Администрирование_в_информационных_системах_Беленькая_М_Н_
.pdfАдминистрирование процесса учета... |
251 |
|
|
Основные задачи учета перечислены ниже [64]:
—отслеживание исполняемых сервисов и затрачиваемых ресурсов;
—отслеживание цены сервисов, используемых в системе;
—учет лимитов пользователя в системе;
—учет квот ресурсов, которые выдавались процессам и пользователям ИС;
—получение отчетов о результатах решения всех предыдущих задач;
—получение отчетов о жульничестве;
—интеграция различных отчетов и учет совокупной цены использования различных ресурсов.
Так, например, в ОC Windows XP существует возможность аудита объектов (файлов и директорий) [29]. В журнал безопасности ОС вносятся сведения об определенных действиях пользователя: когда и кто открыл, изменил или удалил файл. Можно провести учет (аудит успехов) всех успешных доступов к объекту и всех неудачных попыток доступа с выдачей соответствующих отчетов. Подробная информация о конкретных возможностях учета содержится в технической документации по ОС или СУБД (Technical reference, User’s Guide и т.п.).
Администратор системы может пользоваться общими средствами учета управляющих систем ИС. В случае отсутствия MS или NMS возможно использование средств учета ОС или СУБД. В сложных случаях, например, диагностики причин несанкционированного доступа к данным, возможно комбинированное использование всех имеющихся средств учета.
10.2. Защита от угроз безопасности
Угрозой является любая ситуация, вызванная преднамеренно или ненамеренно, которая способна неблагоприятно повлиять на систему [1].
Преднамеренные угрозы всегда осуществляются пользователями системы или прикладными программистами.
К основным преднамеренным угрозам относятся [1]:
—использование прав доступа другого пользователя сети;
—несанкционированный доступ к данным и их чтение, удаление, модифицирование или ввод;
252 |
Глава 10 |
|
|
—модификация программного продукта без санкции администратора системы;
—несанкционированное копирование данных;
—несанкционированный доступ к зашифрованным данным, вскрытие системы кодирования данных или паролей;
—внедрение компьютерных вирусов;
—электронные помехи;
—несанкционированное подключение к кабельной системе;
—несанкционированный доступ к консолям серверов баз данных, систем управления информационных систем.
Непреднамеренная угроза всегда вызывается сбоями питания, сбоями аппаратных или программных средств, неквалифицированными действиями персонала.
К непреднамеренным угрозам можно отнести следующий ряд событий [1]:
—разрушение данных в результате отключения питания серверного или сетевого оборудования;
—разрушение данных из-за сбоев оборудования серверов операционной системы, серверов баз данных или коммутационного оборудования;
—разрушение данных в результате сбоев операционной системы;
—разрушение данных в результате сбоев СУБД;
—ввод неправильных данных из-за ошибок прикладного обеспечения;
—нарушение целостности данных или их разрушение изза ошибок прикладного математического обеспечения;
—нарушение целостности данных из-за сбоев системного прикладного математического обеспечения или аппаратных средств;
—недостаточный профессионализм персонала или его нехватка;
—разрушение кабельной системы или аппаратуры;
—пожары по причине коротких замыканий;
—электростатические проблемы;
—неквалифицированные действия администратора системы, что обычно является наиболее частой и самой опасной причиной всех проблем с информационной системой.
Идеальная система безопасности ИС должна обеспечить полностью прозрачный санкционированный доступ к дан-
Администрирование процесса учета... |
253 |
|
|
ным и непреодолимые трудности при попытках несанкционированного доступа [2]. Помимо этого необходимы средства управления санкциями и средства отслеживания всех попыток несанкционированного доступа. Система MS или NMS должна предоставить администратору системы, занимающемуся проблемами безопасности, средства для фиксации активности процессов ИС и фиксации перехода этих процессов в аномальное состояние. Основными для управляющей системы должны быть следующие возможности:
—контроль над различными журналами или интегрированным журналом системы (системными логами для анализа доступа пользователей и приложений);
—контроль над доступом к ресурсам (возможно, выборочный);
—проверка прав пользователей;
—проверка информации на ее частную принадлежность пользователю;
—ведение отчетов о ситуациях, связанных с тревогами (alarm/event);
—ведение журнала проверок;
—распространение информации, связанной с защитой
безопасности, соответствующим службам администратора системы и пользователям.
Обеспечение безопасности — чрезвычайно сложная проблема. До настоящего времени не разработана единая и связная теория обеспечения безопасности ИС [2]. Это объясняется не только сложностью, но и неоднозначностью задачи. Несанкционированный доступ к системе может быть получен не только посредством взлома пароля пользователя, но и посредством физического похищения носителя или при помощи нелояльного сотрудника компании, имеющего доступ к данным. На практике на достаточно полное решение проблемы безопасности не хватает денег, у администратора системы недостаточно соответствующих полномочий, а у служб безопасности нет соответствующих технических знаний.
254 |
Глава 10 |
|
|
10.2.1. Виды угроз безопасности
Наиболее типичными видами угроз безопасности являются несанкционированный доступ, низкий уровень аутентификации, взлом паролей, атаки приложений, вирусы, черви и «троянские кони», подделка IP-адресов, атаки вида «отказ в обслуживании», захват контроля над системой [2].
Рассмотрим эти виды угроз безопасности [2, 6, 29].
Несанкционированный доступ. В руководящих документах Государственной технической комиссии РФ доступ к информации определен как ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации. Под несанкционированным доступом (НСД) к информации понимается доступ, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами [6]. Защита от несанкционированного доступа заключается в предотвращении или существенном затруднении последнего. Несанкционированный доступ к информационной системе — это использование ИС (или ее подсистемы) без согласия владельца. Примером является использование сети компании, использование программного обеспечения сервера в неразрешенных целях или похищение личной информации пользователя. Администратору системы следует реализовать контроль доступа средствами ИС и аудит потоков данных.
Низкий уровень аутентификации. Эта угроза существует, если ИС не имеет средств аутентификации (т. е. средств задания и проверки паролей пользователей) или эти средства неэффективны. Администратор системы должен в обязательном порядке использовать имеющиеся средства аутентификации, причем в наиболее строгом варианте, например все средства, предоставляемые сетевыми устройствами. Если требуется особенно надежная аутентификация, АС должен применить дополнительные средства, например биометрический анализ.
Взлом паролей. При вскрытии систем безопасности часто используется неосторожность пользователей, выбирающих себе слишком простые пароли или действующих по легко распознаваемой схеме их создания. Как уже говорилось, обычно операционная система или ИС генерируют пароли пользова-
Администрирование процесса учета... |
255 |
|
|
телей по специальным алгоритмам, например MD5. При попытке их взломать применяются произвольные комбинации букв, цифр, специальных символов, которые генерируются по тем же алгоритмам, либо используются списки слов (словари) для генерации пробных паролей. АС должен дать пользователям рекомендации по длине пароля и его сложности. Надежный пароль должен иметь длину 7 — 14 байт (символов), не включать в себя сленговые слова или наиболее вероятные комбинации, а также слова из словарей ОС. Следует установить срок действия паролей.
Атаки с использованием сетевых анализаторов пакетов.
Анализаторы пакетов (Sniffers), или сетевые анализаторы, — это программно-аппаратные комплексы, перехватывающие пакеты, проходящие по кабельной системе. Они применяются для поиска неисправностей, определения сетевых проблем, измерения характеристик трафика. Но хакерское сообщество разработало анализаторы пакетов, позволяющие перехватывать пароли для вскрытия систем доступа к ИС. Поэтому администратору системы следует использовать шифрование паролей (а иногда и данных), например, по протоколу IP Security (IPSec), а также применять одноразовые пароли (One Time Password — ОТР-пароль).
Атаки приложений. Атаки приложений представляют собой попытки атаковать уязвимые места в прикладном программном обеспечении. Например, атаки против серверов приложений. Администратору системы следует подписаться на официальную информационную рассылку производителя для получения информации об уязвимых местах приложений, устанавливать рассылаемые программные заплатки, связанные с защитой приложений, контролировать ресурсы серверов.
Вирусы, черви и «троянские кони». АС должен использовать антивирусное программное обеспечение на рабочих станциях, а также ограничить возможность записи пользователем на жесткие диски или внешние устройства несанкционированных продуктов. На серверах могут быть использованы специальные средства контроля и фильтрации доступа, например сетевые экраны — фаерволлы или host-based IDS.
Подделка IP-адресов. При подделке IP-адресов хакер пытается представиться санкционированным пользователем путем
256 |
Глава 10 |
|
|
использования адреса из внутреннего диапазона IP-адресов или авторизованного внешнего адреса, с которого возможен доступ к некоторым ресурсам. АС должен руководствоваться рекомендациями RFC 2827 и RFC 1918 для организации фильтрации адресов.
Атаки вида «отказ в обслуживании» (Denial of Service, DoS).
Эта атака заключается в приведении атакуемой системы или ее части в неработоспособное состояние. Результат достигается, например, путем взлома пароля и блокирования учетных записей пользователя, либо ищется неквотируемый ресурс, нужный прикладному процессу, или некорректно обрабатываемая ошибка в программном коде, приводящая к «зависанию» программы. Этот тип атак может привести к потере доходов предприятия. Вместе с входной и выходной фильтрацией АС должен согласовать свои действия с оператором связи, например, по ограничению скорости передачи на пограничном маршрутизаторе корпоративной системы, а также контролировать число соединений, разрешенных рабочей станции.
Захват контроля над системой в целях атаки на другие системы. Это наиболее опасные атаки. Трудно найти рабочую станцию под управлением ОС Windows, которая ни разу не была бы заражена вирусом и не представляла бы угрозу для остальных пользователей. По-видимому, проблему можно решить, если владелец, использованной таким образом системы, будет нести гражданско-правовую ответственность. Но тогда решение надо возложить (хотя бы частично) на разработчиков прикладного и системного ПО. Однако это противоречит бизнес-моделям поставщиков программного обеспечения. В первую очередь это касается корпорации Microsoft, поставляющей программное обеспечение в коробочном варианте (shrink-wrap software) без контракта на поддержку [2].
10.2.2.Средства, мероприятия
èнормы обеспечения безопасности
Ксредствам, мероприятиям и нормам обеспечения безопасности процессов переработки информации, которые используются администратором системы, относятся аппаратные
ипрограммные средства, организационные мероприятия, законодательные и морально-этические нормы [6].
Администрирование процесса учета... |
257 |
|
|
Аппаратные средства реализуются в виде электронных или электрических устройств. Они могут быть встроены непосредственно в вычислительную технику или реализовываться автономно, например, электронные замки на дверях помещений.
Программные средства выполняют функции защиты процессов обработки информации (например, сетевые экраны — фаерволлы). Обычно все программные продукты включают средства AAA (Авторизация пользователей, Аутентификация пользователей и Аудит системы), которые уже были рассмотрены в главе 6.
Организационные мероприятия представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые администратором системы в процессе установки или эксплуатации ИС. Организационные мероприятия являются наиболее действенными и существенными средствами. Они охватывают все этапы жизненного цикла ИС, а именно: строительство помещений, проектирование ИС, монтаж и настройка оборудования, эксплуатация системы. Организационные мероприятия включают ограничение доступа к частям объекта, где работает ИС, разграничение доступа к ресурсам, разработку документации и инструкций пользователям, сертификацию средств защиты, контроль выполнения правил.
Законодательные нормы определяются законодательными актами страны, регламентирующими правила пользования и обработки информации и устанавливающими меры ответственности за нарушение этих правил [6]. Законодательное регулирование осуществляется в России на основании Федерального закона от 25.01.95 № 24-ФЗ «Об информации, информатизации и защите информации», Закона РФ от 21.07.93 № 5485-1 «О государственной тайне». Установлено 9 государственных стандартов и нормативов в сфере обеспечения информационной безопасности: ГОСТ 28147—89, ГОСТ Р 34.10— 94, ГОСТ Р 34.11—94, ГОСТ 29.339—92, ГОСТ Р 50752—95, ГОСТ РВ 50170—92, ГОСТ Р 50600—93, ГОСТ Р 50739—95, ГОСТ Р 50922—96. Кроме того, существует 12 ГОСТов, связанных с системами тревожной сигнализации, около 200 ГОСТов, связанных с сертификацией БД, телекоммуникационных, программных и аппаратных средств, аттестационным тестиро-
258 |
Глава 10 |
|
|
ванием взаимосвязи открытых систем, более 100 ГОСТов по системам качества (стандарты серии ISO 9000) [6]. АС должен обратить особое внимание на ГОСТы, связанные с криптографической защитой информации (ГОСТ 28147—89, ГОСТ Р 34.10—94, ГОСТ Р 34.11—94), и ГОСТ Р 50739—95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования». Кроме того, АС должен быть знаком с нормированием и стандартизацией процессов безопасности иностранными производителями. Данные нормы и стандарты отражены в Оранжевой книге Агентства компьютерной безопасности США (7 уровней безопасности TCSEC) и в Красной книге Министерства обороны США, а также ITSEC стран ЕС («Критерии оценки защищенности информационных технологий», или Белая книга, 10 классов безопасности) [6].
Морально-этические нормы реализуются в виде сложившихся норм, которые не являются обязательными, но приняты в профессиональных сообществах. Несоблюдение этих норм ведет к потере возможности взаимодействия внутри сообществ. К таким нормам относится, например, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ США.
Более подробно материал изложен в [6].
10.2.3. Обычные меры организационной защиты для борьбы с преднамеренными угрозами
Как уже было отмечено, организационные меры являются наиболее действенными средствами по обеспечению информационной безопасности ИС. Администратор системы должен обязательно предусмотреть меры организационной защиты. Это могут быть ограничения на доступ в помещения с помощью компьютерных средств (замков), журналы контроля доступа, которые ведутся техническим персоналам, разбиение помещений на зоны доступа по категориям персонала. Необходимо обязательное ограничение доступа к телекоммуникационным клозетам и телекоммуникационным шкафам. Они должны запираться администратором системы. К мерам организационной защиты можно отнести и запрещение использовать на компьютерах пользователей устройства ввода-вывода, такие как диско-
Администрирование процесса учета... |
259 |
|
|
воды или USB-порты, и разрешение работать только в сетевом варианте. При этом вся общая информация или программные продукты загружаются только администратором системы.
Примером еще одного способа организационной защиты является запрет выхода во внешний мир из корпоративной сети организации, если конечно, это позволяет деятельность организации. При этом возможно физическое разделение кабельных систем для внутренней сети организации и для сети, из которой разрешен выход во внешний мир (например, в Интернет). Сеть для выхода во внешний мир должна быть отдельной, и на
еесерверах не должно быть корпоративной информации. Наконец, еще одной мерой организационной защиты яв-
ляется разрешение пользователям работать исключительно на персональных компьютерах, которые выдаются на период работы (например, ноутбуках) и подключаются по разрешению администратора системы к портам корпоративной сети.
Отдельно следует остановиться на защите кабельных систем. Администратор системы должен следить за тем, чтобы вся кабельная система прокладывалась в закрытых коробах. А в случае прокладки кабелей по специальным лоткам они должны находиться вне пределов простой досягаемости, например на большой высоте под фальш-потолком. Еще раз напомним, что доступ к телекоммуникационным клозетам должен быть строго ограничен. Они должны запираться и быть доступными только администратору системы. Функциональные схемы сети и кабельной системы не должны быть доступны пользователям и прикладным программистам. Обычно их помещают в аппаратных помещениях центральных телекоммуникационных клозетов.
10.3. Пример реализации защиты от НСД для системы поддержки банкоматов
Работа с таким финансовым инструментом, как платежная карта, требует особого подхода к организации безопасности в области передачи пользовательской информации и выдачи денег [18]. Ниже перечислены основные проблемы, возникающие при эксплуатации банкоматов, и мероприятия по их разрешению:
—обеспечение сохранности информации, которая передается между банкоматом и системой управления, и не-
260 |
Глава 10 |
|
|
возможности ее фальсификации; проблема решается за счет использования шифрования и цифровой подписи, используется аппаратная реализация;
—физическая защита банкомата от грабежа и мошенничества, связанного с кражей информации о картах и с использованием поддельных карт; используются устройства, обеспечивающие безопасность терминалов и аппаратная реализация;
—использование программных ограничений, препятствующих мошенничествам;
—организационные мероприятия по обеспечению безопасности, которые реализуются на базе международных отраслевых стандартов и нормативов.
Рассмотрим эти проблемы и их решение подробнее [34, 35, 44].
10.3.1. Аппаратные средства защиты
Использование шифрования и цифровой подписи. Основным механизмом авторизации клиента как владельца платежной карты является проверка PIN-кода, запрашиваемого банкоматом перед проведением очередной операции. Передача PINкода между банкоматом и системой управления осуществляется в зашифрованном виде. Согласно требованиям платежных систем Visa и MasterCard в терминалах используется шифрование по симметричному алгоритму Triple DES.
Терминалы, например банкоматы компании Diebold, оборудуются устройством шифрования, объединенным в единый блок с клавиатурой. Это устройство называется EPP (Encrypting PIN Pad — клавиатура для ввода PIN-кода с шифрованием). EPP хранит ключи шифрования на своем носителе и передает PIN-код системному блоку банкомата в уже зашифрованном виде. Таким образом, повышается защищенность PIN-кода, поскольку установка мошеннического устройства, ведущего запись PIN-кода, возможна только непосредственно на поверхности клавиатуры. Это единственная точка, где код вводится в незашифрованном виде. Использование EPP также позволяет ускорить процесс шифрования и дешифрования, поскольку аппаратное решение будет работать быстрее аналогичного программного.
Сервера, где хранится вся информация по платежной системе, например HP Non-Stop, также оборудованы шифрующим