На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ОПРЕДЕЛЕНИЕ ОБЪЕКТОВ

Первым этапом анализа опасности является определение объектов, нуждающих­ся в защите. Очевидно, это будут некоторые части аппаратного обеспечения. Однако можно упустить не менее важные объекты, вроде пользователей вашей системы. Основной задачей здесь является создание списка всех объектов (про­грамм, документов периферийных устройств), которые могут подвергнуться опасности.
Далее приводится описание шести основных категорий объектов, нуждающихся в защите:
Данные. Защитите все данные системы. Определите источники данных: память, архивные файлы, магнитная лента и т. д. Наиболее распростра­ненными типами данных являются документы, базы данных и журналы регистрации.
2. Программное обеспечение. Защитите все программное обеспечение, рас­пространяемое вашей организацией и установленное в системе. Наиболее
распространенными видами программного обеспечения являются исход­ные тексты программ, объектные коды, утилиты, программы диагности­ки, операционные системы и коммуникационные программы.
3. Аппаратное обеспечение. Защитите все аппаратное обеспечение. Исполь­зуйте для этого средства физической защиты и специальные программы.
4. Люди. Надежно защитите учетные записи пользователей. У всех должны
быть уникальные имена. Сделайте так, чтобы у пользователей не было
прав, ненужных им по определению. Кроме того, заставьте всех админи­страторов создать для себя вторые (пользовательские) учетные записи.
5. Документация. Защитите документацию. Храните защищенные оригина­лы программ, аппаратное обеспечение, системы, локальные администра­тивные процедуры и саму политику безопасности в месте, недоступном
для других пользователей.
6. Аксессуары. Защитите свои бумаги, формы, ленты и магнитные носите­ли. В последние годы наибольший урон компании понесли от воровства именно этих предметов.
Разрабатывая политику безопасности, занесите в список каждый объект, при­надлежащий одной из этих категорий. Только так вы сможете определить все грозящие системе опасности. показаны нуждающиеся в защите объекты одного компьютера.
информация базы данных
Нуждающиеся в защите объекты.
ОПРЕДЕЛЕНИЕ ОПАСНОСТИ
Уяснив подлежащие защите объекты, определите, какая опасность грозит каж­дому из них. Благодаря этому можно будет определить последствия атак. Преж­де всего, следует выяснить, от каких именно опасностей вы будете защищать свою систему. Далее приводится список некоторых из них.
• Неавторизованный доступ. Одной из наиболее общих опасностей является неавторизованный доступ. Он может проявляться в различных формах. Например, кто-либо может воспользоваться учетной записью одного из ваших пользователей. Серьезность подобных действий изменяется от сайта
к сайту.
• Рассекречивание информации. Еще одним из наиболее распространенных типов опасностей является рассекречивание информации. Определите цен­ность хранящейся на машинах информации. Рассекречивание файла с па­ролями может привести к использованию неавторизованного доступа в будущем. Один взгляд на планы вашей компании может принести конку­рентам неоспоримое преимущество в дальнейшей борьбе.
• Отказ служб. Компьютеры и сети существуют, чтобы предоставлять своим пользователям некоторые специфические услуги. Многие люди вполне доверяют сетям и компьютерам. Представьте теперь, что одна из этих услуг более недоступна. Это может привести к остановке целого предприя­тия. Как известно, атаки отказа служб могут принимать различные фор­мы. , Причиной отказа служб могут стать помехи в сети, некорректный пакет или выход из строя одного из компонентов. Компьютерные вирусы могут замедлить работу системы или привести ее в полную негодность.
Каждый сайт должен определить наиболее важные службы и последствия, вызванные их отказом.
ОСОБЕННОСТИ политики
Проведя оценку риска, приступайте к разработке политики безопасности. Да­лее приводится описание основных этапов этого процесса:
1. Определите, кто может использовать каждый ресурс.
2. Определите необходимый доступ к ресурсу.
3. Определите, кто может изменить права доступа к ресурсу.
4. Определите, кто должен и будет обладать привилегиями администратора.
5. Определите права и обязанности пользователей.
6. Определите различия между правами и обязанностями администраторов и
пользователей.
7. Определите, как нужно защищать важную информацию и как нужно за­щищать обычную информацию.
Далее мы подробно поговорим о каждом из этих этапов.
ОПРЕДЕЛИТЕ,  кто МОЖЕТ ИСПОЛЬЗОВАТЬ КАЖДЫЙ РЕСУРС
Разрабатывая политику безопасности, вы должны четко определить, кто может пользоваться системой и некоторыми службами. Политика должна четко разгра­ничить права доступа к ресурсу. Это не значит, что вам следует определять пра­ва каждого пользователя в отдельности. Наоборот, вы должны определить права для выполнения каких-либо работ, а также в зависимости от положения в ком­пании. Например, необходимо предоставить секретарям доступ к документам, хранящимся в их собственном каталоге, а также в определенных каталогах их непосредственных начальников. Однакочне следует предоставлять секретарям до­ступ ко всем каталогам их босса или каталогам других секретарей.
ОПРЕДЕЛИТЕ НЕОБХОДИМЫЙ ДОСТУП к РЕСУРСУ
Определив права доступа к ресурсу, выясните правила работы с ним. У различ­ных типов пользователей могут быть различные правила работы с одним и тем же ресурсом. Политика должна давать четкое определение правильной и непра­вильной работы с ресурсом, а также содержать описание запрещенных методов работы. Определите ограничения на доступ. Более того, введите различные уров­ни доступа отдельных пользователей и целых групп.
Политика «приемлемого использования» должна строиться на том факте, что каждый пользователь должен отвечать за свои действия. Индивидуальная ответ­ственность должна существовать любом случае. Далее приводится описание этапов построения политики «приемлемого использования»:
• Определите, можно ли пользователям взламывать чужие учетные записи.
• Определите, обладают ли пользователи правом взламывать чужие пароли.
• Определите, можно ли пользователям выводить из строя сетевые службы.
• Определите, разрешено ли пользователям читать общие файлы.
• Определите, позволяет ли компания пользователям изменять чужие файлы.
• Определите, разрешается ли пользователям совместно использовать учет­ные записи.
Я почти уверен, что на все эти вопросы будет получен отрицательный ответ. Кроме того, вы должны отдельно рассмотреть вопрос использования зарегист­рированного программного обеспечения. Лицензионные соглашения с постав­щиком могут содержать требования защиты программного обеспечения от не­корректного использования программ пользователями. Напомните своим слу­жащим, что копирование защищенных авторскими правами программ является нарушением закона.
Возможно, вы включите в политику безопасности следующую информацию:
• Пользователям не разрешается создание копий лицензированных и защи­щенных авторскими правами программ.
• Пользователи должны четко знать правила использования лицензирован­ных и защищенных авторскими правами программ.
• Если сомневаетесь в своей правоте, не копируйте.
Политика «приемлемого использования» является очень важным компонентом политики безопасности. Без нее вы не сможете доказать, что кто-либо из пользо­вателей не нарушает вашей политики безопасности.
Существует несколько исключений для пользователей или администраторов, желающих приобрести «лицензии на хакерство». Например, это может произойти
в том случае, если пользователь или администратор пытаются взломать систему, чтобы обнаружить ее недостатки. Вы должны тщательно продумать эту ситуацию и определить, разрешите ли вы проводить подобные «тесты» на системе. При этом необходимо принять во внимание следующие вопросы:
• Разрешается ли в компании хакерская деятельность.
• Какой тип действий разрешен: взлом системы снаружи, создание червей, вирусов и т. д.
• Какой тип элементов управления процессом взлома нужно установить,
для того чтобы последний не вышел из-под контроля. Например, можно
выделить для своих хакеров отдельный сегмент сети.
• Как вы будете защищать от тестов остальных пользователей, включая вне­шних пользователей и присоединенные к вам сети.
• Что необходимо для получения от начальства компании разрешения на
хакерские действия.
Если вы все-таки решите предоставить некоторым людям возможность проведе­ния подобных тестов, изолируйте используемый хакерами сегмент сети. Никог­да не запускайте вирусы в работающую сеть. Можно нанять несколько человек,
которые будут заниматься проверкой надежности вашей системы. Предусмотри­те в политике безопасности дополнительные расходы на привлечение таких спе­циалистов.
ОПРЕДЕЛИТЕ, кто МОЖЕТ ИЗМЕНИТЬ ПРАВА ДОСТУПА к РЕСУРСУ i
Ваша политика должна определять людей, которые могут изменять права досту­па к ресурсу. Более того, вы должны указать, какие права они могут предостав­лять. Если какой-либо работник компании не может контролировать доступ к ресурсу, то вы не сможете гарантировать безопасность системы в целом.
Можно разработать несколько схем контроля предоставления доступа к системе. При определении пользователей, способных изменять права доступа, восполь­зуйтесь следующими критериями:
• Определите, будете ли вы предоставлять права централизованно. Можно создать централизованную схему управления распределением прав в рас­пределенной системе. Ваше решение должно определяться соображения­ми безопасности и удобства. Чем более централизована система, тем легче обеспечивать ее безопасность.
• Определите, каким образом будет проводиться создание учетных записей и ограничения доступа. С точки зрения безопасности системы создание учетных записей является особенно важным ее аспектом. Наименее стро­гий вариант заключается в том, чтобы разрешить некоторым пользовате­лям изменять права напрямую. В этом случае определенные вами люди должны обладать возможностью зарегистрироваться в системе и создать новую учетную запись вручную или с помощью специальных механизмов. В целом подобные механизмы предоставляют использующему их человеку достаточно большие возможности и привилегии. Если вы выбираете именно этот вариант, то подберите для такой работы достаточно надежных лю­дей. И наоборот, можно создать интегрированную систему, предостав­ленную в пользование всем пользователям системы. Однако созданные с ее помощью учетные записи будут обладать ограниченными правами. По­мните, что вы не можете полностью застраховаться от неправильного ис­пользования средств создания учетных записей.
• Разработайте специальные процедуры создания учетных записей. Четко зафиксируйте их на бумаге — так вы сможете избежать некоторых ошибок в своей работе. А ведь именно они могут привести к созданию дополни­тельных «брешей» в системе обороны. Кроме того, убедитесь в том, что использующие эти процедуры люди четко понимают их назначение.
Предоставление доступа — это наиболее важный и наиболее чувствительный процесс в системе. Выбирайте только очень сложные пароли. Пароли пользова­телей ни в коем случае не должны быть похожими на их имена. Не используйте для создания паролей каких-либо алгоритмов — хакер может открыть их, и тогда все пойдет прахом. Не разрешайте своим пользователям слишком долго исполь­зовать один и тот же пароль. Кроме того, сделайте так, чтобы пользователь изменял свой пароль во время первой регистрации в системе. Подумайте и о том, что некоторые пользователи могут вообще ни разу не в системе. На многих сайтах заведена практика уничтожения подобных учетных записей.
ОПРЕДЕЛИТЕ,   кто ДОЛЖЕН и БУДЕТ ОБЛАДАТЬ
ПРИВИЛЕГИЯМИ АДМИНИСТРАТОРА
Одним из наиболее важных вопросов организации безопасности системы являет­ся выбор администраторов. Очевидно, что системному администратору нужен полный доступ к системе. Однако не стоит делать системными администратора­ми всех пользователей, нуждающихся в нестандартных правах доступа. Все эти вопросы также должны быть освещены в политике безопасности. Итак, основ­ная задача состоит в выборе прав доступа для пользователей, выполняющих не­которые специфические задачи в системе. Здесь я могу привести лишь одно правило: не предоставляйте пользователям излишних прав. Их должно быть ров­но столько, сколько необходимо для выполнения задач.
Кроме того, пользователи со специальными привилегиями должны контролиро­ваться некоторым подразделением вашей организации. Если же этого не будет, то вы быстро потеряете контроль над системой.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика