Политика безопасности LAN
АрхивСогласно RFC 2196, под политикой безопасности понимают "формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации". Попытаемся несколько расширить определение.
Безопасность как вид искусства
Согласно RFC 2196, под политикой безопасности понимают «формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации». Попытаемся несколько расширить определение. Начнем с того, что эта задача не имеет простого и универсального решения, так как относится к комплексным. Она должна решаться каждый раз индивидуально, применительно к конкретной LAN. Тем не менее, как и любая проблема, она имеет ряд общих черт. Так, реализацию политики безопасности можно подразделить на две большие группы:
-
административные меры (собственно, в RFC 2196 говорится именно о них)
-
использование специального оборудования и ПО.
О последнем написано предостаточно статей, да и в этом номере «КТ» вам еще предстоит не раз прочесть об этом. А вот первое многими отвергается, ставится на задний план. Почему мы считаем такую позицию неверной - читайте дальше.
Административные меры
Защита информации подразумевает использование трех основных критериев: достоверности, конфиденциальности, доступности.
Достоверность означает, что защищаемые данные не претерпели изменений (в результате передачи или умышленного модифицирования) с момента создания до момента их просмотра. Достигается, главным образом, при помощи электронной подписи.
Конфиденциальность - невозможность прочитать данные посторонними, даже если и произошла утечка информации (применение криптозащиты).
Доступность (актуальность) - это возможность получить необходимую информацию в любой необходимый момент со всеми изменениями на этот момент.
Как показывает исторический опыт, основная угроза по преодолению системы защиты заключается в человеческом факторе, то есть возможности получения информации от человека, имеющего доступ к секретной информации, или несоблюдении установленных правил безопасности. При построении системы защиты (СЗ) необходимо, в первую очередь, учесть возможность утечки защищаемой информации или средств к ее доступу со стороны персонала, имеющего доступ к этой информации. Первое решается путем тщательной подборкой кадров (мы не будем обсуждать этот вопрос), второе - созданием такой системы защиты, при которой один человек не может получить неограниченный доступ к информации, подлежащей сокрытию, или к значительной ее части (вплоть до введения нескольких должностей администраторов с разными правами).
Значение четких правил зачастую недооценивают. Вместе с тем, они являются самым дешевым (почти ничего не надо приобретать) способом защитить свою сеть. Кроме того, без них использование программно-аппаратных средств защиты просто будет бессмысленным. По выражению Александра Захарченко (правда, он употреблял его в другой связи), вы получите в итоге «сейф без задней стенки». Толку от вашей навороченной системы безопасности, если вся ее конфигурация и пароли хранятся в текстовых файлах, а вахтерша баба Глаша имеет физический доступ к любому компьютеру? Она все равно ничего в них не понимает? Хм, это вы так думаете!
Итак, начнем. Планируя схему обеспечения безопасности своей сети, вы должны четко определить:
-
от кого, от чего и на каком уровне вы собираетесь защитить свою сеть;
-
контролируемые объекты и ресурсы сети;
-
рабочие группы пользователей и набор минимально необходимых прав для каждой из них;
-
кто будет осуществлять контроль над системой безопасности и что должен будет предпринять в случае зарегистрированной попытки атаковать вашу LAN;
-
ответственность каждого сотрудника за нарушение правил безопасности;
Теперь обо всем этом подробнее.
Что защищать
Приступая к созданию СЗ информации необходимо помнить следующее, о чем часто забывают:
-
стоимость защиты не должна превышать стоимости защищаемой информации, иначе это экономический садомазохизм;
-
стоимость преодоления установленной защиты должна превышать стоимость защищаемой информации. В противном случае такая защита не спасет, или затраты времени будут столь велики, что при успешном преодолении СЗ, полученная информация потеряет свою ценность. Немалую роль играет и отсутствие физического доступа к серверам - если у вас украдут винчестер, то все ваши жертвы во имя информационной безопасности никому не будут нужны (как пел Высоцкий: «Украли мост и унесли во тьму. Передний мост, казалось бы, - детали, но без него и задний ни к чему!»).
Этот пункт зависит также и от деятельности компании и наличия квалифицированного персонала, который сможет в дальнейшем поддерживать в рабочем состоянии все установленное вами программно-аппаратное обеспечение. Помните, чем сложнее СЗ, тем больше ресурсов (людей, времени, денег) она требует для своего обслуживания.
Контролируемые объекты и ресурсы сети
Вы должны четко понимать, что степень защиты всей вашей LAN равна защищенности ее самого уязвимого участка. Полноценный анализ надежности системы безопасности и наличия наиболее уязвимых мест станет одной из основ всей политики. Рекомендуется разделение сети не только на внешнюю и внутреннюю зоны, но и разделение внутренней на отдельные контролируемые защищенные сегменты.
Не повредит установка сервера, имитирующего вашу сеть с пониженной защитой (физически изолированного от внутреннего сегмента сети), используемого для наблюдения за попытками несанкционированного доступа к системе.
Помните - чем меньше надо контролировать ресурсов, тем более эффективно это можно сделать, поэтому отключите неиспользуемые протоколы и порты; все то ПО, которое не нужно для работы, должно быть безжалостно удалено. Для релаксации работников лучше организовать кафетерий с ТВ, спортзал, бассейн и т. п.
Помочь в этом вопросе могут специальные утилиты, которые определяют наличие различных дыр - от неисправленных ошибок в программном обеспечении (к примеру, набившей оскомину ошибки переполнения буфера в ее различных инкарнациях) до поиска слабо защищенных участков сети. BigFix, MBSA, Lcrzoex, Fragroute и им подобное ПО весьма облегчает работу не только администраторов сетей, но и пользователей домашних ПК.
Рабочие группы пользователей
Лучше всего изначально все запретить всем группам пользователей. Причем, не отключить разрешение, а именно запретить как правило с наивысшим приоритетом. Позже, в процессе работы можно будет разрешить минимальные, необходимые для выполнения своих обязанностей действия, организовав при этом работу через SQL-запросы. Такая тактика называется «режим обучения» и используется для настройки файрволлов, фильтров трафика etc. Чем меньший доступ к информации можно получить через конкретную учетную запись, тем труднее составить целостное представление о характере и формате хранения данных в случае несанкционированного доступа через нее. Ограничение временными рамками, например, только рабочие часы, работы в системе уменьшает риск проникновения в защищаемую зону LAN, так как в часы отсутствия контролирующего персонала действуют наиболее жесткие правила доступа. Желательно применять физические ключи (или биофизические параметры в качестве таковых) для доступа к сети. Пароли очень часто записывают на чем попало, набирают в присутствии посторонних (еще и проговаривая их вслух), что приводит к большой вероятности их рассекречивания. Очень полезно бывает отключение доступа при длительном отсутствии активности со стороны прошедшего идентификацию пользователя, так как он мог отлучиться, забыв отключить доступ к сети.
Анализ аудита действий пользователя поможет выявить нехарактерные действия последнего, если учетной записью воспользовался другой человек.
Действия при попытке атаковать сеть
Думаем, не стоит объяснять, что IDS, файрволлы и прочие «чудеса техники» не спасут вас просто самим фактом своего существования. Каждое сгенерированное ими предупреждение, каждая запись в журнале должны быть тщательнейшим образом проанализированы. Ведь создание правил для них - тоже динамический процесс и нет гарантии, что в данный момент они соответствуют требуемому уровню.
На случай возникновения «чрезвычайных ситуаций», к которым относится настойчивое вторжение в вашу сеть, рекомендуется создать группу быстрого реагирования. Звучит немного киношно, однако там, где ее создание не посчитали необходимым, во время срабатывания СЗ царит паника. Народ бегает по офису, и все советуют наперебой, что надо делать. Создаваемая таким образом временная задержка лишь на руку атакующему. Во избежание хаоса следует принять меры к тому, чтобы при сигнале «боевая тревога» за дело бралась лишь специально подготовленная группа быстрого реагирования.
Действия остальных пользователей в большинстве случаев целесообразно свести или к политике невмешательства (они продолжают заниматься своим делом, не пытаясь оказать «медвежью услугу»), или к принципу «руки прочь от клавиатуры» (до ликвидации угрозы все прекращают текущую работу). Последний вариант гораздо удобнее и надежнее, но при частых атаках он просто парализует работу фирмы.
Ответственность сотрудников
Представьте: вы написали идеальные правила, каждого снабдили набором четких инструкций, установили лучшее ПО и аппаратные средства защиты… все? Отнюдь! Ничто не мешает любому из ваших служащих начхать на нововведения и продолжать делать глупости. А значит, именно так они и будут поступать… до тех пор, пока вы не введете персональную ответственность своих сотрудников за невыполнение установленных правил. Времена публичных выговоров прошли, сейчас самая действенная мера - денежные взыскания. Может быть, потому, что числа люди воспринимают лучше, чем бранные слова.
Выводы
Обеспечение информационной безопасности организации - крайне нелегкая задача. Даже базируясь на готовых решениях, она требует постоянного внимания к себе, а использование передовых технологий еще не означает автоматически высочайшей надежности. На любом предприятии пока еще работают люди, а раз так, в первую очередь внимание следует уделить человеческому фактору. Только реализовав в полной мере необходимый вклад в защиту на каждом вышеперечисленном этапе, подчинив правила единой концепции комплексной системы защиты, вы сможете уверенно чувствовать себя, работая в сети, и знать, что вашей информации ничего не угрожает. Почти ничего.