Зачем разрабатывать политику безопасности для работы в Интернете?

Поможем в ✍️ написании учебной работы

Имя

Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

Нажимая кнопку "Продолжить", я принимаю политику конфиденциальности

Введение

Цель

Этот документ создан для того, чтобы помочь организации создать согласованную политику безопасности для работы в Интернете. Он содержит краткий обзор Интернета и его протоколов. Он рассматривает основные виды использования Интернета и их влияние на политику безопасности. Кроме того, в нем есть примеры политик безопасности для сред с низким, средним и высоким уровнем угроз.

Читатели, которым требуется более общая информация о компьютерной безопасности, могут прочитать NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook.

Для кого эта книга

This document was written for readers involved in policy issues at three distinct levels:

Этот документ был написан для тех, кто участвует в разработке политики безопасности на трех уровнях:

· Лица из верхнего звена управления организацией, которым требуется понимать некоторые риски и последствия использования Интернета, чтобы они могли рационально распределить ресурсы и назначить ответственных за те или иные вопросы.

· Начальники подразделений организации, которым требуется разрабатывать специфические политики безопасности

· Администраторы организации, которым нужно понимать, почему им надо применять те или иные программно-аппаратные средства для защиты, и каковы причины использования организационных мер и правил работы в Интернете, которым им надо будет обучать пользователей Интернета в организации.

Основы Интернета

Интернет - это всемирная "сеть сетей", которая использует для взаимодействия стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol). Интернет был создан для облегчения взаимодействия между организациями, выполняющими правительственные заказы. В 80-е годы к нему подключились учебные заведения, правительственные агентства, коммерческие фирмы и международные организации. В 90-е годы Интернет переживает феноменальный рост. Сейчас к Интернету присоединены миллионы пользователей, приблизительно половина из которых - коммерческие пользователи. Сейчас Интернет используется как основа Национальной Информационной Инфраструктуры США(NII).

Основные типы политики

Термин Политика компьютерной безопасности имеет различное содержание для различных людей. Это может быть директива одного из руководителей организации по организации программы компьютерной безопасности., устанавливающая ее цели и назначающая ответственных за ее выполнение. Или это может быть решение начальника отдела в отношении безопасности электронной почты или факсов. Или это могут быть правила обеспечения безопасности для конкретной системы (это такие типы политик, про которые эксперты в компьютерной безопасности говорят, что они реализуются программно-аппаратными средствами и организационными мерами). В этом документе под политикой компьютерной безопасности будем понимать документ, в котором описаны решения в отношении безопасности. Под это определение подпадают все типы политики, описанные ниже.

При принятии решений администраторы сталкиваются с проблемой совершения выбора на основе учета принципов деятельности организации, соотношения важности целей, и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.

Необходимым элементом политики является принятие решения в отношении данного вопроса. Оно задаст направление деятельности организации. Для того чтобы политика была успешной, важно, чтобы было обоснованно выбрано одно направление из нескольких возможных.

Общие принципы

Что там должно быть

Как описано в "NIST Computer Security Handbook", обычно политика должна включать в себя следующие части:.

Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики - это может помочь добиться соблюдения политики. В отношении политики безопасности в Интернете организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с Интернетом (напрямую или опосредованно) или собственно соединения Интернет. Эта политика также может определять, учитываются ли другие аспекты работы в Интернете, не имеющие отношения к безопасности, такие как персональное использование соединений с Интернетом.

Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться Интернетом и при каких условиях.

Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.

Роли и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в Интернете, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.

Соблюдение политики. Для некоторых видов политик Интернета может оказаться уместным описание, с некоторой степенью детальности, нарушений , которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.

Консультанты по вопросам безопасности и справочная информация. Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности. Они должны уметь разъяснять правила работы в Интернете или правила работы на конкретной системе.

Получение разрешения

Что такое организация? Политика (хорошая политика) может быть написана только для группы людей с близкими целями. Поэтому организации может потребоваться разделить себя на части, если она слишком велика или имеет слишком различные цели, чтобы быть субъектом политики безопасности в Интернете. Например, NIST - это агентство Министерства Торговли(МТ) США. Задачи NIST требуют постоянного взаимодействия с научными организациями в среде открытых систем. К другому подразделению МТ, Бюро переписи, предъявляется требование поддержания конфиденциальности ответов на вопросы при переписи. При таких различных задачах и требованиях разработка общей политики безопасности МТ, наверное, невозможна. Даже внутри NIST существуют большие различия в отношении задач и требований к их выполнению, поэтому большинство политик безопасности Интернета разрабатываются на более низком уровне.

Координация с другими проблемными политиками. Интернет - это только один из множества способов, которыми организация обычно взаимодействует с внешними источниками информации. Политика Интернета должна быть согласована с другими политиками в отношении взаимоотношений с внешним миром. Например:

Физический доступ в здания и на территорию организации. Интернет - это как бы электронная дверь в организацию. В одну и ту же дверь может войти как добро, так и зло. Организация, территория которой открыта для входа, наверное, уже приняла решение на основе анализа рисков, что открытость либо необходима для выполнения организацией своих задач, либо угроза слишком мала, что ей можно пренебречь. Аналогичная логика применима к электронной двери. Тем не менее, существуют серьезные отличия. Физические угрозы более привязаны к конкретному физическому месту. А связь с Интернетом - это связь со всем миром. Организация, чья территория находится в спокойном и безопасном месте, может разрешать вход на свою территорию, но иметь строгую политику в отношении Интернета.

Взаимодействие со средствами массовой информации. Интернет может быть формой для общения с обществом. Многие организации инструктируют сотрудников, как им вести себя с корреспондентами или среди людей при работе. Эти правила следовало бы перенести и на электронное взаимодействие. Многие сотрудники не понимают общественный характер Интернета.

Электронный доступ. Интернет - это не единственная глобальная сеть. Организации используют телефонные сети и другие глобальные сети(например, SPRINT) для организации доступа удаленных пользователей к своим внутренним системам. При соединении с Интернетом и телефонной сетью существуют аналогичные угрозы и уязвимые места.

Примеры описания общих принципов работы в Интернете в политиках

В этом разделе приводятся краткие примеры политик. Конечно, возможны и другие форматы, другая степень детализации. Задача этих примеров - помочь читателю понять принципы их разработки.

Первый пример - организация, которая решила не ограничивать никоим образом взаимодействие с Интернетом. Хотя этот курс и чреват многим опасностями в отношении безопасности, он может оказаться наилучшим выбором для организации, которой требуется открытость или в которой нет постоянного контроля начальников отделов за работой подчиненных. В целом таким организациям можно посоветовать выделить наиболее важные данные и обрабатывать их отдельно. Например, некоторые университеты и колледжи нуждаются в подобной среде для обучения студентов (но не для административных систем).

Второй пример - типовая политика. Внутренние и внешние системы разделяются с помощью брандмауэра. Тем не менее, большинство интернетовских служб все-таки доступны внутренним пользователям. Как правило в качестве брандмауэра используется шлюз, присоединенный к двум сетям или хост-бастион. Тем не менее, этот подход также может быть реализован с помощью криптографии для создания виртуальных частных сетей или туннелей в Интернете.

Третий пример - организация, которой требуется больше безопасности, чем это могут дать интернетовские сервисы. Единственным сервисом, который нужен организации, является электронная почта. Компания обычно имеет информационный сервер в Интернете, но он не соединен с внутренними системами.

Анализ риска

В настоящее время выделение финансовых и человеческих ресурсов на обеспечение безопасности ограничено, и требуется показать прибыль от вложений в них. Инвестиции в информационную безопасность могут рассматриваться как инвестиции для увеличения прибыли путем уменьшения административных затрат на ее поддержание или для защиты от потери прибыли путем предотвращения потенциальных затрат в случае негативных коммерческих последствий. В любом случае стоимость средств обеспечения безопасности должна соответствовать риску и прибыли для той среды, в которой работает ваша организация.

Говоря простым языком, риск - это ситуация, когда угроза использует уязвимое место для нанесения вреда вашей системе. Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. Для того чтобы разработать эффективную и недорогую политику безопасности для защиты соединений с Интернетом, нужно выполнить тот или иной анализ риска для оценки требуемой жесткости политики, который определит необходимые затраты на средства обеспечения безопасности для выполнения требований политики. То, насколько жесткой будет политика, зависит от:

· Уровня угроз, которым подвергается организация и видимость организации из внешнего мира

· Уязвимости организации к последствиям потенциальных инцидентов с безопасностью

· Государственных законов и требований вышестоящих организаций, которые могут явно определять необходимость проведения того или иного вида анализа риска или диктовать применение конкретных средств обеспечения безопасности для конкретных систем, приложений или видов информации.

Отметим, что здесь не учитывается ценность информации или финансовые последствия инцидентов с безопасностью. В прошлом такие оценки стоимости требовались как составная часть формального анализа риска в попытке осуществить оценку ежегодной прибыли при затратах на безопасность. По мере того, как зависимость государственных и коммерческих организаций от глобальных сетей становилась большей, потери от инцидентов с безопасностью, которые практически невозможно оценить в деньгах, стали равными или большими, чем вычисляемые затраты. Время администраторов информационной безопасности может более эффективно потрачено на обеспечение гарантий внедрения "достаточно хорошей безопасности", чем на расчет стоимости чего-либо худшего, чем полная безопасность.

Для организаций, деятельность которых регулируется законами, или которые обрабатывают информацию, от которой зависит жизнь людей, могут оказаться более приемлемыми формальные методы оценки риска. В Интернете есть ряд источников информации по этому вопросу. Следующие разделы содержат методологию для быстрой разработки профиля риска вашей организации.

Угрозы/видимость

Угроза - это любое событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения информации, или отказа в обслуживании критическими сервисами. Угрозы могут быть неумышленными, такими как те, что вызываются ошибками человека, сбоями оборудования или программ, или стихийными бедствиями. Умышленные угрозы могут быть разделены на ряд групп - от логичных (получение чего-либо без денег) до иррациональных (разрушение информации). Типичными угрозами в среде Интернета являются:

· Сбой в работе одной из компонент сети -сбой из-за ошибок при проектировании или ошибок оборудования или программ может привести к отказу в обслуживании или компрометации безопасности из-за неправильного функционирования одной из компонент сети. Выход из строя брандмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев, которые оказывают влияние на безопасность.

· Сканирование информации - неавторизованный просмотр критической информации злоумышленниками или авторизованными пользователями может происходить, используя различные механизмы - электронное письмо с неверным адресатом, распечатка принтера, неправильно сконфигурированные списки управления доступом, совместное использование несколькими людьми одного идентификатора и т.д.

· Использование информации не по назначению - использование информации для целей, отличных от авторизованных, может привести к отказу в обслуживании, излишним затратам, потере репутации. Виновниками этого могут быть как внутренние, так и внешние пользователи.

· Неавторизованное удаление, модификация или раскрытие информации - специальное искажение информационных ценностей, которое может привести к потере целостности или конфиденциальности информации.

· Проникновение - атака неавторизованных людей или систем, которая может привести к отказу в обслуживании или значительным затратам на восстановление после инцидента.

· Маскарад -попытки замаскироваться под авторизованного пользователя для кражи сервисов или информации, или для инициации финансовых транзакций, которые приведут к финансовым потерям или проблемам для организации.

Наличие угрозы необязательно означает, что она нанесет вред. Чтобы стать риском, угроза должна использовать уязвимое место в средствах обеспечения безопасности системы (рассматриваются в следующем разделе) и система должна быть видима из внешнего мира. Видимость системы - это мера как интереса злоумышленников к этой системе, так и количества информации, доступной для общего пользования на этой системе.

Все организации, имеющие доступ к Интернету, в некоторой степени видимы для внешнего мира хотя бы с помощью своего имени в DNS. Тем не менее, некоторые организации видимы более, чем другие, и уровень видимости может меняться регулярным образом или в зависимости от каких-нибудь событий. Так Служба Внутреннего Контроля более видна, чем Орнитологический Отдел. Exxon стал более видимым после катастрофы в Valdez, а MFS стал менее видимым после приобретения его WorldCom.

Так как многие угрозы, основанные на Интернете, являются вероятностными по своей природе, уровень видимости организации напрямую определяет вероятность того, что враждебные агенты будут пытаться нанести вред с помощью той или иной угрозы. В Интернете любопытные студенты, подростки-вандалы, криминальные элементы, промышленные шпионы могут являться носителями угрозы. По мере того как использованеи глобальных сетей для электронной коммерции и критических задач увеличивается, число атак криминальных элементов и шпионов будет увеличиваться.

Уязвимость/последствия

Организации по-разному уязвимы к риску. Политики безопасности должны отражать уязвимость конкретной организации к различным типам инцидентов с безопасностью и делать приоритетными инвестиции в области наибольшей уязвимости.

Имеется два фактора, определяющих уязвимость организации. Первый фактор - последствия инцидента с безопасностью. Почти все организации уязвимы к финансовым потерям - устранение последствий инцидентов с безопасностью может потребовать значительных вложений, даже если пострадали некритические сервисы. Тем не менее , средства переноса риска (страхование или пункты в договорах) могут гарантировать, что даже финансовые потери не приведут к кризису организации.

Одним из важных шагов при определении возможных последствий является ведение реестра информационных ценностей, обсуждаемое более детально в пункте 3.4. Хотя это и кажется простым, поддержание точного списка систем , сетей, компьютеров и баз данных, использующихся в организации, является сложной задачей. Организации должны объединить этот список с результатами работ по классификации данных, рассматриваемыми в пункте 3.7, в ходе которых информация, хранимая в онлайновом режиме, классифицируется по степени важности для выполнения организацией своих задач.

Более серьезные последствия возникают, когда нарушается внутренняя работа организации, что приводит к убыткам из-за упущенных возможностей, потерь рабочего времени и работ по восстановлению работы. Самые серьезные последствия - это когда затрагиваются внешние функции, такие как доставка продукции потребителям или прием заказов. Эти последствия инцидента с безопасностью напрямую вызывают финансовые убытки из-за нарушения работы служб, или из-за потенциальной потери доверия клиентов в будущем.

Второй фактор - это учет политических или организационных последствий. В некоторых корпорациях верхний уровень руководства организацией может подумать, прочитав статью в известной газете о проникновении в их сеть, что произошла катастрофа, даже если при это организация не понесла никаких финансовых убытков. В более открытых средах, таких как университеты или научные центры, руководство может на основании инцидента принять решение о введении ограничений на доступ. Эти факторы надо учитывать при определении уязвимости организации к инцидентам с безопасностью.

Матрица профиля

Таблица 3.1 Матрица профиля риска

Угрозы	Рейтинг	Видимость	Рейтинг	Число очков
Ни одна из угроз не считается реальной	1	Очень маленькая	1
Возможность возникновения угроз тяжело оценить	3	Средняя, периодические публикации об организации	3
Угрозы реальны, имел место ряд случаев их возникновения	5	Большая, постоянные публикации об организации	5
Последствия	Рейтинг	Уязвимость	Рейтинг	Число очков
Финансовых потерь не будет, возможные последствия учтены в бюджете или предприняты меры по переносу риска	1	Инциденты считаются приемлемыми как необходимое условие бизнеса; руководство организации с пониманием относится к этому	1
Будут затронуты внутренние функции организации, превышен бюджет, потеряны возможности получить прибыль	3	Инцидент повлияет на позицию среднего звена управления, исчезнет доброжелательное отношение начальства к безопасности	3
Будут затронуты внешние функции организации, нанесен большой финаносвый ущерб	5	Руководители организации станут жестче относиться к безопасности ,пострадают взаимоотношения с деловыми партнерами	5
	Общее число очков:

Рейтинг: Значение для угроз умножается на значение для видимости, а значение для последствий умножается на значение для уязвимости. Затем эти два числа складываются:

· 2 - 10: низкий риск

· 11 - 29: средний риск

· 30 - 50: высокий риск

Система общего назначения

Система общего назначения - это "взаимосвязанный набор информационных ресурсов, которые находятся под единым административным управлением, позволяющих решать общие(неспецифические) задачи или обеспечивать их выполнение". Обычно задачей систем общего назначения является обеспечение обработки или взаимодействия между приложениями. Системы общего назначения включают в себя компьютеры, сети и программы, которые обеспечивают работу большого числа приложений, и обычно администрируются и сопровождаются отделом автоматизации в организации.

Политика безопасности для систем общего назначения как правило применима и для Интернета, так как сервера, коммуникационные программы и шлюзы, обеспечивающие связь с Интернетом, обычно находятся под единым управлением.

Критические приложения

Все приложения требуют некоторого уровня безопасности, и адекватная безопасность для большинства из них обеспечивается средствами безопасности систем общего назначения, в рамках которых они функционируют. Тем не менее, некоторые приложения, из-за специфического характера хранимой и обрабатываемой в них информации, требуют специальных мер контроля и считаются критическими. Критическое приложение - это задача, решаемая с помощью компьютеров или сетей, от успешности решения которой серьезно зависит возможность существования организации или выполнения ею своего назначения.

Примерами критических приложений могут служить системы биллинга, учета заработной платы, другие финансовые системы и т.д. Так как большинство пользователей тратит основную часть своего времени на взаимодействие с одним из критических приложений, требуется включение курсов по информационной безопасности в программы переподготовки кадров для этих систем.

Большинство критических приложений сейчас не требуют связи с Интернетом, тем не менее, эта ситуация изменится в будущем. Современные операционные системы включают в себя возможности для связи с Интернетом.

Классификация данных

Для того чтобы разработать эффективную политику безопасности, информация, хранимая или обрабатываемая в организации, должна быть классифицирована в соответствии с ее критичностью к потере конфиденциальности. На основе этой классификации потом можно легко разработать политику для разрешения (или запрещения) доступа к Интернету или для передачи информации по Интернету.

Большинство организаций используют такие классы, как "Коммерческая тайна" и "Для служебного пользования" . Классы, используемые в политике информационной безопасности, должны быть согласованы с другими существующими классами.

Данные должны быть разбиты на 4 класса безопасности, каждый из которых имеет свои требования по обеспечению безопасности - КРИТИЧЕСКАЯ ИНФОРМАЦИЯ, КОММЕРЧЕСКАЯ ТАЙНА, ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ и ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ. Эта система классификации должна использоваться во всей организации. Лица, ответственные за информационные ценности, отвечают за назначение им класса , и этот процесс должен контролироваться руководством организации. Классы определяются следующим образом:

· КРИТИЧЕСКАЯ ИНФОРМАЦИЯ: Этот класс применяется к информации, требующей специальных мер безопасности для обеспечения гарантий ее целостности, чтобы защитить ее от неавторизованной модификации или удаления. Это - информация, которая требует более высоких гарантий чем обычно в отношении ее точности и полноты. Примерами информации этого класса может служить информация о финансовых операциях или распоряжения руководства.

· КОММЕРЧЕСКАЯ ТАЙНА: Этот класс применяется к наиболее критической коммерческой информации, которая предназначена для использования ТОЛЬКО внутри организации, если только ее разглашение не требуется различными законодательными актами. Ее неавторизованное разглашение может нанести серьезный вред организации, ее акционерам, деловым партнерам, и/или клиентам.

· ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ: этот класс применяется к информации о человеке, использование которой разрешено только внутри организации. Ее неавторизованное раскрытие может нанести серьезный вред организации и/или ее служащим.

· ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ: Этот класс применяется ко всей остальной информации, которая не попадает ни в один из указанных выше классов. Хотя ее неавторизованное раскрытие нарушает политику, оно не может нанести какого-либо вреда организации, ее служащим и/или клиентам.

4. Коммерческие требования

Коммерческие и другие организации используют Интернет потому,что он предоставляет полезные сервисы. Организации должны принять решение - будут ли использоваться или нет сервисы на базе Интернета на основании анализа бизнес-плана или плана развития информационных технологий. Другими словами, организации должны проанализировать свои потребности, выявить потенциальные методы их удовлетворения и уточнить их после учета требований со стороны безопасности помимо влияния других факторов.

Большинство организаций используют Интернет-сервисы для того, чтобы обеспечить улучшенное взаимодействие между подразделениями организации, или между организацией и ее клиентами, или чтобы сократить расходы на автоматизацию коммерческой деятельности. Безопасность должна учитываться прежде всего - один инцидент с безопасностью может зачеркнуть любые финансовые выгоды, предоставляемые соединением с Интернетом.

Может также существовать несколько технологических решений для удовлетворения коммерческих потребностей организации, некоторые из которых могут быть обезопасены легче, чем другие. Рисунок 4.1 показывает типичную сетевую архитектуру в организации для использования Интернета.

Оставшаяся часть этой главы кратко рассматривает основные сервисы, обеспечиваемые связью с Интернетом. В ней также будет указано с помощью каких средств безопасности надо защищать эти сервисы. В таблице 4.2 показано соответствие между имеющимися средствами безопасности и Интернет-сервисами, часто используемыми организациями. Крестики показывают, какие средства безопасности часто используются для организации безопасной работы данного сервиса. Некоторые из средств, такие как улаживание последствий инцидентов с безопасностью, обеспечивают безопасность для всех сервисов, в таких случаях знак стоит напротив тех сервисов, для которых данное средство необходимо.

Таблица 4.2 Использование средств безопасности для защиты сервисов

	Идентификация и аутентификация	Управление доступом	Брандмауэр	Средства контроля импортируемых про-грамм	Шифро- вание	Архитектура	Устранение последствий инцидентов	Организа- ционные меры
Удаленный доступ	X	X	X		X			X
Электронная почта	X			X	X			X
Публикация информации		X	X			X		X
Исследования		X	X	X		X		X
Электронная коммерция	X	X	X	X	X	X	X	X
Постоянная доступность						X		X
Легкость использования						X		X

Удаленный доступ

В настоящее время коммерческая деятельность все больше требует удаленного доступа к своим информационным системам. Это может объясняться необходимостью доступа сотрудников в командировках к своему электронному почтовому ящику, или необходимостью для продавцов удаленного ввода заказов на продукцию. По своей природе удаленный доступ к компьютерным системам приводит к появлению новых уязвимых мест в них из-за увеличения точек доступа к ним.

Существует три основных режима удаленного доступа:

· Удаленный доступ к сервису - при этом виде доступ обычно ограничивается удаленным доступом к одному сервису, обычно почте. Такие продукты как Lotus Notes и cc:Mail поддерживают удаленный доступ к этим продуктам без предоставления доступа к каким-либо другим сетевым сервисам. Этот режим обычно является самым безопасным - число уязвимых мест ограничено.

· Удаленное управление позволяет удаленному пользователю управлять персональным компьютером, физически расположенным в корпоративной сети организации. Это может быть специальная компьютерная система или обычный компьютер, стоящий на рабочем месте пользователя. Удаленный компьютер используется только как клавиатура и дисплей. Удаленное управление ограничивает удаленных пользователей доступом к тем программам, которые запущены на корпоративном компьютере, что является плюсом с точки зрения безопасности. Некоторые продукты совместного удаленного доступа нескольких пользователей поддерживают также хороший аудит и протоколирование действий пользователей.

· При работе в режиме удаленного узла сети, удаленный компьютер соединяется с сервером удаленного доступа, который назначает удаленному компьютеру сетевой адрес. Все работающие программы находятся на удаленном компьютере вместе с локальной памятью. Режим удаленного узла предоставляет удаленным пользоваетлям доступ ко всем сетевым сервисам, если только не используется программы управления доступом. Режим удаленного узла стал самой популярной формой удаленного доступа, но его использование приводит к появлению наивысшего уровня уязвимости корпоративных систем.

Эти формы удаленого доступа могут быть реализованы с помощью коммутируемого соединения, сеансов telnetа, или использования программных продуктов, обеспечивающих удаленный доступ. Следующие разделы описывают уязвимые места различных методов удаленного доступа.

Коммутируемое соединение

Удаленный доступ по телефонным каналам стал самой популярной формой удаленного доступа. Обычно удаленный компьютер использует аналоговый модем для дозвона до модема в режиме автоответа, подключенного к корпоративному компьютеру. Методы обеспечения безопасности этого соединения включают:

· Ограничение круга лиц, знающих о номерах телефонов, к которым подключены модемы - этот подход уязвим к автоматизированным атакам с помощью "боевых диалеров", простых программ, использующих модемы с автодозвоном для сканирования блоков телефонных номеров и выявления номеров с модемами.

· Использование пар имя-пароль - так как атакующему нужно подключиться к телефонной линии, чтобы узнать имя и пароль, коммутируемые соединения менее уязвимы к атакам с помощью перехватчиков паролей, которые делают многократно используемые пароли практическими бесполезными с глобальных сетях. Тем не менее, использование перехватчиков паролей на внутренних сетях, выбор в качестве паролей легко угадываемых слов, и социальная инженерия делают получение паролей легким. Часто злоумышленники представляются сотрудниками отделов технической поддержки для того, чтобы узнать у законных пользователей их пароли.

· Усиленная аутентификация - существует много методов, которые могут быть использованы для обеспечения или замены обычных паролей. Эти методы включают:

· Модемы с обратным звонком - эти устройства требуют от пользователя ввести имя и пароль при установлении соединения. Затем корпоративный модем разрывает соединение и ищет авторизованный номер телефона для данного пользователя. После этого он сам звонит по этому номеру и устанавливает соединение. Пользователь снова вводит имя и пароль для установления соединения. Этот подход уязвим к атакам переназначения звонка, и не обеспечивает гибкости, требуемой для установления соединения с отелями и аэропортами.

· Одноразовые пароли - системы запрос-ответ на основе криптографии, такие как S/Key Bellcore, и SecurID Security Dynamics. Они требуют, чтобы пользователь использовал программный или аппаратный генератор паролей. Эти устройства создают уникальный пароль для каждого сеанса и требуют, чтобы пользователь как знал имя и пароль, так и обладал генератором паролей. Хотя этот метод все-таки уязвим к атакам повтора сеанса, именно этот подход обеспечивает минимально допустимый уровень безопасности для большинства соединений с удаленным доступом.

· Аутентификация на основе местонахождения удаленного пользователя - новые технологии аутентификации используют такие технологии, как системы глобального позиционирования для реализации аутентификации на основе местонахождения. Если пользователь осуществляет соединение не из авторизованного места, доступ запрещен. Эта технология все еще ненадежна, дорога и сложна в использовании. Но она может оказаться уместной для многих приложений. Уязвимости при ее использовании связаны с возможностью атакующего дать фальшивую информацию о своем местонахождении. Большинство подходов используют криптографию для защиты от такой формы атаки.

В заключение можно сказать, что коммутируемый доступ обеспечивает злоумышленников точкой доступа к сети организации, даже если у организации нет доступа к Интернету.

Telnet/X Windows

Telnet и команды удаленного подключения к компьютеру, обеспечиваемые Unix, предоставляют возможность подключиться в режиме терминала к компьютеру по сети. Многие персональные компьютеры имеют TCP/IP-программы, которые предоставляют возможности telnet (В состав Windows'95 также входит такая возможность). По сути Telnet предоставляет подключение удаленного клиента в режиме текстового терминала к главному компьютеру по сети. Telnet обычно требует посылки пары имя-пароль по сетевому соединению в незашифрованном виде - серьезное уязвимое место с точки зрения безопасности.

X Windows предоставляет возможность удаленного подключения к компьютеру, поддерживающего графический интерфейс с пользователем, и передающего экранные образы, перемещения мыши и коды клавиш, нажатых пользователем, по сети. X Windows имеет слабые возможности по обеспечению безопасности, которые часто обходятся пользователями для упрощения процесса соединения.

Переносные компьютеры

В последние годы их использование значительно возросло из-за падения цен на них, уменьшения веса и размера. Рыночные исследования фирмы International Data Corporation показали, что в 1995 году одна четверть компьютеров были компьютерами-лаптопами. Большинство лаптопов, используемых коммерческими и государственными организациями, имеют высокоскоростные модемы, диски емкостью от 500Мб и выше. На них запускается большое число коммуникационных программ. Все чаще для использования их на рабочем месте применяются порты-расширители. Менее часто используется перенос дисковых накопителей на основе PCMCIA-карт между переносным компьютером и настольным компьютером в офисе.

Портативные компьютеры используются для решения коммерческих задач и часто с их помощью осуществляется удаленный доступ к корпоративным сетям. Хотя механизмы, используемые при соединении, те же самые, что и описанные выше (коммутируемый доступ, telnet и т.д.), использование переносных компьютеров приводит к появлению новых уязвимых мест.

· Местоположение удаленного компьютера может часто меняться, может быть каждый день. Модемы с обратным дозвоном обычно бесполезны в такой ситуации.

· Удаленный компьютер часто используется в общественных местах, таких как самолеты и аэропорты. С помощью подглядывания из-за плеча могут быть раскрыты данные и пароли.

· Удаленный компьютер часто оставляется без присмотра в относительно небезопасных местах, таких как номер в отеле или арендованный автомобиль. Данные, хранимые на диске, уязвимы к копированию или неавторизованному чтению.

· Удаленные компьютеры часто теряются или крадутся в ходе командировок сотрудников, что приводит к компрометации всей информации. Служащие часто не хотят сразу сообщать о потере, что делает вполне возможным удаленный доступ злоумышленника. Некоторые большие организации (в которых используется более 4000 переносных компьютеров) теряют в среднем один портативный компьютер в неделю.

· Переносные компьютеры используют внутренние модемы для коммутируемого доступа, причем та же PCMCIA-карта (вернее встроенный в нее интерфейс с ЛВС) используется для доступа к сети организации, когда лаптоп находится в офисе. Если на работе имеется доступ к телефону, то встроенный модем может использоваться для организации коммутируемых входящих и выходящих соединений с BBS или провайдером Интернета.

Пользователи переносных компьютеров все чаще являются также пользователями сотовых телефонов, и ведут по нему разговоры, в которых раскрывается важная информация, связанная с безопасностью. Разговор по сотовому телефону уязвим к перехвату его криминальными элементами, конкурентами или журналистами. Использование сотовых или других форм радиомодемов для передачи данных увеличивает уровень уязвимости.

Электронная почта

Хотя мультимедийная форма WWW привлекает основное внимание, именно электронная почта способствовала росту Интернета. Использование электронной почты для осуществления важных деловых взаимодействий растет быстрыми темпами. Хотя электронная почта является дешевым способом взаимодействия с клиентами, деловыми партнерами, с ее использованием связан ряд проблем с безопасностью:

· Адреса электронной почты в Интернете легко подделать. Практически нельзя сказать наверняка, кто написал и послал электронное письмо только на основе его адреса.

· Электронные письма могут быть легко модифицированы. Стандартное SMTP-письмо не содержит средств проверки целостности.

· Существует ряд мест, где содержимое письма может быть прочитано теми, кому оно не предназначено. Электронное письмо скорее похоже на открытку - его могут прочитать на каждой промежуточной станции.

· Обычно нет гарантий доставки электронного письма. Хотя некоторые почтовые системы предоставляют вам возможность получить сообщение о доставке, часто такие уведомления означают лишь то, что почтовый сервер получателя (а не обязательно сам пользователь) получил сообщение.

Эти уязвимые места делают важным для организации разработку политики, определяющей допустимое использование электронной почты для коммерческих целей.

Публикация информации

Интернет серьезно упрощает задачу предоставления информации гражданам общества, клиентам организации и деловым партнерам - по крайней мере тем, кто имеет компьютер, подключенный к Интернету. Сегодня в США около 35 процентов домов имеют персональные компьютеры, и только половина из них подключена к Интернету. Наверное только через несколько лет электронная публикация сможет догнать публикацию в газетах и журналах.

Тем не менее, любое использование средств электронной публикации информации, которое уменьшает число запросов информации по телефону или по почте, может помочь организации сократить расходы на эту статью и принести дополнительные прибыли. Существуют два вида публикации информации - принудительная и по инициативе читателя. Подписка на журналы - пример принудительной публикации - информация регулярно посылается подписчикам. Газетные киоски - пример публикации по инициативе читателя - читатели должны захотеть получить информацию.

Электронный эквивалент принудительной публикации - создание списка рассылки, в котором информация посылается всем, подписанным на этот список. Обычно для посылки сообщений в список рассылки, а также для включения в список рассылки или удаления из него используется специальная программа - сервер списка рассылки. Сервера списков рассылки относительно безопасны в том отношении, что пользователям не нужно иметь соединение с сетью организации, публикующей информацию, для получения информации. Тем не менее, они имеют несколько уязвимых мест:

· Программа-сервер рассылки обрабатывает данные от пользователей для включения их в список, для удаления из их списка, или получения информации о самом списке. Существует много бесплатных программ-серверов рассылки, и ряд из них не проверяет до конца введенные пользователем данные. Злоумышленники могут послать команды Unix или очень большие строки для того, чтобы вызвать непредусмотренные режимы работы или совершить проникновение путем переполнения буфера.

· При неправильном конфигурировании сервер рассылки может сделать видимым список подписчиков для каждого подписчика. Это может дать информацию для проведения в дальнейшем атаки "отказ в обслуживании" или "социальная инженерия"

Существует два электронных эквивалента публикации по инициативе читателя, используемых в Интернете, - FTP-серверы и WWW-серверы. Оба они успешно заменили электронные доски объявлений(BBS), хотя ряд BBS все еще используются в правительственных учреждениях США.

Для предоставления FTP-сервиса в Интернете, практически все, что нужно - это компьютер и подключение к Интернету. FTP-сервера могут быть установлены на любой компьютер, работающий под управлением Unix, а также на многие, работающие под управлением Microsoft Windows. Имеется много коммерческих и бесплатных версий программ для FTP, часто как часть стека TCP/IP, обеспечивающего драйверы для подключения к сервисам Интернет. Они могут позволять осуществлять полностью анонимный доступ, где не требуются пароли, или они могут сконфигурированы так, что будут требовать для получения доступа к сервису пары имя-пароль. FTP-сервера обеспечивают простой интерфейс, напоминающий стандартный интерфейс Unix для работы с файлами. Пользователи могут получить файлы, а затем просмотреть их или выполнить, если у них есть соответствующие программы.

Если FTP-сервер неправильно сконфигурирован, он может предоставлять к ЛЮБОМУ файлу на компьютере-сервере, или даже в сети, присоединенной к этому компьютеру. FTP-сервера должны ограничивать доступ отдельным деревом поддиректорий, и требовать имя и пароль при необходимости.

Если вы не жили на необитаемом острове последние несколько лет, вы наверное знаете о колоссальном росте Всемирной паутины (WWW). Веб-сервера предоставляют дешевый способ публикации информации, содержащей текст, встроенные рисунки, или даже аудио и видео. Использование стандартов Гипертекстового Языка Разметки Документов (HTML) и Протокола передачи гипертекстовой информации(HTTP) позволяет пользователям легко копировать и просматривать Web-документы, несмотря на большое разнообразие клиентских платформ .

Хотя разработка профессионального веб-сайта сложна и дорога, любой компьютер, подключенный к Интернету, может выступить в роли веб-сервера. Имеется большое число как коммерческих, так и бесплатных программ WWW-сервера для различных операционных систем. Многие последние версии операционных систем включают программ, необходимые для организации веб-сервера, а также полезные программы-мастера, позволяющие автоматизировать установку и конфигурирование.

Как и FTP-сервера, WWW-сервера могут приводить к появлению серьезных уязвимых мест в корпоративных сетях при неправильной конфигурации. Смотрите раздел WWW для более подробной информации о политике безопасности для WWW- и FTP-серверов.

Исследования

Проведение исследований с помощью Интернета включает в себя использование клиентских программ для поиска и чтения информации с удаленных серверов. Клиентские программы могут быть следующих типов:

· FTP - FTP-программы позволяют подключаться к удаленным системам, просматривать файловые структуры на них, и загружать оттуда файлы

· Gopher - разработан в университете Миннесоты, он по существу предоставляет графический интерфейс для выполнения просмотра и загрузки файлов в встиле FTP

· World Wide Web - веб-браузеры гораздо более удобны для чтения информации в Интернете. Программа-клиент для просмотра информации в WWW обычно имеет возможности FTP-клиента и Gopher-клиента, помимо расширенных возможностей мультимедиа.

· Специфические системы - существует ряд информационных систем на основе Интернета, которые требуют использования специальной программы-клиента, а не веб-браузера. Как правило они предоставляют доступ к информации, защищенной авторскими правами или информации, хранимой в реляционных базах данных.

Основной риск, связанный с использованием Интернета для исследований - это возможность занесения вирусов или других РПС. С появлением "макро-вирусов", которые содержатся в стандартных документах текстовых процессоров, загрузка документов стала такой же рискованной, как и загрузка выполняемых файлов. Кроме того, доступность "приложений-помощников" и загружаемых "апплетов" для обеспечения отображения файлов специальных форматов (таких, как PostScript) увеличила риск троянских коней. Смотрите политику для этой области в разделах про импорт программ и WWW.

Вторичным риском являются следы, которые программы-клиенты оставляют при просмотре содержимого информационных серверов в Интернете. Большинство серверов имеет возможность записывать как минимум IP-адрес клиента, а веб-сервера могут часть получить информацию о типе используемого браузера, последнем посещенном сайте, и адресе электронной почты, используемой в браузере, а также другую критическую информацию. Помимо этого, программа веб-сервера может сохранять файл "визиток"(cookie) на компьютере, где находится браузер, что позволяет серверу отслеживать визиты клиента на сервер и посещаемые им области.

Электронная коммерция

Использование компьютеров и сетей претерпело три фазы, или "волны":

· Базовая автоматизация офиса - в эпоху мэйнфреймов с помощью компьютеров выполнялись такие функции, как биллинг, финансовые операции, ведение кадровых список.

· Сквозная автоматизация офиса - после появления ПЭВМ и локальных сетей с помощью компьютеров стали выполняться такие функции, как набор текстов, деловая переписка, финансовый анализ и т.д.

· Автоматизация взаимодействия с клиентами - после того, как ПЭВМ стали обычным явлением как дома, так и в оффисе, а Интернет сделал дешевым взаимодействие, контакты между компаниями и их клиентами (людьми, другими компаниями и т.д.) стали все чаще осуществляться с помощью компьютера.

Взаимодействие покупателя с продавцом с помощью компьютеров и сетей и есть электронная коммерция. В целях изучения безопасности мы разделим электронную коммерцию на 4 класса: электронная почта, электронный обмен данными, информационные транзакции и финансовые транзакции. Электронная почта была рассмотрена выше, следующие разделы будут описывать оставшиеся 3 класса.

Электронный обмен данными

Электронный обмен данными(EDI) - это термин, не нуждающийся в пояснениях. Простейшей его формой является обмен информацией между двумя бизнес-субъектами (называемых в EDI торговыми партнерами) в стандартизованном формате. Базовой единицей обмена является набор транзакций, который в общем соответствует стандартному бизнес-документу, такому как платежное поручение или накладная на товар. С помощью стандартов, основу которых составляют X.9 и UN/EDIFACT, деловое сообщество разработало группу стандартных наборов транзакций.

Каждый набор транзакций состоит из большого числа элементов данных, требуемых для данного бизнес-документа, каждый из которых имеет свой формат и место среди других элементов данных. Если транзакция содержит более , чем одну транзакцию(несколько платежных поручений в одну фирму), то группе транзакций будет предшествовать заголовок функциональной группы, а за группой будет следовать концевик функциональной группы.

Компании стали использовать EDI, чтобы уменьшить время и затраты на контакты с поставщиками. Так в автомобильной промышленности большие компании требовали от поставщиков использовать EDI для всех транзакций, что позволило сохранить огромное количество бумаги и значительно ускорить процесс поставки и сократить усилия на поддержание актуальности баз данных. Обычно для выполнения EDI-транзакций использовались частные глобальные сети, которые были дешевле, чем аренда выделенных линий, но предоставляли сервис надежной и безопасной доставки.

Интернет может обеспечить возможности взаимодействия, необходимые для EDI, по низким ценам. Но Интернет не обеспечивает сервисов безопасности (целостности, конфиденциальности, контроля участников взаимодействия), требуемых для EDI. Как и электронная почта в Интернете, транзакции EDI уязвимы к модификации, компрометации или уничтожению при посылке через Интернет. Использование криптографии для обеспечения требуемых сервисов безопасности изменило положение, и многие компании и правительственные агентства перешли на EDI в Интернете.

Информационные транзакции

Обеспечение информацией - основной и дорогой элемент коммерции. Информация в коммерции может иметь несколько форм:

· Статические данные, такие как историческая информация, карты и т.д.

· Корпоративная информация, такая как телефонные номера, адреса, структура организации и т.д.

· Информация о продукции или об услугах

· Платная информация, такая как новости, периодические издания, доступ к базам данных и т.д.

Использование Интернета для предоставления этих сервисов гораздо дешевле, чем использование факса, телефона или обычной почты. Потенциальные клиенты могут искать и получать информацию в нужном им темпе, и это не будет требовать дополнительных затрат на службу технического сопровождения.

Обычно такие информационные сервисы используют WWW как базовый механизм для предоставления информации. Целостность и доступность предоставляемой информации - главные проблемы обеспечения безопасности, требующие применения средств безопасности и создания политики безопасности.

Финансовые транзакции

Так или иначе, но компьютеры и сети давно используются для обработки финансовых транзакций. Перевод денег со счета на счет в электронном виде используется для транзакций банк-банк, а банкоматы используются для операций клиент-банк. Авторизация покупателя с помощью кредитных карт выполняется с помощью телефонных линий и сетей передачи данных.

Для поддержания безопасности этих транзакций они выполняются с помощью частных сетей или шифруются. Использование частных глобальных сетей (как и для EDI) ограничивало возможности взаимодействия. И только Интернет дал дешевую возможность осуществлять финансовые транзакции.

Существует три основных класса финансовых транзакций и пять основных типов механизмов платежа:

Таблица 4.3. Платежи и финансовые транзакции

	Наличные	Чек	Дебит	Кредит	Электронный перевод фондов
Компания-компания		Основной			Вспомогательный
Компания-клиент	Основной	Вспомогательный	Вспомогательный	Вспомогательный
Клиент-клиент	Основной	Вспомогательный

Использование Интернета для выполнения этих типов транзакций позволяет заменить представление или показ наличных, чеков, кредитных карт их электронными эквивалентами:

· Наличные - сейчас существует ряд конкурирующих подходов для реализации электронных денег, реализация которых еще находится на стадии разработки. Все эти методы используют криптографию для создания безопасных цифровых "бумажников", в которых хранится цифровая наличность. Передача электронных денег необязательно требует участия финансовых учреждений в качестве промежуточной стадии.

· Чеки - банковская индустрия разрабатывает стандарт для электронных чеков, определяющий как информация, содержащаяся в физических чеках, должна представляться в электронном сообщении. Электронные чеки всегда требуют участия финансовых учреждений при их передаче.

· Дебитовые карты - смарт-карты и карты с памятью могут хранить электронные деньги рядом способов. Каждая транзакция дебитует определенное количество, пока карта не опустеет. Карты с памятью не требуют использования финансовых учреждений.

· Кредитные карты - основные игроки в индустрии кредитных карт(Visa, Master Card, и American Express) разработали стандарт для выполнения транзакций с кредитными картами по глобальным сетям. Известный под названием Безопасные Электронные Транзакции (Secure Electronic Transactions), этот стандарт определяет трехэтапные транзакции между клиентом, продавцом и владельцем дебита кредитной карты, обычно банком. Транзакции электронных кредитных карт, использующие SET, всегда требуют участия финансового учреждения.

· Электронный перевод фондов(EFT) - он использует криптографию для обеспечения безопасности перевода фондов между банками и другими финансовыми учреждениями. Клиенты могут авторизовать банки на посылку и прием платежей с помощью EFT для клиента.

Каждая из этих форм электронных финансовых транзакций включает использование криптографии для обеспечения целостности, конфиденциальности, аутентификации и контроля участников взаимодействия.

Легкость использования

Состав пользователей многих систем, подключенных к Интернету, может быть весьма разнообразным - от секретарей до ученых, от новичков до опытных пользователей. Частым бизнес-требованием является требование, чтобы все приложения можно было легко использовать среднему пользователю. Это требование трудно оценить, но с точки зрения безопасности часто оно переводится так: "если средство безопасности становится помехой людям при выполнении ими своей работы, вы должны отключить такое средство".

Двумя составными элементами легкости использования являются уменьшение числа раз, когда пользователь должен аутентифицироваться в системе и разработка интерфейса пользователей со средствами безопасности таким, чтобы он соответствовал уровню или предпочтениям пользователей системы. Эти вопросы обсуждаются в следующих разделах.

Единовременная регистрация

Для выполнения своих повседневных задач пользователю может понадобиться зарегистрироваться на большом числе компьютеров и сетей. Часто каждая система требует от пользователя ввода имени и пароля. Так как запоминание большого числа паролей для пользователей является трудным, это ведет к тому, что пароли пишутся на бумаге (и часто на мониторах ПЭВМ) или забываются. Другой реакцией пользователя является использование одного и того же пароля на всех компьютерах. Тем не менее, разные системы могут иметь различные правила для паролей или иметь различные периоды проверки корректности пароля, что может снова привести пользователей к записыванию нескольких паролей на бумаге.

Системы с одной аутентификацией в начале работы делают использование нескольких паролей прозрачным для пользователя. Это реализуется несколькими способами:

· Некоторые системы просто создают скрипты, содержащие пары имя-пароль и команды входа в удаленные системы. Это освобождает пользователя от хлопот, но переносит их на обслуживающий персонал, которому требуется поддержание скриптов. Такие скрипты часто требуют безопасного хранения, и их неавторизованное использование может дать доступ ко всем системам, на которых зарегистрирован пользователь.

· Другой подход базируется на Kerberos и использует криптографию для передачи привилегий пользователя сети или серверу, к которому пользователю нужен доступ. Эти системы требуют создания и работы серверов привилегий, а также интеграции этой технологии в каждую систему, к которой должен иметь доступ пользователь.

Примеры областей, для которых нужны политики

Ряд вопросов возникает после того, как вы прочитали в предыдущей главе про необходимость обеспечения той или иной комбинации бизнес-требований для работы в Интернете. Какие программно-аппаратные средства и организационные меры должны быть реализованы, чтобы удовлетворить потребности организации? Каков наш профиль риска? Каковы должны быть наши этические нормы для того, чтобы организация могла решать свои задачи с помощью Интернета? Кто за что должен отвечать? Основа ответов на подобные вопросы - это концептуальная политика безопасности для организации.

Следующие разделы содержат фрагменты гипотетических политик безопасности в отношении безопасной работы в Интернете. Эти фрагменты были разработаны на основе анализа основных типов средств безопасности (например, контроля за импортом, шифрования, архитектуры системы). Приводятся обоснования выбора именно таких политик, за которыми следуют сами тексты абзацев политики, выделенные в отдельный абзац с курсивом.

Каждая часть содержит несколько политик для использования при различных профилях риска, рассмотренных в главе 3. Для некоторых областей приводится несколько примеров для одного уровня риска, чтобы показать различные способы реализации безопасности.

Политики безопасности можно разделить на две категории - технические политики, реализуемые с помощью оборудования и программ, и административные политики - выполняемые людьми, использующими систему и людьми, управляющими ей.

Примеры различных инфраструктур распространения сертификатов

· С помощью сертификатов 1 уровня проверяют истинность адресов электронной почты. Это делается с помощью персонального информационного номера, который пользователь должен сообщить при своей регистрации в системе сертификатов. Сертификаты этого уровня могут также содержать имя пользователя, а также адрес электронной почты, но идентификационная информация в сертификате может не быть уникальной.

· С помощью сертификатов 2 уровня проверяют истинность имени пользователя, его адреса и другой уникальной персональной информации или информации, связанной с получением кредитов.

· Сертификаты 3 уровня используются внутри организаций. В их состав входит фотография сотрудника помимо другой информации, содержащейся в сертификате 2 уровня.

После получения сертификата он может быть загружен в программу электронной почты или веб-браузер, в котором он будет использоваться для удостоверения личности пользователя при запросе веб-сайта или при другой ситуации. Для эффективного использования таких систем нужны доверенные сертификационные центры, иначе могут появиться фальшивые сертификаты.

Во многих современных веб-серверах и веб-браузерах имеются возможности по использованию электронных сертификатов. SSL - это технология, используемая в большинстве веб-приложений. SSL версии 2.0 поддерживает усиленную аутентификацию на веб-сервере, а SSL 3.0 добавил поддержку аутентификации клиента. После того, как обе стороны произвели взаимную аутентификацию, все данные, передаваемые в ходе сеанса шифруются, обеспечивая защиту как от перехвата данных, так и от вставки данных в сеанс. Электронные сертификаты используют стандарт X.509, содержат в себе информацию о том, кто выдал сертификат, период его использования, и другую информацию.

Но даже при использовании электронных сертификатов пароли продолжают играть важную роль. Так как сертификат хранится в компьютере, он может быть использован только для аутентификации компьютера, а не пользователя, если только пользователь не осуществляет свою аутентификацию при использовании компьютера. Очень часто используются для этого пароли или ключевые фразы, возможно в будущем будут использоваться смарт-карты.

Любые системы организации, доступ к которым должен быть ограничен из Интернета, должны использовать электронные сертификаты для проверки личности пользователя и для аутентификации сервера. Сертификаты могут быть выданы только специально назначенным в организации ответственным лицом. Пользователи должны использовать сертификаты в сочетании со стандартными технологиями, такими как SSL для непрерывной аутентификации, исключающей риск вставки атакующим команд в сеанс.

Электронные сертификаты, хранящиеся на персональном компьютере, должны быть защищены с помощью паролей или ключевых фраз. При этом должны выполняться все правила в отношении паролей, установленные в организации.

Защита от вирусов

Вначале самым распространенным способом заражения вирусами были дискеты, так как именно с их помощью переносились программы между компьютерами. После появления BBS вирусы стали распространяться через модем. Интернет привел к появлению еще одного канала распространения вирусов, с помощью которого они часто обходят традиционные методы борьбы с ними.

Для организаций, которые разрешают загружать программы из Интернета (которые могут быть в том числе и приложениями к электронным письмам), проверка программ на вирусы на брандмауэре может оказаться хорошим вариантом - но это не избавляет от необходимости проверки на вирусы на серверах и машинах пользователей. На ближайшее время старые каналы распространения вирусов будут продолжать оставаться серьезной угрозой.

Вирус - это размножающаяся программа, которая может находиться в выполняемых файлах, загрузочных записях и макросах. При своем выполнении вирусы модифицируют программу так, что она делает нечто отличное от того, что должна была делать. После репликации себя в другие программы вирус может сделать что-либо - от вывода какого-нибудь сообщения до удаления всех данных на диске. Вирусы делятся на несколько типов - в зависимости от сложности их обнаружения.

Простые вирусы могут быть легко обнаружены с помощью поиска сигнатуры(строк байт) около точки входа в программу, которая будет там присутствовать там после заражения программы вирусом. Полиморфные вирусы модифицируют себя в ходе размножения, поэтому их нельзя обнаружить с помощью сигнаутры, и обычно их выявляют с помощью выполнения программы в безопасной среде (среде виртуального процессора). Вирусы в загрузочных записях модифицируют эти загрузочные записи таким образом, что вирус будет выполняться при загрузке компьютера.

Приложения, которые поддерживают макросы, подвергают себя риску заражения макровирусами. Макровирусы - это команды, которые встроены в файлы вместе с данными. Примерами таких приложений являются Word, Excel и интерпретаторы Postscriptа. Когда они открывают файлы данных, то происходит заражение макровирусом.

Политика безопасности для борьбы с вирусами имеет три составные части:

· Предотвращение - правила, позволяющие предотвратить заражение вирусами

· Обнаружение - как определить, что данный выполняемый файл, загрузочная запись, или файл данных содержит вирус

· Удаление - удаление вируса из зараженной компьютерной системы может потребовать переинсталляции ОС с нуля, удаления файлов, или удаления вируса из зараженного файла.

Имеется много различных факторов, важных при определении необходимого уровня защиты от заражения вирусами. Вирусы опасны при работе в DOS, Wundows(3.X и 95) и NT. Кроме того, имеется ряд вирусов для Unix (в том числе для Linux).

Вероятность заражения вирусами пропорциональна частоте появления новых файлов или приложений на компьютере. Изменения в конфигурации для работы в Интернете, для чтения электронной почты и загрузка файлов из внешних источников - все это увеличивает риск заражения вирусами.

Чем больше значение компьютера или данных, находящихся в нем, тем больше надо позаботиться о мерах безопасности против вирусов. Нужно еще и учесть затраты на удаление вирусов из ваших компьютеров, а также из компьютеров ваших клиентов, которых вы можете заразить. Затраты не всегда ограничиваются только финансами, также важна и репутация организации и другие вещи.

Важно также помнить, что вирусы обычно появляются в системе из-за действий пользователя (например, установки приложения, чтения файла по FTP, чтения электронного письма) . Политика предотвращения может поэтому обращать особое внимание на ограничения на загрузку потенциально зараженных программ и файлов. В ней также может быть указано, что в среде с высоким риском проверка на вирусы особенно тщательно должна производиться для новых файлов.

Низкий риск

Политика контроля за импортом программ для Среды с низким риском должна в основном описывать меры по доведению до пользователей их обязанностей по регулярной проверке на вирусы.

Предотвращение:

Пользователи должны знать о возможностях заражения вирусами и РПС из Интернета и о том, как использовать антивирусные средства.

Обнаружение:

Коммерческие антивирусные средства могут использоваться для еженедельной проверки на вирусы. Ведение журналов работы антивирусных средств не является необходимым.

Сотрудники должны информировать системного администратора о любом обнаруженном вирусе, изменении конфигурации, или необычном поведении компьютера или программы. После получения информации об обнаружении вируса системный администратор должен информировать всех пользователей, имеющих доступ к программам или файлам данных, которые могли быть заражены вирусом, что возможно вирус заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса системным администраторам.

Удаление:

Любая машина, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети . Машина не должна подключаться к сети до тех пор, пока системные администраторы не удостоверятся в удалении вируса. По возможности должны использоваться коммерческие антивирусные программы для удаления вируса. Если такие программы не могут удалить вирус, все программы в компьютере должны быть удалены, включая загрузочные записи при необходимости. Все эти программы должны быть повторно установлены из надежных источников и повторно проверены на вирусы. (В России зарегистрированные пользователи могут обратиться по электронной почте к фирме-производителю программы и получить обновление программы со средствами удаления вируса).

Средний риск

Политика контроля за импортом программ для Среды со средним риском должна требовать более частых проверок на вирусы, и использования антивирусных программ для проверки серверов и электронной почты.

Предотвращение:

Программы должны загружаться и устанавливаться только сетевым администратором (который проверяет их на вирусы или тестирует).

На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на файловых серверах на вирусы. Рабочие станции должны иметь резидентные в памяти антивирусные программы, сконфигуированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Все приходящие электронные письма должны проверяться на вирусы. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения их проверки на вирусы.

Программа обучения сотрудников компьютерной безопасности должна содержать следующую информацию о риске заражения вирусами:

Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены раньше. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно обновляться (ежемесячно или ежеквартально) для того, чтобы можно было обнаружить самые новые вирусы. Важно сообщать системному администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.

Обнаружение:

Должны использоваться коммерческие антивирусные программы для ежедневных проверок на вирусы. Антивирусные программы должны обновляться каждый месяц. Все программы или данные, импортируемые в компьютер (с дискет, электронной почты и т.д.) должны проверяться на вирусы перед их использованием.

Журналы работы антивирусных средств должны сохраняться и просматриваться системными администраторами. Сотрудники должны информировать системного администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.

При получении информации о заражении вирусом системный администратор должен информировать всех пользователей, которые имеют доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус возможно заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса системным администраторам.

Удаление:

Высокий риск

Системы с высоким уровнем риска содержат данные и приложения, которые являются критическими для организации. Заражение вирусами может вызвать значительные потери времени, данных и нанести ущерб репутации организации. Из-за заражения может пострадать большое число компьютеров. Следует принять все возможные меры для предотвращения заражения вирусами.

Предотвращение:

Администратор безопасности должен разрешить использование приложений перед их установкой на компьютер. Запрещается устанавливать неавторизованные программы на компьютеры. Конфигурации программ на компьютере должны проверяться ежемесячно на предмет выявления установки лишних программ.

Программы должны устанавливаться только с разрешенных внутренних серверов для ограничения риска заражения. Нельзя загружать программы с Интернета на компьютеры. С помощью брандмауэра должна быть запрещена операция GET(загрузка файла) с внешних серверов.

На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на файловых серверах на вирусы. Рабочие станции должны иметь резидентные в памяти антивирусные программы, сконфигуированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения их проверки на вирусы.

Все приходящие письма и файлы, полученные из сети, должны проверяться на вирусы при получении. По возможности проверка на вирусы должна выполняться на брандмауэре, управляющем доступом к сети. Это позволит централизовать проверку на вирусы для всей организации и уменьшить затраты на параллельное сканирование на рабочих станциях. Это также позволит централизовать администрирование антивирусных программ, ограничить число мест, куда должны устанавливаться последние обновления антивирусных программ.

Несоблюдение данной политики должно вести к наказанию сотрудника согласно стандартам организации.

Обнаружение:

Все программы должны быть установлены на тестовую машину и проверены на вирусы перед началом их использования в рабочей среде. Только после получения разрешения администратора безопасности можно устанавливать программы на машинах сотрудников.

Помимо использования коммерческих антивирусных программ, должны использоваться эмуляторы виртуальных машин для обнаружения полиморфных вирусов. Все новые методы обнаружения вирусов должны использоваться на этой тестовой машине. Антивирусные программы должны обновляться ежемесячно или при появлении новой версии для выявления самых новых вирусов.

Проверка всех файловых систем должна производиться каждый день в обязательном порядке. Результаты проверок должны протоколироваться, автоматически собираться и анализироваться системными администраторами.

Все данные, импортируемые на компьютер, тем или иным способом (с дискет, из электронной почты и т.д.) должны проверяться на вирусы. Сотрудники должны информировать системного администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.

Удаление:

Лицензирование программ

Интернет позволил многим компаниям использовать новые пути распространения программ. Большое число компаний позволяют пользователям загружать тестовые версии их продуктов, иногда демо-версии, или версии, которые работают ограниченное время. Тем не менее, много компаний применяют подход shareware (попробуй, а потом купи), при котором можно загружать полнофункциональные версии программ для тестирования, а пользователь должен зарегистрироваться и заплатить, если он будет использовать программу в коммерческих целях.

Когда пользователи не регистрируются или делают это неправильно с программами, загруженными через Интернет, организация может оказаться нарушителем правил лицензирования программ. Это может привести к судебным искам, или потере репутации при обнаружении таких фактов. В США есть специальные компании и организации занимающиеся активным поиском нарушителей и организующие судебные процессы против организаций-нарушителей. Политика безопасности Интернета должна детально описывать корпоративную политику в отношении загрузки коммерческих программ.

Низкий риск

Следует соблюдать правила лицензий производителей программ для всех коммерческих программ, загруженных по Интернету. Тестовые версии программ должны быть удалены по истечении периода тестирования, или организацией должна быть приобретена легальная версия программы.

Средний-высокий риск

Коммерческие программы запрещается загружать через Интернет без разрешения системного администратора. Все программы, используемые на компьютерах организации, могут быть установлены только ситсемными администраторами в соответствии с правилами лицензий. Сотрудники отдела автоматизации должны периодически инспектировать компьютеры на предмет соблюдения правил лицензий и отсутствия неразрешенных программ. При выявлении фактов установки нелицензионных и неразрешенных программ виновные будут наказаны.

Шифрование

Шифрование - это основное средство, обеспечивающее конфиденциальность информации, посылаемой по Интернету. Шифрование может использоваться для защиты любого трафика, такого как электронные письма или загружаемые файлы. Кроме того, шифрование может защитить информацию при ее хранении, например в базах данных, находящихся на компьютере, физическую безопасность которого нельзя обеспечить (например, на ноутбуке сотрудника в командировке).

При использовании шифрования возникает ряд административных проблем:

Правительство США сейчас наложило ограничения на экспорт сильных криптографических алгоритмов, которыми сейчас считаются системы шифрования с ключом длиннее 40 бит, не позволяющие восстановить ключ. Внутри США нет ограничений на использование шифрования. Но для использования его в зарубежных странах или в сетях, часть которых находится за границей, нужно получить разрешение на экспорт. Кроме того, некоторые страны, такие как Франция и Китай, имеют свои собственные ограничения на использование шифрования. Поэтому в каждом случае надо тщательно разбираться, не будут ли нарушены законы другой страны.

Способность руководства организации контролировать внутренние каналы связи или аудировать свои компьютерные системы зависит от использования шифрования. Если служащий шифрует посылаемое электронное письмо, или жесткий диск на своем компьютере, то системные администраторы не смогут произвести аудит таких сообщений и файлов. Кроме того, при потере ключей для расшифровки, данные могут быть потеряны навсегда. Если вашей организации требуется подобный контроль или гарантии восстановления данных, то политика должна требовать в обязательном порядке использования систем шифрования, поддерживающих восстановление ключей.

Существует большое число алгоритмов шифрования и стандартов длин ключей. Политика должна требовать использования алгоритмов, которые уже достаточно долго используются и доказали на практике, что они обеспечивают безопасность данных. Длина ключей шифрования должна определяться на основе важности шифруемых данных. Как правило, в настоящее время ключи короче, чем 40 бит, могут использоваться только в корпоративной сети за брандмауэром. В Интернете ведущие криптографы рекомендуют использовать ключи с длиной не менее 75 бит - но лучше длиной 90 бит. DES использует 56 бит, которые будут приемлемы только на год-два. NIST разрабатывает новый стандарт усиленного шифрования. Пока же рекомендуется тройной DES, имеющий эффективную длину ключа 112 бит.

Руководство по компьютерной безопасности NIST содержит более подробную информацию о шифровании и криптографии.

Удаленный доступ

Организации могут использовать для удаленного доступа как Интернет, так и телефонные линии. За обоими видами соединений требуется контроль, но большую опасность представляют соединения с Интернетом. Злоумышленник, перехватывающий сеанс удаленного пользователя может прочитать весь трафик, включая передаваемые файлы, письма, и информацию для аутентификации. Проблема перехвата сеансов уже обсуждалась в разделе про аутентификацию. Если же организации шифруют весь сеанс, то это решит как проблему аутентификации, так и вопросы конфиденциальности. Для организаций с уровнем риска, не ниже среднего, следует использовать шифрование для предотвращения неавторизованного просмотра информации, передаваемой в ходе сеанса удаленного пользователя.

Средний-высокий

Весь удаленный доступ к компьютерам организации либо через Интернет, либо через телефонные линии, должен использовать шифрование для обеспечения конфиденциальности сеанса. Для удаленного доступа должны использоваться только утвержденные в организации продукты, чтобы обеспечить гарантии взаимной работоспособности программ, реализующих технологии шифрования удаленного доступа к серверу.

Информация о получении доступа к компьютерам организации, такая как телефонные номера модемов, считается конфиденциальной. Эта информация не должна сообщаться в BBS, телефонных справочниках, визитных картах, или иным способом быть доступной посторонним лицам без письменного разрешения начальника отдела автоматизации. Начальник отдела автоматизации периодически сканирует входящие телефонные линии для проверки соблюдения политик безопасности и может периодически менять телефонные номера, чтобы сделать более трудным обнаружение посторонними лицами телефонных номеров организации.

Архитектура системы

Соединение с Интернетом приводит к необходимости внесения ряда изменений в архитектуру автоматизированной системы организации, чтобы увеличить общую безопасность АС. Проблемы, связанные с брандмауэрами, обсуждаются в другой главе. Другими важными архитектурными вопросами, требующими принятие решения на уровне политики, являются использование Интернета для соединения физически разделенных сетей(виртуальных частных сетей), удаленный доступ к системам из Интернета, и доступ к внутренним базам данных из Интернета. Все эти вопросы рассмотрены ниже.

Удаленный доступ к системе

Хотя атаки из Интернета привлекают к себе много внимания прессы, большинство проникновений в компьютеры происходит через модемы. Как уже говорилось, существует несколько конфигураций для обеспечения удаленного доступа по коммутируемым каналам. В целом, основная проблема - аутентификация, обеспечение гарантий того, что только законные пользователи могут получить удаленный доступ к вашей системе. Большинству организаций рекомендуется применять одноразовые пароли и смарт-карты.

Другой проблемой является контроль за использованием возможностей удаленного доступа. Самым эффективным является объединение модемов, используемых для удаленного доступа, в сервера доступа или модемные пулы.

Низкий уровень

Все пользователи, имеющие возможность доступа к компьютерам организации через модемы, должны периодически менять пароли. Прямые подключения к компьютерам организации, используемым в производственных целях, должны осуществляться только после получения письменного разрешения начальника отдела автоматизации.

Средний-высокий

Все пользователи, которые имеют доступ к компьютерам организации через модемы, должны использовать одноразовые пароли. Прямые подключения к компьютерам организации, используемым в производственных целях, должны осуществляться только после получения письменного разрешения начальника отдела автоматизации и начальника отдела информационной безопасности. Использование отдельных модемов для подключения к компьютерам организации запрещено.

Низкий-средний-высокий

Ответные действия

Политика компьютерной безопасности должна определить, какой подход должен использоваться сотрудниками организации в ходе ответных мер при подозрении на атаку. Порядок действий в таких ситуациях должен быть определен заранее и размножен в письменном виде. Должен быть учтен ряд типовых проблем, возникающих при происшествии, чтобы их решение было логичным с точки зрения интересов организации, а не подсказанным паникой, которая может возникнуть при обнародовании факта атаки. Ниже приводятся вопросы, на которые надо обязательно заранее дать ответ:

· Кто будет отвечать за принятие решений об ответных действиях?

· Следует ли привлекать сотрудников правоохранительных органов?

· Будет ли ваша организация сотрудничать с другими при попытках установить личность злоумышленника?

· Будет ли атака отражена сразу после ее обнаружения, или вы позволите потенциальному злоумышленнику продолжить свои действия? Если вы позволите ему продолжать, то могут быть получены дополнительные улики, позволяющие выявить способ атаки, что позволит предотвратить ее в будущем, а также возможно выследить злоумышленника и довести дело до суда.

Ответы на эти вопросы должны быть частью порядка улаживания происшествия. Если такой порядок не определен, то его надо разработать. Системы обнаружения атаки и порядок улаживания происшествия, кратко описанные здесь, являются только частью программы компьютерной безопасности в организации. Хотя отдельные компоненты имеют самостоятельную ценность (управление доступом, обнаружение атаки, и т.д.), чтобы результат был максимальным, все компоненты должны быть согласованы друг с другом на основании политики безопасности, разработанной для конкретной сети. Например, если сигналы тревоги от сервера поступают группе технической поддержки клиент-серверных приложений, а сигналы тревоги брандмауэра - группе сетевых администраторов, атака может быть недооценена или вообще проигнорирована.

Политика обнаружения атаки - низкий риск

Программно-аппаратные средства:

Функции протоколирования в операционных системах и приложениях должны быть включены на всех хостах и серверах.

Функции подачи сигналов тревоги, а также протоколирование, должны быть включены на всех брандмауэрах и других средствах управления доступом периметра безопасности.

Организационные меры:

Должны выполняться периодические проверки целостности брандмауэров и других систем управления доступом периметра безопасности.

Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности.

Должен производиться еженедельный анализ системных журналов хостов и серверов во внутренней, защищенной сети.

Пользователи должны быть обучены сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.

Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет, не является ли эта проблема признаком атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.

Политика обнаружения атаки -средний риск

Программно-аппаратные средства:

На всех хостах и серверах должны быть включены функции протоколирования.

Все критические сервера должны иметь дополнительные средства наблюдения за работой пользователей

На всех важных серверах должны быть установлены дополнительные средства наблюдения, такие как tripwire, и соответствующие средства управления доступом к сервисам, а также дополнительные средства протоколирования, обеспечиваемые операционной системой. Таким образом должны быть защищены сервера DNS, сервера аутентификации, сервера безопасности для Unix, контроллеры домена и сервера Exchange для среды Windows NT, и любые сервера приложений, которые считаются важными для решения задач организации.

Организационные меры:

Пользователи должны пройти курс обучения и быть обучены сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.

Должны периодически запускаться средства обнаружения атаки на хост, такие как tripwire.

Сотрудники отдела информационной безопасности или ответственные за нее должны установить контакты с организациями, занимающимися расследованием происшествий с компьютерной безопасностью, а также FIRST (смотрите ww.first.org) и обмениваться информацией об угрозах, уязвимых местах и происшествиях.

Если критические системы не были скомпрометированы, организация должна сначала попытаться выследить злоумышленника, а потом устранить последствия атаки. (ФИО сотрудника) отвечает за принятие решения о том, какие действия будут приниматься для устранения уязвимых мест или попыток получить дополнительную информацию о злоумышленнике. Этот человек должен иметь образование, позволяющее решать юридические проблемы, возникающие в связи с происшествием.

Политика обнаружения атаки - высокий риск

Программно-аппаратные средства:

На всех хостах и серверах должны быть включены функции протоколирования.

На всех серверах должны быть установлены дополнительные средства наблюдения, такие как tripwire, и соответствующие средства управления доступом к сервисам, а также дополнительные средства протоколирования, обеспечиваемые операционной системой.

На всех критических серверах должны быть установлены дополнительные средства обнаружения атак, которые работают по принципам, отличным от тех, которые используются основными средствами этого рода, установленными на всех серверах. Например, если основным средством обнаружения атаки является tripwire, которое использует сравнение контрольных сумм для проверки целостности системы, то на важных серверах должны быть установлены экспертные системы, использующие статистические аномалии для выявления атаки.

Во всех местах сети, в которых происходит концентраций трафика, должны быть установлены средства обнаружения атак, следящие за появлением в трафике признаков атак, соответствующим признакам, имевшим место при известных атаках.

Организационные меры:

Должен производиться ежедневный анализ системных журналов хостов и серверов во внутренней, защищенной сети.

На всех хостах должны ежедневно запускаться средства обнаружения атаки на хост, такие как tripwire.

Системы анализа трафика для обнаружения вторжения должны периодически проверяться на предмет правильности работы и корректной конфигурации.

Сотрудники отдела информационной безопасности или ответственные за нее должны установить контакты с организациями, занимающимися расследованием происшествий с компьютерной безопасностью, а также FIRST (смотрите www.first.org) и обмениваться информацией об угрозах, уязвимых местах и происшествиях.

Организация должна попытаться возбудить уголовное дело против злоумышленника, но не должна оставлять незаделанными уязвимые места, чтобы получить больше информации о злоумышленнике.

Организационные меры

Политика безопасности Интернета должна быть тесно связана с повседневным использованием Интернета сотрудниками организации и повседневным управлением сетью и компьютерами. Она также должна быть интегрирована в культуру организации посредством обучения. Этот документ в основном описывает технические стороны политики. Но административные вопросы, такие как распределение обязанностей за поддержание безопасности, порой более важны. Этот раздел описывает дополнительные аспекты безопасности в Интернете, которые должны быть учтены с помощью организационных мер.

Помимо массы технических и административных обязанностей сетевого администратора, связанных с поддержанием работоспособности сетей организации, ряд его обязанностей напрямую связан с соединением с Интернетом. Эта глава описывает проблемы, которые не были рассмотрены в других главах.

· Распределение ответственности за поддержание безопасности

· Наказание за нарушение политики безопасности

· Допустимое использование Интернета, включая ограничение на доступ к определенным WWW-сайтам или группам новостей USENET, и т.д., в соответствии с политикой организации. (Проблемы, связанные с электронной почтой, описаны в главе про электронную почту).

· Разработка политики в отношении конфиденциальности личной информации, включая электронную почту и наблюдение за сетью.

Допустимое использование

Организациям необходимо определить правила допустимого использования Интернета и WWW, аналогично тому, как определяются правила использования служебного телефона. Хотя кажется, что можно просто сказать что-то вроде следующего "Интернет может использоваться только для коммерческих задач организации", это требование является невыполнимым. Если политика не может быть реализована, то нарушения неизбежны и политика не сможет быть основанием для применения к нарушителям наказаний.

Организации с высоким уровнем риска, которых не устраивает вариант периодического использования Интернета сотрудниками в личных целях, могут принять некоторое альтернативное решение, более уместное и реализуемое в рамках конкретной организации:

Для использования Интернета сотрудниками должен использовать либо отдельный канал связи, либо коммутируемое подключение у провайдера Интернета. Машины, испоьзующие этот сервис, не должны быть соединены с внутренними сетями и могут использоваться периодически в соответствии с политикой организации в отношении допустимого использования Интернета.

Могут использоваться программные средства, такие как брандмауэр, для блокирования доступа к сайтам в Интернете, не включенным в список разрешенных в организации сайтов.

Для организаций с любым уровнем риска некоторые виды использования соединения с Интернетом должны быть запрещены в любом случае. Такими видами использования являются:

· компрометация персональных данных пользователей

· внесение помех в работу компьютеров или искажение программ и данных, находящихся на компьютерах

· использование компьютерных систем и их ресурсов по назначению

· чрезмерное использование ресурсов, которые нужны для работы организации (люди, пропускная способность канала, процессорное время)

· использование нелицензионных копий программ

· использование компьютера для начала атаки на другие компьютерные системы

· использование государственных, корпоративных или университетских компьютеров для личных целей или в целях, для которых они не предназначены

· неавторизованное сканирование и зондирование, а также другое исследование узлов сети недопустимым образом

· использование, приводящее к загрузке, выгрузке, модификации или удалению файлов на других машинах сети, на которых такие действия считаются неавторизованными

Независимо от типа политики организации в области допустимого использования Интернета главным фактором, влияющим на поведение пользователей, является их обучение. Пользователи должны быть знать, что они являются составной частью репутации организации и использование ими Интернета влияет на репутацию. Пользователи должны знать, что каждое посещение ими сайтов Интернета оставляет на них следы, и знать, почему организация оставляет за собой право наблюдать за использованием Интернета. Администраторы должны знать о своих обязанностях в отношении используемых программно-аппаратных средств (например, для блокирования доступа к сайтам, наблюдения за работой) для реализации принятой в организации политики.

Политика использования Интернета - низкий риск

Интернет считается важной ценностью организации. Пользователям рекомендуется использовать Интернет и учиться делать это профессионально. С помощью такого открытого доступа сотрудники должны лучше выполнять свои обязанности.

Сотрудники не должны использовать Интернет для своих личных целей, и не должны посещать вредные и порнографические сайты, а также не должны получать доступ или использовать информацию, которая считается оскорбительной. Деятельность сотрудников, нарушающих это, будет контролироваться и они будут наказаны, вплоть до уголовного наказания.

Доступ к Интернету с компьютера, принадлежащего организации или через соединение, принадлежащее организации, должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.

Пользователи, посылающие письма в группы новостей USENET и списки рассылки, должны включать пункт о том, что это их личное мнение, в каждое сообщение.

Невозможно составить список всех возможных видов неавторизованного использования, поэтому дисциплинарные наказания применяются только после того, как другие способы исчерпали себя. Примерами неприемлемого использования, которое приводит к наказаниям, являются :

· неавторизованные попытки получить доступ к компьютеру

· использование рабочего времени и ресурсов организации для личной выгоды

· кража или копирование файлов без разрешения

· посылка конфиденциальных файлов организации во внешние компьютеры или в другие внутренние компьютеры неавторизованными на это людьми

· отказ помогать сотрудникам отдела информационной безопасности

· посылка писем-пирамид по электронной почте

Политика использования Интернета - средний риск

Компьютеры и сети организации могут использоваться только для выполнения служебных обязанностей. Допускается редкое их использование в личных целях. Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры .

Другой подход может быть таким:

Сетевое оборудование организации, включая сервера, доступные из Интернета, а также подключенные к ним компьютеры и установленные на них программы могут использоваться только для разрешенных целей. Начальники подразделений могут разрешить иногда иной доступ, если он не мешает выполнять служебные обязанности, не является слишком продолжительным и частым, служит интересам организации, таким как повышение квалификации ее сотрудников, и не приводит к дополнительным расходам для организации.

Письма пользователей в группы новостей USENET, списки рассылки и т.д. должны включать строку о том, что точка зрения выраженная в письме - личная точка зрения, а не точка зрения организации.

Личные бюджеты пользователей онлайновых сервисов не должны использоваться с компьютеров организации. Для получения доступа к платным сервисам с компьютера организации, она должна предварительно осуществить подписку на них и заплатить за это деньги.

Пользователям выдаются пароли для работы на компьютерах организации, чтобы защитить критическую информацию и сообщения от неавторизованного использования или просмотра. Такие пароли не защищают от просмотра информации руководством организации. Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей.

Начальники подразделений отвечают за обеспечение гарантий того, что их подчиненные понимают политику допустимого использования Интернета.

Доступ к Интернету с домашнего компьютера должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.

Политика использования Интернета - высокий риск

Организация полностью соединена с Интернетом и другими сетями. В целом, пользователи имеют неограниченный доступ к сети. Но доступ из Интернета или других сетей к ресурсам организации разрешен только тогда, когда это требуется для выполнения служебных обязанностей.

Для личного использования Интернета сотрудниками имеется отдельный сервер доступа. Этот сервис должен использоваться только для отдельных сотрудников с обоснованием доступа к нему. С его помощью можно получать доступ только с тем сайтам, которые одобрены организацией.

Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры .

Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей

Обучение пользователей

Большинство компьютерных пользователей организации попадает в одну из трех категорий - интернет-мастера; пользователи, обладающие знаниями, но не обладающие опытом; пользователи, которые знают Интернет, провели в нем много времени, но не знают, как он устроен.

Большинство пользователей знает, что с использованием Интернета связан риск, но не понимает, с чем он связан, и как его избежать. Они часто не умеют распознать проблему с безопасностью, или как обезопасить себя при повседневном использовании Интернета. Они не знают последствий недопустимого или неавторизованного использования Интернета.

Доведите до пользователей их обязанности в области безопасности, и научите их, как надо себя вести - это изменит их поведение. Пользователи не могут соблюдать политики, которые они не понимают. Обучение также способствует индивидуальной отчетности, которая является самым важным способом повышения компьютерной безопасности. Не зная необходимых мер безопасности и как их применять, пользователи не смогут до конца отвечать за свои действия. Обучение также необходимо сетевым администраторам, которым требуются специальные навыки для понимания и реализации технологий, требуемых для обеспечения безопасности соединения с Интернетом. Риски, связанные с Интернетом, должны быть доведены до руководства организацией, чтобы обеспечить его поддержку.

Все пользователи, администраторы и руководители подразделений, имеющие доступ к Интернету, должны пройти начальный инструктаж в области безопасности и периодически проходить его снова. Обучение опытных пользователей должно быть, в основном, сосредоточено на вопросе допустимого использования Интернета. Например, почему организация приняла решение запретить прием определенных групп новостей USENET. Почему личные письма, в заголовке которых указан почтовый домен организации, отражаются на репутации, независимо от того, использовалась фраза о том, что точка зрения, выраженная в письме - это личное мнение или нет. Некоторые пользователи, окончившие университет, могут испытать шок при доведении до них таких требований. Должен быть сделан упор на ролях и их ответственности, помимо технических проблем безопасности. Технических специалистов надо обучать их обязанностям при реализации технических сторон политики на их системах и сетях, как это описано в пункте 5.6.1.

Пользователи, которые уже что-то знают, должны обучаться способам использования Интернета. Они могут быть достаточно хорошо знакомы с BBS, и должны быть проинформированы, что их письма будут теперь распространяться по всему миру, а не только в США или среди небольшой группы пользователей. Эти пользователи должны быть осмотрительны - перед тем, как написать письмо, следует сначала посмотреть, о чем пишут в данной группе новостей. Они не должны загружать программы или подписываться на информацию, пока не будут понимать последствий своих поступков - они могут подвергнуть организацию риску. А других пользователей, которые более продвинуты, чем остальные, надо учить, как стать более опытным пользователем Интернета, помимо обучения допустимому использованию Интернета, ответственности при работе в нем и технических вопросов безопасности.

Неграмотным же пользователям требуется объяснять все. Они должны узнать, что такое Интернет, какие виды сервисов он предоставляет, кто является его пользователями, и как установить с ним соединение. Они должны узнать о группах новостей и списках рассылки в Интернете, поисковых системах и этике в Интернете. Кроме того, они должны узнать все то, что изучают более грамотные пользователи.

Обучение безопасности в Интернете - низкий риск

Организация должна проводить периодическое обучение в области безопасности всех руководителей, операторов и конечных пользователей так, как это описано в политике организации. Такое обучение должно дополняться доведением новых проблем с безопасностью, постоянно возникающих в Интернете. Пользователям рекомендуется просматривать списки рассылки, связанные с безопасностью, чтобы быть в курсе всех проблем и технологий и знать все новости, сообщаемые отделом информационной безопасности.

Обучение безопасности в Интернете - средний риск

В организации должна быть достаточно либеральная политика в отношении использования Интернета, но опытные пользователи должны повышать свой уровень в отношении эффективного использования Интернета и рисков, связанных с ним. Следует добавить приведенные ниже положения к тем, что указаны для организации с низким риском.

Обучение безопасности в Интернете должно включать проведение как комплексных, так и индивидуальных занятий со специалистами центров по обучению безопасности, краткое доведение информации о новостях и советов по использованию , а также другое необходимое обучение, как это принято в организации. . При обучении обязательно должны быть изучены следующие вопросы - использование брандмауэров, загрузка информации и программ, проблемы, связанные с апплетами, электронной почтой, списками рассылки, домашними страницами, браузерами, шифрование.

Администраторы брандмауэра и ЛВС, а также технический персонал сетей, подключенных к Интернету, должны пройти курс обучения в области контроля за безопасностью в сети, достоинств и недостатков различных подходов, возможных видов атак, сетевой архитектуры и вопросов, связанных с политикой безопасности.

Системные и сетевые администраторы должны пройти полный курс обучения в области администрирования брандмауэров.

Некоторые средства сканирования (например, pingall, SATAN) стали обязательным элементом при проведении контроля защищенности сети для выявления активных систем, их IP-адресов, параметров конфигурации и т.д. Кроме того, для выявления уязвимых мест в системах крайне полезны как бесплатные, так и коммерческие средства (например, SATAN, ISS, NETProbe, PINGWARE, COPS, Tripwire и др.). Все сетевые и системные администраторы должны уметь их использовать. Они также должны знать текущее состояние дел в этой области безопасности.

Новые пользователи должны пройти вводный курс обучения работе в Интернете, который включает серьезную отработку практических навыков и обзор проблем безопасности. Все пользователи должны расписаться в журнале проведения инструктажей по использованию Интернета.

Обучение безопасности в Интернете - высокий риск

Организация должна стремиться повысить доступность Интернета для своих сотрудников, но делать это консервативным методом и только после обучения пользователей в области правил безопасности при использовании Интернета. Уместна следующая политика помимо политики, указанной для организации со средним риском.

Пользователи должны быть постоянно информированы о текущих проблемах с безопасностью в Интернете путем чтения сообщений и предупреждений об ошибках в программах и уязвимых местах и других советах, разборах имевших место происшествий, а также пройти курс обучения таким образом, как это определено в организации. При обучении обязательно должны быть изучены следующие вопросы - использование брандмауэров, загрузка информации и программ, проблемы, связанные с апплетами, электронной почтой, списками рассылки, домашними страницами, браузерами, шифрование.

Основы и цель

Многие организации присоединили или хотят присоединить свои локальные сети к Интернету, чтобы их пользователи имели легкий доступ к сервисам Интернета. Так как Интернет в целом не является безопасным, машины в этих ЛВС уязвимы к неавторизованному использованию и внешним атакам. Брандмауэр - это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Брандмауэр - это не одна компнента, а стратегия защиты ресурсов организации, доступных из Интернета. Брандмауэр выполняет роль стражи между небезопасным Интернетом и более надежными внутренними сетями.

Основная функция брандмауэра - централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход брандмауэра, его эффективность близка к нулю. Например, если менеджер, находящийся в командировке, имеет модем, присоединенный к его ПЭВМ в офисе, то он может дозвониться до своего компьютера из командировки, а так как эта ПЭВМ также находится во внутренней защищенной сети, то атакующий, имеющий возможность установить коммутируемое соединение с этой ПЭВМ, может обойти защиту брандмауэра. Если пользователь имеет подключение к Интернету у какого-нибудь провайдера Интернета, и часто соединяется с Интернетом со своей рабочей машины с помощью модема, то он или она устанавливают небезопасное соединение с Интернетом, в обход защиты брандмауэра.

Брандмауэры часто могут быть использованы для защиты сегментов интранета организации, но этот документ в-основном будет описывать проблемы, связанные с Интернетом. Более подробная информация о брандмауэрах содержится в " NIST Special Publication 800-10 "Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls.""

Брандмауэры обеспечивают несколько типов защиты:

· Они могут блокировать нежелательный трафик

· Они могут направлять входной трафик только к надежным внутренним системам

· Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом.

· Они могут протоколировать трафик в и из внутренней сети

· Они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета

· Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.

Каждая из этих функций будет описана далее.

Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. Прозрачность - это видимость брандмауэра как внутренним пользователям, так и внешним, осуществляющим взаимодействие через брандмауэр. Брандмауэр прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно брандмауэры конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу за брандмауэр); и с другой стороны брандмауэр конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.

Аутентификация

Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации:

Имя/пароль

Это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов

Одноразовые пароли

Они используют программы или специальные устройства для генерации нового пароля для каждого сеанса. Это означает, что старые пароли не могут быть повторно использованы, если они были перехвачены в сети или украдены другим способом.

Электронные сертификаты

Они используют шифрование с открытыми ключами

Маршрутизация источника

Это механизм маршрутизации, посредством которого путь к машине-получателю пакета определяется отправителем, а не промежуточными маршрутизаторами. Маршрутизация источника в основном используется для устранения проблем в сетях, но также может быть использована для атаки на хост. Если атакующий знает, что ваш хост доверяет какому-нибудь другому хосту, то маршрутизация источника может быть использована для создания впечатления, что пакеты атакующего приходят от доверенного хоста. Поэтому из-за такой угрозы безопасности маршрутизаторы с фильтрацией пакетов обычно конфигурируются так, чтобы отвергать пакеты с опцией маршрутизации источника. Поэтому сайт, желающий избежать проблем с маршрутизацией источника, обычно разрабатывает политику, в которой их маршрутизация запрещена.

Фальсификация IP-адреса

Это имеет место, когда атакующий маскирует свою машину под хост в сети объекта атаки (то есть пытается заставить цель атаки думать, что пакеты приходят от доверенной машины во внутренней сети). Политика в отношении маршрутизации пакетов должна быть четкой, чтобы можно было корректно построить обработку пакетов, если есть проблемы с безопасностью. Необходимо объединить аутентификацию на основе адреса отправителя с другими способами, чтобы защитить вашу сеть от атак подобного рода.

Типы брандмауэров

Существует несколько различных реализаций брандмауэров, которые могут быть созданы разными путями. В таблице 6.1 кратко характеризуются несколько архитектур брандмауэров и их применимость к средам с низким, средним и высоким рискам.

Шлюзы с фильтрацией пакетов

Брандмауэры с фильтрацией пакетов используют маршрутизаторы с правилами фильтрации пакетов для предоставления или запрещения доступа на основе адреса отправителя, адреса получателя и порта. Они обеспечивают минимальную безопасность за низкую цену, и это может оказаться приемлемым для среды с низким риском. Они являются быстрыми, гибкими и прозрачными. Правила фильтрации часто нелегко администрировать, но имеется ряд средств для упрощения задачи создания и поддержания правил.

Шлюзы с фильтрацией имеют свои недостатки, включая следующие:

· Адреса и порты отправителя и получателя, содержащиеся в заголовке IP-пакета, - единственная информация, доступная маршрутизатору при принятии решения о том, разрешать или запрещать доступ трафика во внутреннюю сеть.

· Они не защищают от фальсификации IP- и DNS-адресов.

· Атакующий получит доступ ко всем хостам во внутренней сети после того, как ему был предоставлен доступ брандмауэром.

· Усиленная аутентификация пользователя не поддерживается некоторыми шлюзами с фильтрацией пакетов.

· У них практически отсутствуют средства протоколирования доступа к сети

Прикладные шлюзы

Прикладной шлюз использует программы (называемые прокси-серверами), запускаемые на брандмауэре. Эти прокси-сервера принимают запросы извне, анализируют их и передают безопасные запросы внутренним хостам, которые предоставляют соответствующие сервисы. Прикладные шлюзы могут обеспечивать такие функции, как аутентификация пользователей и протоколирование их действий.

Так как прикладной шлюз считается самой безопасным типом брандмауэра, эта конфигурация имеет ряд преимущество с точки зрения сайта со средним уровнем риска:

· Брандмауэр может быть сконфигурирован как единственный хост, видимый из внешней сети, что будет требовать проходить все соединения с внешней сетью через него.

· Использование прокси-серверов для различных сервисов предотвращает прямой доступ к этим сервисам, защищая организацию от небезопасных или плохо сконфигурированных внутренних хостов

· С помощью прикладных шлюзов может быть реализована усиленная аутентификация.

· Прокси-сервера могут обеспечивать детальное протоколирование на прикладном уровне

Брандмауэры прикладного уровня должны конфигурироваться так, чтобы весь выходящий трафик казался исходящим от брандмауэра (то есть чтобы только брандмауэр был виден внешним сетям). Таким образом будет запрещен прямой доступ ко внутренним сетям. Все входящие запросы различных сетевых сервисов, таких как Telnet, FTP, HTTP, RLOGIN, и т.д., независимо от того, какой внутренний хост запрашивается, должны проходить через соответствующий прокси-сервер еа брандмауэре.

Прикладные шлюзы требуют прокси-сервера для каждого сервиса, такого как FTP, HTTP и т.д., поддерживаемого брандмауэром. Когда требуемый сервис не поддерживается прокси, у организации имеется три варианта действий:

· Отказаться от использования этого сервиса, пока производитель брандмауэра не разработает для него безопасный прокси-сервер - это предпочтительный подход, так как многие новые сервисы имеют большое число уязвимых мест.

· Разработать свой прокси - это достаточно сложная задача и должна решаться только техническими организациями, имеющими соответствующих специалистов .

· Пропустить сервис через брандмауэр - использование того, что обычно называется "заглушками", большинство брандмауэров с прикладными шлюзами позволяет пропускать большинство сервисов через брандмауэр с минимальной фильтрацией пакетов. Это может ограничить число уязвимых мест, но привести к компрометации систем за брандмауэров.

Низкий риск

Когда для входящих Интернетовских сервисов нет прокси-сервера , но требуется пропускать его через брандмауэр, администратор брандмауэра должен использовать конфигурацию или "заплатку", которая позволит использовать требуемый сервис. Когда прокси-сервер разрабатывается производителем, то "заплатка" должна быть отключена.

Средний-высокий

Все входящие интернетовские сервисы должны обрабатываться прокси-сервером на брандмауэре. Если требуется использование нового сервиса, то его использование должно быть запрещено до тех пор, пока производитель брандмауэра не разработает для него прокси-сервер и он не будет протестирован администратором брандмауэра. Только по специальному разрешению руководства можно разрабатывать свой прокси-сервер или закупать его у других производителей.

Гибридные или сложные шлюзы

Гибридные шлюзы объединяют в себе два описанных выше типа брандмауэра и реализуют их последовательно, а не параллельно. Если они соединены последовательно, то общая безопасность увеличивается, с другой стороны, если их использовать параллельно, то общая безопасность системы будет равна наименее безопасному из используемых методов. В средах со средним и высоким риском, гибридные шлюзы могут оказаться идеальной реализацией брандмауэра.

Рейтинг

Ниже приводятся рейтинги различных типов брандмауэров.

4	рекомендованный вариант
3	эффективный вариант
2	Допустимый вариант
1	Минимальная безопасность
0	Неприемлемо

Table 6.1. Риски безопасности брандмауэра

Архитектура брандмауэра (если один из типов, указанных ниже, реализован)	Среда с высоким риском, например банк	Среда со средним риском, например университет	Среда с низким риском, например мелкий магазин
Фильтрация пакетов	0	1	4
Прикладные шлюзы	3	4	2
Гибридные шлюзы	4	3	2

Архитектуры брандмауэра

Брандмауэры могут быть сконфигурированы в виде одной из нескольких архитектур, что обеспечивает различные уровни безопасности при различных затратах на установку и поддержание работоспособности. Организации должны проанализировать свой профиль риска и выбрать соответствующую архитектуру. Следующие разделы описывают типичные архитектуры брандмауэра и приводят примеры политик безопасности для них.

Экранированный хост

При архитектуре типа экранированный хост используется хост (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону.

Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между сетью организации и Интернетом.

Экранированная подсеть

Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.

Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор.

Интранет

Хотя брандмауэры обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или компаниях брандмауэры часто используются для создания различных подсетей в сети, часто называемой интранетом. Брандмауэры в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться брандмауэрами и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть брандмауэр для финансового отдела или бухгалтерии в организации.

Решение использовать брандмауэр обычно основывается на необходимости предоставлять доступ к некоторой информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учет доступа и использования конфиденциальной и критической информации.

Для всех систем организации, на которых размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должны использоваться внутренние брандмауэры и фильтрующие маршрутизаторы для обеспечения строгого управления доступом и аудирования. Эти средства защиты должны использоваться для разделения внутренней сети организации рвди реализации политик управления доступом, разработанных владельцами информации (или ответственными за нее).

Архивные копии брандмауэра

Для обеспечения возможности восстановления после сбоя или стихийного бедствия, брандмауэр, как и любой другой сетевой хост, должен иметь политику относительно создания архивных копий. Для всех файлов данных, а также системных файлов конфигурации должен иметься некоторый план создания архивных копий.

Для брандмауэра (его системных программ, конфигурационных файлов, баз данных и т.д.) должны создаваться ежедневные, еженедельные и ежемесячные архивные копии, чтобы в случае сбоя можно было восстановить данные и файлы конфигурации. Архивные копии должны храниться в безопасном месте на носителе, с которого можно только считать информацию, чтобы их случайно не затерли, которое должно быть заперто, чтобы носители были доступны только соответствующим сотрудникам.

Другой альтернативой будет иметь запасной брандмауэр, сконфигурированный как основной, и поддерживаемый в холодном резерве, чтобы в случае сбоя основного, запасной мог быть включен и использован вместо него, пока основной брандмауэр восстанавливается.

По крайней мере один брандмауэр должен быть сконфигурирован и держаться в холодном резерве, чтобы в случае сбоя брандмауэра, он мог быть включен вместо него для защиты сети.

Целостность системы

Для предотвращения неавторизованной модификации конфигурации брандмауэра должна иметься некоторая форма гарантий целостности. Обычно для рабочей конфигурации системы вычисляются контрольные суммы или криптографические хэш-функции, которые хранятся потом на защищенном носителе. Каждый раз, когда конфигурация брандмауэра модифицируется авторизованным на это человеком (обычно администратором брандмауэра), необходимо обновить контрольные суммы файлов и сохранить их на сетевой файловой системе или на дискетах. Если проверка целостности системы покажет, что конфигурация брандмауэра была изменена, то сразу станет ясно, что система была скомпрометирована.

Данные для проверки целостности брандмауэра должны обновляться при каждой модификации конфигурации брандмауэра. Файлы с этими данными должны храниться на носителе, защищенном от записи или выведенном из оперативного использования. Целостность системы на брандмауэре должна регулярно проверяться, чтобы администратор мог составить список файлов, которые были модифицированы, заменены или удалены.

Документация

Важно, чтобы правила работы с брандмауэром и параметры его конфигурации были хорошо документированы, своевременно обновлялись и хранились в безопасном месте. Это будет гарантировать, что при невозможности связаться с администратором брандмауэра или при его увольнении, другой опытный человек сможет после прочтения документации быстро осуществить администрирование брандмауэра. В случае проникновения такая документация также поможет восстановить ход событий, повлекших за собой этот инцидент с безопасностью.

Восстановление сервисов

При выявлении факта проникновения, брандмауэр должен быть отключен и переконфигурирован. Если необходимо отключить брандмауэр, может понадобиться также отключиться от Интернета или перейти на запасной брандмауэр - внутренние системы не должны быть подключены к Интернету напрямую. После переконфигурации брандмауэр должен быть включен снова и запущен в работу. Требуются правила восстановления брандмауэра до рабочего состояния после проникновения.

Если произошло проникновение, администратор брандмауэра отвечает за переконфигурацию брандмауэра для защиты всех использовавшихся уязвимых мест. Брандмауэр должен быть восстановлен в исходное состояние, чтобы сеть находилась под защитой. На время восстановления должен использоваться запасной брандмауэр.

Примеры политик

Все организации должны использовать как минимум политику для уровня с низким риском. Для среднего риска надо добавить части с пометкой "Средний риск", а для высокого - части с пометкой "Высокий риск" и "Средний риск".

Низкий риск

Пользователь

Все пользователи, которым требуется доступ к Интернету, должны делать это, используя одобренное организацией программное обеспечение и через Интернет-шлюзы организации.

Между нашими частными сетями и Интернетом установлен брандмауэр для защиты наших компьютеров. Сотрудники не должны пытаться обойти его при соединении с Интернетом с помощью модемов или программ для сетевого тунеллирования.

Некоторые протоколы были блокированы или их использование ограничено. Если вам требуется для выполнения ваших обязанностей какой-то протокол, вы должны обратиться к начальнику вашего отдела и ответственному за безопасное использование Интернета.

Начальник отдела

Должен быть помещен брандмауэр между сетью компании и Интернетом для того, чтобы предотвратить доступ к сети компании из ненадежных сетей. Брандмауэр должен быть выбран ответственным за сетевые сервисы, он же отвечает за его сопровождение.

Все остальные формы доступа к Интернету (такие как модемы) из сети организации, или сетей, подключенных к сети организации, должны быть запрещены.

Все пользователи, которым требуется доступ к Интернету, должны делать это с помощью одобренных организацией программ и через шлюзы с Интернетом.

Сотрудник отдела автоматизации

Все брандмауэры при аварийном завершении должны делать невозможным доступ ни к каким сервисам, и требовать прибытия администратора брандмауэра для восстановления доступа к Интернету.

Маршрутизация источника должна быть запрещена на всех брандмауэрах и внешних маршрутизаторах.

Брандмауэр должен отвергать трафик из внешних интерфейсов, который имеет такой вид, будто он прибыл из внутренней сети.

Брандмауэр должен вести детальные системные журналы всех сеансов, чтобы их можно было просмотреть на предмет выявления нештатных ситуаций в работе.

Для хранения журналов должен использоваться такой носитель и место хранения, чтобы доступ к ним ограничивался только доверенным персоналом.

Брандмауэры должны тестироваться перед началом работы и проверяться на предмет правильности конфигурации.

Брандмауэр должен быть сконфигурирован так, чтобы он был прозрачен для выходящих соединений. Все входящие соединения должны перехватываться и пропускаться через брандмауэр, если только противное решение явно не принято ответственным за сетевые сервисы.

Должна постоянно вестись подробная документация на брандмауэр и храниться в безопасном месте. Такая документация должна включать как минимум схему сети организации с IP-адресами всех сетевых устройств, IP-адреса машин у провайдера Интернета, таких как внешние сервера новостей, маршрутизаторы, DNS-сервера и т.д., и другие параметры конфигурации, такие как правила фильтрации пакетов и т.д. Такая документация должна обновляться при изменении конфигурации брандмауэра.

Средний риск

Пользователь

Для удаленного доступа к внутренним системам организации требуется усиленная аутентификация с помощью одноразовых паролей и смарт-карт.

Начальник отдела

Администраторы брандмауэра и другие руководители, ответственные за компьютерную безопасность, должны регулярно пересматривать политику сетевой безопасности (не реже чем раз в три месяца). При изменении требований к работе в сети и сетевым сервисам политика безопасности должна быть обновлена и утверждена заново. При необходимости внесения изменений администратора брандмауэра отвечает за реализацию изменений на брандмауэре и модификацию политики.

Структура и параметры внутренней сети организации не должны быть видимы из-за брандмауэра.

Сотрудник отдела автоматизации

Брандмауэр должен быть сконфигурирован так, чтобы по умолчанию все сервисы, которые не разрешены, были запрещены. Должен производиться регулярный аудит его журналов на предмет выявления попыток проникновения или неверного использования Интернета.

Брандмауэр должен практически сразу уведомлять системного администратора при возникновении ситуации, требующей его немедленного вмешательства, такой как проникновение в сеть, отсутствие места на диске и т.д.

Брандмауэр должен работать на специальном компьютере - все программы, не относящиеся к брандмауэру, такие как компиляторы, редакторы, коммуникационные программы и т.д., должны быть удалены или доступ к ним должен быть заблокирован.

Высокий риск

Пользователь

Использование Интернета в личных целях с систем организации запрещено. Весь доступ к Интернету протоколируется. Сотрудники, нарушающие данную политику, будут наказаны.

Ваш браузер был сконфигурирован так, что доступ к ряду сайтов запрещен. О всех попытках получить доступ к этим сайтам будет доложено вашему начальнику.

Начальник отдела

Сотрудник отдела автоматизации

Весь доступ к Интернету должен протоколироваться.

Примеры специфических политик для отдельных сервисов

Соединение с Интернетом делает доступными для внутренних пользователей разнообразные сервисы, а для внешних пользователей - большое число машин в организации. Должна быть написана политика (на основе анализа и учета вида деятельности организации и задач, стоящих перед ней), которая четко и ясно определяет, какие сервисы разрешено использовать, а какие - запрещено, как для внутренних, так и для внешних пользователей.

Имеется большое число Интернетовских сервисов. В 4 главе описывались самые популярные сервисы, такие как FTP, telnet, HTTP и т.д. Другие популярные сервисы кратко описаны здесь.

r-команды BSD Unix, такие как rsh, rlogin, rcp и т.д., предназначены для выполнения команд пользователями Unix-систем на удаленных ситсемах. Большинство их реализаций не поддерживают аутентификации или шифрования и являются очень опасными при их использовании через Интернет.

Протокол почтового отделения (POP) - это протокол клиент-сервер для получения электронной почты с сервера. POP использует TCP и поддерживает одноразовые пароли для аутентификации (APOP). POP не поддерживает шифрования - читаемые письма можно перехватить.

Протокол чтения сетевых новостей (NNTP) использует TCP и является протоколом с многоэтапной передачей информации. Хотя NNTP относительно прост, недавно имел место ряд атак на распространенные программы NNTP. NNTP-сервера не должны работать на той же машине, что и брандмауэр. Вместо этого надо использовать имеющиеся стандартные прокси-сервисы для NNTP.

Finger и whois выполняют похожие функции. Finger используется для получения информации о пользователях системы. Часто он дает больше информации, чем это необходимо - в большинстве организаций finger должен быть отключен или его использование должно быть ограничено с помощью брандмауэра. Whois очень похож на него и должен быть также отключен или ограничен.

Протоколы удаленной печати в Unix lp и lpr позволяют хостам печатать, используя принтеры, присоединенные к другим хостам. Lpr - это протокол с использованием очереди запросов на печать, а lp использует rsh для этого. Обычно их обоих стоит отключить с помощью брандмауэра, если только его производитель не сделал прокси-сервера для них.

Сетевая файловая система (NFS) позволяет делать дисковые накопители доступными для пользователей и систем в сети. NFS использует очень слабую форму аутентификации и считается небезопасным при использовании его в недоверенных сетях. NFS должен быть запрещен с помощью брандмауэра.

Живое аудио (real audio) позволяет получать оцифрованный звук по сетям TCP/IP. Кроме него был разработан еще ряд сервисов для использования мультимедийных возможностей WWW.

Какие сервисы надо разрешать, а какие - запрещать, зависит от потребностей организации. Примеры политик безопасности для некоторых сервисов, которые могут потребоваться в типовой организации, приведены в таблице 5.2

· Состояние(Да/Нет) = могут ли пользователи использовать этот сервис

· Аутентификация (Да/Нет) = выполняется ли аутентификация перед началом использования сервиса

Начальник отдела

Ниже приведена таблица учета административных проблем, связанных с доступом к Интернету

Сервис	Протоколы	Что нужно сделать	Почему это надо сделать
E-mail		Пользователи должны иметь по одному адресу электронной почты	· Чтобы не раскрывать коммерческой информации.
	SMTP	Сервис электронной почты для организации должен осуществляться с помощью одного сервера	· Централизованный сервис легче администрировать. · В SMTP-серверах трудно конфигурировать безопасную работу.
	POP3	POP-пользователи должны использовать APOP-аутентификацию.	· Чтобы предотвратить перехват паролей.
	IMAP	Рекомендовать переход на IMAP.	· Он лучше подходит для удаленных пользователей, имеет средства шифрования данных.
Новости USENET	NTTP	Блокировать на брандмауэре	· Не нужен для деятельности организации
WWW	HTTP	Направлять на www.my.org	· Централизованный WWW легче администрировать. · WWW-сервера тяжело конфигурировать
*	Все другие	маршрутизировать

Политика

Сервис

Изнутри наружу

Извне внутрь

Образец политики Состояние Аутентификация Состояние Аутентификация FTP Да Нет Да Да Доступ к FTP должен быть разрешен изнутри снаружу. Должна использоваться усиленная аутентификация для доступа снаружи к FTP. Telnet Да Нет Да Да Доступ по Telnet должен быть разрешен изнутри наружу. При доступе снаружи должна использоваться усиленная аутентификация. Rlogin Да Нет Да Да rlogin на внутренние машины организации с внешних хостов требует письменного разрешения ответственного за сетевые сервисы и использования усиленной аутентификации. HTTP Да Нет Нет Нет Все WWW-сервера, предназначенные для использования внешними пользователями, должны быть размещены за брандмауэром. Входящий HTTP через брандмауэр должен быть запрещен. SSL Да Нет Да Да Требуется использовать в сеансах SSL клиентские сертификаты при прохождении SSL-сеансов через брандмауэр. POP3 Нет Нет Да Нет POP-сервер организации должен быть размещен внутри за брандмауэром. Брандмауэр будет пропускать POP-трафик только к POP-серверу. Требуется использовать APOP. NNTP Да Нет Нет Нет Внешний доступ к NNTP-серверу запрещен. Real Audio Нет Нет Нет Нет Сейчас нет коммерческой необходимости поддерживать живое аудио через брандмауэр. Если такой сервис требуется, надо связаться с ответственным за сетевые сервисы. Lp Да Нет Нет Нет Входящие запросы на lp-сервис должны блокироваться на брандмауэре Finger Да Нет Нет Нет Входящие запросы на finger-сервис должны блокироваться на брандмауэре Gopher Да Нет Нет Нет Входящие запросы на gopher-сервис должны блокироваться на брандмауэре Whois Да Нет Нет Нет Входящие запросы на whois-сервис должны блокироваться на брандмауэре SQL Да Нет Нет Нет Соединения внешних хостов с внутренними БД должны быть утверждены ответственным за сетевые сервисы и использовать утвержденные прокси-сервисы. Rsh Да Нет Нет Нет Входящие запросы на rsh-сервис должны блокироваться на брандмауэре Другие, такие как NFS Нет Нет Нет Нет Доступ к любым другим сервисам, не указанным выше, должен быть запрещен в обоих направлениях, чтобы использовались только те Интернет-сервисы, которые нам нужны, и о безопасности которых имеется информация, а остальные были запрещены.

Организация может захотеть поддерживать некоторые сервисы без усиленной аутентификации. Например, для загрузки внешними пользователями открытой информации может использоваться анонимный сервер FTP. В этом случае эти сервисы должны находиться на другой машине, чем брандмауэр, или в сети, которая не соединена с корпоративной сетью организации, содержащей критические данные. Ниже в таблице показан метод описания такой политики для FTP.

Table 6.3 Обобщенная политика безопасности

Политика	Авторизованный FTP-сервис	Анонимный FTP-сервис
Поместить сервер снаружи брандмауэра	Нет	Да
Поместить сервер в служебную сеть, не содержащую критических данных	Нет	Да
Поместить сервер в защищенную сеть	Да	Нет
Поместить сервер на брандмауэр	Нет	Нет
Сервис будет доступен с любой машины в Интернете	Нет	Да

Введение

Цель

Для кого эта книга

This document was written for readers involved in policy issues at three distinct levels:

Этот документ был написан для тех, кто участвует в разработке политики безопасности на трех уровнях:

Основы Интернета

Зачем разрабатывать политику безопасности для работы в Интернете?

Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объему информации, оно же является опасным для сайтов с низким уровнем безопасности. Интернет страдает от серьезных проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми к действиям злоумышленников.

Организации должны ответить на следующие вопросы, чтобы правильно учесть возможные последствия подключения к Интернету в области безопасности:

· Могут ли хакеры разрушить внутренние системы?

· Может ли быть скомпрометирована( изменена или прочитана) важная информация организации при ее передаче по Интернету?

· Можно ли помешать работе организации?

Все это - важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении легкости использования Интернета. Третьи требуют вложения значительных ресурсов - рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.

Цель политики безопасности для Интернета - принять решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей - общих принципов и конкретных правил работы( которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что - запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.

Правда, существует и третий тип политики, который встречается в литературе по безопасности в Интернете. Это - технический подход. В этой публикации под техническим подходом будем понимать анализ, который помогает выполнять принципы и правила политики. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.

Чтобы политика для Интернета была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации. Данная публикация пытается дать техническим специалистам информацию, которую им надо будет объяснить разработчикам политики для Интернета. Она содержит эскизный проект политики, на основе которого потом можно будет принять конкретные технические решения.

Интернет - это важный ресурс, который изменил стиль деятельности многих людей и организаций. Тем не менее, Интернет страдает от серьезных и широко распространенных проблем с безопасностью. Много организаций было атаковано или зондировано злоумышленниками, в результате чего они понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были вынуждены временно отключиться от Интернета и потратили значительные средства на устранение проблем с конфигурациями хостов и сетей. Сайты, которые неосведомлены или игнорируют эти проблемы, подвергают себя риску сетевой атаки злоумышленниками. Даже те сайты, которые внедрили у себя меры по обеспечению безопасности, подвергаются тем же опасностям из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.

Фундаментальная проблема состоит в том, что Интернет при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:

· Легкость перехвата данных и фальсификации адресов машин в сети - основная часть трафика Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы.

· Уязвимость средств TCP/IP - ряд средств TCP/IP не был спроектирован быть защищенными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы.

· Отсутствие политики - многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.

· Сложность конфигурирования - средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок . Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

Основные типы политики

Общие принципы

Что там должно быть

Как описано в "NIST Computer Security Handbook", обычно политика должна включать в себя следующие части:.

Получение разрешения

Дата: 2019-07-24, просмотров: 175.

12 3 4 5 6 7 8 9 10 Следующая ⇒