Филин С.А. Информационная безопасность, 2006
.pdf3.Определите степень вероятности угроз. Если область вашей де ятельности достаточно узка или вы работаете только в определенном регионе, скорее всего, необходимо защищаться от своих же работни ков, а не от «внешних» хакеров.
4.Достаточно важным параметром средств обеспечения защи ты информации является величина связанных с ними затрат. Одним из наиболее важных аспектов создания политики безопасности является оценка материальных затрат на ее внедрение. Речь идет
об эффективном вложении ресурсов в создание средств безопасно сти. Например, многие администраторы сосредотачивают все свое внимание на вторжениях извне. Однако статистика показывает, что большая часть потерь организаций приходится на «внутренних» зло умышленников. Наиболее результативными в этом плане являются пароли, зашифрованные записи и брандмауэры.
5. Постоянно следите за состоянием безопасности системы.
Немедленно устраняйте все найденные недостатки.
Первые три пункта являются определяющими компонентами по литики безопасности системы. При разработке системы безопаснос ти не забывайте о том, что она должна стоить меньше, чем восста новление системы после успешной атаки хакера.
Не имея четкого представления о том, что нужно защищать и от чего нужно защищаться, вы не сможете следовать приведенным выше правилам. Схема создания и реализации политики безопасно сти представлена на рис. 4.21 [66].
Чтобы определить официальную политику безопасности систе мы, необходимо выяснить, какие требования на систему налагает организация, в интересах которой разрабатывается политика без опасности. Кроме того, разрабатываемая политика безопасности должна включать средства предотвращения нападений и реакции на нарушения безопасности. Чтобы решить эти задачи, необходимо четко определить специфические особенности организации, в ин тересах которой разрабатывается политика безопасности. Для этого необходимо:
—определить цели организации и методы их реализации. На пример, военная база должна обладать гораздо более изо щренными средствами безопасности, чем университет. Что же касается частных фирм, то здесь все определяется каждым конкретным случаем;
—разработать политику безопасности, согласующуюся с уже су ществующими правилами, ограничениями и законами соот ветствующей организации. Для этого необходимо как мини мум понимать все эти правила и законы;
333
Рис. 4.21. Процесс создания иреализации политики безопасности
— если система не является автономной (имеется связь с внеш ним миром), то необходимо продумать средства защиты от вторжений извне. В частности, необходимо рассмотреть возможности удаленного выполнения программ. Например, необходимо определить, как будут решаться проблемы, свя занные с работой удаленных сайтов или неавторизованным доступом удаленных клиентов.
Для разработки политики безопасности необходимо привлечь сотрудников (разработчиков и исполнителей), обладающих различ ными полномочиями в организации и правами в сети. Разработчики должны заниматься поисками проблем и разрабатывать методы их устранения, исполнители — должны реализовывать найденные ре шения на практике. Кроме того, разработчики должны контролиро вать исполнителей.
Разработав политику безопасности, убедитесь, что каждый поль зователь системы знаком со своими обязанностями. Политика без опасности может определять (и ограничивать) действия всех поль зователей системы. Поэтому каждый пользователь организации
334
должен понимать, насколько важна политика безопасности, и стро го выполнять установленные правила.
Например, только от пользователей зависит создание и правиль ное применение паролей. Каждый пользователь может обладать несколькими уровнями ответственности. Один из таких уровней может включать в себя ответственность за защиту учетной запи си. Если пользователи будут передавать посторонним людям свое имя и пароль, то ни о какой политике безопасности не может быть и речи.
Администраторы системы могут организовать еще один уровень защиты — уровень физической безопасности компьютеров системы. После назначения разработчиков и исполнителей проекта политики безопасности, определите, что вы будете защищать.
Для большинства сетевых администраторов реализация без опасности системы напрямую определяется пониманием грозящих ей потенциальных опасностей. Анализ опасностей включает в себя определение объектов, нуждающихся в защите, а также оценку потен циальных угроз этим объектам. Лишь после этого можно определять методы защиты системы. Необходимо рассмотреть все возможные ситуации, определить объекты, нуждающиеся в защите, и опреде лить их степень опасности. Для каждого объекта необходимо опреде лить доступность, секретность и целостность. Для каждой опасности необходимо определить ее влияние на все три параметра объектов и способ защиты от нее.
Оценка опасности (потенциальных угроз) заключается в приня тии приемлемых по величине затрат управленческих решений для каждой из потенциальных опасностей. При этом затраты на обеспе чение безопасности не должны превышать ущерба от последствий атак [66].
Первым этапом анализа опасности является определение объек тов, нуждающихся в защите. Очевидно, это будут некоторые части аппаратного обеспечения. Однако можно упустить не менее важные объекты, например, пользователей вашей системы. Основной за дачей здесь является создание списка всех объектов (программ, до кументов периферийных устройств), которые могут подвергнуться опасности.
Основные категории объектов, нуждающихся в защите, следую щие:
1. Данные. Наиболее распространенными типами данных явля ются документы, базы данных и журналы регистрации. Необходимо определить источники данных: память, архивные файлы, магнитная лента и т. д. и обеспечить защиту всех данных системы.
335
2.Программное обеспечение. Наиболее распространенными вида ми программного обеспечения являются исходные тексты программ, объектные коды, утилиты, программы диагностики, операционные системы и коммуникационные программы. Необходимо обеспечить защиту всего программного обеспечения, распространяемого орга низацией и установленного в системе.
3.Аппаратное обеспечение. Необходимо обеспечить защиту всего аппаратного обеспечения, используя для этого средства физической защиты и специальные программы.
4.Пользователи. Необходимо обеспечить надежную защиту учет ных записей пользователей. У всех должны быть уникальные имена.
Упользователей не должно быть прав, ненужных им по определе нию. Кроме того, все администраторы должны создать для себя вто рые (пользовательские) учетные записи.
5.Документация. Необходимо обеспечить защиту документации посредством хранения защищенных оригиналов программ, аппа ратного обеспечения, систем, локальных административных проце дур и саму политику безопасности в месте, недоступном для других пользователей.
6.Аксессуары. Необходимо обеспечить защиту бумажных носите лей информации, форм, лент и магнитных носителей. В последние годы наибольший урон организации понесли вследствие воровства именно этих носителей.
При разработке политики безопасности необходимо составить
список всех объектов, принадлежащих одной из этих категорий. Чтобы определить возможную опасность, необходимо выявить
слабые места системы. Политика безопасности должна предусмат ривать методы усиления безопасности и уменьшения возможности нападений во всех областях системы. Области системы, наиболее час то подвергающиеся атакам, следующие:
— точки доступа. Неавторизованные пользователи используют эти точки для проникновения в систему. Чем больше точек доступа, тем больше шансов у хакера проникнуть в систему. Ссылки на се ти, расположенные за рамками организации, могут помочь внеш ним пользователям получить доступ к сети организации. Чаше всего ссылка на сеть предоставляет доступ к большому количеству сете вых служб, что существенно повышает шансы хакера. Телефонные линии, в зависимости от своей конфигурации, могут предоставить доступ прямо к порту регистрации в системе. Если такая линия со единена с сервером терминала, то с ее помощью хакер сможет полу чить доступ ко всей системе. Серверы терминалов сами по себе пред ставляют достаточно большую опасность для системы. Например,
336
многие из них не проводят никакой идентификации пользователей. Зачастую они используются хакерами для обеспечения скрытности своих действий от администраторов. Для этого хакер присоединяет ся к такому серверу с помощью телефонной линии, а затем прони кает в локальную сеть. Некоторые серверы терминалов используют конфигурацию, позволяющую хакерам использовать Telnet из внеш ней сети, что усложняет преследование;
— неправильно сконфигурированные системы. Огромное количе ство проблем безопасности связано с неправильно сконфигуриро ванными системами. Современные операционные системы стали настолько сложными, что одно только изучение их работы превра щается в целую науку. Часто администраторами систем становятся лица, не являющиеся специалистами в этой области. Частично от ветственность за неправильную конфигурацию систем ложится и на продавцов. Чтобы облегчить работу с системой, продавцы вы бирают конфигурацию, которая не обеспечивает должного уровня безопасности;
—ошибки в программном обеспечении. Не существует программ без ошибок. Ошибки — это один основных путей проникновения
всистему. Чтобы решить этот вопрос, необходимо постоянно знако миться со всеми известными проблемами безопасности и периоди чески обновлять программы. Обнаружив ошибку в программе, со общите о ней поставщику;
—«внутренние» опасности. Эти опасности представляют со бой наиболее распространенные проблемы для многих систем. Например, это может быть недовольный (уволенный) работник ор ганизации. Основное преимущество подобных нарушителей в том, что они обладают прямым доступом к системе и аппаратному обес печению. Например, «внутренние» злоумышленники могут свобод но использовать большинство рабочих станций и получать приви легированный доступ к системе. Доступ к локальной сети позволяет просматривать передаваемые по ней данные.
Каждый сайт может содержать и свои специфические проблемы безопасности.
На втором этапе для прогнозирования последствий атак необхо димо определить, какая опасность грозит каждому из перечисленных объектов. Прежде всего, следует выяснить, от каких именно опаснос тей вы будете защищать свою систему. Основные типы опасностей мо гут быть следующие.
1. Неавторизованный доступ. Он может проявляться в различ ных формах. Например, кто-либо может воспользоваться учетной
337
записью одного из пользователей. Серьезность подобных действий изменяется от сайта к сайту.
2.Рассекречивание информации. Необходимо определить ценность хранящейся в компьютерах информации. Рассекречивание файла
спаролями может привести к использованию неавторизованного доступа в будущем. Например, знание планов организации может принести конкурентам неоспоримое преимущество в дальнейшей борьбе.
3.Отказ служб. Компьютеры и сети существуют, чтобы предоставлять своим пользователям некоторые специфические услуги. Многие люди вполне доверяют сетям и компьютерам. Представьте теперь, что одна из этих услуг более недоступна. Это может привести
кперебоям в деятельности организации. Как известно, атаки отказа служб могут принимать различные формы. Причиной отказа служб мо1уг стать помехи в сети, некорректный пакет или выход из строя одного из компонентов. Компьютерные вирусы могут замедлить ра боту системы или привести ее в полную негодность. Каждый сайт должен определить наиболее важные службы и последствия, вызван ные их отказом.
Процесс разработки политики безопасности включает следую щие основные этапы:
1.Определение того, кто может использовать каждый ресурс.
2.Определение необходимого доступа к ресурсу.
3.Определение того, кто может изменить права доступа к ре сурсу.
4.Определение того, кто должен и будет обладать привилегиями администратора.
5.Определение прав и обязанности пользователей.
6.Определение различия между правами и обязанностями адми нистраторов и пользователей.
7.Определение методов защиты важной и обычной инфор мацию.
Разрабатывая политику безопасности, необходимо четко опреде лить, кто может пользоваться системой и ее отдельными службами. Политика должна четко разграничить права доступа к ресурсу. Речь идет не об определении прав каждого пользователя в отдельности, а об определении прав для выполнения каких-либо работ, а также права пользователя в зависимости от положения в организации. Например, необходимо предоставить секретарям доступ к докумен там, хранящимся в их собственном каталоге, а также в определенных
338
каталогах их непосредственных руководителей. Однако не следует предоставлять секретарям доступ ко всем каталогам их руководителя или каталогам других секретарей.
Определив права доступа к ресурсу, необходимо сформулировать правила работы с ним. У различных типов пользователей могут быть различные правила работы с одним и тем же ресурсом. Политика безопасности должна давать четкое определение правильной работы с ресурсом, а также содержать описание запрещенных методов рабо ты. Необходимо определить ограничения на доступ и ввести различ ные уровни доступа отдельных пользователей и целых групп.
Индивидуальная ответственность должна существовать в любом случае. Политика «приемлемого использования» должна базиро ваться на ответственности каждого пользователя за свои действия. Этапы построения политики «приемлемого использования» вклю чают определение:
—можно ли пользователям взламывать чужие учетные записи;
—обладают ли пользователи правом взламывать чужие пароли;
—можно ли пользователям выводить из строя сетевые службы;
—разрешено ли пользователям читать общие файлы;
—позволяет ли компания пользователям изменить чужие файлы;
—разрешается ли пользователям совместно использовать учет ные записи.
Необходимо отдельно рассмотреть вопрос использования заре гистрированного программного обеспечения. Лицензионные со глашения с поставщиком могут содержать требования защиты прог раммного обеспечения от некорректного использования программ пользователями. Необходимо напомнить служащим, что копирова ние защищенных авторскими правами программ является наруше нием закона.
В политику безопасности целесообразно включить следующую информацию:
—пользователям не разрешается создание копий лицензирован ных и защищенных авторскими правами программ;
—пользователи должны четко знать правила использования лицензированных и защищенных авторскими правами прог рамм;
—если сомневаетесь в своей правоте, не копируйте.
Политика «приемлемого использования» является очень важным компонентом политики безопасности. Без нее нельзя доказать, что кто-либо из пользователей не нарушает политики безопасности.
339
Существует несколько исключений для пользователей или адми нистраторов, желающих приобрести «лицензии на хакерство». На пример, это может произойти, если пользователь или администра тор пытаются взломать систему, чтобы обнаружить ее недостатки. Вы должны тщательно продумать эту ситуацию и определить, раз решите ли вы проводить подобные «тесты» на системе. Необходимо принять во внимание следующее:
—разрешается ли в компании хакерская деятельность;
—какой тип действий разрешен: взлом системы снаружи, созда ние червей, вирусов и т. д.;
—какой тип элементов управления процессом взлома нужно установить, чтобы последний не вышел из-под контроля. На пример, можно выделить для своих хакеров отдельный сег мент сети;
—как защищать от тестов остальных пользователей, включая внешних пользователей и присоединенные к вам сети;
—что необходимо для получения от начальства компании раз решения на хакерские действия.
Если возможность проведения подобных тестов предусматрива ется, необходимо изолировать используемый хакерами сегмент сети. Нельзя вводить вирусы в работающую сеть. Предусмотрите в полити ке безопасности дополнительные расходы на привлечение таких спе циалистов, занимающихся проверкой надежности вашей системы.
Политика безопасности должна определять людей, которые могут изменять права доступа к ресурсу. Необходимо указать, какие права они могут предоставлять. Если какой-либо работник организации не может контролировать доступ к ресурсу, то нельзя гарантировать и безопасность системы в целом.
Можно разработать несколько схем контроля предоставления до ступа к системе. Определение пользователей, способных изменять права доступа, необходимо проводить в соответствии со следующи ми критериями [66]:
—необходимо определить, будут ли права предоставляться цен трализованно. Можно создать централизованную схему управления распределением прав в распределенной системе. Управленческое ре шение должно определяться соображениями безопасности и удоб ства. Чем более централизована система, тем легче обеспечивать
еебезопасность;
—необходимо определить, каким образом будет проводиться создание учетных записей и ограничения доступа. С точки зрения
340
безопасности системы создание учетных записей является особенно важным ее аспектом. Наименее жесткий вариант заключается в том, чтобы разрешить некоторым пользователям изменять права напря мую. В этом случае эти лица должны обладать возможностью зареги стрироваться в системе и создать новую учетную запись вручную или с помощью специальных механизмов. В целом подобные механизмы предоставляют использующему их лицу достаточно большие воз можности и привилегии. Если выбирается именно этот вариант, то для такой работы подбираются достаточно надежные исполнители. И наоборот, можно создать интегрированную систему, предостав ленную в пользование всем пользователям системы. Однако создан ные с ее помощью учетные записи будут обладать ограниченными правами. Помните, что нельзя полностью застраховаться от непра вильного использования средств создания учетных записей;
— необходимо разработать специальные процедуры создания учетных записей и убедиться в том, что использующие эти процеду ры лица четко понимают их назначение.
Одним из наиболее важных вопросов организации безопасности системы является выбор администраторов. Очевидно, что системно му администратору нужен полный доступ к системе. Однако не стоит делать системными администраторами всех пользователей, нуждаю щихся в нестандартных правах доступа. Основная задача политики безопасности состоит в выборе прав доступа для пользователей, вы полняющих некоторые специфические задачи в системе. Здесь не обходимо придерживаться правила: не предоставлять пользователям излишних прав. Их должно быть ровно столько, сколько необходи мо для выполнения задач.
Кроме того, пользователи со специальными привилегиями долж ны контролироваться.
Политика безопасности должна определять права и обязанности всех пользователей системы. Каждый пользователь должен быть по ставлен в известность о том, что он является ответственным за все свои действия и соблюдение правил безопасности системы. При формировании политики безопасности должны быть освещены [66]:
—правила использования ресурса;
—к чему может привести неправильное использование ресурса;
—возможность разрешения пользователям совместно использо вать учетные записи;
—как «секретные» пользователи должны хранить свои пароли;
—как часто пользователи должны менять свои пароли. Кроме того, какие ограничения следует наложить на пароли;
341
—кто будет создавать резервные копии (определенное лицо или подобные возможности будут предоставлены остальным поль зователям);
—рассекречивание важной информации организации;
—закон о конфиденциальности электронной почты (Electronic Communication Privacy Act);
—участие в группах обсуждения или списках рассылки;
—политика электронных коммуникаций, касающаяся поддел ки почтовых сообщений и т. д. Ассоциация электронной поч ты (Electronic Mail Association — ЕМА) предоставила средства для создания спецификаций («white paper») о конфиденциаль ности сообщений электронной почты в компаниях. В частнос
ти, члены ассоциации рекомендуют всем компаниям создавать политику защиты конфиденциальности данных своих служа щих не только для электронной почты, но и для остальных;
—* когда следует обращаться к правоохранительным органам;
—может ли управляющий системы связаться с удаленным сай том, если тот посылает запрос на соединение;
—кто может распространять информацию;
—* извещение каждого пользователя о процедурах проведения контактов с «внешним» миром.
Кроме правил поведения, политика безопасности должна со держать описание действий, вызванных нарушением этих правил. Каждое нарушение политики безопасности должно рассматриваться как инцидент. Каждый пользователь должен быть ознакомлен с ре акциями на все виды инцидентов.
Реакцию на инциденты определяют два метода [66]. Первый — стратегия типа «защитись и продолжи» — применяется на недоста точно защищенных сайтах. Кроме того, эта стратегия может быть использована пользователями сети. Основной целью этого метода является защита сайта. Администрация может попытаться поме шать злоумышленнику, предотвратить дальнейшие попытки доступа и немедленно приступить к оценке нанесенного ущерба и восста новлению системы. Этот процесс может включать в себя отключе ние сетевых служб, запрет доступа к сети или более серьезные меры. Основным его недостатком является тот факт, что, пока вы не уста новите личность злоумышленника, он может вернуться (или атако вать другой сайт) с помощью других методов.
Второй метод — «преследование и наказание» — служит для определения злоумышленника. При этом администратор должен позволить злоумышленнику работать до тех пор, пока не будет выяс
342