Що таке політика безпеки?
Питання безпеки завжди стояв перед комп'ютерними мережами, але сьогодні як ніколи зростає усвідомлення того, наскільки важливою є безпека комп'ютерних мереж в корпоративних інфраструктурах. В даний час для кожної корпоративної мережі необхідно мати чітку політику в області безпеки. Ця політика розробляється на основі аналізу ризиків, визначення критично важливих ресурсів і можливих загроз.Політикою безпеки можна назвати і прості правила використання мережевих ресурсів, і детальні описи всіх з'єднань і їх особливостей, що займають сотні сторінок. Визначення RFC 2196 (яке вважається кілька вузьким і обмеженим) описує політику безпеки наступним чином: "Політика безпеки - це формальний виклад правил, яким повинні підкорятися особи, які отримують доступ до корпоративної технології та інформації".
Важливо зрозуміти, що мережева безпека - це еволюційний процес. Немає ні одного продукту, здатного надати корпорації повну безпеку. Надійний захист мережі досягається поєднанням продуктів і послуг, а також грамотною політикою безпеки та її дотриманням усіма співробітниками зверху до низу. Можна помітити, що правильна політика безпеки навіть без виділених коштів захисту дає кращі результати, ніж засоби захисту без політики безпеки.
Політика безпеки мережі підприємства є результатом оцінки ризику та визначення важливих засобів та можливих загроз. Засоби мережі в себе включають:
· Хости мережі (такі як ПК; включає операційні системи, програми та дані хостів)
· Пристрої мережі (такі як маршрутизатори, комутатори і міжмережеві екрани)
· Дані мережі (дані, які передаються з даної мережі)
Ви повинні встановити, як кошти Вашої мережі, так і ступінь, в якій кожна з цих коштів має бути захищене. Якщо пристрої мережі або дані піддані ризику, чи призведе це до утруднення або краху? Чим більше вірогідність краху, тим суворіше повинна бути політика забезпечення безпеки.
Базовими елементами політики у галузі безпеки є ідентифікація, цілісність і активна перевірка. Ідентифікація покликана запобігти загрозі знеособлення і несанкціонованого доступу до ресурсів і даних. Цілісність забезпечує захист від підслуховування і маніпулювання даними, підтримуючи конфіденційність і незмінність переданої інформації. І нарешті, активна перевірка (аудит) означає перевірку правильності реалізації елементів політики безпеки і допомагає виявляти несанкціоноване проникнення в мережу і атаки типу DoS.
Механізми ідентичності необхідно впроваджувати обережно, тому що навіть найбільш продумана політика може бути засмучена, якщо складно використовувати удосконалення. Класичним прикладом є запис пароля на клаптику паперу і прикріплення його до монітора комп'ютера - що є виходом для споживача, який повинен пам'ятати безліч паролів для отримання доступу до мінливих складових частин мережі. Обтяжливі або надмірно дубльовані системи верифікації та авторизації можуть засмутити користувачів, тому їх слід уникати. Методи ідентифікації можуть грунтуватися на протоколі S / Key або здійснюватися за допомогою спеціальних апаратних засобів (token password authentication). А в середовищі модемного доступу часто застосовується механізм ідентифікації по протоколу Point-to-Point Protocol (PPP), який включає використання протоколів Password Authentication Protocol (PAP), Challenge Handshake Protocol (CHAP) і Extensible Authentication Protocol (EAP).
Цілісність - це елемент, який включає захисту пристрою інфраструктури мережі (фізичний і логічний доступ), безпеку периметра і конфіденційність даних. Безпека фізичного доступу може виражатися в розміщенні обладнання мережі в спеціально створених для цього обладнання шафах, які мають обмежений доступ.
Безпека логічного доступу головним чином ставиться до забезпечення механізмів ідентичності (ідентифікації та авторизації) перед тим, як дати доступ для мережі зв'язку Telnet або для терміналу до компонентів інфраструктури загальної мережі (наприклад, маршрутизаторів або міжмережевих екранів). Безпека периметра пов'язана з функціями міжмережевих екранів, що визначають, який трафік дозволений або заборонений від різних зон мережі, зазвичай - між мережею Інтернет і головним комплексом або між користувачами віддаленого доступу і головним комплексом.
Конфіденційність даних може забезпечуватися протоколами безпеки на транспортному рівні SSL і Secure Shell Protocol (SSH), які здійснюють безпечну передачу даних між клієнтом і сервером. Безпечний протокол передачі гіпертексту (S-HTTP) надає надійний механізм Web-транзакцій, проте в даний час найбільш популярним засобом є SSL. Засіб SOCKS є рамкової структурою, що дозволяє додаткам клієнт / сервер в доменах TCP і UDP зручно і безпечно користуватися послугами мережевого міжмережевого екрану. Протокол безпеки IP (IPSec) являє собою набір стандартів підтримки цілісності та конфіденційності даних на мережевому рівні (в мережах IP). X.509 є стандартом безпеки та ідентифікації, який підтримує структури безпеки електронного інформаційного транспорту.
Останнім головним елементом системи безпеки є аудит, який необхідний для стеження і верифікації процесу дослідження політики безпеки. Для випробування ефективності інфраструктури системи безпеки, аудит безпеки повинен відбуватися часто, через рівні проміжки часу. Він також повинен включати перевірки установки нової системи, методи для визначення можливої шкідницьких дій будь-кого з внутрішнього персоналу і можливої наявності особливого класу проблем (нападу типу "відмова в сервісі"), а також загальне дотримання політики безпеки об'єкта.
При розробці політики безпеки необхідно враховувати вимогу збалансувати легкість доступу до інформації і адекватний механізм ідентифікації дозволеного користувача і забезпечення цілісності та конфіденційності даних. Політика безпеки повинна впроваджуватися примусово як технічно, так і організаційно - тоді вона буде по-справжньому ефективна
Основу стабільності мережі складають надійність ЕОМ та мережевого обладнання, а також стійкість каналів зв'язку. Канали зв'язку, особливо якщо мова йде про дротових, дісталися нам від проклятого царизму, їх творці давно померли і запитати нема з кого. Починати треба з того, що у вашій владі, а це перш за все правильна конфігурація вузла, розумний розподіл відповідальності і якість мережевого живлення (стабільність напруги і частоти, амплітуда перешкод). Для вирішення останньої проблеми використовують спеціальні фільтри, мотор-генератори та UPS (Uninterruptable Power Supply). Вибір того чи іншого рішення залежить від конкретних умов, але для серверів використання UPS вкрай бажано (адже ви не хочете відновлювати дискову систему, яка зруйнувалася через відключення живлення в момент запису в FAT або dir). При зниженні напруги мережі змінного струму нижче певного рівня UPS (близько 208v) відключає споживача від мережі і здійснює живлення ЕОМ від ~ 220v, одержуваного від акумулятора самого UPS. З огляду на нестабільність напруги мережі в Росії, можна вважати корисним застосування активних стабілізаторів на вході UPS.
При виборі UPS потрібно врахувати сумарну споживану потужність обладнання, що підключається до джерела живлення, і час, протягом якого UPS здатний працювати без напруги в мережі. При цьому головне завдання UPS - забезпечення завершення операцій обміну з диском до того, як відбудеться повне знеструмлення сервера, або коли буде вироблено перемикання на резервний канал харчування. Це можливо при використання спеціального інтерфейсу та відповідного програмного забезпечення, що працює згідно протоколу SNMP (див. рис. 6.1.1).
Рис. 6.1.1. Схема підключення UPS.
При зникненні первинного напруги ~ 220V через деякий час UPS видає сигнал shutdown обчислювальної машині. Сучасний UPS може моніторувати не тільки напруга харчування, але температуру навколишнього середовища, своєчасно здійснюючи порятунок життєво важливих файлів до настання надмірного перегріву системи. При цьому значення напруги живлення і температури можна зчитувати з використанням протоколу SNMP. Деякі просунуті системи автономного живлення допускають підключення агентів SNMP безпосередньо до локальної мережі, що відкриває додаткові можливості дистанційного керування і моніторингу.
Зазначений інтерфейс забезпечить блокування початку нових операцій обміну або виконає shutdown, якщо напруга в мережі впав нижче допустимого рівня. До UPS не слід підключати дисплеї (ці прилади не настільки критичні до харчування, як диски та оперативна пам'ять) та принтери (лазерні принтери заборонено підключати до UPS через потужні грубок, що входять до складу цих приладів). Мережеві фільтри є бажаними під час роботи з будь-якими ЕОМ, тому що мережа в Росії сильно засмічена високочастотними шумами.
Створюючи мережу, слід відразу закладати деякі елементи, що забезпечують безпеку. Так прокладку мережевих кабелів бажано проводити в металевих коробах або трубах, що зробить підключення до них більш складним. Повторювачі та концентратори потрібно розміщувати в замикаються шафах. Деякі концентратори контролюють MAC-адреси пакетів. Таке обладнання дозволяє блокувати порт, якщо виявляються пакети з невідомим MAC-адресою, а також виявляти випадки підключення одного і того ж MAC-адреси до різних портів. Певну загрозу мережевої безпеки може представляти можливість присвоєння хакером "чужого" MAC-адреси своєї мережевої карти. Сучасні концентратори забороняють підключеного до порту вузла передавати кадри з MAC-адресою, не збігається з певним адміністратором для даного порту. Це забезпечує додаткову надійність канального рівня.
Активні розробки останнім часом ведуться в області систем ідентифікації, що базуються на розпізнавання відбитків пальців, долоні, підписи, голосу або райдужки очей. Для цих цілей використовуються новітні досягнення в області швидких Фур'є-перетворень, нейронних мереж та ін В якості вступних пристроїв використовуються оптичні сканери, а також резистивні екрани. Для введення підпису служать спеціальні планшети, а також витончені методи порівняння та встановлення ідентичності. До числа таких пристроїв слід віднести також генератори разових ключів доступу і картки доступу. Останнім часом у цей ряд встали і мобільні телефони, які дозволяють ідентифікувати власника (тут маються на увазі багатопараметричні системи аутентифікації).
Так як сучасні системи шифрування припускають використання досить трудомістких обчислень, які помітно уповільнюють процес, розробляються спеціальні мікросхеми. Такі системи можуть використовуватися, наприклад, у VPN. При цьому ключі можуть бути вбудованими або зовнішніми. У деяких особливо важливих випадках застосовується криптографічний захист усього диска FDE (Full Disc Encription) на самій машині.
Оскільки абсолютна надійність недосяжна, одним із засобів збереження інформації є дублювання носіїв (напр. дисків), копіювання і збереження копій в надійному місці. Якщо раніше для цієї мети годилися гнучкі диски або магнітні стрічки, сьогодні їх придатність може бути піддана сумніву. Звичайно, стрічки типу Exabyte ємністю 2.5-10Гбайт (2000 рік) ще досить широко використовуються, висока вартість таких накопичувачів обмежує їх застосовність (та і швидкість запису на них залишає бажати кращого). Альтернативою їм можуть стати накопичувачі з перезаписуваними DVD, де вартість пристрою трохи нижче. Не виключено, що незабаром основним засобом збереження інформації стане її дублювання на незалежному жорсткому диску. Це може відбутися при широкому впровадженні компактних жорстких дисків ємністю 1 Тбайт і більше (з'явилися у 2009 році).
Мало періодично виконувати резервне копіювання носіїв, що зберігають істотну інформацію. Важливо розумно організувати збереження цих копій. Навіть якщо вони зберігаються в суперсейфе в тому ж приміщенні, що і сервер ваша система резервного копіювання вразлива в разі пожежі або затоки приміщення водою. З цієї причини резервні копії бажано зберігати в іншому будинку. Іншою важливою стороною роботи з резервними копіями є звід правил доступу до них і методів використання. Особливо важливо, щоб резервні копії з конфіденційними даними не могли потрапити в чужі руки (втрата або крадіжка laptop'а з резервної копією може бути доброю ілюстрацією такого роду проблем). Для конфіденційної інформації, має діяти сувора заборона резервного копіювання на носій робочої станції при знайомстві з документом. Це з неминучістю призведе до неконтрольованого поширених конфіденційних даних. Одним із шляхів підвищення безпеки є криптографічний захист даних.
Підвищити рівень безпеки може географічна прив'язка машин, які містять конфіденційну інформацію (GPS)
Обсяг копійованих даних росте від року до року. Сьогодні (2009 рік) обсяги резервних копій у великих обчислювальних центрах досягають петабайт. Але в будь-яких центрах багато файлів зберігаються в різних машинах, а іноді і на одній машині можна знайти кілька копій одного й того ж файлу. Система резервного копіювання, що виключає дублювання, може істотно підняти ефективність системи копіювання. Дивись eGuide: How to Get Started with Data Deduplication. Розпізнавання файлів здійснюється за допомогою контрольних сум (MD5 - 128 біт і SHA-1 - 160 біт). Різні програмні продукти використовують різні алгоритми розпізнавання файлів. Дедублікація матеріалу дозволяє заощадити обсяг на носії в 14-18 разів. При цьому вдається скоротити і час копіювання до двох разів.
Новим напрямком резервного копіювання є SaaS (Software as a Service). У цій схемі резервне копіювання проводиться дистанційно, а всі файли шифруються за допомогою ключа власника, так що їх несанкціонованого прочитання не можливо. Цей метод формування backup стає новим напрямком ІТ-бізнесу, який дозволяє більш економно використовувати ресурси як клієнта, так і фірми, що надає послуги.
Останнім часом широкого поширення набувають панелі торкання, здатні розпізнавати людей за відбитком пальця або долоні (див. http://elce.quarta.msk.ru/UCC/t_scrb_e.htm). Подібні пристрої використовуються для безпосереднього введення підпису клієнта (пристрій типу планшет, Іноді поєднується з дисплеєм) і звірки її з наявним зразком.
До апаратних засобів безпеки можна віднести впровадження NX-біт (прапорів - не виконувати), в процесорах, які після завантаження ОС перешкоджають модифікації тексту програми (див. розділ 6.3.1 даного сервера). Цей прийом робить менш вірогідною атаку типу переповнення буфера
Вирішення багатьох завдань безпеки не вимагає присутності IT-експерта.
Через безперервне появи Інтернет-хробаків, вірусів та інших комп'ютерних загроз мережева безпека вважається головною турботою власників підприємств, навіть тих, де використовуються прості мережі.
Гарна новина: ви і ваші співробітники можете впоратися з багатьма заходами щодо забезпечення безпеки самостійно, без допомоги IT-спеціаліста. Наведені нижче дії щодо забезпечення мережної безпеки впорядковані за ступенем складності. Почніть з легких завдань і просувайтеся далі, як вам дозволяють ваш час, ресурси та рівень кваліфікації.
| Захист мережі малого підприємства | ||
| Прості завдання | Більш складні завдання | Завдання, що потребують залучення професіоналів |
| Встановіть антивірусне програмне забезпечення | Обмежте доступ до устаткування | Встановіть апаратний брандмауер |
| Використовуйте засоби оновлення програмного забезпечення | Встановіть рівні повноважень | Налаштуйте віртуальну приватну мережу |
| Встановіть захист від «шпигунських» програм | Вимкніть мережевий доступ для колишніх співробітників | Налаштуйте засоби безпеки бездротової мережі |
| Встановіть програмний брандмауер | Створіть політики для електронної пошти та Інтернету | Створіть процедури резервного копіювання і відновлення даних |
| Встановіть програмне забезпечення для фільтрації небажаних повідомлень | Вимагайте від співробітників використання складних паролів | Налаштуйте параметри безпеки бази даних |
Прості завдання
Якщо ви коли-небудь встановлювали програми або налаштовували принтер, вам буде неважко виконати ці завдання.Встановіть і оновлюйте антивірусне програмне забезпечення
Встановити антивірусне програмне забезпечення не важко. Воно постійно виконує перевірки для запобігання заражень, які можуть пошкодити або знищити дані в межах мережі. Але майте на увазі, що хакери постійно створюють нові віруси і ваше антивірусне програмне забезпечення ефективно тільки в тому випадку, якщо воно здатне виявити новітні загрози. Тому при установці антивірусного програмного забезпечення налаштуйте його на автоматичне завантаження оновлень для виявлення нових вірусів. Якщо ви купили комп'ютер з антивірусним програмним забезпеченням, встановленим на випробувальний термін, зареєструйтесь після закінчення безкоштовного терміну, щоб продовжити отримувати оновлення, або купіть інший антивірусний продукт.
Використовуйте засоби оновлення програмного забезпечення.
Компанії-розробники програмного забезпечення (такі як корпорація Майкрософт) мають безкоштовні засоби, які можна використовувати для оновлення програмного забезпечення, щоб гарантувати його безпеку. Наприклад, потрібно всього лише кілька кліків мишкою, щоб налаштувати функцію автоматичного оновлення системи Windows XP або Windows Small Business Server. Цей засіб дозволяє системі Windows автоматично підключатися до Інтернету, знаходити та встановлювати останні оновлення, щоб ліквідувати загрози системі безпеки. Після включення служби автоматичного оновлення з вашої сторони не потрібно ніяких подальших зусиль. Програмне забезпечення буде оновлюватися самостійно. Пакет Microsoft Office також має засіб для автоматичного оновлення.
Встановіть захист від «шпигунського» програмного забезпечення.
Встановіть і регулярно оновлюйте програмне забезпечення, яке виконує пошук «шпигунських» програм, які намагаються збирати ваші паролі і номери банківських рахунків. Корпорація Майкрософт пропонує безкоштовну програму Windows Defender (бета-версія 2) і Засіб для видалення шкідливих програм, які можна використовувати для звільнення комп'ютерів від небажаного програмного забезпечення.
Встановіть програмний брандмауер.
Брандмауер перевіряє вхідні у вашу мережу дані і не пропускає їх, якщо вони не задовольняють певним критеріям. Програмні брандмауери, такі як вбудований в Windows XP Professional брандмауер Windows, захищають тільки комп'ютер, на якому працюють, але є хорошим доповненням до апаратних брандмауерів. Включити брандмауер Windows легко.
Встановіть програмне забезпечення для фільтрації небажаних повідомлень.
Небажані повідомлення - це Незатребуване комерційні повідомлення, які можуть заповнити поштові ящики і змусити співробітників витрачати час на сортування їх вмісту. Хоча найчастіше небажані повідомлення просто викликають роздратування, вони становлять небезпеку, якщо містять вкладення, які при відкритті можуть запустити вірус. До того ж деякі такі повідомлення призначені для фішингу - отримання від користувачів пароля та іншої цінної інформації обманним шляхом, що може поставити безпеку підприємства під загрозу. Установка продукту для фільтрації небажаних повідомлень або настроювання фільтрів програми Outlook 2003 допоможе значно знизити кількість небажаної пошти.
Більш важкі завдання
Завдання з даної групи можуть бути більш складними. Вони вимагають більш широких технічних знань або постійного управління вашими політиками і процедурами безпеки.Обмежте доступ до устаткування.
Ви можете вдосконалити систему безпеки за рахунок обмеження фізичного доступу до ваших серверів і мережевого устаткування, наприклад маршрутизаторам і комутаторів. По можливості перемістіть ці комп'ютери в замикаючому кімнату і видайте ключі тільки працюють з обладнанням співробітникам. Це зведе до мінімуму ймовірність того, що хтось непідготовлений зможе втручатися в роботу сервера або намагатися «виправити» проблему.
Встановіть рівні повноважень.
Ви можете призначити користувачам різні рівні повноважень у мережі за допомогою системи Windows Small Business Server 2003. Замість того щоб надавати всім користувачам права адміністратора, надайте їм доступ тільки до конкретних програм і визначте, які повноваження дають можливість доступу до сервера. Наприклад, ви можете дозволити деяким користувачам читати певні зберігаються на сервері файли, але не змінювати їх. Тільки адміністратори мережі повинні мати доступ до всіх системних файлів і службам.
Вимкніть мережевий доступ для колишніх співробітників
Виключіть можливість входу в мережу колишніх співробітників. Видалити їх права доступу неважко, але якщо ви занадто довго чекаєте, то можете дати можливість роздратованим колишнім співробітникам пошкодити або вкрасти файли.
Створіть політики для електронної пошти та Інтернету
Останні дослідження показали, що 6% повідомлень електронної пошти заражені вірусами та іншими програмами, які можуть пошкодити комп'ютери. Створіть корпоративну політику роботи в Інтернеті, в яку будуть включені інструкції для працівників не відкривати вкладення електронної пошти, яких вони не очікували. Політика також має звертати увагу на ризиковані дії в Інтернеті і забороняти таку діяльність, як завантаження безкоштовних засобів та інших програм. Накажіть співробітникам не розголошувати паролі або відомості про банківський рахунок у випадку якщо вони отримали повідомлення електронної пошти з проханням про це.
Вимагайте від співробітників використання складних паролів
Паролі, які легко відгадати, можуть дозволити не мають на це прав особам отримати доступ до вашої мережі. Щоб запобігти цьому, ваша політика безпеки повинна вимагати, щоб паролі містили букви, і цифри. І, хоча паролі повинні мінятися регулярно, не вимагайте від співробітників занадто частої їх зміни. Якщо співробітники намагаються запам'ятати свої паролі, вони можуть записати їх і приклеїти на свої монітори, полегшуючи іншим завдання злому комп'ютерної системи.
Завдання, що потребують залучення професіоналів
Ці завдання не дуже технічні, але щоб з ними справитися, ви можете віддати перевагу найняти консультанта по комп'ютерах або локальних мереж. Проконсультуйтеся з одним з партнерів корпорації Майкрософт, який має досвід допомоги у плануванні та реалізації проектів, що вимагають високої кваліфікації.Встановіть брандмауер на периметрі мережі підприємства
Тоді як програмний брандмауер захищає комп'ютер, на якому він встановлений, апаратний брандмауер підключається до мережі підприємства і захищає її цілком. Примітна функція апаратного брандмауера - можливість блокувати мережеві порти. Заблокувавши невикористовувані порти, ви можете підсилити вашу мережеву безпеку і припинити спроби неавторизованого доступу, так як мережеві порти забезпечують зв'язок між клієнтськими комп'ютерами і серверами. Це завдання більш складна, так що ви можете скористатися допомогою експерта для правильного налаштування функцій брандмауера.
Налаштуйте функції безпеки віртуальної приватної мережі
Підключення зовнішніх користувачів до мережі компанії через Інтернет дозволяє їм перевіряти електронну пошту та отримувати доступ до загальних файлів. Віртуальна приватна мережа дозволяє робити це більш безпечно. Однак існує значний ризик для системи безпеки щоразу, коли ви робите вашу мережу доступною для зовнішніх користувачів. Можливо, вам буде потрібно запросити консультанта по безпеці, так як правильно налаштувати віртуальну приватну мережу може бути складно.
Налаштуйте засоби безпеки бездротової мережі
Будь-яка людина в межах дії бездротової мережі має потенційну можливість приймати або передавати по ній дані. Якщо ви плануєте використовувати бездротову мережу, запросіть IT-фахівця, щоб гарантувати, що засоби безпеки включені і засоби шифрування і управління доступом в бездротових мережах налаштовані правильно.
Створіть процедури резервного копіювання і відновлення даних.
Це завдання може полягати в простого запису на компакт-диск файлів даних і зберіганні їх у безпечному місці. Система Windows XP включає засіб для резервного копіювання і відновлення даних на комп'ютері. Однак ви можете звернутися до більш складним рішенням. Якщо вам необхідно, щоб дані були доступні в будь-який час, необхідна допомога IT-фахівця, який може встановити додаткове обладнання для створення копій файлів на різних жорстких дисках при кожному їх збереженні. Таким чином, якщо один жорсткий диск виходить з ладу, можна використовувати резервний і тим самим уникнути втрати даних. Рекомендується архівувати файли як мінімум раз на тиждень і періодично відновлювати їх, щоб переконатися в тому, що це можливо.
Налаштуйте параметри безпеки бази даних.
Якщо ви маєте базу даних, в якій зберігається інформація про клієнтів, продажу, ресурси та інші важливі дані, що стосуються вашої галузі, найміть IT-фахівців, щоб гарантувати, що ця інформація добре захищена. Наприклад, експерт по базах даних може захистити сервер Microsoft SQL Server від більшості атак з Інтернету, дозволивши підключатися до неї тільки що пройшли перевірку користувачам. Експерти також можуть створити системи резервного копіювання для відновлення даних у разі їх втрати