Политика безопасности при работе в Интернете

Политика безопасности при работе в Интернете

СОДЕРЖАНИЕ

Введение

1 Общие принципы

1.1 Что там должно быть

1.2 Получение разрешения

1.3 Претворение политики в жизнь

1.4 Примеры описания общих принципов работы в Интернете в политиках

2 Анализ риска

2.1 Угрозы/видимость

2.2 Уязвимость/последствия

2.3 Матрица профиля

2.4 Учет информационных ценностей

2.5 Система общего назначения

2.6 Критические приложения

2.7 Классификация данных

3 Коммерческие требования

3.1 Удаленный доступ

3.2 Коммутируемое соединение

3.3 Telnet/X Windows

3.4 Переносные компьютеры

3.5 Электронная почта

3.6 Публикация информации

3.7 Исследования

3.8 Электронная коммерция

3.9 Электронный обмен данными

3.10 Информационные транзакции

3.11 Финансовые транзакции

3.12 Постоянная доступность для взаимодействия

3.13 Легкость использования

3.14 Единовременная регистрация

3.15 Разработка пользовательского интерфейса

4 Примеры областей, для которых нужны политики

4.1 Идентификация и аутентификация

4.2 Контроль за импортом программ

4.3 Шифрование

4.4 Архитектура системы

4.5 Улаживание происшествий с безопасностью

4.6 Организационные меры

4.7 Обучение пользователей

5 Политика безопасности брандмауэров

5.1 Основы и цель

5.2 Аутентификация

5.3 Анализ возможностей маршрутизации и прокси-серверов

5.4 Типы брандмауэров

5.5 Архитектуры брандмауэра

5.6 Интранет

5.7 Администрирование брандмауэра

5.8 Доверительные взаимосвязи в сети

5.9 Виртуальные частные сети (VPN)

5.10 Отображение имен в адреса с помощью DNS

5.11 Целостность системы

5.12 Документация

5.13 Физическая безопасность брандмауэра

5.14 Действия при попытках нарушения безопасности

5.15 Восстановление сервисов

5.16 Усовершенствование брандмауэра

5.17 Пересмотр политики безопасности для брандмауэра

5.18 Системные журналы (сообщения о событиях и итоговые отчеты)

5.19 Примеры политик

5.20 Примеры специфических политик для отдельных сервисов

5.21 Начальник отдела

5.22 Сотрудник отдела автоматизации

ВВЕДЕНИЕ

Цель. Этот документ создан для того, чтобы помочь организации создать согласованную политику безопасности для работы в Интернете. Он содержит краткий обзор Интернета и его протоколов. Он рассматривает основные виды использования Интернета и их влияние на политику безопасности. Кроме того, в нем есть примеры политик безопасности для сред с низким, средним и высоким уровнем угроз.

Читатели, которым требуется более общая информация о компьютерной безопасности, могут прочитать NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook.

Для кого эта книга? Этот документ был написан для тех, кто участвует в разработке политики безопасности на трех уровнях:

* Лица из верхнего звена управления организацией, которым требуется понимать некоторые риски и последствия использования Интернета, чтобы они могли рационально распределить ресурсы и назначить ответственных за те или иные вопросы.

* Начальники подразделений организации, которым требуется разрабатывать специфические политики безопасности

* Администраторы организации, которым нужно понимать, почему им надо применять те или иные программно-аппаратные средства для защиты, и каковы причины использования организационных мер и правил работы в Интернете, которым им надо будет обучать пользователей Интернета в организации.

Основы Интернета. Интернет - это всемирная «сеть сетей», которая использует для взаимодействия стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol). Интернет был создан для облегчения взаимодействия между организациями, выполняющими правительственные заказы. В 80-е годы к нему подключились учебные заведения, правительственные агентства, коммерческие фирмы и международные организации. В 90-е годы Интернет переживает феноменальный рост. Сейчас к Интернету присоединены миллионы пользователей, приблизительно половина из которых - коммерческие пользователи. Сейчас Интернет используется как основа Национальной Информационной Инфраструктуры США (NII).

Зачем разрабатывать политику безопасности для работы в Интернете? Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объему информации, оно же является опасным для сайтов с низким уровнем безопасности. Интернет страдает от серьезных проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми к действиям злоумышленников.

Организации должны ответить на следующие вопросы, чтобы правильно учесть возможные последствия подключения к Интернету в области безопасности:

* Могут ли хакеры разрушить внутренние системы?

* Может ли быть скомпрометирована (изменена или прочитана) важная информация организации при ее передаче по Интернету?

* Можно ли помешать работе организации?

Все это - важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении легкости использования Интернета. Третьи требуют вложения значительных ресурсов - рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.

Цель политики безопасности для Интернета - принять решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей - общих принципов и конкретных правил работы (которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что - запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.

Правда, существует и третий тип политики, который встречается в литературе по безопасности в Интернете. Это - технический подход. В этой публикации под техническим подходом будем понимать анализ, который помогает выполнять принципы и правила политики. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.

Чтобы политика для Интернета была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации. Данная публикация пытается дать техническим специалистам информацию, которую им надо будет объяснить разработчикам политики для Интернета. Она содержит эскизный проект политики, на основе которого потом можно будет принять конкретные технические решения.

Интернет - это важный ресурс, который изменил стиль деятельности многих людей и организаций. Тем не менее, Интернет страдает от серьезных и широко распространенных проблем с безопасностью. Много организаций было атаковано или зондировано злоумышленниками, в результате чего они понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были вынуждены временно отключиться от Интернета и потратили значительные средства на устранение проблем с конфигурациями хостов и сетей. Сайты, которые неосведомлены или игнорируют эти проблемы, подвергают себя риску сетевой атаки злоумышленниками. Даже те сайты, которые внедрили у себя меры по обеспечению безопасности, подвергаются тем же опасностям из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.

Фундаментальная проблема состоит в том, что Интернет при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:

* Легкость перехвата данных и фальсификации адресов машин в сети - основная часть трафика Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы.

* Уязвимость средств TCP/IP - ряд средств TCP/IP не был спроектирован быть защищенными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы.

* Отсутствие политики - многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.

* Сложность конфигурирования - средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

Основные типы политики. Термин Политика компьютерной безопасности имеет различное содержание для различных людей. Это может быть директива одного из руководителей организации по организации программы компьютерной безопасности., устанавливающая ее цели и назначающая ответственных за ее выполнение. Или это может быть решение начальника отдела в отношении безопасности электронной почты или факсов. Или это могут быть правила обеспечения безопасности для конкретной системы (это такие типы политик, про которые эксперты в компьютерной безопасности говорят, что они реализуются программно-аппаратными средствами и организационными мерами). В этом документе под политикой компьютерной безопасности будем понимать документ, в котором описаны решения в отношении безопасности. Под это определение подпадают все типы политики, описанные ниже.

При принятии решений администраторы сталкиваются с проблемой совершения выбора на основе учета принципов деятельности организации, соотношения важности целей, и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.

Необходимым элементом политики является принятие решения в отношении данного вопроса. Оно задаст направление деятельности организации. Для того чтобы политика была успешной, важно, чтобы было обоснованно выбрано одно направление из нескольких возможных.

1 ОБЩИЕ ПРИНЦИПЫ

1.1 Что там должно быть

Как описано в «NIST Computer Security Handbook», обычно политика должна включать в себя следующие части.

Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики - это может помочь добиться соблюдения политики. В отношении политики безопасности в Интернете организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с Интернетом (напрямую или опосредованно) или собственно соединения Интернет. Эта политика также может определять, учитываются ли другие аспекты работы в Интернете, не имеющие отношения к безопасности, такие как персональное использование соединений с Интернетом.

Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться Интернетом и при каких условиях.

Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.

Роли и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в Интернете, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.

Соблюдение политики. Для некоторых видов политик Интернета может оказаться уместным описание, с некоторой степенью детальности, нарушений, которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.

Консультанты по вопросам безопасности и справочная информация. Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности. Они должны уметь разъяснять правила работы в Интернете или правила работы на конкретной системе.

1.2 Получение разрешения

Что такое организация? Политика (хорошая политика) может быть написана только для группы людей с близкими целями. Поэтому организации может потребоваться разделить себя на части, если она слишком велика или имеет слишком различные цели, чтобы быть субъектом политики безопасности в Интернете. Например, NIST - это агентство Министерства Торговли (МТ) США. Задачи NIST требуют постоянного взаимодействия с научными организациями в среде открытых систем. К другому подразделению МТ, Бюро переписи, предъявляется требование поддержания конфиденциальности ответов на вопросы при переписи. При таких различных задачах и требованиях разработка общей политики безопасности МТ, наверное, невозможна. Даже внутри NIST существуют большие различия в отношении задач и требований к их выполнению, поэтому большинство политик безопасности Интернета разрабатываются на более низком уровне.

Координация с другими проблемными политиками. Интернет - это только один из множества способов, которыми организация обычно взаимодействует с внешними источниками информации. Политика Интернета должна быть согласована с другими политиками в отношении взаимоотношений с внешним миром. Например:

Физический доступ в здания и на территорию организации. Интернет - это как бы электронная дверь в организацию. В одну и ту же дверь может войти как добро, так и зло. Организация, территория которой открыта для входа, наверное, уже приняла решение на основе анализа рисков, что открытость либо необходима для выполнения организацией своих задач, либо угроза слишком мала, что ей можно пренебречь. Аналогичная логика применима к электронной двери. Тем не менее, существуют серьезные отличия. Физические угрозы более привязаны к конкретному физическому месту. А связь с Интернетом - это связь со всем миром. Организация, чья территория находится в спокойном и безопасном месте, может разрешать вход на свою территорию, но иметь строгую политику в отношении Интернета.

Взаимодействие со средствами массовой информации. Интернет может быть формой для общения с обществом. Многие организации инструктируют сотрудников, как им вести себя с корреспондентами или среди людей при работе. Эти правила следовало бы перенести и на электронное взаимодействие. Многие сотрудники не понимают общественный характер Интернета.

Электронный доступ. Интернет - это не единственная глобальная сеть. Организации используют телефонные сети и другие глобальные сети (например, SPRINT) для организации доступа удаленных пользователей к своим внутренним системам. При соединении с Интернетом и телефонной сетью существуют аналогичные угрозы и уязвимые места.

1.3 Претворение политики в жизнь

Не думайте, что как только ваша организация разработает большое число политик, директив или приказов, больше ничего не надо делать. Оглянитесь кругом и посмотрите, соблюдают ли формально написанные документы (это в России-то?!). Если нет, то вы можете либо попытаться изменить сам процесс разработки документов в организации (вообще трудно, но тем не менее возможно), либо оценить, где имеются проблемы с ее внедрением и устранять их. (Если вы выбрали второе, вам вероятно понадобятся формальные документы).

Так как, к сожалению, разработка неформальной политики выходит за рамки данной публикации, этот очень важный процесс не будет здесь описан. Большинство политик обычно определяют то, что хочет большой начальник. Чтобы политика безопасности в Интернете была эффективной, большой начальник должен понимать, какой выбор нужно сделать и делать его самостоятельно. Обычно, если большой начальник доверяет разработанной политике, она будет корректироваться с помощью неформальных механизмов.

Некоторые замечания по поводу политики. Для эффективности политика должна быть наглядной. Наглядность помогает реализовать политику, помогая гарантировать ее знание и понимание всеми сотрудниками организации. Презентации, видеофильмы, семинары, вечера вопросов и ответов и статьи во внутренних изданиях организации увеличивают ее наглядность. Программа обучения в области компьютерной безопасности и контрольные проверки действий в тех или иных ситуациях могут достаточно эффективно уведомить всех пользователей о новой политике. С ней также нужно знакомить всех новых сотрудников организации.

Политики компьютерной безопасности должны доводиться таким образом, чтобы гарантировалась поддержка со стороны руководителей отделов, особенно, если на сотрудников постоянно сыплется масса политик, директив, рекомендаций и приказов. Политика организации - это средство довести позицию руководства в отношении компьютерной безопасности и явно указать, что оно ожидает от сотрудников в отношении производительности их работы, действий в тех или иных ситуациях и регистрации своих действий.

Для того чтобы быть эффективной, политика должна быть согласована с другими существующими директивами, законами, приказами и общими задачами организации. Она также должна быть интегрирована в и согласована с другими политиками (например, политикой по приему на работу). Одним из способов координации политик является согласование их с другими отделами в ходе разработки.

1.4 Примеры описания общих принципов работы в Интернете в политиках

В этом разделе приводятся краткие примеры политик. Конечно, возможны и другие форматы, другая степень детализации. Задача этих примеров - помочь читателю понять принципы их разработки.

Первый пример - организация, которая решила не ограничивать никоим образом взаимодействие с Интернетом. Хотя этот курс и чреват многим опасностями в отношении безопасности, он может оказаться наилучшим выбором для организации, которой требуется открытость или в которой нет постоянного контроля начальников отделов за работой подчиненных. В целом таким организациям можно посоветовать выделить наиболее важные данные и обрабатывать их отдельно. Например, некоторые университеты и колледжи нуждаются в подобной среде для обучения студентов (но не для административных систем).

Второй пример - типовая политика. Внутренние и внешние системы разделяются с помощью брандмауэра. Тем не менее, большинство интернетовских служб все-таки доступны внутренним пользователям. Как правило в качестве брандмауэра используется шлюз, присоединенный к двум сетям или хост-бастион. Тем не менее, этот подход также может быть реализован с помощью криптографии для создания виртуальных частных сетей или туннелей в Интернете.

Третий пример - организация, которой требуется больше безопасности, чем это могут дать интернетовские сервисы. Единственным сервисом, который нужен организации, является электронная почта. Компания обычно имеет информационный сервер в Интернете, но он не соединен с внутренними системами.

2 АНАЛИЗ РИСКА

В настоящее время выделение финансовых и человеческих ресурсов на обеспечение безопасности ограничено, и требуется показать прибыль от вложений в них. Инвестиции в информационную безопасность могут рассматриваться как инвестиции для увеличения прибыли путем уменьшения административных затрат на ее поддержание или для защиты от потери прибыли путем предотвращения потенциальных затрат в случае негативных коммерческих последствий. В любом случае стоимость средств обеспечения безопасности должна соответствовать риску и прибыли для той среды, в которой работает ваша организация.

Говоря простым языком, риск - это ситуация, когда угроза использует уязвимое место для нанесения вреда вашей системе. Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. Для того чтобы разработать эффективную и недорогую политику безопасности для защиты соединений с Интернетом, нужно выполнить тот или иной анализ риска для оценки требуемой жесткости политики, который определит необходимые затраты на средства обеспечения безопасности для выполнения требований политики. То, насколько жесткой будет политика, зависит от:

* Уровня угроз, которым подвергается организация и видимость организации из внешнего мира

* Уязвимости организации к последствиям потенциальных инцидентов с безопасностью

* Государственных законов и требований вышестоящих организаций, которые могут явно определять необходимость проведения того или иного вида анализа риска или диктовать применение конкретных средств обеспечения безопасности для конкретных систем, приложений или видов информации.

Отметим, что здесь не учитывается ценность информации или финансовые последствия инцидентов с безопасностью. В прошлом такие оценки стоимости требовались как составная часть формального анализа риска в попытке осуществить оценку ежегодной прибыли при затратах на безопасность. По мере того, как зависимость государственных и коммерческих организаций от глобальных сетей становилась большей, потери от инцидентов с безопасностью, которые практически невозможно оценить в деньгах, стали равными или большими, чем вычисляемые затраты. Время администраторов информационной безопасности может более эффективно потрачено на обеспечение гарантий внедрения «достаточно хорошей безопасности», чем на расчет стоимости чего-либо худшего, чем полная безопасность.

Для организаций, деятельность которых регулируется законами, или которые обрабатывают информацию, от которой зависит жизнь людей, могут оказаться более приемлемыми формальные методы оценки риска. В Интернете есть ряд источников информации по этому вопросу. Следующие разделы содержат методологию для быстрой разработки профиля риска вашей организации.

2.1 Угрозы/видимость

Угроза - это любое событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения информации, или отказа в обслуживании критическими сервисами. Угрозы могут быть неумышленными, такими как те, что вызываются ошибками человека, сбоями оборудования или программ, или стихийными бедствиями. Умышленные угрозы могут быть разделены на ряд групп - от логичных (получение чего-либо без денег) до иррациональных (разрушение информации). Типичными угрозами в среде Интернета являются:

* Сбой в работе одной из компонент сети - сбой из-за ошибок при проектировании или ошибок оборудования или программ может привести к отказу в обслуживании или компрометации безопасности из-за неправильного функционирования одной из компонент сети. Выход из строя брандмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев, которые оказывают влияние на безопасность.

* Сканирование информации - неавторизованный просмотр критической информации злоумышленниками или авторизованными пользователями может происходить, используя различные механизмы - электронное письмо с неверным адресатом, распечатка принтера, неправильно сконфигурированные списки управления доступом, совместное использование несколькими людьми одного идентификатора и т.д.

* Использование информации не по назначению - использование информации для целей, отличных от авторизованных, может привести к отказу в обслуживании, излишним затратам, потере репутации. Виновниками этого могут быть как внутренние, так и внешние пользователи.

* Неавторизованное удаление, модификация или раскрытие информации - специальное искажение информационных ценностей, которое может привести к потере целостности или конфиденциальности информации.

* Проникновение - атака неавторизованных людей или систем, которая может привести к отказу в обслуживании или значительным затратам на восстановление после инцидента.

* Маскарад - попытки замаскироваться под авторизованного пользователя для кражи сервисов или информации, или для инициации финансовых транзакций, которые приведут к финансовым потерям или проблемам для организации.

Наличие угрозы необязательно означает, что она нанесет вред. Чтобы стать риском, угроза должна использовать уязвимое место в средствах обеспечения безопасности системы (рассматриваются в следующем разделе) и система должна быть видима из внешнего мира. Видимость системы - это мера как интереса злоумышленников к этой системе, так и количества информации, доступной для общего пользования на этой системе.

Все организации, имеющие доступ к Интернету, в некоторой степени видимы для внешнего мира хотя бы с помощью своего имени в DNS. Тем не менее, некоторые организации видимы более, чем другие, и уровень видимости может меняться регулярным образом или в зависимости от каких-нибудь событий. Так Служба Внутреннего Контроля более видна, чем Орнитологический Отдел. Exxon стал более видимым после катастрофы в Valdez, а MFS стал менее видимым после приобретения его WorldCom.

Так как многие угрозы, основанные на Интернете, являются вероятностными по своей природе, уровень видимости организации напрямую определяет вероятность того, что враждебные агенты будут пытаться нанести вред с помощью той или иной угрозы. В Интернете любопытные студенты, подростки-вандалы, криминальные элементы, промышленные шпионы могут являться носителями угрозы. По мере того как использование глобальных сетей для электронной коммерции и критических задач увеличивается, число атак криминальных элементов и шпионов будет увеличиваться.

2.2 Уязвимость/последствия

Организации по-разному уязвимы к риску. Политики безопасности должны отражать уязвимость конкретной организации к различным типам инцидентов с безопасностью и делать приоритетными инвестиции в области наибольшей уязвимости.

Имеется два фактора, определяющих уязвимость организации. Первый фактор - последствия инцидента с безопасностью. Почти все организации уязвимы к финансовым потерям - устранение последствий инцидентов с безопасностью может потребовать значительных вложений, даже если пострадали некритические сервисы. Тем не менее, средства переноса риска (страхование или пункты в договорах) могут гарантировать, что даже финансовые потери не приведут к кризису организации.

Одним из важных шагов при определении возможных последствий является ведение реестра информационных ценностей, обсуждаемое более детально в пункте 2.4. Хотя это и кажется простым, поддержание точного списка систем, сетей, компьютеров и баз данных, использующихся в организации, является сложной задачей. Организации должны объединить этот список с результатами работ по классификации данных, рассматриваемыми в пункте 2.7, в ходе которых информация, хранимая в онлайновом режиме, классифицируется по степени важности для выполнения организацией своих задач.

Более серьезные последствия возникают, когда нарушается внутренняя работа организации, что приводит к убыткам из-за упущенных возможностей, потерь рабочего времени и работ по восстановлению работы. Самые серьезные последствия - это когда затрагиваются внешние функции, такие как доставка продукции потребителям или прием заказов. Эти последствия инцидента с безопасностью напрямую вызывают финансовые убытки из-за нарушения работы служб, или из-за потенциальной потери доверия клиентов в будущем.

Второй фактор - это учет политических или организационных последствий. В некоторых корпорациях верхний уровень руководства организацией может подумать, прочитав статью в известной газете о проникновении в их сеть, что произошла катастрофа, даже если при это организация не понесла никаких финансовых убытков. В более открытых средах, таких как университеты или научные центры, руководство может на основании инцидента принять решение о введении ограничений на доступ. Эти факторы надо учитывать при определении уязвимости организации к инцидентам с безопасностью.

2.3 Матрица профиля

Таблица 2.1 - Матрица профиля риска

Угрозы	Рейтинг*	Видимость	Рейтинг*	Число очков
Ни одна из угроз не считается реальной	1	Очень маленькая	1
Возможность возникновения угроз тяжело оценить	3	Средняя, периодические публикации об организации	3
Угрозы реальны, имел место ряд случаев их возникновения	5	Большая, постоянные публикации об организации	5
Последствия	Рейтинг*	Уязвимость	Рейтинг*	Число очков
Финансовых потерь не будет, возможные последствия учтены в бюджете или предприняты меры по переносу риска	1	Инциденты считаются приемлемыми как необходимое условие бизнеса; руководство организации с пониманием относится к этому	1
Будут затронуты внутренние функции организации, превышен бюджет, потеряны возможности получить прибыль	3	Инцидент повлияет на позицию среднего звена управления, исчезнет доброжелательное отношение начальства к безопасности	3
Будут затронуты внешние функции организации, нанесен большой финансовый ущерб	5	Руководители организации станут жестче относиться к безопасности пострадают взаимоотношения с деловыми партнерами	5
	Общее число очков:

*Рейтинг: Значение для угроз умножается на значение для видимости, а значение для последствий умножается на значение для уязвимости. Затем эти два числа складываются: 2-10 - низкий риск; 11-29 - средний риск; 30-50 - высокий риск.

2.4 Учет информационных ценностей

Чтобы гарантировать защиту всех информационных ценностей, и то, что текущая вычислительная Среда организации может быть быстро восстановлена после инцидента с безопасностью, каждый сетевой администратор должен вести учет информационных систем в его зоне ответственности. Список должен включать в себя все существующую аппаратную часть вычислительной Среды, программы, электронные документы, базы данных и каналы связи.

Для каждой информационной ценности должна быть описана следующая информация:

* Тип: оборудование, программа, данные

* Используется в системе общего назначения или критическом приложении

* Ответственный за данную информационную ценность

* Ее физическое или логическое местоположение

* Учетный номер, где это возможно.

2.5 Система общего назначения

Система общего назначения - это «взаимосвязанный набор информационных ресурсов, которые находятся под единым административным управлением, позволяющих решать общие (неспецифические) задачи или обеспечивать их выполнение». Обычно задачей систем общего назначения является обеспечение обработки или взаимодействия между приложениями. Системы общего назначения включают в себя компьютеры, сети и программы, которые обеспечивают работу большого числа приложений, и обычно администрируются и сопровождаются отделом автоматизации в организации. Политика безопасности для систем общего назначения как правило применима и для Интернета, так как сервера, коммуникационные программы и шлюзы, обеспечивающие связь с Интернетом, обычно находятся под единым управлением.

2.6 Критические приложения

Все приложения требуют некоторого уровня безопасности, и адекватная безопасность для большинства из них обеспечивается средствами безопасности систем общего назначения, в рамках которых они функционируют. Тем не менее, некоторые приложения, из-за специфического характера хранимой и обрабатываемой в них информации, требуют специальных мер контроля и считаются критическими. Критическое приложение - это задача, решаемая с помощью компьютеров или сетей, от успешности решения которой серьезно зависит возможность существования организации или выполнения ею своего назначения.

Примерами критических приложений могут служить системы биллинга, учета заработной платы, другие финансовые системы и т.д. Так как большинство пользователей тратит основную часть своего времени на взаимодействие с одним из критических приложений, требуется включение курсов по информационной безопасности в программы переподготовки кадров для этих систем. Большинство критических приложений сейчас не требуют связи с Интернетом, тем не менее, эта ситуация изменится в будущем. Современные операционные системы включают в себя возможности для связи с Интернетом.

2.7 Классификация данных

Для того чтобы разработать эффективную политику безопасности, информация, хранимая или обрабатываемая в организации, должна быть классифицирована в соответствии с ее критичностью к потере конфиденциальности. На основе этой классификации потом можно легко разработать политику для разрешения (или запрещения) доступа к Интернету или для передачи информации по Интернету.

Большинство организаций используют такие классы, как «Коммерческая тайна» и «Для служебного пользования». Классы, используемые в политике информационной безопасности, должны быть согласованы с другими существующими классами.

Данные должны быть разбиты на 4 класса безопасности, каждый из которых имеет свои требования по обеспечению безопасности - КРИТИЧЕСКАЯ ИНФОРМАЦИЯ, КОММЕРЧЕСКАЯ ТАЙНА, ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ и ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ. Эта система классификации должна использоваться во всей организации. Лица, ответственные за информационные ценности, отвечают за назначение им класса, и этот процесс должен контролироваться руководством организации. Классы определяются следующим образом:

* КРИТИЧЕСКАЯ ИНФОРМАЦИЯ: Этот класс применяется к информации, требующей специальных мер безопасности для обеспечения гарантий ее целостности, чтобы защитить ее от неавторизованной модификации или удаления. Это - информация, которая требует более высоких гарантий чем обычно в отношении ее точности и полноты. Примерами информации этого класса может служить информация о финансовых операциях или распоряжения руководства.

* КОММЕРЧЕСКАЯ ТАЙНА: Этот класс применяется к наиболее критической коммерческой информации, которая предназначена для использования ТОЛЬКО внутри организации, если только ее разглашение не требуется различными законодательными актами. Ее неавторизованное разглашение может нанести серьезный вред организации, ее акционерам, деловым партнерам, и/или клиентам.

* ПЕРСОНАЛЬНАЯ ИНФОРМАЦИЯ: этот класс применяется к информации о человеке, использование которой разрешено только внутри организации. Ее неавторизованное раскрытие может нанести серьезный вред организации и/или ее служащим.

* ДЛЯ ВНУТРЕННЕГО ПОЛЬЗОВАНИЯ: Этот класс применяется ко всей остальной информации, которая не попадает ни в один из указанных выше классов. Хотя ее неавторизованное раскрытие нарушает политику, оно не может нанести какого-либо вреда организации, ее служащим и/или клиентам.

3 КОММЕРЧЕСКИЕ ТРЕБОВАНИЯ

Коммерческие и другие организации используют Интернет потому, что он предоставляет полезные сервисы. Организации должны принять решение - будут ли использоваться или нет сервисы на базе Интернета на основании анализа бизнес-плана или плана развития информационных технологий. Другими словами, организации должны проанализировать свои потребности, выявить потенциальные методы их удовлетворения и уточнить их после учета требований со стороны безопасности помимо влияния других факторов.

Большинство организаций используют Интернет-сервисы для того, чтобы обеспечить улучшенное взаимодействие между подразделениями организации, или между организацией и ее клиентами, или чтобы сократить расходы на автоматизацию коммерческой деятельности. Безопасность должна учитываться прежде всего - один инцидент с безопасностью может зачеркнуть любые финансовые выгоды, предоставляемые соединением с Интернетом.

Может также существовать несколько технологических решений для удовлетворения коммерческих потребностей организации, некоторые из которых могут быть обезопасены легче, чем другие. Рисунок 3.1 показывает типичную сетевую архитектуру в организации для использования Интернета.

Оставшаяся часть этой главы кратко рассматривает основные сервисы, обеспечиваемые связью с Интернетом. В ней также будет указано с помощью каких средств безопасности надо защищать эти сервисы. В таблице 3.2 показано соответствие между имеющимися средствами безопасности и Интернет-сервисами, часто используемыми организациями. Крестики показывают, какие средства безопасности часто используются для организации безопасной работы данного сервиса. Некоторые из средств, такие как улаживание последствий инцидентов с безопасностью, обеспечивают безопасность для всех сервисов, в таких случаях знак стоит напротив тех сервисов, для которых данное средство необходимо.

Таблица 3.2 - Использование средств безопасности для защиты сервисов

	Идентификация и аутентификация	Управление доступом	Брандмауэр	Средства контроля импортируемых программ	Шифрование	Архитектура	Устранение последствий инцидентов	Организационные меры
Удаленный доступ	Х	Х	Х		Х			Х
Электронная почта	Х			Х	Х			Х
Публикация информации		Х	Х			Х		Х
Исследования		Х	Х	Х		Х		Х
Электронная коммерция	Х	Х	Х	Х	Х	Х	Х	Х
Постоянная доступность						Х		Х
Легкость использования						Х		Х

3.1 Удаленный доступ

В настоящее время коммерческая деятельность все больше требует удаленного доступа к своим информационным системам. Это может объясняться необходимостью доступа сотрудников в командировках к своему электронному почтовому ящику, или необходимостью для продавцов удаленного ввода заказов на продукцию. По своей природе удаленный доступ к компьютерным системам приводит к появлению новых уязвимых мест в них из-за увеличения точек доступа к ним. Существует три основных режима удаленного доступа:

* Удаленный доступ к сервису - при этом виде доступ обычно ограничивается удаленным доступом к одному сервису, обычно почте. Такие продукты как Lotus Notes и cc:Mail поддерживают удаленный доступ к этим продуктам без предоставления доступа к каким-либо другим сетевым сервисам. Этот режим обычно является самым безопасным - число уязвимых мест ограничено.

* Удаленное управление позволяет удаленному пользователю управлять персональным компьютером, физически расположенным в корпоративной сети организации. Это может быть специальная компьютерная система или обычный компьютер, стоящий на рабочем месте пользователя. Удаленный компьютер используется только как клавиатура и дисплей. Удаленное управление ограничивает удаленных пользователей доступом к тем программам, которые запущены на корпоративном компьютере, что является плюсом с точки зрения безопасности. Некоторые продукты совместного удаленного доступа нескольких пользователей поддерживают также хороший аудит и протоколирование действий пользователей.

* При работе в режиме удаленного узла сети, удаленный компьютер соединяется с сервером удаленного доступа, который назначает удаленному компьютеру сетевой адрес. Все работающие программы находятся на удаленном компьютере вместе с локальной памятью. Режим удаленного узла предоставляет удаленным пользователям доступ ко всем сетевым сервисам, если только не используется программы управления доступом. Режим удаленного узла стал самой популярной формой удаленного доступа, но его использование приводит к появлению наивысшего уровня уязвимости корпоративных систем.

Эти формы удаленного доступа могут быть реализованы с помощью коммутируемого соединения, сеансов telnetа, или использования программных продуктов, обеспечивающих удаленный доступ. Следующие разделы описывают уязвимые места различных методов удаленного доступа.

3.2 Коммутируемое соединение

Удаленный доступ по телефонным каналам стал самой популярной формой удаленного доступа. Обычно удаленный компьютер использует аналоговый модем для дозвона до модема в режиме автоответа, подключенного к корпоративному компьютеру. Методы обеспечения безопасности этого соединения включают:

* Ограничение круга лиц, знающих о номерах телефонов, к которым подключены модемы - этот подход уязвим к автоматизированным атакам с помощью «боевых диалеров», простых программ, использующих модемы с автодозвоном для сканирования блоков телефонных номеров и выявления номеров с модемами.

* Использование пар имя-пароль - так как атакующему нужно подключиться к телефонной линии, чтобы узнать имя и пароль, коммутируемые соединения менее уязвимы к атакам с помощью перехватчиков паролей, которые делают многократно используемые пароли практическими бесполезными с глобальных сетях. Тем не менее, использование перехватчиков паролей на внутренних сетях, выбор в качестве паролей легко угадываемых слов, и социальная инженерия делают получение паролей легким. Часто злоумышленники представляются сотрудниками отделов технической поддержки для того, чтобы узнать у законных пользователей их пароли.

* Усиленная аутентификация - существует много методов, которые могут быть использованы для обеспечения или замены обычных паролей. Эти методы включают:

* Модемы с обратным звонком - эти устройства требуют от пользователя ввести имя и пароль при установлении соединения. Затем корпоративный модем разрывает соединение и ищет авторизованный номер телефона для данного пользователя. После этого он сам звонит по этому номеру и устанавливает соединение. Пользователь снова вводит имя и пароль для установления соединения. Этот подход уязвим к атакам переназначения звонка, и не обеспечивает гибкости, требуемой для установления соединения с отелями и аэропортами.

* Одноразовые пароли - системы запрос-ответ на основе криптографии, такие как S/Key Bellcore, и SecurID Security Dynamics. Они требуют, чтобы пользователь использовал программный или аппаратный генератор паролей. Эти устройства создают уникальный пароль для каждого сеанса и требуют, чтобы пользователь как знал имя и пароль, так и обладал генератором паролей. Хотя этот метод все-таки уязвим к атакам повтора сеанса, именно этот подход обеспечивает минимально допустимый уровень безопасности для большинства соединений с удаленным доступом.

* Аутентификация на основе местонахождения удаленного пользователя - новые технологии аутентификации используют такие технологии, как системы глобального позиционирования для реализации аутентификации на основе местонахождения. Если пользователь осуществляет соединение не из авторизованного места, доступ запрещен. Эта технология все еще ненадежна, дорога и сложна в использовании. Но она может оказаться уместной для многих приложений. Уязвимости при ее использовании связаны с возможностью атакующего дать фальшивую информацию о своем местонахождении. Большинство подходов используют криптографию для защиты от такой формы атаки.

В заключение можно сказать, что коммутируемый доступ обеспечивает злоумышленников точкой доступа к сети организации, даже если у организации нет доступа к Интернету.

3.3 Telnet/X Windows

Telnet и команды удаленного подключения к компьютеру, обеспечиваемые Unix, предоставляют возможность подключиться в режиме терминала к компьютеру по сети. Многие персональные компьютеры имеют TCP/IP-программы, которые предоставляют возможности telnet (В состав Windows'95 также входит такая возможность). По сути Telnet предоставляет подключение удаленного клиента в режиме текстового терминала к главному компьютеру по сети. Telnet обычно требует посылки пары имя-пароль по сетевому соединению в незашифрованном виде - серьезное уязвимое место с точки зрения безопасности.

X Windows предоставляет возможность удаленного подключения к компьютеру, поддерживающего графический интерфейс с пользователем, и передающего экранные образы, перемещения мыши и коды клавиш, нажатых пользователем, по сети. X Windows имеет слабые возможности по обеспечению безопасности, которые часто обходятся пользователями для упрощения процесса соединения.

3.4 Переносные компьютеры

В последние годы их использование значительно возросло из-за падения цен на них, уменьшения веса и размера. Рыночные исследования фирмы International Data Corporation показали, что в 1995 году одна четверть компьютеров были компьютерами-лаптопами. Большинство лаптопов, используемых коммерческими и государственными организациями, имеют высокоскоростные модемы, диски емкостью от 500Мб и выше. На них запускается большое число коммуникационных программ. Все чаще для использования их на рабочем месте применяются порты-расширители. Менее часто используется перенос дисковых накопителей на основе PCMCIA-карт между переносным компьютером и настольным компьютером в офисе.

Портативные компьютеры используются для решения коммерческих задач и часто с их помощью осуществляется удаленный доступ к корпоративным сетям. Хотя механизмы, используемые при соединении, те же самые, что и описанные выше (коммутируемый доступ, telnet и т.д.), использование переносных компьютеров приводит к появлению новых уязвимых мест.

* Местоположение удаленного компьютера может часто меняться, может быть каждый день. Модемы с обратным дозвоном обычно бесполезны в такой ситуации.

* Удаленный компьютер часто используется в общественных местах, таких как самолеты и аэропорты. С помощью подглядывания из-за плеча могут быть раскрыты данные и пароли.

* Удаленный компьютер часто оставляется без присмотра в относительно небезопасных местах, таких как номер в отеле или арендованный автомобиль. Данные, хранимые на диске, уязвимы к копированию или неавторизованному чтению.

* Удаленные компьютеры часто теряются или крадутся в ходе командировок сотрудников, что приводит к компрометации всей информации. Служащие часто не хотят сразу сообщать о потере, что делает вполне возможным удаленный доступ злоумышленника. Некоторые большие организации (в которых используется более 4000 переносных компьютеров) теряют в среднем один портативный компьютер в неделю.

* Переносные компьютеры используют внутренние модемы для коммутируемого доступа, причем та же PCMCIA-карта (вернее встроенный в нее интерфейс с ЛВС) используется для доступа к сети организации, когда лаптоп находится в офисе. Если на работе имеется доступ к телефону, то встроенный модем может использоваться для организации коммутируемых входящих и выходящих соединений с BBS или провайдером Интернета.

Пользователи переносных компьютеров все чаще являются также пользователями сотовых телефонов, и ведут по нему разговоры, в которых раскрывается важная информация, связанная с безопасностью. Разговор по сотовому телефону уязвим к перехвату его криминальными элементами, конкурентами или журналистами. Использование сотовых или других форм радиомодемов для передачи данных увеличивает уровень уязвимости.

3.5 Электронная почта

Хотя мультимедийная форма WWW привлекает основное внимание, именно электронная почта способствовала росту Интернета. Использование электронной почты для осуществления важных деловых взаимодействий растет быстрыми темпами. Хотя электронная почта является дешевым способом взаимодействия с клиентами, деловыми партнерами, с ее использованием связан ряд проблем с безопасностью:

* Адреса электронной почты в Интернете легко подделать. Практически нельзя сказать наверняка, кто написал и послал электронное письмо только на основе его адреса.

* Электронные письма могут быть легко модифицированы. Стандартное SMTP-письмо не содержит средств проверки целостности.

* Существует ряд мест, где содержимое письма может быть прочитано теми, кому оно не предназначено. Электронное письмо скорее похоже на открытку - его могут прочитать на каждой промежуточной станции.

* Обычно нет гарантий доставки электронного письма. Хотя некоторые почтовые системы предоставляют вам возможность получить сообщение о доставке, часто такие уведомления означают лишь то, что почтовый сервер получателя (а не обязательно сам пользователь) получил сообщение.

Эти уязвимые места делают важным для организации разработку политики, определяющей допустимое использование электронной почты для коммерческих целей.

3.6 Публикация информации

Интернет серьезно упрощает задачу предоставления информации гражданам общества, клиентам организации и деловым партнерам - по крайней мере тем, кто имеет компьютер, подключенный к Интернету. Сегодня в США около 35 процентов домов имеют персональные компьютеры, и только половина из них подключена к Интернету. Наверное только через несколько лет электронная публикация сможет догнать публикацию в газетах и журналах.

Тем не менее, любое использование средств электронной публикации информации, которое уменьшает число запросов информации по телефону или по почте, может помочь организации сократить расходы на эту статью и принести дополнительные прибыли. Существуют два вида публикации информации - принудительная и по инициативе читателя. Подписка на журналы - пример принудительной публикации - информация регулярно посылается подписчикам. Газетные киоски - пример публикации по инициативе читателя - читатели должны захотеть получить информацию.

Электронный эквивалент принудительной публикации - создание списка рассылки, в котором информация посылается всем, подписанным на этот список. Обычно для посылки сообщений в список рассылки, а также для включения в список рассылки или удаления из него используется специальная программа - сервер списка рассылки. Сервера списков рассылки относительно безопасны в том отношении, что пользователям не нужно иметь соединение с сетью организации, публикующей информацию, для получения информации. Тем не менее, они имеют несколько уязвимых мест:

* Программа-сервер рассылки обрабатывает данные от пользователей для включения их в список, для удаления из их списка, или получения информации о самом списке. Существует много бесплатных программ-серверов рассылки, и ряд из них не проверяет до конца введенные пользователем данные. Злоумышленники могут послать команды Unix или очень большие строки для того, чтобы вызвать непредусмотренные режимы работы или совершить проникновение путем переполнения буфера.