На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Политика безопасности сети

На протяжении всей книги я рассказывал вам о том, какие опасности гают администраторов, пользователей и инженеров систем управления инфоДЩ мацией (MIS — management-information system). Как уже говорилось, их коли­чество растет с каждым днем. Поэтому каждая компания должна создать специ­альную структуру, занимающуюся вопросами безопасности сети. В этой главе я расскажу вам о том, как разработать и реализовать политику безопасности сети. Прочитав главу, вы узнаете следующее:
Каждая сеть должна обладать своей уникальной политикой безопасности.
♦   Для создания политики безопасности необходима слаженная работа всего
коллектива — от администраторов до простых пользователей. »    Оценка риска подразумевает под собой определение всех нуждающихся в
защите объектов системы и грозящей им опасности. »  Прежде всего политика безопасности должна ответить на вопрос, что нужно
защищать. Методы защиты (как защищать) отодвигаются на второй план. »   Прежде чем приступить к реализации политики безопасности, вы должны
тщательно продумать каждую ее деталь. »  Хорошая политика безопасности должна определять меры наказания нару-
»   Эффективность политики безопасности определяется методами ее реали­зации и поддержания.
Политика безопасности состоит из нескольких компонентов. Отмечу, что мно­гие специалисты склонны смешивать различные специфические понятия без­опасности. Далее приводится описание некоторых из этих понятий.
• Индивидуальность — под индивидуальностью подразумевается некоторая схема разделения и присвоения имен различным членам сети (как уже говорилось в главе 10, членом сети может быть и пользователь, и хост).
• Идентификация — как уже отмечалось ранее, метод определения прав на использование имени некоторого пользователя. Иначе говоря, с помо­щью идентификации можно определить, является ли некоторый человек тем, за кого он себя выдает.
• Идентификация информации - это метод определения создателя информа­ции. Чаще, всего для идентификации информации используются цифро­вые подписи.
шителей.
ОПРЕДЕЛЕНИЕ политики БЕЗОПАСНОСТИ

• Целостность данных — это метод определения неизменности данных с мо­мента их отправки. Для определения целостности данных также использу­ются цифровые подписи.
• Конфиденциальность информации — это метод защиты передаваемых по сети данных от посторонних глаз. В идеале конфиденциальную информацию должен прочитать только тот, кому она предназначается (для остальных она должна быть недоступна). Для обеспечения конфиденциальности ин­формации чаще всего используется шифрование (4).
• Определение прав — это механизм, с помощью которого система определя­ет, может ли конкретный пользователь воспользоваться некоторой функ­цией или получить доступ к некоторой информации. Во многих системах определением прав занимается операционная система. В других (вроде Kerberos) определением прав занимается специальная машина — безопас­ный сервер.
• Аудит — как уже говорилось в главе 12, это метод получения и хранения информации обо всех сетевых транзакциях.
Некоторые из этих аспектов более сложны, чем кажутся поначалу. Например, средства идентификации состоят не только из механизмов проверки отдельных пользователей, но также и подразумевают создание эффективных паролей. Од­нако создание паролей относится уже к социальным проблемам — они зависят не
от системы, а от уровня знаний пользователей. Определение прав и аудита тре­буют некоторых накладных расходов (процесс создания учетных записей). Каж­дый из пунктов списка может быть связан с остальными. Например, конфиден­циальность информации связана с проблемами определения прав.
В процессе реализации политики безопасности необходимо определить, какие из перечисленных понятий наиболее важны для вашей системы. Только после этого можно приступать к разработке политики. Кроме того, вы должны создать письменный вариант реализации политики безопасности и предоставить его всем администраторам сети.
ЗАЧЕМ НУЖНА ПОЛИТИКА БЕЗОПАСНОСТИ
На протяжении всей книги рассказывалось, какие опасности подстерегают сис­темы, не обладающие средствами защиты. Поэтому вопрос о том, зачем нужна политика безопасности, не является актуальным. Вместо этого вы должны ре­шить, как она будет реализована.
Для большинства сетевых администраторов реализация безопасности системы
напрямую определяется пониманием грозящих ей опасностей. Вы уже знакомы со многими из них. Осталось только определить, какие из опасностей могут угрожать вашей системе.
ОСНОВЫ  РАЗРАБОТКИ ПОЛИТИКИ БЕЗОПАСНОСТИ
Построение политики безопасности начинается с разработки плана действий по
осуществлению безопасности системы. Другими словами, вы должны попытаться защитить себя и сделать все, чтобы хакер не смог проникнуть в систему. Наибо­лее общими в разработке безопасности системы являются следующие операции:
Определите, какие объекты нуждаются в защите. Выясните характеристи­ки этих объектов. Например, предположим, что ваш сервер содержит базы данных с важной для компании информацией. Чтобы определить
необходимый уровень безопасности этих баз данных, вы должны выяс­нить, какими правами доступа обладают различные пользователи в насто­ящий момент.
2. Определите, что вы должны защищать и от кого нужно защищаться. Воз­вращаясь к нашему примеру, вы должны защитить базы данных от доступа внешних пользователей. Возможно, что вам придется защитить записи каждого пользователя от остальных пользователей.
3. Определите степень вероятности угроз. Если область вашей деятельности достаточно узка или вы работаете только в определенном регионе, то, скорее всего, вам нужно защищаться от своих же работников, а не от «внешних» хакеров.
4. Достаточно важным параметром средств обеспечения защиты информа­ции является их цена. Наиболее результативными в этом плане являются
пароли, зашифрованные записи и брандмауэры.
5. Постоянно следите за состоянием безопасности системы. Немедленно
устраняйте все найденные недостатки.
Большая часть этой главы посвящена обсуждению последних двух пунктов, по­тому что первые три зависят от каждой конкретной системы и даже могут разли­чаться для серверов одной сети. Однако вы должны понять, что первые три пункта являются определяющими компонентами политики безопасности систе­мы. При разработке системы безопасности не забывайте о том, что она должна
стоить меньше, чем восстановление системы после успешной атаки.
Не имея четкого представления о том, что нужно защищать и от нужно защищаться, вы не сможете следовать приведенным выше правилам. На рисун­ке 21.1 представлена схема создания и реализации политики безопасности.
РАЗРАБОТКА ОФИЦИАЛЬНОЙ политики БЕЗОПАСНОСТИ СИСТЕМЫ Чтобы определить политику безопасности системы, необходимо
выяснить, какие требования на систему налагает ваша организация. Кроме того, разрабатываемая политика должна включать средства предотвращения нападе­ний и реакции на нарушения безопасности. Чтобы решить эти задачи, нужно
четко определить специфику вашей компании. Для этого необходимо проделать
следующее:
1. Определите цели вашей организации и методы их реализации. Например,
военная база должна обладать гораздо более изощренными средствами без­опасности, чем университет. Что же касается частных компаний, то здесь все определяется каждым конкретным случаем.
2. Разработайте политику безопасности, согласующуюся с уже существую­щими правилами, ограничениями и законами вашей организации. Для этого вы должны как минимум понимать все эти правила и законы.
3. Если ваша система не является автономной (имеется связь с внешним ми­ром), то вы должны продумать средства защиты от вторжений извне. В частности, вы должны рассмотреть возможности удаленного выполнения программ. Например, нужно определить, как будут решаться проблемы, связанные с работой удаленных сайтов или неавторизованным доступом удаленных клиентов.
Нельзя создать политику безопасности за один субботний вечер. Для ее разра­ботки вам придется привлечь нескольких сотрудников, обладающих различными полномочиями в организации и правами в сети. Однако отвечать за создание политики должен один определенный человек (или группа людей).
ОПРЕДЕЛИТЕ ОТВЕТСТВЕННЫХ
Создавая политику безопасности, не забывайте о том, что она включает в себя огромное количество аспектов. Плохо разработанная или реализованная поли­тика безопасности может оставить достаточно много «дыр» в системе. Чтобы этого не произошло, вы должны подключить к созданию политики нескольких
человек. При этом разделите их на две группы: разработчиков и исполнителей.
Первые из них должны заниматься поисками проблем и разрабатывать методы их устранения. Вторые должны реализовывать найденные решения на практике.
Кроме того, разработчики должны контролировать исполнителей. Очевидно,
что ничего не стоит самая лучшая, но недостаточно хорошо реализованная по­литика безопасности. Не будет от нее проку и в том случае, если не заставить
всех пользователей придерживаться разработанной политики.
Политика безопасности может определять (и ограничивать) действия всех пользо­вателей системы. Поэтому вы должны консультироваться с некоторыми из них, чтобы ваша политика не была оторвана от реальных проблем и нужд. Выделите в каждом отделе человека (с наиболее высокими правами доступа к системе), который также будет отвечать за реализацию политики в отделе. Не стоит полагаться только на группу реализации: отвечать за реализацию политики должны все пользователи с достаточно широкими правами доступа.
Не стоит также забывать и об обычных пользователях. Каждый человек вашей организации должен понимать, насколько важна политика безопасности, и строго выполнять установленные правила. Например, только от пользователей зависит создание и правильное применение паролей.
Определив политику безопасности, нужно также отобрать людей, ответствен­ных за ее реализацию. Например, это могут быть группы пользователей, зани­мающихся аудитом и управлением системы, структуры, обеспечивающие физи­ческую безопасность, и т. д. Чем раньше эти люди будут вовлечены в работу над
политикой безопасности, тем успешнее пойдет ваша деятельность.

ОТВЕТСТВЕННОСТЬ ЗА РЕАЛИЗАЦИЮ
Разработав политику безопасности, убедитесь в том, что каждый пользователь системы знаком со своими обязанностями. Очевидно, вы не сможете преду­смотреть всех ситуаций. Однако вы должны стараться избавиться от всех извест­ных вам проблем.
Каждый пользователь может обладать несколькими уровнями ответственности. Один из таких уровней может включать в себя ответственность за защиту учетной записи. Если пользователи будут передавать посторонним людям свое имя и пароль, то ни о какой политике безопасности не может быть и речи.
Администраторы системы могут организовать еще один уровень защиты — уро­вень физической безопасности компьютеров системы. После назначения разра­ботчиков и исполнителей проекта политики безопасности, определите, что вы
будете защищать.
ОЦЕНКА опасности
Одним из наиболее важных аспектов создания политики безопасности является оценка материальных затрат на ее внедрение. Многие посчитают такую поста­новку вопроса абсурдной. Ведь всем известно, что политика безопасности оку­пает себя потому, что урон от атак хакеров может привести к краху компании. Но разговор пойдет немного о другом, — а именно, о грамотном вложении денег в создание средств безопасности. Например, многие администраторы сосредота­чивают все свое внимание на вторжениях извне. Однако статистика показывает, что большая часть потерь компаний приходится на «внутренних» врагов.
Анализ опасностей включает в себя определение объектов, нуждающихся в защи­те, а также потенциальных угроз этим объектам. Лишь после этого можно опреде­лять пути защиты системы. Рассмотрите все возможные ситуации и определите их степень опасности. Оценка опасности заключается в создании приемлемых по
цене решений для каждой из потенциальных опасностей. Как уже говорилось, цена безопасности не должна превышать ущерба от последствий атак.
Несмотря на то что подробное описание методики оценки опасности выходит за рамки этой книги, я приведу два правила, без которых невозможно обойтись:
1. Определите объекты, нуждающиеся в защите.
2. Определите опасность.
Для каждого объекта необходимо определить доступность, секретность и целост­ность. Для каждой опасности определите ее влияние на все три параметра объектов и способ защиты от нее.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика