Политика безопасности LAN

Согласно RFC 2196, под политикой безопасности понимают "формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации". Попытаемся несколько расширить определение.

Согласно RFC 2196, под политикой безопасности понимают «формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации». Попытаемся несколько расширить определение. Начнем с того, что эта задача не имеет простого и универсального решения, так как относится к комплексным. Она должна решаться каждый раз индивидуально, применительно к конкретной LAN. Тем не менее, как и любая проблема, она имеет ряд общих черт. Так, реализацию политики безопасности можно подразделить на две большие группы:

• административные меры (собственно, в RFC 2196 говорится именно о них)

• использование специального оборудования и ПО.

О последнем написано предостаточно статей, да и в этом номере «КТ» вам еще предстоит не раз прочесть об этом. А вот первое многими отвергается, ставится на задний план. Почему мы считаем такую позицию неверной - читайте дальше.

Защита информации подразумевает использование трех основных критериев: достоверности, конфиденциальности, доступности.

Достоверность означает, что защищаемые данные не претерпели изменений (в результате передачи или умышленного модифицирования) с момента создания до момента их просмотра. Достигается, главным образом, при помощи электронной подписи.

Конфиденциальность - невозможность прочитать данные посторонними, даже если и произошла утечка информации (применение криптозащиты).

Доступность (актуальность) - это возможность получить необходимую информацию в любой необходимый момент со всеми изменениями на этот момент.

Как показывает исторический опыт, основная угроза по преодолению системы защиты заключается в человеческом факторе, то есть возможности получения информации от человека, имеющего доступ к секретной информации, или несоблюдении установленных правил безопасности. При построении системы защиты (СЗ) необходимо, в первую очередь, учесть возможность утечки защищаемой информации или средств к ее доступу со стороны персонала, имеющего доступ к этой информации. Первое решается путем тщательной подборкой кадров (мы не будем обсуждать этот вопрос), второе - созданием такой системы защиты, при которой один человек не может получить неограниченный доступ к информации, подлежащей сокрытию, или к значительной ее части (вплоть до введения нескольких должностей администраторов с разными правами).

Значение четких правил зачастую недооценивают. Вместе с тем, они являются самым дешевым (почти ничего не надо приобретать) способом защитить свою сеть. Кроме того, без них использование программно-аппаратных средств защиты просто будет бессмысленным. По выражению Александра Захарченко (правда, он употреблял его в другой связи), вы получите в итоге «сейф без задней стенки». Толку от вашей навороченной системы безопасности, если вся ее конфигурация и пароли хранятся в текстовых файлах, а вахтерша баба Глаша имеет физический доступ к любому компьютеру? Она все равно ничего в них не понимает? Хм, это вы так думаете!

Итак, начнем. Планируя схему обеспечения безопасности своей сети, вы должны четко определить:

• от кого, от чего и на каком уровне вы собираетесь защитить свою сеть;

• контролируемые объекты и ресурсы сети;

• рабочие группы пользователей и набор минимально необходимых прав для каждой из них;

• кто будет осуществлять контроль над системой безопасности и что должен будет предпринять в случае зарегистрированной попытки атаковать вашу LAN;

• ответственность каждого сотрудника за нарушение правил безопасности;

Теперь обо всем этом подробнее.

Приступая к созданию СЗ информации необходимо помнить следующее, о чем часто забывают:

• стоимость защиты не должна превышать стоимости защищаемой информации, иначе это экономический садомазохизм;

• стоимость преодоления установленной защиты должна превышать стоимость защищаемой информации. В противном случае такая защита не спасет, или затраты времени будут столь велики, что при успешном преодолении СЗ, полученная информация потеряет свою ценность. Немалую роль играет и отсутствие физического доступа к серверам - если у вас украдут винчестер, то все ваши жертвы во имя информационной безопасности никому не будут нужны (как пел Высоцкий: «Украли мост и унесли во тьму. Передний мост, казалось бы, - детали, но без него и задний ни к чему!»).

Этот пункт зависит также и от деятельности компании и наличия квалифицированного персонала, который сможет в дальнейшем поддерживать в рабочем состоянии все установленное вами программно-аппаратное обеспечение. Помните, чем сложнее СЗ, тем больше ресурсов (людей, времени, денег) она требует для своего обслуживания.

Вы должны четко понимать, что степень защиты всей вашей LAN равна защищенности ее самого уязвимого участка. Полноценный анализ надежности системы безопасности и наличия наиболее уязвимых мест станет одной из основ всей политики. Рекомендуется разделение сети не только на внешнюю и внутреннюю зоны, но и разделение внутренней на отдельные контролируемые защищенные сегменты.

Не повредит установка сервера, имитирующего вашу сеть с пониженной защитой (физически изолированного от внутреннего сегмента сети), используемого для наблюдения за попытками несанкционированного доступа к системе.

Помните - чем меньше надо контролировать ресурсов, тем более эффективно это можно сделать, поэтому отключите неиспользуемые протоколы и порты; все то ПО, которое не нужно для работы, должно быть безжалостно удалено. Для релаксации работников лучше организовать кафетерий с ТВ, спортзал, бассейн и т. п.

Помочь в этом вопросе могут специальные утилиты, которые определяют наличие различных дыр - от неисправленных ошибок в программном обеспечении (к примеру, набившей оскомину ошибки переполнения буфера в ее различных инкарнациях) до поиска слабо защищенных участков сети. BigFix, MBSA, Lcrzoex, Fragroute и им подобное ПО весьма облегчает работу не только администраторов сетей, но и пользователей домашних ПК.

Лучше всего изначально все запретить всем группам пользователей. Причем, не отключить разрешение, а именно запретить как правило с наивысшим приоритетом. Позже, в процессе работы можно будет разрешить минимальные, необходимые для выполнения своих обязанностей действия, организовав при этом работу через SQL-запросы. Такая тактика называется «режим обучения» и используется для настройки файрволлов, фильтров трафика etc. Чем меньший доступ к информации можно получить через конкретную учетную запись, тем труднее составить целостное представление о характере и формате хранения данных в случае несанкционированного доступа через нее. Ограничение временными рамками, например, только рабочие часы, работы в системе уменьшает риск проникновения в защищаемую зону LAN, так как в часы отсутствия контролирующего персонала действуют наиболее жесткие правила доступа. Желательно применять физические ключи (или биофизические параметры в качестве таковых) для доступа к сети. Пароли очень часто записывают на чем попало, набирают в присутствии посторонних (еще и проговаривая их вслух), что приводит к большой вероятности их рассекречивания. Очень полезно бывает отключение доступа при длительном отсутствии активности со стороны прошедшего идентификацию пользователя, так как он мог отлучиться, забыв отключить доступ к сети.

Анализ аудита действий пользователя поможет выявить нехарактерные действия последнего, если учетной записью воспользовался другой человек.

Думаем, не стоит объяснять, что IDS, файрволлы и прочие «чудеса техники» не спасут вас просто самим фактом своего существования. Каждое сгенерированное ими предупреждение, каждая запись в журнале должны быть тщательнейшим образом проанализированы. Ведь создание правил для них - тоже динамический процесс и нет гарантии, что в данный момент они соответствуют требуемому уровню.

На случай возникновения «чрезвычайных ситуаций», к которым относится настойчивое вторжение в вашу сеть, рекомендуется создать группу быстрого реагирования. Звучит немного киношно, однако там, где ее создание не посчитали необходимым, во время срабатывания СЗ царит паника. Народ бегает по офису, и все советуют наперебой, что надо делать. Создаваемая таким образом временная задержка лишь на руку атакующему. Во избежание хаоса следует принять меры к тому, чтобы при сигнале «боевая тревога» за дело бралась лишь специально подготовленная группа быстрого реагирования.

Действия остальных пользователей в большинстве случаев целесообразно свести или к политике невмешательства (они продолжают заниматься своим делом, не пытаясь оказать «медвежью услугу»), или к принципу «руки прочь от клавиатуры» (до ликвидации угрозы все прекращают текущую работу). Последний вариант гораздо удобнее и надежнее, но при частых атаках он просто парализует работу фирмы.

Представьте: вы написали идеальные правила, каждого снабдили набором четких инструкций, установили лучшее ПО и аппаратные средства защиты… все? Отнюдь! Ничто не мешает любому из ваших служащих начхать на нововведения и продолжать делать глупости. А значит, именно так они и будут поступать… до тех пор, пока вы не введете персональную ответственность своих сотрудников за невыполнение установленных правил. Времена публичных выговоров прошли, сейчас самая действенная мера - денежные взыскания. Может быть, потому, что числа люди воспринимают лучше, чем бранные слова.

Обеспечение информационной безопасности организации - крайне нелегкая задача. Даже базируясь на готовых решениях, она требует постоянного внимания к себе, а использование передовых технологий еще не означает автоматически высочайшей надежности. На любом предприятии пока еще работают люди, а раз так, в первую очередь внимание следует уделить человеческому фактору. Только реализовав в полной мере необходимый вклад в защиту на каждом вышеперечисленном этапе, подчинив правила единой концепции комплексной системы защиты, вы сможете уверенно чувствовать себя, работая в сети, и знать, что вашей информации ничего не угрожает. Почти ничего.