные программы и т.д., должны быть удалены или доступ к ним должен быть заблокирован.

Средний риск

Пользователь

Служащие пользуются программами для поиска информации в WWW только для более лучшего выполнения ими своих должностных обязанностей.

Все программы, используемые для доступа к WWW, должны быть утверждены сетевым администратором и на них должны быть установлены все доработки производителя(patch), связанные с безопасностью.

Все файлы, загружаемые с помощью WWW, должны проверяться на вирусы с помощью утвержденных руководством антивирусных программ.

Во всех браузерах должно быть запрещена обработка Java, Javascript и ActiveX из-за небезопасности данных технологий.

Могут использоваться или загружаться только версии браузеров, использование которых разрешено в организациит. Другие версии могут содержать вирусы или ошибки.

Все веб-браузеры должны быть сконфигурированы так, чтобы использовать прокси-сервер для WWW из состава брандмауэра.

При посылке данных на веб-сервер с помощью форм HTML из браузера, удостоверьтесь, что установлен механизм, такой как SSL (Secure Sockets Layer), для шифрования сообщения при посылке его.

Средний риск

Пользователь

Пользователям запрещено устанавливать или запускать веб-сервера.

В отношении веб-страниц должен соблюдаться установленный в организации порядок утверждения документов, отчетов, маркетинговой информации и т.д.

Менеджер

Менеджерам и пользователям разрешено иметь веб-страницы для участия в проекте или выполнения своих должностных обязанностей

Сотрудник отдела автоматизации

Веб-сервер и любые данные, являющиеся публично доступными, должны быть размещены за пределами брандмауэра организации.

Веб-сервера должны сконфигурированы так, чтобы пользователи не могли устанавливать CGI-скрипты

Все сетевые приложения, кроме HTTP, должны быть отключены (например, SMTP, FTP и т.д.)

Информационные сервера должны быть размещены в защищенной подсети для изоляции их от других систем организации. Это уменьшает вероятность того, что информационный сервер будет скомпрометирован и использован для атаки на другие системы организации.

При использования средств администрирования с помощью WWW, ограничьте доступ к нему только авторизованных систем (с помощью IP-адресов, а не имен хостов). Всегда меняйте пароли по умолчанию.

Средний риск

Пользователь

Электронная почта предоставляется сотрудникам организации только для выполнения ими своих служебных обязанностей. Использование ее в личных целях запрещено.

Конфиденциальная информация или информация, являющаяся собственностью организации, не может быть послана с помощью электронной почты.

Могут использоваться только утвержденные почтовые программы.

Нельзя устанавливать анонимные ремэйлеры

Служащим запрещено использовать анонимные ремэйлеры

Менеджер

Если будет установлено, что сотрудник неправильно использует электронную почту с умыслом, он будет наказан

Сотрудник отдела автоматизации

Почтовая система должна обеспечивать только один внешний электронный адрес для каждого сотрудника. Этот адрес не должен содержать имени внутренней системы или должности

Должен вестись локальный архив MIME-совместимых программ для просмотра специальных форматов и быть доступен для внутреннего использования..

Средний риск низкий риск

Средний риск - низкий риск

Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы. Все соединения с утвержденными внешними сетями должны проходить через брандмауэр организации.

Чтобы уменьшить вред от такого большого уязвимого места, все соединения с внешними сетями и логины пользователей, работающих с ними, должны периодически проверяться, и удаляться, если они больше не нужны.

Системные журналы соединений с внешними сетями должны просматриваться еженедельно. Все логины, использующие такие соединения, которые больше не используются в течение месяца, должны быть отключены. Ответственный за сетевые сервисы должен опрашивать начальников отделов каждый квартал на предмет необходимости таких соединений. Если соединение с той или иной сетью больше не нужно, и ответственный за сетевые сервисы извещен об этом, все логины и параметры, связанные с этим соединением, должны быть удалены в течение одного рабочего дня.

Среднийвысокий

Средний-высокий

Для ...(перечислите типы информации) должно использоваться шифрование при их хранении в небезопасных местах или передаче по открытым сетям, таким как Интернет. Шифрование любой другой информации организации должно осуществляться только после получения письменного разрешения на это. При использовании шифрования в организации должны применяться только утвержденные в организации стандартные алгоритмы и продукты, их реализующие. Для шифрования конфиденциальной информации минимально допустимой длиной ключа является 56 бит - рекомендованной длиной является 75 бит.

Безопасность системы шифрования очень зависит от секретности используемых ключей шифрования - порядок безопасной генерации и администрирования ключей шифрования является очень важным.

(Конкретный отдел) отвечает за разработку порядка использования шифрования и за обучение пользователей этим приемам.

Низкий-средний

Ключи шифрования должны иметь гриф безопасности такой же, как и наиболее критичная информация в компании, и доступ к ним должен быть ограничен только теми сотрудниками, кому он требуется в силу их обязанностей. Ключи для шифрования должны создаваться с помощью таких средств, которые нельзя было бы легко воспроизвести посторонним лицам.

Средний-высокий

Для генерации ключей шифрования информации организации требуется использовать генераторы случайных чисел на основе специальных устройств. Для использования программных генераторов случайных чисел необходимо получить письменное разрешение. Ключи шифрования считаются критической информацией, и доступ к ним должен быть ограничен только теми сотрудниками, кому он требуется в силу их обязанностей.

Для симметричных систем шифрования, таких как DES, ключи должны распространяться среди сотрудников с помощью защищенных каналов. Так как компрометация этих секретных ключей сделает шифрование бесполезным, политика безопасности должна детально описывать допустимые способы распространения таких ключей.

При использовании шифрования для распространения секретных ключей должны использоваться безопасные способы. Допустимыми способами являются:

использование алгоритмов обмена открытыми ключами внутреннее письмо в двойном конверте письмо, посланное курьерской почтой, в двойном конверте

Ключи шифрования не должны посылаться электронной почтой, если только электронное письмо не было зашифровано с помощью ключей, обмен которыми уже произошел по защищенному каналу . Ключи, используемые для шифрования информации, должны меняться так же часто, как и пароли, используемые для доступа к информации.

Зашифрованные данные могут быть навсегда потеряны при утере или искажении ключа. Так как шифрование обычно используется для защиты важной информации, потеря ключей шифрования может привести к значительным потерям. Был разработан ряд подходов для того, чтобы обеспечить гарантии постоянное доступности ключей шифрования и реализован в коммерческих продуктах. Но так как эта технология только появилась, при совместном использовании нескольких продуктов возможны проблемы - сотрудники отдела безопасности должны разработать список допустимых технологий и комбинаций продуктов.

Все средства шифрования должны обеспечивать гарантии доступности ключей шифрования для руководства организации при шифровании информации организации. При использовании шифрования должна использоваться утвержденная в компании технология восстановления ключа. Использование шифрования с отсутствием такой. возможности должно требовать получения письменного разрешения руководства.

Использование технологий шифрования с открытыми ключами требует создания для каждого пользователя секретного и открытого ключей и их рассылки. Открытые ключи должны распространяться и храниться таким образом, чтобы они были доступны всем пользователям. В продвинутых приложениях могут использоваться электронные сертификаты для распространения открытых ключей через центры сертификатов. Закрытые ключи аналогичны паролям, и должны храниться в тайне каждым пользователем. Организации могут принять решение о том, чтобы все секретные ключи сотрудников были известны руководству.

Низкий

Организация должна иметь список открытых ключей для всех авторизованных на это сотрудников. Этот список должен храниться на сервере аутентификации или распространяться по электронной почте. Секретные ключи пользователей должны храниться так же, как и пароли.

Средний-высокий

Сервер сертификационного центра организации должен хранить текущие открытые ключи для всех авторизованных на это сотрудников. Для безопасного взаимодействия с внешними пользователями организация должна использовать электронные сертификаты только из утвержденного списка сертификационных центров.

Секретные ключи пользователей должны храниться так же, как и пароли. О любом подозрении на компрометацию секретного ключа пользователь должен немедленно доложить в службу безопасности.

Среднийвысокий риск

Средний-высокий риск

Коммерческие программы запрещается загружать через Интернет без разрешения системного администратора. Все программы, используемые на компьютерах организации, могут быть установлены только ситсемными администраторами в соответствии с правилами лицензий. Сотрудники отдела автоматизации должны периодически инспектировать компьютеры на предмет соблюдения правил лицензий и отсутствия неразрешенных программ. При выявлении фактов установки нелицензионных и неразрешенных программ виновные будут наказаны.

Матрица профиля риска

Таблица 3.1 Матрица профиля риска

Угрозы Рейтинг Видимость Рейтинг Число очков Последствия Рейтинг Уязвимость Рейтинг Число очков Общее число очков:

Ни одна из угроз не считается реальной	1	Очень маленькая	1
Возможность возникновения угроз тяжело оценить	3	Средняя, периодические публикации об организации	3
Угрозы реальны, имел место ряд случаев их возникновения	5	Большая, постоянные публикации об организации	5
Финансовых потерь не будет, возможные последствия учтены в бюджете или предприняты меры по переносу риска	1	Инциденты считаются приемлемыми как необходимое условие бизнеса; руководство организации с пониманием относится к этому	1
Будут затронуты внутренние функции организации, превышен бюджет, потеряны возможности получить прибыль	3	Инцидент повлияет на позицию среднего звена управления, исчезнет доброжелательное отношение начальства к безопасности	3
Будут затронуты внешние функции организации, нанесен большой финаносвый ущерб	5	Руководители организации станут жестче относиться к безопасности ,пострадают взаимоотношения с деловыми партнерами	5

Рейтинг: Значение для угроз умножается на значение для видимости, а значение для последствий умножается на значение для уязвимости. Затем эти два числа складываются:

2 - 10: низкий риск 11 - 29: средний риск 30 - 50: высокий риск

Использование средств

Таблица 4.2 Использование средств безопасности для защиты сервисов

	Идентификация и аутентификация	Управление доступом	Брандмауэр	Средства контроля импортируемых про-грамм	Шифро- вание	Архитектура	Устранение последствий инцидентов	Организа- ционные меры
Удаленный доступ	X	X	X		X			X
Электронная почта	X			X	X			X
Публикация информации		X	X			X		X
Исследования		X	X	X		X		X
Электронная коммерция	X	X	X	X	X	X	X	X
Постоянная доступность						X		X
Легкость использования						X		X

Платежи и финансовые транзакции

Таблица 4.3. Платежи и финансовые транзакции

	Наличные	Чек	Дебит	Кредит	Электронный перевод фондов
Компания-компания		Основной			Вспомогательный
Компания-клиент	Основной	Вспомогательный	Вспомогательный	Вспомогательный
Клиент-клиент	Основной	Вспомогательный

Использование Интернета для выполнения этих типов транзакций позволяет заменить представление или показ наличных, чеков, кредитных карт их электронными эквивалентами:

Наличные - сейчас существует ряд конкурирующих подходов для реализации электронных денег, реализация которых еще находится на стадии разработки. Все эти методы используют криптографию для создания безопасных цифровых "бумажников", в которых хранится цифровая наличность. Передача электронных денег необязательно требует участия финансовых учреждений в качестве промежуточной стадии. Чеки - банковская индустрия разрабатывает стандарт для электронных чеков, определяющий как информация, содержащаяся в физических чеках, должна представляться в электронном сообщении. Электронные чеки всегда требуют участия финансовых учреждений при их передаче. Дебитовые карты - смарт-карты и карты с памятью могут хранить электронные деньги рядом способов. Каждая транзакция дебитует определенное количество, пока карта не опустеет. Карты с памятью не требуют использования финансовых учреждений. Кредитные карты - основные игроки в индустрии кредитных карт(Visa, Master Card, и American Express) разработали стандарт для выполнения транзакций с кредитными картами по глобальным сетям. Известный под названием Безопасные Электронные Транзакции (Secure Electronic Transactions), этот стандарт определяет трехэтапные транзакции между клиентом, продавцом и владельцем дебита кредитной карты, обычно банком. Транзакции электронных кредитных карт, использующие SET, всегда требуют участия финансового учреждения. Электронный перевод фондов(EFT) - он использует криптографию для обеспечения безопасности перевода фондов между банками и другими финансовыми учреждениями. Клиенты могут авторизовать банки на посылку и прием платежей с помощью EFT для клиента.

Каждая из этих форм электронных финансовых транзакций включает использование криптографии для обеспечения целостности, конфиденциальности, аутентификации и контроля участников взаимодействия.

Риски безопасности

Таблица 6.1. Риски безопасности брандмауэра

Архитектура брандмауэра (если один из типов, указанных ниже, реализован)	Среда с высоким риском, например банк	Среда со средним риском, например университет	Среда с низким риском, например мелкий магазин
Фильтрация пакетов	0	1	4
Прикладные шлюзы	3	4	2
Гибридные шлюзы	4	3	2

Telnet/X Windows

4.3. Telnet/X Windows

Telnet и команды удаленного подключения к компьютеру, обеспечиваемые Unix, предоставляют возможность подключиться в режиме терминала к компьютеру по сети. Многие персональные компьютеры имеют TCP/IP-программы, которые предоставляют возможности telnet (В состав Windows'95 также входит такая возможность). По сути Telnet предоставляет подключение удаленного клиента в режиме текстового терминала к главному компьютеру по сети. Telnet обычно требует посылки пары имя-пароль по сетевому соединению в незашифрованном виде - серьезное уязвимое место с точки зрения безопасности.

X Windows предоставляет возможность удаленного подключения к компьютеру, поддерживающего графический интерфейс с пользователем, и передающего экранные образы, перемещения мыши и коды клавиш, нажатых пользователем, по сети. X Windows имеет слабые возможности по обеспечению безопасности, которые часто обходятся пользователями для упрощения процесса соединения.

Типичная архитектура подключения к Интернету

Рисунок 4.1 Типичная архитектура подключения к Интернету

Оставшаяся часть этой главы кратко рассматривает основные сервисы, обеспечиваемые связью с Интернетом. В ней также будет указано с помощью каких средств безопасности надо защищать эти сервисы. В таблице 4.2 показано соответствие между имеющимися средствами безопасности и Интернет-сервисами, часто используемыми организациями. Крестики показывают, какие средства безопасности часто используются для организации безопасной работы данного сервиса. Некоторые из средств, такие как улаживание последствий инцидентов с безопасностью, обеспечивают безопасность для всех сервисов, в таких случаях знак стоит напротив тех сервисов, для которых данное средство необходимо.

Типы брандмауэров

6.4. Типы брандмауэров

Существует несколько различных реализаций брандмауэров, которые могут быть созданы разными путями. В таблице 6.1 кратко характеризуются несколько архитектур брандмауэров и их применимость к средам с низким, средним и высоким рискам.

Удаленный доступ

4.1. Удаленный доступ

В настоящее время коммерческая деятельность все больше требует удаленного доступа к своим информационным системам. Это может объясняться необходимостью доступа сотрудников в командировках к своему электронному почтовому ящику, или необходимостью для продавцов удаленного ввода заказов на продукцию. По своей природе удаленный доступ к компьютерным системам приводит к появлению новых уязвимых мест в них из-за увеличения точек доступа к ним.

Существует три основных режима удаленного доступа:

Удаленный доступ к сервису - при этом виде доступ обычно ограничивается удаленным доступом к одному сервису, обычно почте. Такие продукты как Lotus Notes и cc:Mail поддерживают удаленный доступ к этим продуктам без предоставления доступа к каким-либо другим сетевым сервисам. Этот режим обычно является самым безопасным - число уязвимых мест ограничено. Удаленное управление позволяет удаленному пользователю управлять персональным компьютером, физически расположенным в корпоративной сети организации. Это может быть специальная компьютерная система или обычный компьютер, стоящий на рабочем месте пользователя. Удаленный компьютер используется только как клавиатура и дисплей. Удаленное управление ограничивает удаленных пользователей доступом к тем программам, которые запущены на корпоративном компьютере, что является плюсом с точки зрения безопасности. Некоторые продукты совместного удаленного доступа нескольких пользователей поддерживают также хороший аудит и протоколирование действий пользователей. При работе в режиме удаленного узла сети, удаленный компьютер соединяется с сервером удаленного доступа, который назначает удаленному компьютеру сетевой адрес. Все работающие программы находятся на удаленном компьютере вместе с локальной памятью. Режим удаленного узла предоставляет удаленным пользоваетлям доступ ко всем сетевым сервисам, если только не используется программы управления доступом. Режим удаленного узла стал самой популярной формой удаленного доступа, но его использование приводит к появлению наивысшего уровня уязвимости корпоративных систем.

Эти формы удаленого доступа могут быть реализованы с помощью коммутируемого соединения, сеансов telnetа, или использования программных продуктов, обеспечивающих удаленный доступ. Следующие разделы описывают уязвимые места различных методов удаленного доступа.

Угрозы связанные с электронной почтой

8.4. Угрозы, связанные с электронной почтой

Основные протоколы передачи почты(SMTP, POP3,IMAP4) обычно не осуществляют надежной аутентификации, что позволяет легко создать письма с фальшивыми адресами. Ни один из этих протоколов не использует криптографию, которая могла бы гарантировать конфиденциальность электронных писем. Хотя существуют расширения этих протоколов, решение использовать их должно быть явно принято как составная часть политики администрации почтового сервера. Некоторые такие расширения используют уже имеющиеся средства аутентификации, а другие позволяют клиенту и серверу согласовать тип аутентификации, который будет использоваться в данном соединении.

Усовершенствование брандмауэра

6.16. Усовершенствование брандмауэра

Часто необходимо произвести обновление программного обеспечения брандмауэра и его аппаратной части для того, чтобы его производительность была оптимальной. Администратор брандмауэра должен быть осведомлен о всех аппаратных и программных ошибках, а также о доработках программ, осуществляемых производителем брандмауэра. Если обновление необходимо, следует принять определенные предосторожности, чтобы сохранялся высокий уровень безопасности. Ниже приведены примеры политик безопасности для обновлений:

Для оптимизации производительности брандмауэра следует выполнять все рекомендации производителя в отношении мощности процессора и объема оперативной памяти.

Администратор брандмауэра должен производить оценку возможностей каждой новой версии программного обеспечения брандмауэра на предмет необходимости установки доработок. Все модификации исполняемого кода (патчи), рекомендованные производителем брандмауэра, должны делаться оперативно .

Аппаратные и программные компоненты должны получаться из источников, рекомендованных производителем. Все доработки специфических программ брандмауэра должны получаться у самого производителя. Для получения программ не должен использоваться NFS. Рекомендуемыми методами являются использование CD-ROMа, проверенного на вирусы, или FTP-сервера на сайте производителя.

Администратор брандмауэра должен быть подписан на список рассылки производителя брандмауэра или другим способом получать информацию от производителя о всех требуемых доработках. Перед применением доработки к брандмауэру администратор должен удостовериться у производителя, что доработка нужна. После доработки брандмауэр должен быть протестирован на предмет правильности работы перед началом эксплуатации.

Вебсервера

7.3. Веб-сервера

Многие организации сейчас поддерживают внешние WWW-сайты, описывающие их компанию или сервисы. По причинам безопасности эти сервера обычно размещаются за брандмауэром компании. Веб-сайты могут быть как домашними разработками, так и тщательно разработанными средствами продвижения товаров. Организации могут тратить значительное количество денег и времени на разработку веб-сайта, предоставляющего большой объем информации в удобном виде или создающего имидж компании. Другими словами, веб-сайт организации является одной из форм создания имиджа и репутации компании.

Должны быть назначены ответственные за создание, управление и администрирование внешнего веб-сайта компании. В больших компаниях это может входить в обязанности нескольких должностей. Например, коммерческий директор может отвечать за выявление и реализацию новых способов продвижения товаров и услуг, а администратор веб-сайта - за соблюдение на нем общей стратегии, включая координированную подготовку его содержимого и контроль за его бюджетом. Начальник отдела продаж может отвечать за представление отчетов о доходах, связанных с ведением веб-сайта. А вебмастер будет отвечать за технические аспекты веб-сайта, включая разработку, поддержание связи с ним, интранет, электронную почту, и безопасность брандмауэра. Скорее всего программисты будут отвечать за работоспособность веб-сайта, включая его установку, разработку программ для него, их отладку и документирование. Вебартист может заниматься созданием графических образов для него.

В более маленьких организациях программист или вебмастер может выполнять большую часть описанных выше обязанностей и предоставлять доклады пресс-службе или начальнику отдела продаж. Наконец, в очень маленькой организации эти обязанности могут стать дополнительными обязанностями системного аналитика или администратора ЛВС. Независимо от того, как администрируется вебсайт, все люди, исполняющие эти обязанности должны претворять в жизнь политику компании, разработанную ее руководством. Верхнее звено руководства организацией может отвечать за утверждение создания новых веб-сайтов или переработку имеющихся.

Кроме того, внутренние веб-сайты компании, расположенные внутри брандмауэра организации, часто используются для рассылки информации компании сотрудникам. Часто посылаются поздравления с днем рождения, графики мероприятий, телефонные справочники и т.д. Также внутренние веб-сайты используются для распространения внутренней информации о проектах, являясь иногда центром информации для исследовательских групп. Хотя внутренние веб-сайты не являются так же видимыми, как внешние страницы, они должны администрироваться с помощью специально разработанных руководств и директив. Руководители групп должны отвечать за это.

Любой может создать веб-сайт для распространения информации по любым вопросам, не связанным с организацией. Организация должна принять решение о том, стоит ли разрешать сотрудникам делать это на чужих веб-сайтах.

Большинство организаций используют Интернет для распространения информации о себе и своих сервисах. Так как они представляют информацию, а не скрывают ее, они описывают веб-сайт как "публичный", на котором не содержится никакой конфиденциальной информации, и оттуда не может исходить никакой угрозы. Проблема заключается в том, что хотя эта информация может быть публично доступной, веб-сайт является частью организации, и должен быть защищен от вандализма.

Публичные вебсайты в MGM/Universal Studios, Nation of Islam, Министерстве юстиции США и ЦРУ могут подтвердить это утверждение. В них были совершены проникновения в 1996 году. Атакующие использовали уязвимые места в операционной системе, под управлением которой работали веб-сервера. Они изменили ряд страниц веб-сайтов, и в некоторых случаях добавили порнографические изображения, и в одном случае вставили оскорбления.

Хотя единственным следствием таких проникновений была потеря репутации, это может оказаться достаточным, чтобы не захотеть испытать это во второй раз. Если бы атакующие модифицировали описания сервисов организации, фальсифицировали цены, то последствия могли бы быть гораздо серьезнее.

Виртуальные частные сети (VPN)

6.9. Виртуальные частные сети (VPN)

Виртуальные частные сети позволяют надежной сети взаимодействовать с другой надежной сетью по небезопасной сети, такой как Интернет. Так как некоторые брандмауэры имеют возможности создания VPN, необходимо определить политику для создания VPN.

Любое соединение между брандмауэрами по общественным глобальным сетям должно использовать механизм шифрованных виртуальных частных сетей для обеспечения конфиденциальности и целостности данных, передаваемых по глобальным сетям. Все VPN-соединения должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Также должны быть созданы соответствующие средства распределения и администрирования ключей шифрования перед началом эксплуатации VPN. VPN на основе брандмауэров могут быть созданы в виде нескольких различных конфигураций. Глава 5 содержит информацию о различных уровнях доверия и приводит образцы политик безопасности для VPN.

Восстановление сервисов

6.15. Восстановление сервисов

При выявлении факта проникновения, брандмауэр должен быть отключен и переконфигурирован. Если необходимо отключить брандмауэр, может понадобиться также отключиться от Интернета или перейти на запасной брандмауэр - внутренние системы не должны быть подключены к Интернету напрямую. После переконфигурации брандмауэр должен быть включен снова и запущен в работу. Требуются правила восстановления брандмауэра до рабочего состояния после проникновения.

Если произошло проникновение, администратор брандмауэра отвечает за переконфигурацию брандмауэра для защиты всех использовавшихся уязвимых мест. Брандмауэр должен быть восстановлен в исходное состояние, чтобы сеть находилась под защитой. На время восстановления должен использоваться запасной брандмауэр.

Высокий риск

Доступ из Интернета ко всем системам за брандмауэром требует использования устойчивой аутентификации. Доступ к информации ХХХ и ее обработка (при нарушении ее безопасности организация понесет большой ущерб) требует использования постоянной аутентификации.

Высокий риск

Системы с высоким уровнем риска содержат данные и приложения, которые являются критическими для организации. Заражение вирусами может вызвать значительные потери времени, данных и нанести ущерб репутации организации. Из-за заражения может пострадать большое число компьютеров. Следует принять все возможные меры для предотвращения заражения вирусами.

Предотвращение:

Администратор безопасности должен разрешить использование приложений перед их установкой на компьютер. Запрещается устанавливать неавторизованные программы на компьютеры. Конфигурации программ на компьютере должны проверяться ежемесячно на предмет выявления установки лишних программ.

Программы должны устанавливаться только с разрешенных внутренних серверов для ограничения риска заражения. Нельзя загружать программы с Интернета на компьютеры. С помощью брандмауэра должна быть запрещена операция GET(загрузка файла) с внешних серверов.

На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на файловых серверах на вирусы. Рабочие станции должны иметь резидентные в памяти антивирусные программы, сконфигуированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения их проверки на вирусы.

Все приходящие письма и файлы, полученные из сети, должны проверяться на вирусы при получении. По возможности проверка на вирусы должна выполняться на брандмауэре, управляющем доступом к сети. Это позволит централизовать проверку на вирусы для всей организации и уменьшить затраты на параллельное сканирование на рабочих станциях. Это также позволит централизовать администрирование антивирусных программ, ограничить число мест, куда должны устанавливаться последние обновления антивирусных программ.

Несоблюдение данной политики должно вести к наказанию сотрудника согласно стандартам организации.

Обнаружение:

Все программы должны быть установлены на тестовую машину и проверены на вирусы перед началом их использования в рабочей среде. Только после получения разрешения администратора безопасности можно устанавливать программы на машинах сотрудников.

Помимо использования коммерческих антивирусных программ, должны использоваться эмуляторы виртуальных машин для обнаружения полиморфных вирусов. Все новые методы обнаружения вирусов должны использоваться на этой тестовой машине. Антивирусные программы должны обновляться ежемесячно или при появлении новой версии для выявления самых новых вирусов.

Проверка всех файловых систем должна производиться каждый день в обязательном порядке. Результаты проверок должны протоколироваться, автоматически собираться и анализироваться системными администраторами.

Все данные, импортируемые на компьютер, тем или иным способом (с дискет, из электронной почты и т.д.) должны проверяться на вирусы. Сотрудники должны информировать системного администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.

Удаление:

Высокий риск

Использование интерактивных программ запрещено. Веб-браузеры, и по возможности брандмауэры, должны быть сконфигурированы так, чтобы загрузка апплетов была запрещена. Сотрудники отдела автоматизации должны проводить аудирование конфигурации браузеров. Несоблюдение этой политики должно приводить к административным наказаниям.

Высокий риск

Все администрирование брандмауэра должно осуществляться только с локального терминала - работа с брандмауэром путем удаленного доступа запрещена. Физический доступ к терминалу брандмауэра разрешен только администратору брандмауэра и администратору архивных копий.

Высокий риск

Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Должны разрешаться соединения только с теми внешними сетями, для которых был произведен анализ и установлено, что в них имеются необходимые программно-аппаратные средства безопасности и применяются необходимые организационные меры. Все соединения с утвержденными сетями должны проходить через брандмауэры организации.

Высокий риск

Пользователь

Использование Интернета в личных целях с систем организации запрещено. Весь доступ к Интернету протоколируется. Сотрудники, нарушающие данную политику, будут наказаны.

Ваш браузер был сконфигурирован так, что доступ к ряду сайтов запрещен. О всех попытках получить доступ к этим сайтам будет доложено вашему начальнику.

Начальник отдела

Сотрудник отдела автоматизации

Весь доступ к Интернету должен протоколироваться.

Высокий риск

Пользователь

Пользователи могут производить поиск информации в Интернете с помощью World Wide Web (WWW), Gopher, WAIS, и т.д. ТОЛЬКО, если этого явно требуют их должностные обязанности.

Не должны посещаться сайты, про которые, что они содержат оскорбительную или другую вредную информацию.

Действия любого пользователя, подозреваемого в нарушении правил пользования Интернетом, могут быть запротоколированы и использоваться для принятия решения о применении к нему в санкций.

URLи сайтов, содержащих вредную информацию, должны сообщаться ответственному в организации за безопасность использования Интернета.

Менеджер

В организации должен вестись список запрещенных сайтов. Программы для работы с WWW должны быть сконфигурированы так, чтобы к этим сайтам нельзя было получить доступ.

Сайты, про которые стало известно, что они содержат вредную информацию, должны сразу же блокироваться сетевыми администраторами.

Сотрудники, нанятые по контракту, должны соблюдать эту политику после предоставления им доступа к Интернету в письменном виде.

Сотрудник отдела автоматизации

Все посещаемые сайты должны протоколироваться..

Веб-браузеры должны быть сконфигурированы так, чтобы выполнялись следующие правила:

Доступ к Интернету должен осуществляться только через HTTP-прокси.

Каждый загружаемый файл должен проверяться на вирусы или РПС

Могут загружаться только те программы на ActiveX, использование которых разрешено организацией

Могут загружаться только те программы на Java, использование которых разрешено организацией

Могут загружаться только те программы на Javascript, использование которых разрешено организацией

Веб-страницы часто включают формы. Как и электронная почта, данные, посылаемые веб-браузером на веб-сервер, проходят через большое число промежуточных компьютеров и сетей до того, как достигнут своего конечного назначения. Любая важная информация, посылаемая с помощью ввода данных на веб-странице, может быть перехвачена.

Высокий риск

Пользователь

Пользователям запрещено загружать, устанавливать или запускать программы веб-серверов.

Должен производиться контроль сетевого трафика для выявления неавторизованных веб-серверов. Операторы этих серверов будут подвергаться дисциплинарным наказаниям.

Менеджер

Руководство организации должно дать в письменном виде разрешение на работу веб-сервера, подключенного к Интернету.

Все содержимое веб-серверов компании, присоединенных к Интернету, должно быть утверждено и установлено веб-мастером.

Конфиденциальная информация не должна быть доступна с помощью веб-сайта.

К информации, размещенной на веб-сервере, применимы все законы о защите информации. Поэтому, перед размещением информации в Интернете, она должна быть просмотрена и утверждена так же, как утверждаются бумажные официальные документы организации. Должны быть защищены авторские права, и получено разрешение о публикации информации на веб-сайте.

Все публично доступные веб-сайты должны регулярно тестироваться на предмет корректности ссылок, и не должны находиться в состоянии "under construction". При реконструкции областей они должны делаться недоступными.

Сотрудник отдела автоматизации

Не должно иметься средств удаленного управления веб-сервером (то есть с мест, отличных от консоли). Все действия администратора должны делаться только с консоли. Вход в систему с удаленного терминала с правами суперпользователя должен быть запрещен.

Программы веб-серверов и операционной системы, под управлением которой работает веб-сервер, должны содержать все исправления, рекомендованные производителем для этой версии.

Входящий трафик HTTP должен сканироваться, и о случаях появления неавторизованных веб-серверов должно докладываться

Ограничение доступа к информации пользователями, адрес которых заканчивается на .GOV или .COM, обеспечивает минимальную защиту для информации, не разрешенной для показа всем. Может использоваться отдельный сервер или отдельная часть для информации с ограниченным доступом.

За всеми веб-сайтами должен осуществляться контроль как составная часть администрирования сети. Действия всех пользователей, заподозренных в некорректном использовании Интернете, могут быть запротоколированы для обоснования применения к ним в дальнейшем административных санкций.

На UNIX-системах веб-сервера не должны запускаться с правами суперпользователя.

Разработка и использование CGI-скриптов должно контролироваться. CGI-скрипты не должны обрабатывать входные данные без их проверки . Любые внешние программы, запускаемые с параметрами в командной строке, не должны содержать метасимволов. Разработчики отвечают за использование правильных регулярных выражений для сканирования метасимволов командного процессора и их удаление перед передачей входных данных программа на сервере и операционной системе.

Все WWW-сервера организации, подключенные к Интернету, должны находиться между брандмауэром и внутренней сетью организации. Любые внутренние WWW-сервера организации, обеспечивающие работу критических приложений организации должны быть защищены внутренними брандмауэрами. Критическая, конфиденциальная и персональная информация никогда не должны храниться на внешнем WWW-сервере.

Высокий риск

Пользователь

Электронная почта предоставляется сотрудникам организации только для выполнения своих служебных обязанностей. Использование ее в личных целях запрещено.

Все электронные письма, создаваемые и хранимые на компьютерах организации, являются собственностью организации и не считаются персональными.

Организация оставляет за собой право получить доступ к электронной почте сотрудников, если на то будут веские причины. Содержимое электронного письма не может быть раскрыто, кроме как с целью обеспечения безопасности или по требованию правоохранительных органов.

Пользователи не должны позволять кому-либо посылать письма, используя их идентификаторы. Это касается их начальников, секретарей, ассистентов или других сослуживцев.

Организация оставляет за собой право осуществлять наблюдение за почтовыми отправлениями сотрудников. Электронные письма могут быть прочитаны организацией даже если они были удалены и отправителем, и получателем. Такие сообщения могут использоваться для обоснования наказания.

Менеджер

Справочники электронных адресов сотрудников не могут быть сделаны доступными всем.

Если с помощью электронного письма должна быть послана конфиденциальная информация или информация, являющаяся собственностью организации, она должна быть зашифрована так, чтобы ее мог прочитать только тот, кому она предназначена, с использованием утвержденных в организации программ и алгоритмов.

Никто из посетителей, контрактников или временных служащих не имеет права использовать электронную почту организации.

Должно использоваться шифрование все информации, классифицированной как критическая или коммерческая тайна, при передаче ее через открытые сети, такие как Интернет.

Выходящие сообщения могут быть выборочно проверены, чтобы гарантировать соблюдение политики.

Сотрудник отдела автоматизации

Входящие письма должны проверяться на вирусы или другие РПС.

Почтовые сервера должны быть сконфигурированы так, чтобы отвергать письма, адресованные не на компьютеры организации.

Журналы почтовых серверов должны проверяться на предмет выявления использования неутвержденных почтовых клиентов сотрудниками организации, и о таких случаях должно докладываться.

Почтовые клиенты должны быть сконфигурированы так, чтобы каждое сообщение подписывалось с помощью цифровой подписи отправителя.

Webсайты

1.1. Web-сайты

Архив по компьютерной безопасности проекта COAST
http://www.cs.purdue.edu/coast/coast.html

Это хорошее место, где можно найти средства безопасности, такие как COPS, Tripwire, SATAN и т.д. Вы можете быть уверены, что исходные тексты не содержат программных закладок, а веб-интерфейс поможет вам найти то, что вы хотите. Там же есть много интересных статей.

Список ссылок Спаффорда
http://www.cs.purdue.edu/homes/spaf/hotlists/csec.html

Список ссылок по компьютерной безопасности Ю. Спаффорда

Веб-сайт по безопасности группы CIAC
http://ciac.llnl.gov/

Сайт группы обеспечения безопасности в Ливерморской лаборатории для правительственных и военных сайтов. Они выпускают сообщения о уязвимых местах аналогичные сообщениям CERT. Имеется много программных средств, но часть из них доступна только для военных сайтов.

Информационные страницы AUSCERT
http://www.auscert.org.au/

AUSCERT - это австралийская группа CERT. У них есть ряд средств и статей, которых нельзя найти на других, американских сайтах, включая хорошую статью по разработке политики безопасности и книгу по безопасности открытых систем.

8lgm: сообщения про уязвимые места
http://www.8lgm.org

"Eight Little Green Men" (или "Eight-Legged Groove Machine"?) - это группа энтузиастов компьютерной безопасности, которая публикует свои собственные сообщения об обнаруженных уязвимых местах и ошибках в программах. Помимо вебсайта они поддерживают список рассылки.

Корпорация Telstra: индекс ссылок по компьютерной и сетевой безопасности
http://www.telstra.com.au/info/security.html

Ресурсы NIST по компьютерной безопасности
http://csrc.nist.gov/

Вебсайт Найионального Института по Стандартам и Технологиям. Этот сайт содержит информацию по стандартам DES и новым стандартам по усиленной криптографии, проекте инфраструктуры для распространения открытых ключей, и публикациям по компьютерной безопасности.

Лаборатория исследований по компьютерной безопасности в калифорнийском университете в Дэвисе
http://seclab.cs.ucdavis.edu/Security.html

Информация о ведущихся исследовательских проектах в области аудирования и обнаружения вторжения.

Центр исследований по компьютерной безопасности в Лондонской Экономической Школе
http://csrc.lse.ac.uk/csrc/csrchome.htm

Политика безопасности Institute for Computer and Telecommunications Systems
http://www.seas.gwu.edu:80/seas/ictsp/

Информация о юридических вопросах компьютерной безопасности

Вопросы безопасности в WWW
FAQ по безоп. в WWW http://www-genome.wi.mit.edu/WWW/faqs/www-security-faq.html

Ун. Рутгерса	http://www-ns.rutgers.edu/www-security/index.html
HotJava	http://java.sun.com/1.0alpha3/doc/security/security.html
Проблемы с C2	http://www.c2.org/hacknetscape/
Безопасность CGI	http://www.cerf.net/~paulp/cgi-security
Общ. вопр. WWW	http://www.boutell.com/faq
FAQ по CGI	http://www.best.com/~hedlund/cgi-faq

Сайты производителей маршрутизаторов
http://www.cisco.com
http://www.livingston.com
http://www.baynetworks.com
http://www.network.com
http://www.racal.com/networking.html

Сайты производителей брандмауэров, отсортированные по имени производителя

Gauntlet	http://www.tis.com
NetSP	http://www.ibmlink.ibm.com/oi/ann/alet/294774.html
Sidewinder	http://www.sctc.com
Borderware	http://www.border.com
Firewall-1	http://www.checkpoint.com
DEC SEAL	http://www.digital.com
Centri	http://www.cohesive.com
PORTUS	http://www.sccsi.com/lsli/lsli.homepage.html
Eagle	http://www.raptor.com
Black Hole	http://www.milkyway.com
InterLock	http://www.ans.net/security.html
NET1-AccessPlus	http://www.iu.net/n1/
Ascend	http://www.ascend.com

Зачем разрабатывать политику безопасности

1.4. Зачем разрабатывать политику безопасности для работы в Интернете?

Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объему информации, оно же является опасным для сайтов с низким уровнем безопасности. Интернет страдает от серьезных проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми к действиям злоумышленников.

Организации должны ответить на следующие вопросы, чтобы правильно учесть возможные последствия подключения к Интернету в области безопасности:

Могут ли хакеры разрушить внутренние системы? Может ли быть скомпрометирована( изменена или прочитана) важная информация организации при ее передаче по Интернету? Можно ли помешать работе организации?

Все это - важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении легкости использования Интернета. Третьи требуют вложения значительных ресурсов - рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.

Цель политики безопасности для Интернета - принять решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей - общих принципов и конкретных правил работы( которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что - запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.

Правда, существует и третий тип политики, который встречается в литературе по безопасности в Интернете. Это - технический подход. В этой публикации под техническим подходом будем понимать анализ, который помогает выполнять принципы и правила политики. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.

Чтобы политика для Интернета была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации. Данная публикация пытается дать техническим специалистам информацию, которую им надо будет объяснить разработчикам политики для Интернета. Она содержит эскизный проект политики, на основе которого потом можно будет принять конкретные технические решения.

Интернет - это важный ресурс, который изменил стиль деятельности многих людей и организаций. Тем не менее, Интернет страдает от серьезных и широко распространенных проблем с безопасностью. Много организаций было атаковано или зондировано злоумышленниками, в результате чего они понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были вынуждены временно отключиться от Интернета и потратили значительные средства на устранение проблем с конфигурациями хостов и сетей. Сайты, которые неосведомлены или игнорируют эти проблемы, подвергают себя риску сетевой атаки злоумышленниками. Даже те сайты, которые внедрили у себя меры по обеспечению безопасности, подвергаются тем же опасностям из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.

Фундаментальная проблема состоит в том, что Интернет при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:

Легкость перехвата данных и фальсификации адресов машин в сети - основная часть трафика Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы. Уязвимость средств TCP/IP - ряд средств TCP/IP не был спроектирован быть защищенными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы. Отсутствие политики - многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам. Сложность конфигурирования - средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок . Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

Защита электронной почты

8.5. Защита электронной почты

Защита электронных писем и почтовых систем

8.7. Защита электронных писем и почтовых систем

Защита писем, почтовых серверов и программ должна соответствовать важности информации, передаваемой по сетям. Как правило, должно осуществляться централизованное управление сервисами электронной почты. Должна быть разработана политика, в которой указывался бы нужный уровень защиты.

Активное содержимое	WWW-страницы, которые содержат ссылки на программы, которые загружаются и выполняются автоматические WWW-браузерами.
ActiveX	Программные компоненты, которые могут быть автоматически загружены вместе с WWW-страницей и выполнения браузером Microsoft, Inc. - Internet Explorer.
Апплеты	Небольшие приложения, написанные на различных языках программирования, которые автоматически загружаются и выполняются WWW-браузерами, поддерживающими апплеты
Браузер	Клиентская программа для работы в WWW
Брандмауэр	Метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами.
FTP	Протокол передачи файлов. Используется для передачи файлов по сети.
Gopher	Протокол, разработанный для того, чтобы позволить пользователю передавать текстовые и двоичные файлы между компьютерами в сети.
HTML	Язык гипертекстовой разметки документов. Используется для создания Web-страниц.
HTTP	Протокол передачи гипертекста. Базовый протокол WWW, использующийся для передачи гипертекстовых документов.
Java	Новый язык программирования, разработанный Sun Microsystems, Inc. Он может использоваться как обычный язык программирования для разработки сетевых приложений. Кроме того, он используется для написания небольших приложений, называемых апплетами. Среда для выполнения Java-апплетов должна быть безопасной, то есть апплет не должен иметь возможности модифицировать что-либо вне WWW-браузера.
Пакеты-убийцы	Метод вывода из строя системы путем посылки ей Ethernet- или IP-пакетов, которые используют ошибки в сетевых программах для аварийного завершения работы системы.
Почтовые бомбы	Блокирование сайта путем вывода из строя почтового сервера посылкой огромного числа писем. Используется для предотвращения получения сайтом писем в ходе атаки или для мести.
Новости (news)	Протокол передачи сетевых новостей(NNTP) для распространения новостей в Usenet . Usenet - это система асинхронного обсуждения текстов по различным тематикам, называемым группами новостей (newsgroups).
Плагин (Plug-in)	Набор динамически подключаемых библиотек, используемых для увеличения функциональных возможностей основной программы, такой как WWW-браузер. Они обычно используются для того, чтобы позволить WWW-браузеру отображать и обрабатывать данные в различных форматах, или чтобы добавить новые возможности отображения стандартных форматов.
Подглядывание из-за плеча	Кража паролей или PIN-кодов путем наблюдения за их набором на клавиатуре.
Социальная инженерия	Обход системы безопасности информационной системы с помощью нетехнических мер(обмана и т.д.).
Спамминг (spamming)	Посылка большого числа одинаковых сообщений в различные группы UNENET. Часто используется для организации дешевой рекламной компании, пирамид или просто для надоедания людям.
Фальсификация (spoofing)	Использование различных технологий для обхода систем управления доступом на основе IP-адресов с помощью маскирования под другую систему, используя ее IP-адрес.
SSL	Протокол безопасной передачи данных, разработанный Netscape Communications, Inc. Этот протокол использует межконцевое шифрование трафика на прикладном уровне.
SYN-переполнение	Метод вывода системы из строя путем посылки ей такого числа SYN-пакетов, которое не может обработать сетевой драйвер. Смотрите пакеты-убийцы.
Telnet	Протокол, используемый для терминального (возможно удаленного) подключения к хосту.
USENET	Система обсуждения новостей на основе электронной почты, вначале разработанная для коммутируемых соединений, а сейчас использующая TCP/IP.
Вирус	Небольшая программа, которая вставляет саму себя в другие программы при выполнении.
Червь	Программа, которая копирует себя с одной системы на другую по сети.