9939

Информационная безопасность при использовании Internet

Реферат

Информатика, кибернетика и программирование

Информационная безопасность при использовании Internet Характеристика сетевой технологии Internet. Основные угрозы информационной безопасности организации при использовании Internet. Основные приёмы защиты корпоративных сетей при использо...

Русский

2013-03-18

659 KB

51 чел.

 91 -

Информационная безопасность при использовании Internet

Характеристика сетевой технологии Internet. Основные угрозы информационной безопасности организации при использовании Internet. Основные приёмы защиты корпоративных сетей при использовании Internet.

Internet

Интернет – это всемирная сеть сетей, которая использует для взаимодействия стек протоколов TCP/IP. Вначале Интернет был создан для улучшения взаимодействия между научными организациями, выполнявшими работы в интересах правительства США. В течение 80-х годов к Интернету подключились образовательные учреждения, государственные организации, различные американские и иностранные фирмы. В 90-е годы Интернет переживает феноменальный рост, причем увеличение числа соединений превышает все темпы, имевшие место ранее. Теперь к Интернету присоединены многие миллионы пользователей, причем только половина из них коммерческие пользователи[Cerf93]. Сейчас Интернет используется как основа для Национальной Информационной Инфраструктуры(NII) США.

Типовые сервисы

Существует ряд сервисов, связанных с TCP/IP и Интернетом. Наиболее распространенным сервисом является электронная почта, реализованная на базе протокола SMTP (Простой Протокол Передачи Писем). Также широко используются TELNET (эмуляция удаленного терминала) и FTP (протокол передачи файлов). Помимо них существует ряд сервисов и протоколов для удаленной печати, предоставления удаленного доступа к файлам и дискам, работы с распределенными базами данных и организации других информационных сервисов. Далее приводится краткий список наиболее распространенных сервисов:

  •  SMTP – Простой протокол передачи почты, используется для приема и передачи электронной почты
  •  TELNET – используется для подключения к удаленным системам, присоединенным к сети, применяет базовые возможности по эмуляции терминала
  •  FTP – Протокол передачи файлов, используется для приема или передачи файлов между системами в сети
  •  DNS – Служба сетевых имен, используется TELNET, FTP и другими сервисами для трансляции имен хостов в IP адреса.
  •  информационные сервисы, такие как
  •  gopher – средство поиска и просмотра информации с помощью системы меню, которое может обеспечить дружественный интерфейс к другим информационным сервисам
  •  WAIS – глобальный информационный сервис, используется для индексирования и поиска в базах данных файлов
  •  WWW/http – Всемирная Паутина, объединение FTP, gopher, WAIS и других информационных сервисов, использующее протокол передачи гипертекста(http), и программы Netscape, Microsoft Internet Explorer и Mosaic в качестве клиентских программ.
  •  сервисы на основе RPC – сервисы на основе Удаленного Вызова Процедур, такие как
  •  NFS – Сетевая файловая система, позволяет системам совместно использовать директории и диски, при этом удаленная директория или диск кажутся находящимися на локальной машине
  •  NIS – Сетевые Информационные Сервисы, позволяют нескольким системам совместно использовать базы данных, например файл паролей, для централизованного управления ими
  •  Система X Windows – графическая оконная Среда и набор прикладных библиотек, используемых на рабочих станциях
  •  rlogin, rsh и другие r-сервисы – реализуют концепцию доверяющих друг другу хостов, позволяют выполнять команды на других компьютерах, не вводя пароль

Хотя сервисы TCP/IP могут в равной степени использоваться как в локальных сетях, так и в глобальных сетях, в локальных сетях, как правило, применяется совместное использование файлов и принтеров, а электронная почта и удаленный терминальный доступ – в обоих случаях. С каждым годом возрастает популярность gopher и www . Оба этих сервиса приводят к возникновению проблем для разработчиков брандмауэров и будут рассмотрены в следующих главах.

Хосты в Интернете

На многих системах, подключенных к Интернету, работает одна из версий
ОС
Unix. Впервые TCP/IP был реализован в начале 80-х годов в версии Unix,
написанной в университете в Калифорнии в Беркли, известной как
BSD (Berkeley Software Distribution). Многие современные версии Unix позаимствовали тексты сетевых программ из этой версии, поэтому Unix обеспечивает более или менее стандартный набор сервисов TCP/IP. Это привело к тому, что много различных версий Unixа имеют одни и те же уязвимые места, правда, это также привело к целесообразности широкого применения стратегий брандмауэров, таких как фильтрация IP. Следует отметить, что исходные тексты BSD UNIX можно легко получить в ряде Интернетовских серверов, поэтому как хорошие, так и плохие люди могут изучить тексты программ и найти в них потенциальные уязвимые места и использовать их для проникновения.

Хотя Unix и является наиболее распространенной ОС в Интернете, к нему присоединено много различных типов компьютеров с другими ОС, включая системы с DEC VMS, NeXT, MVS и ОС персональных компьютеров, такие как DOS, Windows, и Apple. Хотя персональные компьютеры обеспечивают только клиентскую часть сервисов, то есть, используя TELNET, можно подключиться с персонального компьютера, но не к персональному компьютеру, все возрастающая мощность ПЭВМ начинает также обеспечивать предоставление тех же сервисов, которые сейчас предоставляются большими компьютерами, только гораздо дешевле. Версии Unix для ПЭВМ, включая Linux, FreeBSD и BSDi, а также другие ОС, такие как Microsoft Windows NT, могут сейчас обеспечить те же самые сервисы и приложения, которые ранее были только на больших системах. Следствием этого является то, что сейчас полный набор сервисов TCP/IP используется небывалым количеством людей. Хотя это и хорошо в том смысле, что сетевые сервисы стали общедоступны, отрицательные последствия заключаются в возникновении огромных возможностей для совершения преступлений у злоумышленников (а также у неграмотных пользователей, которые в некоторых случаях могут рассматриваться как вид злоумышленников).


Политики безопасности для работы в Интернете

Зачем разрабатывать политику безопасности для работы в Интернете?

Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объему информации, оно же является опасным для сайтов с низким уровнем безопасности. Интернет страдает от серьезных проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми к действиям злоумышленников.

Организации должны ответить на следующие вопросы, чтобы правильно учесть возможные последствия подключения к Интернету в области безопасности:

  •  Могут ли хакеры разрушить внутренние системы?
  •  Может ли быть скомпрометирована( изменена или прочитана) важная информация организации при ее передаче по Интернету?
  •  Можно ли помешать работе организации?

Все это – важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении легкости использования Интернета. Третьи требуют вложения значительных ресурсов – рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.

Цель политики безопасности для Интернета – принять решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей – общих принципов и конкретных правил работы. Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что – запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.

Правда, существует и третий тип политики, который встречается в литературе по безопасности в Интернете. Это – технический подход. В этой публикации под техническим подходом будем понимать анализ, который помогает выполнять принципы и правила политики. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.

Чтобы политика для Интернета была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации. Данная публикация пытается дать техническим специалистам информацию, которую им надо будет объяснить разработчикам политики для Интернета. Она содержит эскизный проект политики, на основе которого потом можно будет принять конкретные технические решения.

Интернет – это важный ресурс, который изменил стиль деятельности многих людей и организаций. Тем не менее, Интернет страдает от серьезных и широко распространенных проблем с безопасностью. Много организаций было атаковано или зондировано злоумышленниками, в результате чего они понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были вынуждены временно отключиться от Интернета и потратили значительные средства на устранение проблем с конфигурациями хостов и сетей. Сайты, которые неосведомлены или игнорируют эти проблемы, подвергают себя риску сетевой атаки злоумышленниками. Даже те сайты, которые внедрили у себя меры по обеспечению безопасности, подвергаются тем же опасностям из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.

Фундаментальная проблема состоит в том, что Интернет при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:

  •  Легкость перехвата данных и фальсификации адресов машин в сети – основная часть трафика Интернета – это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы.
  •  Уязвимость средств TCP/IP – ряд средств TCP/IP не был спроектирован быть защищенными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы.
  •  Отсутствие политики – многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.
  •  Сложность конфигурирования – средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

Основные типы политики

Термин Политика компьютерной безопасности имеет различное содержание для различных людей. Это может быть директива одного из руководителей организации по организации программы компьютерной безопасности., устанавливающая ее цели и назначающая ответственных за ее выполнение. Или это может быть решение начальника отдела в отношении безопасности электронной почты или факсов. Или это могут быть правила обеспечения безопасности для конкретной системы (это такие типы политик, про которые эксперты в компьютерной безопасности говорят, что они реализуются программно-аппаратными средствами и организационными мерами). В этом документе под политикой компьютерной безопасности будем понимать документ, в котором описаны решения в отношении безопасности. Под это определение подпадают все типы политики, описанные ниже.

При принятии решений администраторы сталкиваются с проблемой совершения выбора на основе учета принципов деятельности организации, соотношения важности целей, и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.

Необходимым элементом политики является принятие решения в отношении данного вопроса. Оно задаст направление деятельности организации. Для того чтобы политика была успешной, важно, чтобы было обоснованно выбрано одно направление из нескольких возможных.


Анализ риска

В настоящее время выделение финансовых и человеческих ресурсов на обеспечение безопасности ограничено, и требуется показать прибыль от вложений в них. Инвестиции в информационную безопасность могут рассматриваться как инвестиции для увеличения прибыли путем уменьшения административных затрат на ее поддержание или для защиты от потери прибыли путем предотвращения потенциальных затрат в случае негативных коммерческих последствий. В любом случае стоимость средств обеспечения безопасности должна соответствовать риску и прибыли для той среды, в которой работает ваша организация.

Говоря простым языком, риск – это ситуация, когда угроза использует уязвимое место для нанесения вреда вашей системе. Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. Для того чтобы разработать эффективную и недорогую политику безопасности для защиты соединений с Интернетом, нужно выполнить тот или иной анализ риска для оценки требуемой жесткости политики, который определит необходимые затраты на средства обеспечения безопасности для выполнения требований политики. То, насколько жесткой будет политика, зависит от:

  •  Уровня угроз, которым подвергается организация и видимость организации из внешнего мира
  •  Уязвимости организации к последствиям потенциальных инцидентов с безопасностью
  •  Государственных законов и требований вышестоящих организаций, которые могут явно определять необходимость проведения того или иного вида анализа риска или диктовать применение конкретных средств обеспечения безопасности для конкретных систем, приложений или видов информации.

Отметим, что здесь не учитывается ценность информации или финансовые последствия инцидентов с безопасностью. В прошлом такие оценки стоимости требовались как составная часть формального анализа риска в попытке осуществить оценку ежегодной прибыли при затратах на безопасность. По мере того, как зависимость государственных и коммерческих организаций от глобальных сетей становилась большей, потери от инцидентов с безопасностью, которые практически невозможно оценить в деньгах, стали равными или большими, чем вычисляемые затраты. Время администраторов информационной безопасности может более эффективно потрачено на обеспечение гарантий внедрения «достаточно хорошей безопасности», чем на расчет стоимости чего-либо худшего, чем полная безопасность.

Для организаций, деятельность которых регулируется законами, или которые обрабатывают информацию, от которой зависит жизнь людей, могут оказаться более приемлемыми формальные методы оценки риска. В Интернете есть ряд источников информации по этому вопросу. Следующие разделы содержат методологию для быстрой разработки профиля риска вашей организации.

Угрозы/видимость

Угроза – это любое событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения информации, или отказа в обслуживании критическими сервисами. Угрозы могут быть неумышленными, такими как те, что вызываются ошибками человека, сбоями оборудования или программ, или стихийными бедствиями. Умышленные угрозы могут быть разделены на ряд групп – от логичных (получение чего-либо без денег) до иррациональных (разрушение информации). Типичными угрозами в среде Интернета являются:

  •  Сбой в работе одной из компонент сети – сбой из-за ошибок при проектировании или ошибок оборудования или программ может привести к отказу в обслуживании или компрометации безопасности из-за неправильного функционирования одной из компонент сети. Выход из строя брандмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев, которые оказывают влияние на безопасность.
  •  Сканирование информации – неавторизованный просмотр критической информации злоумышленниками или авторизованными пользователями может происходить, используя различные механизмы – электронное письмо с неверным адресатом, распечатка принтера, неправильно сконфигурированные списки управления доступом, совместное использование несколькими людьми одного идентификатора и т.д.
  •  Использование информации не по назначению – использование информации для целей, отличных от авторизованных, может привести к отказу в обслуживании, излишним затратам, потере репутации. Виновниками этого могут быть как внутренние, так и внешние пользователи.
  •  Неавторизованное удаление, модификация или раскрытие информации – специальное искажение информационных ценностей, которое может привести к потере целостности или конфиденциальности информации.
  •  Проникновение – атака неавторизованных людей или систем, которая может привести к отказу в обслуживании или значительным затратам на восстановление после инцидента.
  •  Маскарад – попытки замаскироваться под авторизованного пользователя для кражи сервисов или информации, или для инициации финансовых транзакций, которые приведут к финансовым потерям или проблемам для организации.

Наличие угрозы необязательно означает, что она нанесет вред. Чтобы стать риском, угроза должна использовать уязвимое место в средствах обеспечения безопасности системы и система должна быть видима из внешнего мира. Видимость системы – это мера как интереса злоумышленников к этой системе, так и количества информации, доступной для общего пользования на этой системе.

Все организации, имеющие доступ к Интернету, в некоторой степени видимы для внешнего мира хотя бы с помощью своего имени в DNS. Тем не менее, некоторые организации видимы более, чем другие, и уровень видимости может меняться регулярным образом или в зависимости от каких-нибудь событий.

Так как многие угрозы, основанные на Интернете, являются вероятностными по своей природе, уровень видимости организации напрямую определяет вероятность того, что враждебные агенты будут пытаться нанести вред с помощью той или иной угрозы. В Интернете любопытные студенты, подростки-вандалы, криминальные элементы, промышленные шпионы могут являться носителями угрозы. По мере того как использование глобальных сетей для электронной коммерции и критических задач увеличивается, число атак криминальных элементов и шпионов будет увеличиваться.

Уязвимость/последствия

Организации по-разному уязвимы к риску. Политики безопасности должны отражать уязвимость конкретной организации к различным типам инцидентов с безопасностью и делать приоритетными инвестиции в области наибольшей уязвимости.

Имеется два фактора, определяющих уязвимость организации. Первый фактор – последствия инцидента с безопасностью. Почти все организации уязвимы к финансовым потерям – устранение последствий инцидентов с безопасностью может потребовать значительных вложений, даже если пострадали некритические сервисы. Тем не менее, средства переноса риска (страхование или пункты в договорах) могут гарантировать, что даже финансовые потери не приведут к кризису организации.

Одним из важных шагов при определении возможных последствий является ведение реестра информационных ценностей. Хотя это и кажется простым, поддержание точного списка систем, сетей, компьютеров и баз данных, использующихся в организации, является сложной задачей. Организации должны объединить этот список с результатами работ по классификации данных, в ходе которых информация, хранимая в онлайновом режиме, классифицируется по степени важности для выполнения организацией своих задач.

Более серьезные последствия возникают, когда нарушается внутренняя работа организации, что приводит к убыткам из-за упущенных возможностей, потерь рабочего времени и работ по восстановлению работы. Самые серьезные последствия – это когда затрагиваются внешние функции, такие как доставка продукции потребителям или прием заказов. Эти последствия инцидента с безопасностью напрямую вызывают финансовые убытки из-за нарушения работы служб, или из-за потенциальной потери доверия клиентов в будущем.

Второй фактор – это учет политических или организационных последствий. В некоторых корпорациях верхний уровень руководства организацией может подумать, прочитав статью в известной газете о проникновении в их сеть, что произошла катастрофа, даже если при этом организация не понесла никаких финансовых убытков. В более открытых средах, таких как университеты или научные центры, руководство может на основании инцидента принять решение о введении ограничений на доступ. Эти факторы надо учитывать при определении уязвимости организации к инцидентам с безопасностью.

Учет информационных ценностей

Чтобы гарантировать защиту всех информационных ценностей, и то, что текущая вычислительная Среда организации может быть быстро восстановлена после инцидента с безопасностью, каждый сетевой администратор должен вести учет информационных систем в его зоне ответственности. Список должен включать в себя все существующую аппаратную часть вычислительной Среды, программы, электронные документы, базы данных и каналы связи.

Для каждой информационной ценности должна быть описана следующая информация:

  •  Тип: оборудование, программа, данные
  •  Используется в системе общего назначения или критическом приложении
  •  Ответственный за данную информационную ценность
  •  Ее физическое или логическое местоположение
  •  Учетный номер, где это возможно.

Система общего назначения

Система общего назначения – это «взаимосвязанный набор информационных ресурсов, которые находятся под единым административным управлением, позволяющих решать общие(неспецифические) задачи или обеспечивать их выполнение». Обычно задачей систем общего назначения является обеспечение обработки или взаимодействия между приложениями. Системы общего назначения включают в себя компьютеры, сети и программы, которые обеспечивают работу большого числа приложений, и обычно администрируются и сопровождаются отделом автоматизации в организации.

Политика безопасности для систем общего назначения как правило применима и для Интернета, так как сервера, коммуникационные программы и шлюзы, обеспечивающие связь с Интернетом, обычно находятся под единым управлением.

Критические приложения

Все приложения требуют некоторого уровня безопасности, и адекватная безопасность для большинства из них обеспечивается средствами безопасности систем общего назначения, в рамках которых они функционируют. Тем не менее, некоторые приложения, из-за специфического характера хранимой и обрабатываемой в них информации, требуют специальных мер контроля и считаются критическими. Критическое приложение – это задача, решаемая с помощью компьютеров или сетей, от успешности решения которой серьезно зависит возможность существования организации или выполнения ею своего назначения.

Примерами критических приложений могут служить системы биллинга, учета заработной платы, другие финансовые системы и т.д. Так как большинство пользователей тратит основную часть своего времени на взаимодействие с одним из критических приложений, требуется включение курсов по информационной безопасности в программы переподготовки кадров для этих систем.

Большинство критических приложений сейчас не требуют связи с Интернетом, тем не менее, эта ситуация изменится в будущем. Современные операционные системы включают в себя возможности для связи с Интернетом.

Классификация данных

Для того чтобы разработать эффективную политику безопасности, информация, хранимая или обрабатываемая в организации, должна быть классифицирована в соответствии с ее критичностью к потере конфиденциальности. На основе этой классификации потом можно легко разработать политику для разрешения (или запрещения) доступа к Интернету или для передачи информации по Интернету.

Большинство организаций используют такие классы, как «Коммерческая тайна» и «Для служебного пользования». Классы, используемые в политике информационной безопасности, должны быть согласованы с другими существующими классами.

Данные должны быть разбиты на 4 класса безопасности, каждый из которых имеет свои требования по обеспечению безопасности – критическая информация, коммерческая тайна, персональная информация и для внутреннего пользования. Эта система классификации должна использоваться во всей организации. Лица, ответственные за информационные ценности, отвечают за назначение им класса, и этот процесс должен контролироваться руководством организации. Классы определяются следующим образом:

  •  Критическая информация: Этот класс применяется к информации, требующей специальных мер безопасности для обеспечения гарантий ее целостности, чтобы защитить ее от неавторизованной модификации или удаления. Это – информация, которая требует более высоких гарантий чем обычно в отношении ее точности и полноты. Примерами информации этого класса может служить информация о финансовых операциях или распоряжения руководства.
  •  Коммерческая тайна: Этот класс применяется к наиболее критической коммерческой информации, которая предназначена для использования ТОЛЬКО внутри организации, если только ее разглашение не требуется различными законодательными актами. Ее неавторизованное разглашение может нанести серьезный вред организации, ее акционерам, деловым партнерам, и/или клиентам.
  •  Персональная информация: этот класс применяется к информации о человеке, использование которой разрешено только внутри организации. Ее неавторизованное раскрытие может нанести серьезный вред организации и/или ее служащим.
  •  Для внутреннего пользования: Этот класс применяется ко всей остальной информации, которая не попадает ни в один из указанных выше классов. Хотя ее неавторизованное раскрытие нарушает политику, оно не может нанести какого-либо вреда организации, ее служащим и/или клиентам.

Коммерческие требования

Коммерческие и другие организации используют Интернет потому, что он предоставляет полезные сервисы. Организации должны принять решение – будут ли использоваться или нет сервисы на базе Интернета на основании анализа бизнес-плана или плана развития информационных технологий. Другими словами, организации должны проанализировать свои потребности, выявить потенциальные методы их удовлетворения и уточнить их после учета требований со стороны безопасности помимо влияния других факторов.

Большинство организаций используют Интернет-сервисы для того, чтобы обеспечить улучшенное взаимодействие между подразделениями организации, или между организацией и ее клиентами, или чтобы сократить расходы на автоматизацию коммерческой деятельности. Безопасность должна учитываться прежде всего – один инцидент с безопасностью может зачеркнуть любые финансовые выгоды, предоставляемые соединением с Интернетом.

Может также существовать несколько технологических решений для удовлетворения коммерческих потребностей организации, некоторые из которых могут быть обезопасены легче, чем другие. Рисунок 1 показывает типичную сетевую архитектуру в организации для использования Интернета.

Оставшаяся часть этой темы кратко рассматривает основные сервисы, обеспечиваемые связью с Интернетом. В ней также будет указано с помощью каких средств безопасности надо защищать эти сервисы. В таблице 1 показано соответствие между имеющимися средствами безопасности и Интернет-сервисами, часто используемыми организациями. В таблице показано, какие средства безопасности часто используются для организации безопасной работы данного сервиса. Некоторые из средств, такие как улаживание последствий инцидентов с безопасностью, обеспечивают безопасность для всех сервисов, в таких случаях знак стоит напротив тех сервисов, для которых данное средство необходимо.

Таблица 1. Использование средств безопасности для защиты сервисов 

Идентификация и аутентификация

Управление доступом

Брандмауэр

Средства контроля импортируемых программ

Шифрование

Архитектура

Устранение последствий инцидентов

Организационные меры

Удаленный доступ

 

 

 

Электронная почта

 

 

 

 

Публикация информации

 

 

 

 

Исследования

 

 

 

Электронная коммерция

Постоянная доступность

 

 

 

 

 

Легкость использования

 

 

 

 

 

В настоящее время коммерческая деятельность все больше требует удаленного доступа к своим информационным системам. Это может объясняться необходимостью доступа сотрудников в командировках к своему электронному почтовому ящику, или необходимостью для продавцов удаленного ввода заказов на продукцию. По своей природе удаленный доступ к компьютерным системам приводит к появлению новых уязвимых мест в них из-за увеличения точек доступа к ним.

Существует три основных режима удаленного доступа:

  •  Удаленный доступ к сервису – при этом виде доступ обычно ограничивается удаленным доступом к одному сервису, обычно почте. Такие продукты как Lotus Notes и cc:Mail поддерживают удаленный доступ к этим продуктам без предоставления доступа к каким-либо другим сетевым сервисам. Этот режим обычно является самым безопасным – число уязвимых мест ограничено.
  •  Удаленное управление позволяет удаленному пользователю управлять персональным компьютером, физически расположенным в корпоративной сети организации. Это может быть специальная компьютерная система или обычный компьютер, стоящий на рабочем месте пользователя. Удаленный компьютер используется только как клавиатура и дисплей. Удаленное управление ограничивает удаленных пользователей доступом к тем программам, которые запущены на корпоративном компьютере, что является плюсом с точки зрения безопасности. Некоторые продукты совместного удаленного доступа нескольких пользователей поддерживают также хороший аудит и протоколирование действий пользователей.
  •  При работе в режиме удаленного узла сети, удаленный компьютер соединяется с сервером удаленного доступа, который назначает удаленному компьютеру сетевой адрес. Все работающие программы находятся на удаленном компьютере вместе с локальной памятью. Режим удаленного узла предоставляет удаленным пользователям доступ ко всем сетевым сервисам, если только не используется программы управления доступом. Режим удаленного узла стал самой популярной формой удаленного доступа, но его использование приводит к появлению наивысшего уровня уязвимости корпоративных систем.

Эти формы удаленного доступа могут быть реализованы с помощью коммутируемого соединения, сеансов telnetа, или использования программных продуктов, обеспечивающих удаленный доступ. Следующие разделы описывают уязвимые места различных методов удаленного доступа.


Коммутируемое соединение

Удаленный доступ по телефонным каналам стал самой популярной формой удаленного доступа. Обычно удаленный компьютер использует аналоговый модем для дозвона до модема в режиме автоответа, подключенного к корпоративному компьютеру. Методы обеспечения безопасности этого соединения включают:

  •  Ограничение круга лиц, знающих о номерах телефонов, к которым подключены модемы – этот подход уязвим к автоматизированным атакам с помощью «боевых диалеров», простых программ, использующих модемы с автодозвоном для сканирования блоков телефонных номеров и выявления номеров с модемами.
  •  Использование пар имя-пароль – так как атакующему нужно подключиться к телефонной линии, чтобы узнать имя и пароль, коммутируемые соединения менее уязвимы к атакам с помощью перехватчиков паролей, которые делают многократно используемые пароли практическими бесполезными с глобальных сетях. Тем не менее, использование перехватчиков паролей на внутренних сетях, выбор в качестве паролей легко угадываемых слов, и социальная инженерия делают получение паролей легким. Часто злоумышленники представляются сотрудниками отделов технической поддержки для того, чтобы узнать у законных пользователей их пароли.
  •  Усиленная аутентификация – существует много методов, которые могут быть использованы для обеспечения или замены обычных паролей. Эти методы включают:
  •  Модемы с обратным звонком – эти устройства требуют от пользователя ввести имя и пароль при установлении соединения. Затем корпоративный модем разрывает соединение и ищет авторизованный номер телефона для данного пользователя. После этого он сам звонит по этому номеру и устанавливает соединение. Пользователь снова вводит имя и пароль для установления соединения. Этот подход уязвим к атакам переназначения звонка, и не обеспечивает гибкости, требуемой для установления соединения с отелями и аэропортами.
  •  Одноразовые пароли – системы запрос-ответ на основе криптографии, такие как S/Key Bellcore, и SecurID Security Dynamics. Они требуют, чтобы пользователь использовал программный или аппаратный генератор паролей. Эти устройства создают уникальный пароль для каждого сеанса и требуют, чтобы пользователь как знал имя и пароль, так и обладал генератором паролей. Хотя этот метод все-таки уязвим к атакам повтора сеанса, именно этот подход обеспечивает минимально допустимый уровень безопасности для большинства соединений с удаленным доступом.
  •  Аутентификация на основе местонахождения удаленного пользователя – новые технологии аутентификации используют такие технологии, как системы глобального позиционирования для реализации аутентификации на основе местонахождения. Если пользователь осуществляет соединение не из авторизованного места, доступ запрещен. Эта технология все еще ненадежна, дорога и сложна в использовании. Но она может оказаться уместной для многих приложений. Уязвимости при ее использовании связаны с возможностью атакующего дать фальшивую информацию о своем местонахождении. Большинство подходов используют криптографию для защиты от такой формы атаки.

В заключение можно сказать, что коммутируемый доступ обеспечивает злоумышленников точкой доступа к сети организации, даже если у организации нет доступа к Интернету.

Telnet/X Windows

Telnet и команды удаленного подключения к компьютеру, обеспечиваемые Unix, предоставляют возможность подключиться в режиме терминала к компьютеру по сети. Многие персональные компьютеры имеют TCP/IP-программы, которые предоставляют возможности telnet (В состав Windows также входит такая возможность). По сути Telnet предоставляет подключение удаленного клиента в режиме текстового терминала к главному компьютеру по сети. Telnet обычно требует посылки пары имя-пароль по сетевому соединению в незашифрованном виде – серьезное уязвимое место с точки зрения безопасности.

X Windows предоставляет возможность удаленного подключения к компьютеру, поддерживающего графический интерфейс с пользователем, и передающего экранные образы, перемещения мыши и коды клавиш, нажатых пользователем, по сети. X Windows имеет слабые возможности по обеспечению безопасности, которые часто обходятся пользователями для упрощения процесса соединения.

Переносные компьютеры

В последние годы их использование значительно возросло из-за падения цен на них, уменьшения веса и размера. Большинство ноутбуков, используемых коммерческими и государственными организациями, имеют высокоскоростные модемы, диски емкостью от 40 ГБайт и выше. На них запускается большое число коммуникационных программ. Все чаще для использования их на рабочем месте применяются порты-расширители. Менее часто используется перенос дисковых накопителей на основе PCMCIA-карт между переносным компьютером и настольным компьютером в офисе.

Портативные компьютеры используются для решения коммерческих задач и часто с их помощью осуществляется удаленный доступ к корпоративным сетям. Хотя механизмы, используемые при соединении, те же самые, что и описанные выше (коммутируемый доступ, telnet и т.д.), использование переносных компьютеров приводит к появлению новых уязвимых мест.

  •  Местоположение удаленного компьютера может часто меняться, может быть каждый день. Модемы с обратным дозвоном обычно бесполезны в такой ситуации.
  •  Удаленный компьютер часто используется в общественных местах, таких как самолеты и аэропорты. С помощью подглядывания из-за плеча могут быть раскрыты данные и пароли.
  •  Удаленный компьютер часто оставляется без присмотра в относительно небезопасных местах, таких как номер в отеле или арендованный автомобиль. Данные, хранимые на диске, уязвимы к копированию или неавторизованному чтению.
  •  Удаленные компьютеры часто теряются или крадутся в ходе командировок сотрудников, что приводит к компрометации всей информации. Служащие часто не хотят сразу сообщать о потере, что делает вполне возможным удаленный доступ злоумышленника. Некоторые большие организации (в которых используется более 4000 переносных компьютеров) теряют в среднем один портативный компьютер в неделю.
  •  Переносные компьютеры используют внутренние модемы для коммутируемого доступа, причем та же PCMCIA-карта (вернее встроенный в нее интерфейс с ЛВС) используется для доступа к сети организации, когда ноутбук находится в офисе. Если на работе имеется доступ к телефону, то встроенный модем может использоваться для организации коммутируемых входящих и выходящих соединений с BBS или провайдером Интернета.

Пользователи переносных компьютеров все чаще являются также пользователями сотовых телефонов, и ведут по нему разговоры, в которых раскрывается важная информация, связанная с безопасностью. Разговор по сотовому телефону уязвим к перехвату его криминальными элементами, конкурентами или журналистами. Использование сотовых или других форм радиомодемов для передачи данных увеличивает уровень уязвимости.

Электронная почта

Хотя мультимедийная форма WWW привлекает основное внимание, именно электронная почта способствовала росту Интернета. Использование электронной почты для осуществления важных деловых взаимодействий растет быстрыми темпами. Хотя электронная почта является дешевым способом взаимодействия с клиентами, деловыми партнерами, с ее использованием связан ряд проблем с безопасностью:

  •  Адреса электронной почты в Интернете легко подделать. Практически нельзя сказать наверняка, кто написал и послал электронное письмо только на основе его адреса.
  •  Электронные письма могут быть легко модифицированы. Стандартное SMTP-письмо не содержит средств проверки целостности.
  •  Существует ряд мест, где содержимое письма может быть прочитано теми, кому оно не предназначено. Электронное письмо скорее похоже на открытку – его могут прочитать на каждой промежуточной станции.
  •  Обычно нет гарантий доставки электронного письма. Хотя некоторые почтовые системы предоставляют вам возможность получить сообщение о доставке, часто такие уведомления означают лишь то, что почтовый сервер получателя (а не обязательно сам пользователь) получил сообщение.

Эти уязвимые места делают важным для организации разработку политики, определяющей допустимое использование электронной почты для коммерческих целей.

Публикация информации

Интернет серьезно упрощает задачу предоставления информации гражданам общества, клиентам организации и деловым партнерам – по крайней мере тем, кто имеет компьютер, подключенный к Интернету. Сегодня в США около 35 процентов домов имеют персональные компьютеры, и только половина из них подключена к Интернету. Наверное только через несколько лет электронная публикация сможет догнать публикацию в газетах и журналах.

Тем не менее, любое использование средств электронной публикации информации, которое уменьшает число запросов информации по телефону или по почте, может помочь организации сократить расходы на эту статью и принести дополнительные прибыли. Существуют два вида публикации информации – принудительная и по инициативе читателя. Подписка на журналы – пример принудительной публикации – информация регулярно посылается подписчикам. Газетные киоски – пример публикации по инициативе читателя – читатели должны захотеть получить информацию.

Электронный эквивалент принудительной публикации – создание списка рассылки, в котором информация посылается всем, подписанным на этот список. Обычно для посылки сообщений в список рассылки, а также для включения в список рассылки или удаления из него используется специальная программа – сервер списка рассылки. Сервера списков рассылки относительно безопасны в том отношении, что пользователям не нужно иметь соединение с сетью организации, публикующей информацию, для получения информации. Тем не менее, они имеют несколько уязвимых мест:

  •  Программа-сервер рассылки обрабатывает данные от пользователей для включения их в список, для удаления из их списка, или получения информации о самом списке. Существует много бесплатных программ-серверов рассылки, и ряд из них не проверяет до конца введенные пользователем данные. Злоумышленники могут послать команды Unix или очень большие строки для того, чтобы вызвать непредусмотренные режимы работы или совершить проникновение путем переполнения буфера.
  •  При неправильном конфигурировании сервер рассылки может сделать видимым список подписчиков для каждого подписчика. Это может дать информацию для проведения в дальнейшем атаки «отказ в обслуживании» или «социальная инженерия».

Существует два электронных эквивалента публикации по инициативе читателя, используемых в Интернете, – FTP-серверы и WWW-серверы. Оба они успешно заменили электронные доски объявлений(BBS), хотя ряд BBS все еще используются в правительственных учреждениях США.

Для предоставления FTP-сервиса в Интернете, практически все, что нужно – это компьютер и подключение к Интернету. FTP-сервера могут быть установлены на любой компьютер, работающий под управлением Unix, а также на многие, работающие под управлением Microsoft Windows. Имеется много коммерческих и бесплатных версий программ для FTP, часто как часть стека TCP/IP, обеспечивающего драйверы для подключения к сервисам Интернет. Они могут позволять осуществлять полностью анонимный доступ, где не требуются пароли, или они могут сконфигурированы так, что будут требовать для получения доступа к сервису пары имя-пароль. FTP-сервера обеспечивают простой интерфейс, напоминающий стандартный интерфейс Unix для работы с файлами. Пользователи могут получить файлы, а затем просмотреть их или выполнить, если у них есть соответствующие программы.

Если FTP-сервер неправильно сконфигурирован, он может предоставлять к ЛЮБОМУ файлу на компьютере-сервере, или даже в сети, присоединенной к этому компьютеру. FTP-сервера должны ограничивать доступ отдельным деревом поддиректорий, и требовать имя и пароль при необходимости.

Если вы не жили на необитаемом острове последние несколько лет, вы наверное знаете о колоссальном росте Всемирной паутины (WWW). Веб-сервера предоставляют дешевый способ публикации информации, содержащей текст, встроенные рисунки, или даже аудио и видео. Использование стандартов Гипертекстового Языка Разметки Документов (HTML) и Протокола передачи гипертекстовой информации(HTTP) позволяет пользователям легко копировать и просматривать Web-документы, несмотря на большое разнообразие клиентских платформ .

Хотя разработка профессионального веб-сайта сложна и дорога, любой компьютер, подключенный к Интернету, может выступить в роли веб-сервера. Имеется большое число как коммерческих, так и бесплатных программ WWW-сервера для различных операционных систем. Многие последние версии операционных систем включают программ, необходимые для организации веб-сервера, а также полезные программы-мастера, позволяющие автоматизировать установку и конфигурирование.

Как и FTP-сервера, WWW-сервера могут приводить к появлению серьезных уязвимых мест в корпоративных сетях при неправильной конфигурации. Смотрите раздел WWW для более подробной информации о политике безопасности для WWW- и FTP-серверов.


Исследования

Проведение исследований с помощью Интернета включает в себя использование клиентских программ для поиска и чтения информации с удаленных серверов. Клиентские программы могут быть следующих типов:

  •  FTP – FTP-программы позволяют подключаться к удаленным системам, просматривать файловые структуры на них, и загружать оттуда файлы
  •  Gopher – разработан в университете Миннесоты, он по существу предоставляет графический интерфейс для выполнения просмотра и загрузки файлов в встиле FTP
  •  World Wide Web – веб-браузеры гораздо более удобны для чтения информации в Интернете. Программа-клиент для просмотра информации в WWW обычно имеет возможности FTP-клиента и Gopher-клиента, помимо расширенных возможностей мультимедиа.
  •  Специфические системы – существует ряд информационных систем на основе Интернета, которые требуют использования специальной программы-клиента, а не веб-браузера. Как правило они предоставляют доступ к информации, защищенной авторскими правами или информации, хранимой в реляционных базах данных.

Основной риск, связанный с использованием Интернета для исследований – это возможность занесения вирусов или других РПС. С появлением «макро-вирусов», которые содержатся в стандартных документах текстовых процессоров, загрузка документов стала такой же рискованной, как и загрузка выполняемых файлов. Кроме того, доступность «приложений-помощников» и загружаемых «аплетов» для обеспечения отображения файлов специальных форматов (таких, как PostScript) увеличила риск троянских коней. Смотрите политику для этой области в разделах про импорт программ и WWW.

Вторичным риском являются следы, которые программы-клиенты оставляют при просмотре содержимого информационных серверов в Интернете. Большинство серверов имеет возможность записывать как минимум IP-адрес клиента, а веб-сервера могут часть получить информацию о типе используемого браузера, последнем посещенном сайте, и адресе электронной почты, используемой в браузере, а также другую критическую информацию. Помимо этого, программа веб-сервера может сохранять файл «визиток» (cookie) на компьютере, где находится браузер, что позволяет серверу отслеживать визиты клиента на сервер и посещаемые им области.

Электронная коммерция

Использование компьютеров и сетей претерпело три фазы, или «волны»:

  •  Базовая автоматизация офиса – в эпоху мэйнфреймов с помощью компьютеров выполнялись такие функции, как биллинг, финансовые операции, ведение кадровых список.
  •  Сквозная автоматизация офиса – после появления ПЭВМ и локальных сетей с помощью компьютеров стали выполняться такие функции, как набор текстов, деловая переписка, финансовый анализ и т.д.
  •  Автоматизация взаимодействия с клиентами – после того, как ПЭВМ стали обычным явлением как дома, так и в оффисе, а Интернет сделал дешевым взаимодействие, контакты между компаниями и их клиентами (людьми, другими компаниями и т.д.) стали все чаще осуществляться с помощью компьютера.

Взаимодействие покупателя с продавцом с помощью компьютеров и сетей и есть электронная коммерция. В целях изучения безопасности мы разделим электронную коммерцию на 4 класса: электронная почта, электронный обмен данными, информационные транзакции и финансовые транзакции. Электронная почта была рассмотрена выше, следующие разделы будут описывать оставшиеся 3 класса.

Электронный обмен данными

Электронный обмен данными (EDI) – это термин, не нуждающийся в пояснениях. Простейшей его формой является обмен информацией между двумя бизнес-субъектами (называемых в EDI торговыми партнерами) в стандартизованном формате. Базовой единицей обмена является набор транзакций, который в общем соответствует стандартному бизнес-документу, такому как платежное поручение или накладная на товар. С помощью стандартов, основу которых составляют X.9 и UN/EDIFACT, деловое сообщество разработало группу стандартных наборов транзакций.

Каждый набор транзакций состоит из большого числа элементов данных, требуемых для данного бизнес-документа, каждый из которых имеет свой формат и место среди других элементов данных. Если транзакция содержит более , чем одну транзакцию(несколько платежных поручений в одну фирму), то группе транзакций будет предшествовать заголовок функциональной группы, а за группой будет следовать концевик функциональной группы.

Компании стали использовать EDI, чтобы уменьшить время и затраты на контакты с поставщиками. Так в автомобильной промышленности большие компании требовали от поставщиков использовать EDI для всех транзакций, что позволило сохранить огромное количество бумаги и значительно ускорить процесс поставки и сократить усилия на поддержание актуальности баз данных. Обычно для выполнения EDI-транзакций использовались частные глобальные сети, которые были дешевле, чем аренда выделенных линий, но предоставляли сервис надежной и безопасной доставки.

Интернет может обеспечить возможности взаимодействия, необходимые для EDI, по низким ценам. Но Интернет не обеспечивает сервисов безопасности (целостности, конфиденциальности, контроля участников взаимодействия), требуемых для EDI. Как и электронная почта в Интернете, транзакции EDI уязвимы к модификации, компрометации или уничтожению при посылке через Интернет. Использование криптографии для обеспечения требуемых сервисов безопасности изменило положение, и многие компании и правительственные агентства перешли на EDI в Интернете.

Информационные транзакции

Обеспечение информацией – основной и дорогой элемент коммерции. Информация в коммерции может иметь несколько форм:

  •  Статические данные, такие как историческая информация, карты и т.д.
  •  Корпоративная информация, такая как телефонные номера, адреса, структура организации и т.д.
  •  Информация о продукции или об услугах
  •  Платная информация, такая как новости, периодические издания, доступ к базам данных и т.д.

Использование Интернета для предоставления этих сервисов гораздо дешевле, чем использование факса, телефона или обычной почты. Потенциальные клиенты могут искать и получать информацию в нужном им темпе, и это не будет требовать дополнительных затрат на службу технического сопровождения.

Обычно такие информационные сервисы используют WWW как базовый механизм для предоставления информации. Целостность и доступность предоставляемой информации – главные проблемы обеспечения безопасности, требующие применения средств безопасности и создания политики безопасности.

Финансовые транзакции

Так или иначе, но компьютеры и сети давно используются для обработки финансовых транзакций. Перевод денег со счета на счет в электронном виде используется для транзакций банк-банк, а банкоматы используются для операций клиент-банк. Авторизация покупателя с помощью кредитных карт выполняется с помощью телефонных линий и сетей передачи данных.

Для поддержания безопасности этих транзакций они выполняются с помощью частных сетей или шифруются. Использование частных глобальных сетей (как и для EDI) ограничивало возможности взаимодействия. И только Интернет дал дешевую возможность осуществлять финансовые транзакции.

Использование Интернета для выполнения этих типов транзакций позволяет заменить представление или показ наличных, чеков, кредитных карт их электронными эквивалентами:

  •  Наличные – сейчас существует ряд конкурирующих подходов для реализации электронных денег, реализация которых еще находится на стадии разработки. Все эти методы используют криптографию для создания безопасных цифровых "бумажников", в которых хранится цифровая наличность. Передача электронных денег необязательно требует участия финансовых учреждений в качестве промежуточной стадии.
  •  Чеки – банковская индустрия разрабатывает стандарт для электронных чеков, определяющий как информация, содержащаяся в физических чеках, должна представляться в электронном сообщении. Электронные чеки всегда требуют участия финансовых учреждений при их передаче.
  •  Дебитовые карты – смарт-карты и карты с памятью могут хранить электронные деньги рядом способов. Каждая транзакция дебитует определенное количество, пока карта не опустеет. Карты с памятью не требуют использования финансовых учреждений.
  •  Кредитные карты – основные игроки в индустрии кредитных карт(Visa, Master Card, и American Express) разработали стандарт для выполнения транзакций с кредитными картами по глобальным сетям. Известный под названием Безопасные Электронные Транзакции (Secure Electronic Transactions), этот стандарт определяет трехэтапные транзакции между клиентом, продавцом и владельцем дебита кредитной карты, обычно банком. Транзакции электронных кредитных карт, использующие SET, всегда требуют участия финансового учреждения.
  •  Электронный перевод фондов(EFT) – он использует криптографию для обеспечения безопасности перевода фондов между банками и другими финансовыми учреждениями. Клиенты могут авторизовать банки на посылку и прием платежей с помощью EFT для клиента.

Каждая из этих форм электронных финансовых транзакций включает использование криптографии для обеспечения целостности, конфиденциальности, аутентификации и контроля участников взаимодействия.

Постоянная доступность для взаимодействия

По мере того, как Интернет становится более важным для выполнения повседневной деловой деятельности, к средствам обеспечения безопасности соединения с Интернетом все чаще предъявляются требования непрерывности работы. Эти требования часто оказывают большое влияние на политику безопасности, требуя компромиссных решений между стоимостью дублирующих комплектов и стоимостью временной работы без средств обеспечения безопасности.

Простым примером является брандмауэр. Брандмауэр может оказаться критическим местом – если он выйдет из строя, все связь с Интернетом может оказаться невозможной на время устранения аварии. Если временная потеря связи с Интернетом не оказывает большого влияния на деятельность организации, политика может просто определять, что работа с Интернетом прекращается до тех пор, пока не будет восстановлен брандмауэр. Для организаций с низким уровнем риска политика может позволять отключать брандмауэр и работать с Интернетом без него на время аварии. Тем не менее, если связь с Интернетом важна, или организация имеет высокий уровень риска, политика может требовать использования брандмауэра с горячим или холодным резервом. Задачи организации определяют, какое решение будет принято.

Для очень больших организаций производительность может также диктовать использование нескольких средств безопасности, таких как брандмауэры и сервера аутентификации. Например, организации, обеспечивающей деятельность нескольких тысяч внешних пользователей в Интернете, может потребоваться несколько соединений с Интернетом класса T1, что в свою очередь потребует использования нескольких брандмауэров. Организации с несколькими тысячами внутренних пользователей, имеющих тенденцию соединяться с системой в одно и то же время (утром, вечером и т.д.) может потребоваться несколько серверов аутентификации для того, чтобы время подключения было в допустимых пределах.

Основными способами удовлетворения требований постоянной доступности являются:

  •  Планирование ресурсов. Замечен интересный феномен – как только брандмауэр установлен, пользователи начинают жаловаться, что соединение с Интернетом стало медленнее. Правильно выбранные средства безопасности, такие как брандмауэр, обычно не являются самым узким местом в системе. Но важно детальное планирование выделения ресурсов, так как средства безопасности, сильно уменьшающие производительность работы, будут быстро отключаться. Данные из спецификаций брандмауэров должны делиться пополам при моделировании нужной производительности, а производительность критических средств обеспечения безопасности должна проверяться и настраиваться в тестовой сети.
  •  Избыточность – для всех организаций, кроме тех, что имеют низкий уровень риска, необходим резервный брандмауэр в горячем резерве. Аналогично, использование серверов аутентификации или серверов безопасного удаленного доступа обычно требует наличия возможности быстро переключаться на резервный сервер. Синхронизация – вот главный вопрос при использовании резервных серверов безопасности – все обновления, резервные копии и модификации должны производиться на обоих системах.
  •  Восстановление – когда вышедший из строя блок восстановлен и принесен назад, должен осуществляться тщательный контроль его конфигурации. Должна быть проанализирована конфигурация программ и оборудования, чтобы гарантировать, что работают все необходимые продукты, их версии актуальны, и к ним применены все модификации и исправления, и что не добавлены или включены ненужные сервисы в ходе восстановления. Любые отладочные возможности, использовавшиеся для тестирования, должны быть удалены или отключены.

Легкость использования

Состав пользователей многих систем, подключенных к Интернету, может быть весьма разнообразным – от секретарей до ученых, от новичков до опытных пользователей. Частым бизнес-требованием является требование, чтобы все приложения можно было легко использовать среднему пользователю. Это требование трудно оценить, но с точки зрения безопасности часто оно переводится так: «если средство безопасности становится помехой людям при выполнении ими своей работы, вы должны отключить такое средство».

Двумя составными элементами легкости использования являются уменьшение числа раз, когда пользователь должен аутентифицироваться в системе и разработка интерфейса пользователей со средствами безопасности таким, чтобы он соответствовал уровню или предпочтениям пользователей системы. Эти вопросы обсуждаются в следующих разделах.

Единовременная регистрация

Для выполнения своих повседневных задач пользователю может понадобиться зарегистрироваться на большом числе компьютеров и сетей. Часто каждая система требует от пользователя ввода имени и пароля. Так как запоминание большого числа паролей для пользователей является трудным, это ведет к тому, что пароли пишутся на бумаге (и часто на мониторах ПЭВМ) или забываются. Другой реакцией пользователя является использование одного и того же пароля на всех компьютерах. Тем не менее, разные системы могут иметь различные правила для паролей или иметь различные периоды проверки корректности пароля, что может снова привести пользователей к записыванию нескольких паролей на бумаге.

Системы с одной аутентификацией в начале работы делают использование нескольких паролей прозрачным для пользователя. Это реализуется несколькими способами:

  •  Некоторые системы просто создают скрипты, содержащие пары имя-пароль и команды входа в удаленные системы. Это освобождает пользователя от хлопот, но переносит их на обслуживающий персонал, которому требуется поддержание скриптов. Такие скрипты часто требуют безопасного хранения, и их неавторизованное использование может дать доступ ко всем системам, на которых зарегистрирован пользователь.
  •  Другой подход базируется на Kerberos и использует криптографию для передачи привилегий пользователя сети или серверу, к которому пользователю нужен доступ. Эти системы требуют создания и работы серверов привилегий, а также интеграции этой технологии в каждую систему, к которой должен иметь доступ пользователь.

Разработка пользовательского интерфейса

Разработка пользовательского интерфейса для средств обеспечения безопасности в Интернете должна быть согласована с интерфейсом других приложений, которые регулярно используются пользователями. Когда средства безопасности приобретаются, или встроены в приобретаемые приложения, пользовательский интерфейс находится вне зоны контроля организации. Но для средств, разработанных в организации, важно, чтобы интерфейс был удобен для пользователя, а не для сотрудника службы безопасности.


Примеры областей, для которых нужны политики

Ряд вопросов возникает после того, как вы прочитали в предыдущей главе про необходимость обеспечения той или иной комбинации бизнес-требований для работы в Интернете. Какие программно-аппаратные средства и организационные меры должны быть реализованы, чтобы удовлетворить потребности организации? Каков наш профиль риска? Каковы должны быть наши этические нормы для того, чтобы организация могла решать свои задачи с помощью Интернета? Кто за что должен отвечать? Основа ответов на подобные вопросы – это концептуальная политика безопасности для организации.

Следующие разделы содержат фрагменты гипотетических политик безопасности в отношении безопасной работы в Интернете. Эти фрагменты были разработаны на основе анализа основных типов средств безопасности (например, контроля за импортом, шифрования, архитектуры системы). Приводятся обоснования выбора именно таких политик, за которыми следуют сами тексты абзацев политики, выделенные в отдельный абзац с курсивом.

Каждая часть содержит несколько политик для использования при различных профилях риска. Для некоторых областей приводится несколько примеров для одного уровня риска, чтобы показать различные способы реализации безопасности.

Политики безопасности можно разделить на две категории – технические политики, реализуемые с помощью оборудования и программ, и административные политики – выполняемые людьми, использующими систему и людьми, управляющими ей.

Идентификация и аутентификация

Идентификация и аутентификация (ИдиА) – это процесс распознавания и проверки подлинности заявлений о себе пользователей и процессов. ИдиА обычно используется при принятии решения, можно ли разрешить доступ к системным ресурсам пользователю или процессу.

Это предполагает, что было принято решение о том, что можно устанавливать соединения с внутренними машинами из Интернета. Если такие соединения запрещены, то в ИдиА нет необходимости. Многие организации отделяют системы, доступные из Интернета, от внутренних систем с помощью брандмауэров или маршрутизаторов.

Аутентификация через Интернет имеет ряд проблем. Достаточно легко можно перехватить данные идентификации и аутентификации (или вообще любые данные) и повторить их, чтобы выдать себя за пользователя. При аутентификации вообще пользователи часто выражают недовольство ею и часто совершают ошибки, что делает возможным получение данных ИдиА с помощью социальной инженерии. Наличие дополнительной ИдиА при использовании Интернета делает необходимым распространение среди пользователей данных для ИдиА , что будет лишь усложнять им работу. Другой проблемой является возможность вклиниться в сеанс пользователя после выполнения им аутентификации.

Существует три основных вида аутентификации – статическая, устойчивая и постоянная. Статическая аутентификация использует пароли и другие технологии, которые могут быть скомпрометированы с помощью повтора этой информации атакующим. Часто эти пароли называются повторно используемыми паролями. Устойчивая аутентификация использует криптографию или другие способы для создания одноразовых паролей, которые используются при проведении сеансов работы. Этот способ может быть скомпрометирован с помощью вставки сообщений атакующим в соединение. Постоянная аутентификация предохраняет от вставки сообщений атакующим.

Статическая аутентификация

Статическая аутентификация обеспечивает защиту только от атак, в ходе которых атакующий не может видеть, вставить или изменить информацию, передаваемую между аутентифицируемым и аутентифицирующим в ходе аутентификации и последующего сеанса. В этом случае атакующий может только попытаться определить данные для аутентификации пользователя с помощью инициации процесса аутентификации (что может сделать законный пользователь) и совершения ряда попыток угадать эти данные. Традиционные схемы с использованием паролей обеспечивают такой вид защиты, но сила аутентификации в основном зависит от сложности угадывания паролей и того, насколько хорошо они защищены.

Устойчивая аутентификация

Этот класс аутентификации использует динамические данные аутентификации, меняющиеся с каждым сеансом аутентификации. Атакующий, который может перехватить информацию, передаваемую между аутентифицируемым и аутентифицирующим, может попытаться инициировать новый сеанс аутентификации с аутентифицирующим, и повторить записанные им данные аутентификации в надежде замаскироваться под легального пользователя. Усиленная аутентификация 1 уровня защищает от таких атак, так как данные аутентификации, записанные в ходе предыдущего сеанса аутентификации, не смогут быть использованы для аутентификации в последующих сеансах.

Тем не менее устойчивая аутентификация не защищает от активных атак, в ходе которых атакующий может изменить данные или команды, передаваемые пользователем серверу после аутентификации. Так как сервер связывает на время сеанса данного аутентифицировавшегося пользователя с данным логическим соединением, он полагает, что именно он является источником всех принятых им команд по этому соединению.

Традиционные пароли не смогут обеспечить устойчивую аутентификацию, так как пароль пользователя можно перехватить и использовать в дальнейшем. А одноразовые пароли и электронные подписи могут обеспечить такой уровень защиты

Постоянная аутентификация

Этот тип аутентификации обеспечивает защиту от атакующих, которые могут перехватить, изменить и вставить информацию в поток данных, передаваемых между аутентифицирующим и аутентифицируемым даже после аутентификации. Такие атаки обычно называются активными атаками, так как подразумевается, что атакующий может активно воздействовать на соединение между пользователем и сервером. Одним из способов реализации этого является обработка с помощью алгоритма генерации электронных подписей каждого бита данных, посылаемых от пользователя к серверу. Возможны и другие комбинации на основе криптографии, которые могут позволить реализовать данную форму аутентификации, но текущие стратегии используют криптографию для обработки каждого бита данных. Иначе незащищенные части потока данных могут показаться подозрительными.

Общие политики аутентификации в Интернете

Хотя пароли легко скомпрометировать, организация может посчитать, что угроза маловероятна, что восстановление после инцидента будет несложным и что инцидент не затронет критические системы (на которых могут иметься другие механизмы защиты).

  •  Низкий риск – требуется аутентификация для доступа к системам организации из Интернета. Минимальным стандартом для аутентификации является использование паролей, как описано в ***.
  •  Средний риск – доступ к информации класса ХХХ и ее обработка из Интернета (при ее несанкционированной модификации, раскрытии или уничтожении имеет место небольшой ущерб) требует использования паролей, а доступ ко всем остальным видам ресурсов требует использования устойчивой аутентификации.

Доступ в режиме telnet к корпоративным ресурсам из Интернета требует использования устойчивой аутентификации.

  •  Высокий риск – доступ из Интернета ко всем системам за брандмауэром требует использования устойчивой аутентификации. Доступ к информации ХХХ и ее обработка (при нарушении ее безопасности организация понесет большой ущерб) требует использования постоянной аутентификации.

Политика администрирования паролей

Ниже приведены общие правила работы с паролями, полезные для использования в Интернете:

  •  Идентификаторы пользователей и их пароли должны быть уникальными для каждого пользователя.
  •  Пароли должны состоять как минимум из 6 символов (не должны быть именами или известными фразами). Должно производиться периодическое тестирование специальными программами на предмет выявления угадываемых паролей (в этих программах должен быть набор правил по генерации угадываемых паролей) .
  •  Пароли должны держаться в тайне, то есть не должны сообщаться другим людям, не должны вставляться в тексты программ, и не должны записываться на бумагу.
  •  Пароли должны меняться каждый 90 дней(ил через другой период). Большинство систем могут заставить принудительно поменять пароль через определенное время и предотвратить использование того же самого или угадываемого пароля.
  •  Бюджеты пользователей должны быть заморожены после 3 неудачных попыток входа в систему. Все случаи неверно введенных паролей должны быть записаны в системный журнал, чтобы потом можно было предпринять действия.
  •  Сеансы пользователей с сервером должны блокироваться после 15-минутной неактивности (или другого указанного периода). Для возобновления сеанса должен снова требоваться ввод пароля.
  •  При успешном входе в систему должны отображаться дата и время последнего входа в систему.
  •  Бюджеты пользователей должны блокироваться после определенного времени неиспользования.

Для систем с высоким уровнем риска:

После некоторого числа попыток НСД система должна подавать сигнал тревоги и при возможности имитировать сеанс (выдавать ложные сообщения сервера) для пользователя, который делает эти попытки (чтобы он оставался подключенным к системе пока администратор безопасности пытается выяснить его местоположение)

Политика для устойчивой аутентификации

Если вы решили использовать устойчивую аутентификацию, то вам требуется понимать за счет чего достигается безопасность и учитывать затраты на обучение пользователей и дополнительное администрирование. Пользователи будут гораздо более грамотно использовать средства аутентификации, если они соответствующим образом обучены, как их использовать и им объяснено, почему нужно применять именно их.

Существует много технологий для реализации устойчивой аутентификации, включая генераторы динамических паролей, системы запрос-ответ на основе криптографии и смарт-карт, а также цифровые подписи и сертификаты. При использовании электронных подписей и сертификатов возникают новые вопросы – каковы требования обеспечения безопасности для сертификатов?

Пользователи устойчивой аутентификации должны прослушать курсы перед началом применениями ими этого метода аутентификации.

Сотрудники отвечают за безопасное использование и хранение всех устройств аутентификации, принадлежащих организации. Смарт-карты не должны храниться вместе с компьютером, используемым для доступа доступа к компьютерам организации. При утере или краже смарт-карты о случившемся надо немедленно сообщить службе безопасности, чтобы можно было заблокировать его использование.

Электронные подписи и сертификаты

Если для аутентификации должны использоваться электронные подписи, то требуется использование сертификатов. Сертификаты обычно состоят из какой-то информации и электронной подписи информационной части сертификата, выданной доверенным лицом. Сертификаты выдаются ответственным лицом в вашей организации или внешней доверенной организацией. В рамках Интернета появилось несколько коммерческих инфраструктур для распространения сертификатов электронных подписей(PKI). Пользователи могут получить сертификаты различных уровней.

Примеры различных инфраструктур распространения сертификатов

  •  С помощью сертификатов 1 уровня проверяют истинность адресов электронной почты. Это делается с помощью персонального информационного номера, который пользователь должен сообщить при своей регистрации в системе сертификатов. Сертификаты этого уровня могут также содержать имя пользователя, а также адрес электронной почты, но идентификационная информация в сертификате может не быть уникальной.
  •  С помощью сертификатов 2 уровня проверяют истинность имени пользователя, его адреса и другой уникальной персональной информации или информации, связанной с получением кредитов.
  •  Сертификаты 3 уровня используются внутри организаций. В их состав входит фотография сотрудника помимо другой информации, содержащейся в сертификате 2 уровня.

После получения сертификата он может быть загружен в программу электронной почты или веб-браузер, в котором он будет использоваться для удостоверения личности пользователя при запросе веб-сайта или при другой ситуации. Для эффективного использования таких систем нужны доверенные сертификационные центры, иначе могут появиться фальшивые сертификаты.

Во многих современных веб-серверах и веб-браузерах имеются возможности по использованию электронных сертификатов. SSL – это технология, используемая в большинстве веб-приложений. SSL версии 2.0 поддерживает усиленную аутентификацию на веб-сервере, а SSL 3.0 добавил поддержку аутентификации клиента. После того, как обе стороны произвели взаимную аутентификацию, все данные, передаваемые в ходе сеанса шифруются, обеспечивая защиту как от перехвата данных, так и от вставки данных в сеанс. Электронные сертификаты используют стандарт X.509, содержат в себе информацию о том, кто выдал сертификат, период его использования, и другую информацию.

Но даже при использовании электронных сертификатов пароли продолжают играть важную роль. Так как сертификат хранится в компьютере, он может быть использован только для аутентификации компьютера, а не пользователя, если только пользователь не осуществляет свою аутентификацию при использовании компьютера. Очень часто используются для этого пароли или ключевые фразы, возможно в будущем будут использоваться смарт-карты.

Любые системы организации, доступ к которым должен быть ограничен из Интернета, должны использовать электронные сертификаты для проверки личности пользователя и для аутентификации сервера. Сертификаты могут быть выданы только специально назначенным в организации ответственным лицом. Пользователи должны использовать сертификаты в сочетании со стандартными технологиями, такими как SSL для непрерывной аутентификации, исключающей риск вставки атакующим команд в сеанс.

Электронные сертификаты, хранящиеся на персональном компьютере, должны быть защищены с помощью паролей или ключевых фраз. При этом должны выполняться все правила в отношении паролей, установленные в организации.

Контроль за импортом программ

Данные на компьютерах редко бывают статичными. Принимаются новые электронные письма. Новые программы загружаются с дискет, CD-ROMов, или с серверов сети. Интерактивные веб-программы загружают выполняемые файлы, которые выполняются на компьютере. Любое изменение несет в себе риск заражения вирусами, разрушения конфигурации компьютера, или нарушения лицензий на использование программ. Организациям нужно защищаться с помощью различных механизмов в зависимости от уязвимости к этим рискам.

Контроль за импортом программ позволяет организации решить следующие задачи:

  •  Защита от вирусов и троянских коней(РПС), их обнаружение и удаление
  •  Контроль за интерактивными программами (Java, Active X)
  •  Контроль за соблюдением лицензий на программы

Каждая задача может быть классифицирована по следующим критериям:

  •  Контроль – кто является инициатором процесса, и как можно определить, что была импортирована программа
  •  Тип угрозы – выполняемая программа, макрос, апплет, нарушение лицензионного соглашения
  •  Контрмеры – проверка на вирусы, отключение сервиса, изменение прав по доступу, аудирование, удаление

При импорте программ на компьютере и их запуске на нем имеется риск, что эти программы обладают дополнительной функциональностью или их реальные функции отличаются от заявленных. Импорт может происходить в форме непосредственного действия пользователя или являться побочным эффектом других действий и не быть заметен. Примерами явного импорта являются:

  •  Передача файлов – использование FTP для переноса файла на компьютер.
  •  Чтение электронной почты – чтение сообщения, загруженного на компьютер, или использование внешней программы (например, MS Word) для чтения приложений к письму.
  •  Загрузка программ с дискеты или по сети

Примерами скрытого импорта является чтение веб-страницы, загружающей Java-апплет на ваш компьютер или открытие файла, зараженного макро-вирусом.

Защита от вирусов

Вначале самым распространенным способом заражения вирусами были дискеты, так как именно с их помощью переносились программы между компьютерами. После появления BBS вирусы стали распространяться через модем. Интернет привел к появлению еще одного канала распространения вирусов, с помощью которого они часто обходят традиционные методы борьбы с ними.

Для организаций, которые разрешают загружать программы из Интернета (которые могут быть в том числе и приложениями к электронным письмам), проверка программ на вирусы на брандмауэре может оказаться хорошим вариантом – но это не избавляет от необходимости проверки на вирусы на серверах и машинах пользователей. На ближайшее время старые каналы распространения вирусов будут продолжать оставаться серьезной угрозой.

Вирус – это размножающаяся программа, которая может находиться в выполняемых файлах, загрузочных записях и макросах. При своем выполнении вирусы модифицируют программу так, что она делает нечто отличное от того, что должна была делать. После репликации себя в другие программы вирус может сделать что-либо – от вывода какого-нибудь сообщения до удаления всех данных на диске. Вирусы делятся на несколько типов – в зависимости от сложности их обнаружения.

Простые вирусы могут быть легко обнаружены с помощью поиска сигнатуры(строк байт) около точки входа в программу, которая будет там присутствовать там после заражения программы вирусом. Полиморфные вирусы модифицируют себя в ходе размножения, поэтому их нельзя обнаружить с помощью сигнаутры, и обычно их выявляют с помощью выполнения программы в безопасной среде (среде виртуального процессора). Вирусы в загрузочных записях модифицируют эти загрузочные записи таким образом, что вирус будет выполняться при загрузке компьютера.

Приложения, которые поддерживают макросы, подвергают себя риску заражения макровирусами. Макровирусы – это команды, которые встроены в файлы вместе с данными. Примерами таких приложений являются Word, Excel и интерпретаторы Postscriptа. Когда они открывают файлы данных, то происходит заражение макровирусом.

Политика безопасности для борьбы с вирусами имеет три составные части:

  •  Предотвращение – правила, позволяющие предотвратить заражение вирусами
  •  Обнаружение – как определить, что данный выполняемый файл, загрузочная запись, или файл данных содержит вирус
  •  Удаление – удаление вируса из зараженной компьютерной системы может потребовать переинсталляции ОС с нуля, удаления файлов, или удаления вируса из зараженного файла.

Имеется много различных факторов, важных при определении необходимого уровня защиты от заражения вирусами. Вирусы опасны при работе в DOS, Wundows(3.X и 9X) и NT. Кроме того, имеется ряд вирусов для Unix (в том числе для Linux).

Вероятность заражения вирусами пропорциональна частоте появления новых файлов или приложений на компьютере. Изменения в конфигурации для работы в Интернете, для чтения электронной почты и загрузка файлов из внешних источников – все это увеличивает риск заражения вирусами.

Чем больше значение компьютера или данных, находящихся в нем, тем больше надо позаботиться о мерах безопасности против вирусов. Нужно еще и учесть затраты на удаление вирусов из ваших компьютеров, а также из компьютеров ваших клиентов, которых вы можете заразить. Затраты не всегда ограничиваются только финансами, также важна и репутация организации и другие вещи.

Важно также помнить, что вирусы обычно появляются в системе из-за действий пользователя (например, установки приложения, чтения файла по FTP, чтения электронного письма) . Политика предотвращения может поэтому обращать особое внимание на ограничения на загрузку потенциально зараженных программ и файлов. В ней также может быть указано, что в среде с высоким риском проверка на вирусы особенно тщательно должна производиться для новых файлов.

  •  Низкий риск – политика контроля за импортом программ для Среды с низким риском должна в основном описывать меры по доведению до пользователей их обязанностей по регулярной проверке на вирусы.

Предотвращение: 

Пользователи должны знать о возможностях заражения вирусами и РПС из Интернета и о том, как использовать антивирусные средства.

Обнаружение:

Коммерческие антивирусные средства могут использоваться для еженедельной проверки на вирусы. Ведение журналов работы антивирусных средств не является необходимым.

Сотрудники должны информировать системного администратора о любом обнаруженном вирусе, изменении конфигурации, или необычном поведении компьютера или программы. После получения информации об обнаружении вируса системный администратор должен информировать всех пользователей, имеющих доступ к программам или файлам данных, которые могли быть заражены вирусом, что возможно вирус заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса системным администраторам.

Удаление:

Любая машина, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети . Машина не должна подключаться к сети до тех пор, пока системные администраторы не удостоверятся в удалении вируса. По возможности должны использоваться коммерческие антивирусные программы для удаления вируса. Если такие программы не могут удалить вирус, все программы в компьютере должны быть удалены, включая загрузочные записи при необходимости. Все эти программы должны быть повторно установлены из надежных источников и повторно проверены на вирусы. (В России зарегистрированные пользователи могут обратиться по электронной почте к фирме-производителю программы и получить обновление программы со средствами удаления вируса).

  •  Средний риск – политика контроля за импортом программ для Среды со средним риском должна требовать более частых проверок на вирусы, и использования антивирусных программ для проверки серверов и электронной почты.

Предотвращение:

Программы должны загружаться и устанавливаться только сетевым администратором (который проверяет их на вирусы или тестирует).

На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на файловых серверах на вирусы. Рабочие станции должны иметь резидентные в памяти антивирусные программы, сконфигуированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Все приходящие электронные письма должны проверяться на вирусы. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения их проверки на вирусы.

Программа обучения сотрудников компьютерной безопасности должна содержать следующую информацию о риске заражения вирусами:

Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены раньше. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно обновляться (ежемесячно или ежеквартально) для того, чтобы можно было обнаружить самые новые вирусы. Важно сообщать системному администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.

Обнаружение:

Должны использоваться коммерческие антивирусные программы для ежедневных проверок на вирусы. Антивирусные программы должны обновляться каждый месяц. Все программы или данные, импортируемые в компьютер (с дискет, электронной почты и т.д.) должны проверяться на вирусы перед их использованием.

Журналы работы антивирусных средств должны сохраняться и просматриваться системными администраторами. Сотрудники должны информировать системного администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.

При получении информации о заражении вирусом системный администратор должен информировать всех пользователей, которые имеют доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус возможно заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса системным администраторам.

Удаление:

Любая машина, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети . Машина не должна подключаться к сети до тех пор, пока системные администраторы не удостоверятся в удалении вируса. По возможности должны использоваться коммерческие антивирусные программы для удаления вируса. Если такие программы не могут удалить вирус, все программы в компьютере должны быть удалены, включая загрузочные записи при необходимости. Все эти программы должны быть повторно установлены из надежных источников и повторно проверены на вирусы. (В России зарегистрированные пользователи могут обратиться по электронной почте к фирме-производителю программы и получить обновление программы со средствами удаления вируса).

  •  Высокий риск – системы с высоким уровнем риска содержат данные и приложения, которые являются критическими для организации. Заражение вирусами может вызвать значительные потери времени, данных и нанести ущерб репутации организации. Из-за заражения может пострадать большое число компьютеров. Следует принять все возможные меры для предотвращения заражения вирусами.

Предотвращение:

Администратор безопасности должен разрешить использование приложений перед их установкой на компьютер. Запрещается устанавливать неавторизованные программы на компьютеры. Конфигурации программ на компьютере должны проверяться ежемесячно на предмет выявления установки лишних программ.

Программы должны устанавливаться только с разрешенных внутренних серверов для ограничения риска заражения. Нельзя загружать программы с Интернета на компьютеры. С помощью брандмауэра должна быть запрещена операция GET(загрузка файла) с внешних серверов.

На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на файловых серверах на вирусы. Рабочие станции должны иметь резидентные в памяти антивирусные программы, сконфигуированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения их проверки на вирусы.

Все приходящие письма и файлы, полученные из сети, должны проверяться на вирусы при получении. По возможности проверка на вирусы должна выполняться на брандмауэре, управляющем доступом к сети. Это позволит централизовать проверку на вирусы для всей организации и уменьшить затраты на параллельное сканирование на рабочих станциях. Это также позволит централизовать администрирование антивирусных программ, ограничить число мест, куда должны устанавливаться последние обновления антивирусных программ.

Программа обучения сотрудников компьютерной безопасности должна содержать следующую информацию о риске заражения вирусами:

Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены раньше. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно обновляться (ежемесячно или ежеквартально) для того, чтобы можно было обнаружить самые новые вирусы. Важно сообщать системному администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.

Несоблюдение данной политики должно вести к наказанию сотрудника согласно стандартам организации.

Обнаружение:

Все программы должны быть установлены на тестовую машину и проверены на вирусы перед началом их использования в рабочей среде. Только после получения разрешения администратора безопасности можно устанавливать программы на машинах сотрудников.

Помимо использования коммерческих антивирусных программ, должны использоваться эмуляторы виртуальных машин для обнаружения полиморфных вирусов. Все новые методы обнаружения вирусов должны использоваться на этой тестовой машине. Антивирусные программы должны обновляться ежемесячно или при появлении новой версии для выявления самых новых вирусов.

Проверка всех файловых систем должна производиться каждый день в обязательном порядке. Результаты проверок должны протоколироваться, автоматически собираться и анализироваться системными администраторами.

Все данные, импортируемые на компьютер, тем или иным способом (с дискет, из электронной почты и т.д.) должны проверяться на вирусы. Сотрудники должны информировать системного администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.

При получении информации о заражении вирусом системный администратор должен информировать всех пользователей, которые имеют доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус возможно заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы.

Удаление:

Любая машина, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети . Машина не должна подключаться к сети до тех пор, пока системные администраторы не удостоверятся в удалении вируса. По возможности должны использоваться коммерческие антивирусные программы для удаления вируса. Если такие программы не могут удалить вирус, все программы в компьютере должны быть удалены, включая загрузочные записи при необходимости. Все эти программы должны быть повторно установлены из надежных источников и повторно проверены на вирусы. (В России зарегистрированные пользователи могут обратиться по электронной почте к фирме-производителю программы и получить обновление программы со средствами удаления вируса).

Контроль интерактивных программ

Программная среда в результате появления Интернета превратилась в среду интерактивных программ, примерами которой являются Java и Active X. В этой среде пользователь взаимодействует с сервером с помощью сети. Сервер загружает приложение (апплет) на пользовательский компьютер, который затем его выполняет. При использовании такой стратегии имеет место несколько рисков. Прежде всего нужно верит, что то, что загружается, делает именно то, что должно делать.

Ранее утверждалось, что при использовании таких языков как Java невозможно занести вирус из-за ограничений, встроенных в язык для управления доступом к файловой системе и для управления выполнением программы. Сейчас эти заявления достаточно эффективно опровергнуты. Из-за значительного риска существует несколько уровней гарантий безопасности, которые должен получить пользователь перед использованием этой технологии:

  •  Сервер, с которого загружаются апплеты, должен быть доверенным.
  •  Апплет должен выполняться в среде с ограничениями на обращения к файлам, позволяющими выполнять только те функции, которые не влияют на безопасность
  •  Апплет должен быть проверен на безопасность перед выполнением
  •  Скрипты интерпретируются, а не являются предварительно скомпилированными. Поэтому есть риск, что скрипт может быть модифицирован при передаче по сети и не будет выполнять свои функции.

Модели безопасности Java и ActiveX

Java – это язык программирования, разработанный Sun Microsystems для того, чтобы был механизм, позволяющий загружать по Интернету программы и выполнять их на большом числе рабочих станций и персональных компьютеров. Java является интерпретируемым при выполнении, и на самом деле выполняется при помощи программы, называемой виртуальная машина Java(JVM). JVM имеется для Unix, Windows, Macintosh и ряда других ОС, что позволяет выполнять апплеты Java в гетерогенной компьютерной среде.

Модель безопасности Java – строгий контроль среды, в которой выполняются апплеты, с помощью создания безопасной отдельной Среды выполнения для работы апплета. Апплеты могут взаимодействовать только с сервером, с которого они были загружены, и им запрещено обращаться к локальным дискам и устанавливать сетевые соединения. Но в Java было обнаружено много ошибок, которые позволяют профессионалам создавать апплеты, легко обходящие ограничения безопасной Среды. Sun ответил на это, сделав «стенки» безопасной Среды выше, но и после этого регулярно обнаруживаются новые уязвимые места.

Active X – это порождение OLE-технологии Microsoft, позволяющей программистам взаимодействовать с функциями стандартных приложений, таких как текстовые процессоры и электронные таблицы. Active X позволяет приложениям взаимодействовать через Интернет, а апплетам загружаться на пользовательскую машину и получать доступ к локальным ресурсам.

Модель безопасности Active X сильно отличается от модели Java. Active X позволяет пользователю указать взаимоотношения доверия с сервером, с которого загружается апплет. Если серверу доверяют, и он аутентифицирован с помощью электронных сертификатов, апплет Active X может быть загружен и будет работать как обычная программа. Могут использоваться цифровые подписи, называемые Authenticode, для проверки того, что программа была написана доверенным программистом и не была модифицирована.

Ни одна из моделей безопасности не является совершенной. Подход Java ограничивает разрушения, которые может вызвать враждебный апплет – если будут найдены и исправлены все ошибки в Java. Подход Active X отражает организацию покупки и установки коммерческих программ, но он требует слишком много авторизации для обычного пользователя. Некоторые производители брандмауэров поддерживают блокирование и аутентификацию апплетов на своих брандмауэрах.

Следует отметить, что пользователь может и не подозревать, что он загрузил апплет и этот апплет выполнился на его компьютере. Поэтому должны быть предприняты такие меры безопасности, которые бы предотвращали такие случаи.

  •  Низкий риск – пользователи должны быть проинформированы о рисках интерактивных программ, и о том, как сконфигурировать свои браузеры так, чтобы предотвратить загрузку апплетов.
  •  Средний риск – если это возможно, брандмауэр должны быть сконфигурированы так, чтобы блокировать загрузку апплетов из внешних источников и загрузку апплетов из внутренних доверенных сетей внешними пользователями, если только для защиты от недоверенных источников не используется технология аутентификации.

Пользователи должны сконфигурировать свои браузеры так, чтобы загрузка апплетов была возможна только из надежных источников. Если это невозможно, то браузеры следует сконфигурировать так, чтобы загрузка апплетов была запрещена.

При необходимости следует разрешить загружать апплеты только в исследовательских сетях, но не в тех, которые используются для обеспечения работы организации.

  •  Высокий риск – использование интерактивных программ запрещено. Веб-браузеры, и по возможности брандмауэры, должны быть сконфигурированы так, чтобы загрузка апплетов была запрещена. Сотрудники отдела автоматизации должны проводить аудирование конфигурации браузеров. Несоблюдение этой политики должно приводить к административным наказаниям.

Лицензирование программ

Интернет позволил многим компаниям использовать новые пути распространения программ. Большое число компаний позволяют пользователям загружать тестовые версии их продуктов, иногда демо-версии, или версии, которые работают ограниченное время. Тем не менее, много компаний применяют подход shareware (попробуй, а потом купи), при котором можно загружать полнофункциональные версии программ для тестирования, а пользователь должен зарегистрироваться и заплатить, если он будет использовать программу в коммерческих целях.

Когда пользователи не регистрируются или делают это неправильно с программами, загруженными через Интернет, организация может оказаться нарушителем правил лицензирования программ. Это может привести к судебным искам, или потере репутации при обнаружении таких фактов. В США есть специальные компании и организации занимающиеся активным поиском нарушителей и организующие судебные процессы против организаций-нарушителей. Политика безопасности Интернета должна детально описывать корпоративную политику в отношении загрузки коммерческих программ.

  •  Низкий риск – следует соблюдать правила лицензий производителей программ для всех коммерческих программ, загруженных по Интернету. Тестовые версии программ должны быть удалены по истечении периода тестирования, или организацией должна быть приобретена легальная версия программы.
  •  Средний-высокий риск – коммерческие программы запрещается загружать через Интернет без разрешения системного администратора. Все программы, используемые на компьютерах организации, могут быть установлены только ситсемными администраторами в соответствии с правилами лицензий. Сотрудники отдела автоматизации должны периодически инспектировать компьютеры на предмет соблюдения правил лицензий и отсутствия неразрешенных программ. При выявлении фактов установки нелицензионных и неразрешенных программ виновные будут наказаны.

Шифрование

Шифрование – это основное средство, обеспечивающее конфиденциальность информации, посылаемой по Интернету. Шифрование может использоваться для защиты любого трафика, такого как электронные письма или загружаемые файлы. Кроме того, шифрование может защитить информацию при ее хранении, например в базах данных, находящихся на компьютере, физическую безопасность которого нельзя обеспечить (например, на ноутбуке сотрудника в командировке).

При использовании шифрования возникает ряд административных проблем:

Правительство США сейчас наложило ограничения на экспорт сильных криптографических алгоритмов, которыми сейчас считаются системы шифрования с ключом длиннее 40 бит, не позволяющие восстановить ключ. Внутри США нет ограничений на использование шифрования. Но для использования его в зарубежных странах или в сетях, часть которых находится за границей, нужно получить разрешение на экспорт. Кроме того, некоторые страны, такие как Франция и Китай, имеют свои собственные ограничения на использование шифрования. Поэтому в каждом случае надо тщательно разбираться, не будут ли нарушены законы другой страны.

Способность руководства организации контролировать внутренние каналы связи или аудировать свои компьютерные системы зависит от использования шифрования. Если служащий шифрует посылаемое электронное письмо, или жесткий диск на своем компьютере, то системные администраторы не смогут произвести аудит таких сообщений и файлов. Кроме того, при потере ключей для расшифровки, данные могут быть потеряны навсегда. Если вашей организации требуется подобный контроль или гарантии восстановления данных, то политика должна требовать в обязательном порядке использования систем шифрования, поддерживающих восстановление ключей.

Существует большое число алгоритмов шифрования и стандартов длин ключей. Политика должна требовать использования алгоритмов, которые уже достаточно долго используются и доказали на практике, что они обеспечивают безопасность данных. Длина ключей шифрования должна определяться на основе важности шифруемых данных. Как правило, в настоящее время ключи короче, чем 40 бит, могут использоваться только в корпоративной сети за брандмауэром. В Интернете ведущие криптографы рекомендуют использовать ключи с длиной не менее 75 бит – но лучше длиной 90 бит. DES использует 56 бит, которые будут приемлемы только на год-два. NIST разрабатывает новый стандарт усиленного шифрования. Пока же рекомендуется тройной DES, имеющий эффективную длину ключа 112 бит.

Руководство по компьютерной безопасности NIST содержит более подробную информацию о шифровании и криптографии.

Общая политика для шифрования

Для обеспечения гарантий согласованного использования шифрования политика должна установить стандарты, которым должны удовлетворять системы шифрования, используемые в организации, явно специфицировав алгоритмы и их параметры. Для обеспечения взаимной работоспособности систем и сокращения затрат, должны быть выбраны стандартные продукты (в России, это могут быть сертифицированные ФАПСИ программы семейства Верба). Хотя на рынке имеется большое число коммерческих продуктов шифрования, организациям следует понимать, что шифрование приведет к появлению дополнительных расходов. Безопасная генерация, хранение и распространение ключей в организации, а также обеспечение гарантий взаимной работоспособности, и восстановления ключей потребует значительных ресурсов. (Как правило, восстановление ключей неактуально для Интернета, кроме организаций с высоким уровнем риска, но те же алгоритмы скорее всего будут использоваться при хранении информации).

  •  Средний-высокий – для ...(перечислите типы информации) должно использоваться шифрование при их хранении в небезопасных местах или передаче по открытым сетям, таким как Интернет. Шифрование любой другой информации организации должно осуществляться только после получения письменного разрешения на это. При использовании шифрования в организации должны применяться только утвержденные в организации стандартные алгоритмы и продукты, их реализующие. Для шифрования конфиденциальной информации минимально допустимой длиной ключа является 56 бит – рекомендованной длиной является 75 бит.

Безопасность системы шифрования очень зависит от секретности используемых ключей шифрования – порядок безопасной генерации и администрирования ключей шифрования является очень важным.

(Конкретный отдел) отвечает за разработку порядка использования шифрования и за обучение пользователей этим приемам.

  •  Низкий-средний – ключи шифрования должны иметь гриф безопасности такой же, как и наиболее критичная информация в компании, и доступ к ним должен быть ограничен только теми сотрудниками, кому он требуется в силу их обязанностей. Ключи для шифрования должны создаваться с помощью таких средств, которые нельзя было бы легко воспроизвести посторонним лицам.
  •  Средний-высокий – для генерации ключей шифрования информации организации требуется использовать генераторы случайных чисел на основе специальных устройств. Для использования программных генераторов случайных чисел необходимо получить письменное разрешение. Ключи шифрования считаются критической информацией, и доступ к ним должен быть ограничен только теми сотрудниками, кому он требуется в силу их обязанностей.

Для симметричных систем шифрования, таких как DES, ключи должны распространяться среди сотрудников с помощью защищенных каналов. Так как компрометация этих секретных ключей сделает шифрование бесполезным, политика безопасности должна детально описывать допустимые способы распространения таких ключей.

При использовании шифрования для распространения секретных ключей должны использоваться безопасные способы. Допустимыми способами являются:

  •  использование алгоритмов обмена открытыми ключами
  •  внутреннее письмо в двойном конверте
  •  письмо, посланное курьерской почтой, в двойном конверте

Ключи шифрования не должны посылаться электронной почтой, если только электронное письмо не было зашифровано с помощью ключей, обмен которыми уже произошел по защищенному каналу . Ключи, используемые для шифрования информации, должны меняться так же часто, как и пароли, используемые для доступа к информации.

Зашифрованные данные могут быть навсегда потеряны при утере или искажении ключа. Так как шифрование обычно используется для защиты важной информации, потеря ключей шифрования может привести к значительным потерям. Был разработан ряд подходов для того, чтобы обеспечить гарантии постоянное доступности ключей шифрования и реализован в коммерческих продуктах. Но так как эта технология только появилась, при совместном использовании нескольких продуктов возможны проблемы – сотрудники отдела безопасности должны разработать список допустимых технологий и комбинаций продуктов.

Все средства шифрования должны обеспечивать гарантии доступности ключей шифрования для руководства организации при шифровании информации организации. При использовании шифрования должна использоваться утвержденная в компании технология восстановления ключа. Использование шифрования с отсутствием такой. возможности должно требовать получения письменного разрешения руководства.

Использование технологий шифрования с открытыми ключами требует создания для каждого пользователя секретного и открытого ключей и их рассылки. Открытые ключи должны распространяться и храниться таким образом, чтобы они были доступны всем пользователям. В продвинутых приложениях могут использоваться электронные сертификаты для распространения открытых ключей через центры сертификатов. Закрытые ключи аналогичны паролям, и должны храниться в тайне каждым пользователем. Организации могут принять решение о том, чтобы все секретные ключи сотрудников были известны руководству.

  •  Низкий – организация должна иметь список открытых ключей для всех авторизованных на это сотрудников. Этот список должен храниться на сервере аутентификации или распространяться по электронной почте. Секретные ключи пользователей должны храниться так же, как и пароли.
  •  Средний-высокий – сервер сертификационного центра организации должен хранить текущие открытые ключи для всех авторизованных на это сотрудников. Для безопасного взаимодействия с внешними пользователями организация должна использовать электронные сертификаты только из утвержденного списка сертификационных центров.

Секретные ключи пользователей должны храниться так же, как и пароли. О любом подозрении на компрометацию секретного ключа пользователь должен немедленно доложить в службу безопасности.


Удаленный доступ

Организации могут использовать для удаленного доступа как Интернет, так и телефонные линии. За обоими видами соединений требуется контроль, но большую опасность представляют соединения с Интернетом. Злоумышленник, перехватывающий сеанс удаленного пользователя может прочитать весь трафик, включая передаваемые файлы, письма, и информацию для аутентификации. Проблема перехвата сеансов уже обсуждалась в разделе про аутентификацию. Если же организации шифруют весь сеанс, то это решит как проблему аутентификации, так и вопросы конфиденциальности. Для организаций с уровнем риска, не ниже среднего, следует использовать шифрование для предотвращения неавторизованного просмотра информации, передаваемой в ходе сеанса удаленного пользователя.

Средний-высокий – весь удаленный доступ к компьютерам организации либо через Интернет, либо через телефонные линии, должен использовать шифрование для обеспечения конфиденциальности сеанса. Для удаленного доступа должны использоваться только утвержденные в организации продукты, чтобы обеспечить гарантии взаимной работоспособности программ, реализующих технологии шифрования удаленного доступа к серверу.

Информация о получении доступа к компьютерам организации, такая как телефонные номера модемов, считается конфиденциальной. Эта информация не должна сообщаться в BBS, телефонных справочниках, визитных картах, или иным способом быть доступной посторонним лицам без письменного разрешения начальника отдела автоматизации. Начальник отдела автоматизации периодически сканирует входящие телефонные линии для проверки соблюдения политик безопасности и может периодически менять телефонные номера, чтобы сделать более трудным обнаружение посторонними лицами телефонных номеров организации.

Виртуальные частные сети (Virtual Private Networks)

Шифрование также используется для создания виртуальных частных сетей в Интернете. Этот вопрос рассматривается далее.

Архитектура системы

Соединение с Интернетом приводит к необходимости внесения ряда изменений в архитектуру автоматизированной системы организации, чтобы увеличить общую безопасность АС. Проблемы, связанные с брандмауэрами, обсуждаются в другой главе. Другими важными архитектурными вопросами, требующими принятие решения на уровне политики, являются использование Интернета для соединения физически разделенных сетей(виртуальных частных сетей), удаленный доступ к системам из Интернета, и доступ к внутренним базам данных из Интернета. Все эти вопросы рассмотрены ниже.

Виртуальные частные сети (Virtual Private Networks)

Многие организации имеют несколько локальных сетей и информационных сервером, находящихся в физически удаленных друг от друга местах. Если требуется обеспечить доступ к информации для всех сотрудников организации, то часто используются выделенные линии для соединения ЛВС с глобальными сетями. Выделенные линии достаточно дороги, и поэтому Интернет является хорошей альтернативой для соединения нескольких ЛВС.

Основным недостатком использования Интернета для этой цели является отсутствие конфиденциальности данных, передаваемых по Интернету между ЛВС, а также уязвимость к подмене пакетов и другим атакам. VPN используют шифрование для обеспечения безопасности. Обычно шифрование выполняется между брандмауэрами, и безопасное взаимодействие возможно только для небольшого числа ЛВС.

Безопасность – не единственный вопрос, возникающий при соединении ЛВС с Интернетом. Сейчас Интернет не предоставляет гарантий в пропускной способности канала и его надежности. Файлы и сообщения могут быть переданы с задержками или не доставлены вообще, и это зависит от общего состояния сетей и отдельных маршрутизаторов, составляющих Интернет.

  •  Средний-высокий – виртуальные частные сети между ЛВС не должны использовать Интернет для передачи критичного к оперативности передачи трафика. Если уровень надежности, предоставляемый Интернетом, недостаточен для обеспечения требуемого уровня сервиса, для передачи данных должны использоваться другие способы.
  •  Высокий – при использовании Интернета для организации виртуальных частных сетей между ЛВС должны иметься средства, обеспечивающие быстрое создание резервного канала для передачи в случае временной невозможности передачи через Интернет..

Важным вопросом при создании виртуальных частных сетей является то, что в каждой ЛВС должны использоваться эквивалентные политики безопасности. VPN по существу создает одну большую сеть из группы независимых ранее сетей. Поэтому безопасность VPN будет равна безопасности наименее защищенной ЛВС – если хотя бы одна ЛВС позволяет осуществить незащищенный доступ по коммутируемым линиям, то под угрозой окажутся все ресурсы VPN.

Создание виртуальной частной сети с помощью Интернета между отдельными сетями организации требует письменного разрешения ответственного за безопасность. Добавление сетей к существующей VPN также требует письменного разрешения. Перед подключением сети к VPN должен быть выполнен анализ и, при необходимости, доработка используемых в ней политик безопасности.


Существует несколько вариантов создания VPN:

Защищенные каналы – брандмауэр шифрует весь трафик, передаваемый удаленному хосту или сети, и расшифровывает весь трафик, принятый от них. Трафик между хостами в VPN, связанными защищенными каналами, передается свободно, как будто между ними нет брандмауэров. На самом деле трафик маршрутизируется брандмауэрами VPN, обработка его прокси-серверами и аутентификация не требуется. Любые два хоста внутри VPN, связанные защищенными каналами, могут свободно обмениваться данными между собой, и предоставлять все сервисы TCP/IP, которые у них имеются. Защищенные каналы часто используются для соединения географически разделенных сетей, принадлежащих одной организации, каждая из которых имеет свое собственное подключение к Интернету через провайдера, в одну виртуальную сеть безопасным способом.

Частные каналы – трафик между брандмауэром и удаленным хостом шифруется так же, как и для защищенного канала. Но трафик между удаленными хостами, связанными частными каналами, не передается свободно, а должен быть обработан прокси-сервером брандмауэра, а соединение аутентифицировано, как того требует обычная политика доступа для прокси-сервера. Этот вид канала обеспечивает аутентификацию отправителя трафика и конфиденциальность данных, но в данном случае две сети обеспечивают наличие двух различных периметров безопасности, и могут использоваться только те сервисы, для которых сконфигурирована передача прокси-серверу в брандмауэре. Частные каналы часто используются для организации связи между сетями различных организаций, которые не хотят предоставлять полного доступа к их сетям, и требуют конфиденциальности трафика между ними.

Промежуточные каналы – эти каналы используются для промежуточной передачи зашифрованного трафика между хостами за брандмауэрами, которые (хосты) сами входят в состав другой VPN. Это позволяет брандмауэру, находящемуся между двух других VPN быть сконфигурированным так, что он только передает зашифрованные данные. Он не расшифровывает трафик и даже не знает ключа шифрования, ему надо лишь знать адреса хостов по обе стороны брандмауэра, участвующих в организации этого канала, чтобы определить, какие зашифрованные пакеты пропускать. Такая архитектура позволяет использовать промежуточный брандмауэр как маршрутизатор.

  •  Низкий-средний – для VPN, использующих Интернет, брандмауэры организации должны работать в режиме защищенного канала, шифровать трафик VPN, и не требовать использования прокси-серверов для его обработки
  •  Высокий – для VPN, использующих Интернет, брандмауэры организации должны работать в режиме частного канала, шифровать трафик VPN, и требовать использования прокси-серверов брандмауэра для ограничения доступа к сервисам со стороны удаленных хостов VPN.

Удаленный доступ к системе

Хотя атаки из Интернета привлекают к себе много внимания прессы, большинство проникновений в компьютеры происходит через модемы. Как уже говорилось, существует несколько конфигураций для обеспечения удаленного доступа по коммутируемым каналам. В целом, основная проблема – аутентификация, обеспечение гарантий того, что только законные пользователи могут получить удаленный доступ к вашей системе. Большинству организаций рекомендуется применять одноразовые пароли и смарт-карты.

Другой проблемой является контроль за использованием возможностей удаленного доступа. Самым эффективным является объединение модемов, используемых для удаленного доступа, в сервера доступа или модемные пулы.

  •  Низкий уровень – все пользователи, имеющие возможность доступа к компьютерам организации через модемы, должны периодически менять пароли. Прямые подключения к компьютерам организации, используемым в производственных целях, должны осуществляться только после получения письменного разрешения начальника отдела автоматизации.
  •  Средний-высокий – все пользователи, которые имеют доступ к компьютерам организации через модемы, должны использовать одноразовые пароли. Прямые подключения к компьютерам организации, используемым в производственных целях, должны осуществляться только после получения письменного разрешения начальника отдела автоматизации и начальника отдела информационной безопасности. Использование отдельных модемов для подключения к компьютерам организации запрещено.
  •  Низкий-средний-высокий – информация о получении доступа к компьютерам организации, такая как телефонные номера модемов, считается конфиденциальной. Эта информация не должна сообщаться в BBS, телефонных справочниках, визитных картах, или иным способом быть доступной посторонним лицам без письменного разрешения начальника отдела автоматизации. Начальник отдела автоматизации периодически сканирует входящие телефонные линии для проверки соблюдения политик безопасности и может периодически менять телефонные номера, чтобы сделать более трудным обнаружение посторонними лицами телефонных номеров организации.

Доступ к внутренним базам данных

Другим важным вопросом является обеспечение безопасности доступа извне к внутренним базам данных. Для небольших, относительно статичных групп пользователей (сотрудников организации), решением может оказаться создание VPN, которая охватывает всех пользователей, которым нужен доступ к внутренним базам. Но для больших и часто меняющихся групп пользователей требуютс другие способы обеспечения безопасности доступа.

Одним из решений является размещение базы данных снаружи брандмауэра. Это приводит к снижению риска для внутренних систем, но делает базу данных уязвимой для атак извне, и может потребовать организации взаимодействия через брандмауэр с внутренними системами для внесения изменений в базу. Такой подход является в большинстве случаев неприемлемым во многих случаях, когда к базе данных требуется частый доступ из внутренних систем.

Другой подход – обеспечить доступ к базе со стороны внешнего (находящегося за брандмауэром) сервера через брандмауэра. Многие брандмауэры сейчас имеют в составе SQL-прокси для снижения риска при использовании такого варианта. Использование прокси-серверов такого рода достаточно сложно, требует обучения сотрудников и привлечения специалистов для обеспечения гарантий безопасности. Конфигурирование брандмауэра таким образом, чтобы он просто разрешал такие соединения, очень увеличивает риск и должно избегаться.

  •  Низкий-средний – все соединения внешних пользователей с внутренними базами данных должны проходить через соответствующие прокси-сервера на брандмауэре организации. На брандмауэре могут быть установлены только те прокси-сервера, которые утверждены начальником отдела автоматизации.
  •  Высокий – доступ внешних пользователей к внутренним базам данных запрещен. Если деятельность организации требует WWW-доступа или доступа через Интернет к базам данных организации, эти базы данных должны быть размещены за пределами брандмауэра организации. Обновления в эти базы данных вносятся с помощью таких носителей информации, как флоппи-диски и другие переносимые носители информации. Вся конфиденциальная или критическая информация на внешнем сервере должна быть зашифрована.

Использование нескольких брандмауэров

VPN – это только один пример использования нескольких брандмауэров. Требования обеспечения большой пропускной способности канала, его надежности часто могут потребовать установки нескольких брандмауэров, работающих параллельно. Так как они работают параллельно, политики безопасности, реализуемые ими, должны быть идентичны, или результирующий уровень безопасности будет равен уровню безопасности наименее безопасного брандмауэра.

При использовании нескольких параллельно работающих брандмауэров для обеспечения нужной надежности или пропускной способности, конфигурация каждого брандмауэра должна быть идентичной, и все они должны администрироваться одним и тем же администратором. Начальник отдела автоматизации должен утверждать любые изменения в брандмауэрах такого типа.

Несколько внутренних брандмауэров могут также использоваться для сегментации сетей в целях управления доступом к критическим данным и протоколирования такого доступа. Называемые брандмауэрами "интранета", такие конфигурации брандмауэров часто используются в организациях с уровнем риска, выше среднего, для защиты компьютеров, работающих с финансовой информацией или информацией о сотрудниках.

  •  Средний-высокий – любая критическая или конфиденциальная информация, доступная из внутренних сетей, соединенных с Интернетом, должна быть защищена с помощью брандмауэра, установка которого утверждена руководством. Этот брандмауэр должен быть сконфигурирован так, чтобы доступ к таким данным могли иметь только авторизованные на это внутренние пользователи.

Управление нагрузкой – это процесс, посредством которого сетевой трафик, проходящий по сети, распределяется между несколькими брандмауэрами для достижения высокой пропускной способности сети. Причин для этого две – необходимость разделения наргузки и наличия резервного брандмауэра (в случае выхода из строя одного брандмауэра безопасность будет все равно обеспечиваться). Поэтому, организация может включить в политику следующее положение:

  •  Может быть установлен более чем один брандмауэр, чтобы в случае выхода из строя одного брандмауэра, доступ к нашей сети контролировался брандмауэром, и чтобы нагрузка равномерно распределялась между брандмауэрами. В такой конфигурации параметры всех брандмауэров должны быть идентичны для поддержания согласованной безопасности.


Всемирная паутина – World Wide Web (WWW)

Интернет – как это описано во введении, это сеть сетей, обеспечивающая инфраструктуру для взаимодействия и совместного использования информации. Он обеспечивает ряд сервисов, такие как электронная почта, передача файлов, подключение в режиме удаленного терминала, интерактивные конференции, группы новостей, и WWW.

World Wide Web (называется WWW, Web или W3) – это вселенная информации, доступной из Интернета. WWW появился как сетевой информационный проект в CERN, европейской физической лаборатории. WWW состоит из программ, набора протоколов и соглашений, используемых для получения доступа к информации и ее поиска в Интернете. С помощью использования гипертекстовых и мультимедийных технологий WWW позволяет любому пользователю легко добавлять новую информацию, просматривать ее и искать.

Web-клиенты, также известные как веб-браузеры, обеспечивают пользовательский интерфейс для навигации среди информации с помощью метода указания и щелканья мышкой. Веб-сервера предоставляют браузерам HTML и другие средства для получения информации с помощью протокола HTTP. Браузеры интерпретируют, форматируют и отображают документы пользователям. Конечным результатом является мультимедийное представление Интернета.

Веб-серверы могут быть атакованы, или использованы как место, с которого будут атакованы внутренние сети организации. Необходимо обеспечить безопасность ряд областей в веб-серверах – самой операционной системы, программы веб-сервера, скриптов сервера и ряда других программ.

Браузеры также приводят к появлению уязвимых мест, хотя эти уязвимые места гораздо менее серьезны, чем те, которые могут возникнуть из-за веб-сервера. Следующие разделы описывают примеры политик для использования WWW-браузеров, серверов, и публикации информации на домашних страницах WWW.

Поиск информации в Интернете с помощью браузера

Существует ряд рисков, связанных с использованием WWW-браузеров для поиска и получения информации из Интернета. Программы веб-браузеров являются очень сложными и станут еще сложнее. Чем более сложна программа, тем менее она безопасна. Ошибки в ней могут использоваться для сетевых атак.

Примеры политик для поиска информации

  •  Низкий риск

Пользователь

Программы для поиска и просмотра информации в Интернете, такие как WWW, Gopher, WAIS, и т.д. предоставляются сотрудникам в основном для более лучшего исполнения ими своих должностных обязанностей.

Любое использование их в личных целях не должно мешать обычной трудовой деятельности сотрудников организации, не должно быть связано с ведением коммерческой деятельности в личных интересах, выходящих за рамки обязанностей сотрудника, и не должно потенциально угрожать организации.

Сотрудникам организации, пользующимся Интернетом, запрещено передавать или загружать на компьютер материал, который является непристойным, порнографическим, фашистским или расистским.

Пользователям WWW напоминается, что веб-браузеры оставляют «отпечатки пальцев» на сайтах, позволяющие установить, кто и когда посещал эти сайты.

Менеджер

Пользователям должны быть известны и доступны места, где можно взять лицензионные программ для WWW.

Сотрудник отдела автоматизации

Должно иметься и поддерживаться локальное хранилище полезных веб-браузеров, приложений для отображения различных форматов документов и плагинов. Оно должно быть доступно для сотрудников организации .

  •  Средний риск

Пользователь

Служащие пользуются программами для поиска информации в WWW только для более лучшего выполнения ими своих должностных обязанностей.

Все программы, используемые для доступа к WWW, должны быть утверждены сетевым администратором и на них должны быть установлены все доработки производителя(patch), связанные с безопасностью.

Все файлы, загружаемые с помощью WWW, должны проверяться на вирусы с помощью утвержденных руководством антивирусных программ.

Во всех браузерах должно быть запрещена обработка Java, Javascript и ActiveX из-за небезопасности данных технологий.

Могут использоваться или загружаться только версии браузеров, использование которых разрешено в организациит. Другие версии могут содержать вирусы или ошибки.

Все веб-браузеры должны быть сконфигурированы так, чтобы использовать прокси-сервер для WWW из состава брандмауэра.

При посылке данных на веб-сервер с помощью форм HTML из браузера, удостоверьтесь, что установлен механизм, такой как SSL (Secure Sockets Layer), для шифрования сообщения при посылке его.

  •  Высокий риск

Пользователь

Пользователи могут производить поиск информации в Интернете с помощью World Wide Web (WWW), Gopher, WAIS, и т.д. ТОЛЬКО, если этого явно требуют их должностные обязанности.

Не должны посещаться сайты, про которые, что они содержат оскорбительную или другую вредную информацию.

Действия любого пользователя, подозреваемого в нарушении правил пользования Интернетом, могут быть запротоколированы и использоваться для принятия решения о применении к нему в санкций.

URLи сайтов, содержащих вредную информацию, должны сообщаться ответственному в организации за безопасность использования Интернета.

Менеджер

В организации должен вестись список запрещенных сайтов. Программы для работы с WWW должны быть сконфигурированы так, чтобы к этим сайтам нельзя было получить доступ.

Сайты, про которые стало известно, что они содержат вредную информацию, должны сразу же блокироваться сетевыми администраторами.

Сотрудники, нанятые по контракту, должны соблюдать эту политику после предоставления им доступа к Интернету в письменном виде.

Сотрудник отдела автоматизации

Все посещаемые сайты должны протоколироваться..

Веб-браузеры должны быть сконфигурированы так, чтобы выполнялись следующие правила:

Доступ к Интернету должен осуществляться только через HTTP-прокси.

Каждый загружаемый файл должен проверяться на вирусы или РПС

Могут загружаться только те программы на ActiveX, использование которых разрешено организацией

Могут загружаться только те программы на Java, использование которых разрешено организацией

Могут загружаться только те программы на Javascript, использование которых разрешено организацией

Веб-страницы часто включают формы. Как и электронная почта, данные, посылаемые веб-браузером на веб-сервер, проходят через большое число промежуточных компьютеров и сетей до того, как достигнут своего конечного назначения. Любая важная информация, посылаемая с помощью ввода данных на веб-странице, может быть перехвачена.

Веб-сервера

Многие организации сейчас поддерживают внешние WWW-сайты, описывающие их компанию или сервисы. По причинам безопасности эти сервера обычно размещаются за брандмауэром компании. Веб-сайты могут быть как домашними разработками, так и тщательно разработанными средствами продвижения товаров. Организации могут тратить значительное количество денег и времени на разработку веб-сайта, предоставляющего большой объем информации в удобном виде или создающего имидж компании. Другими словами, веб-сайт организации является одной из форм создания имиджа и репутации компании.

Должны быть назначены ответственные за создание, управление и администрирование внешнего веб-сайта компании. В больших компаниях это может входить в обязанности нескольких должностей. Например, коммерческий директор может отвечать за выявление и реализацию новых способов продвижения товаров и услуг, а администратор веб-сайта – за соблюдение на нем общей стратегии, включая координированную подготовку его содержимого и контроль за его бюджетом. Начальник отдела продаж может отвечать за представление отчетов о доходах, связанных с ведением веб-сайта. А вебмастер будет отвечать за технические аспекты веб-сайта, включая разработку, поддержание связи с ним, интранет, электронную почту, и безопасность брандмауэра. Скорее всего программисты будут отвечать за работоспособность веб-сайта, включая его установку, разработку программ для него, их отладку и документирование. Вебартист может заниматься созданием графических образов для него.

В более маленьких организациях программист или вебмастер может выполнять большую часть описанных выше обязанностей и предоставлять доклады пресс-службе или начальнику отдела продаж. Наконец, в очень маленькой организации эти обязанности могут стать дополнительными обязанностями системного аналитика или администратора ЛВС. Независимо от того, как администрируется вебсайт, все люди, исполняющие эти обязанности должны претворять в жизнь политику компании, разработанную ее руководством. Верхнее звено руководства организацией может отвечать за утверждение создания новых веб-сайтов или переработку имеющихся.

Кроме того, внутренние веб-сайты компании, расположенные внутри брандмауэра организации, часто используются для рассылки информации компании сотрудникам. Часто посылаются поздравления с днем рождения, графики мероприятий, телефонные справочники и т.д. Также внутренние веб-сайты используются для распространения внутренней информации о проектах, являясь иногда центром информации для исследовательских групп. Хотя внутренние веб-сайты не являются так же видимыми, как внешние страницы, они должны администрироваться с помощью специально разработанных руководств и директив. Руководители групп должны отвечать за это.

Любой может создать веб-сайт для распространения информации по любым вопросам, не связанным с организацией. Организация должна принять решение о том, стоит ли разрешать сотрудникам делать это на чужих веб-сайтах.

Большинство организаций используют Интернет для распространения информации о себе и своих сервисах. Так как они представляют информацию, а не скрывают ее, они описывают веб-сайт как «публичный», на котором не содержится никакой конфиденциальной информации, и оттуда не может исходить никакой угрозы. Проблема заключается в том, что хотя эта информация может быть публично доступной, веб-сайт является частью организации, и должен быть защищен от вандализма.

Публичные вебсайты в MGM/Universal Studios, Nation of Islam, Министерстве юстиции США и ЦРУ могут подтвердить это утверждение. В них были совершены проникновения в 1996 году. Атакующие использовали уязвимые места в операционной системе, под управлением которой работали веб-сервера. Они изменили ряд страниц веб-сайтов, и в некоторых случаях добавили порнографические изображения, и в одном случае вставили оскорбления.

Хотя единственным следствием таких проникновений была потеря репутации, это может оказаться достаточным, чтобы не захотеть испытать это во второй раз. Если бы атакующие модифицировали описания сервисов организации, фальсифицировали цены, то последствия могли бы быть гораздо серьезнее.

Примеры политик веб-серверов

  •  Низкий риск

Пользователь

На веб-сайтах организации не может размещаться оскорбительный или нудный материал.

На веб-сайтах организации не может размещаться персональные рекламные объявления

Менеджер

Менеджерам и пользователям разрешено иметь веб-сайт.

Материалы о сотрудниках на веб-сайтах или доступные с их помощью должны быть минимальны.

На веб-сайтах организации не может размещаться оскорбительный или нудный материал.

Конфиденциальная информация ее должна делаться доступной.

Сотрудник отдела автоматизации

Должен поддерживаться и быть доступен для внутреннего пользования локальный архив программ веб-серверов и средств публикации информации на них.

  •  Средний риск

Пользователь

Пользователям запрещено устанавливать или запускать веб-сервера.

В отношении веб-страниц должен соблюдаться установленный в организации порядок утверждения документов, отчетов, маркетинговой информации и т.д.

Менеджер

Менеджерам и пользователям разрешено иметь веб-страницы для участия в проекте или выполнения своих должностных обязанностей

Сотрудник отдела автоматизации

Веб-сервер и любые данные, являющиеся публично доступными, должны быть размещены за пределами брандмауэра организации.

Веб-сервера должны сконфигурированы так, чтобы пользователи не могли устанавливать CGI-скрипты

Все сетевые приложения, кроме HTTP, должны быть отключены (например, SMTP, FTP и т.д.)

Информационные сервера должны быть размещены в защищенной подсети для изоляции их от других систем организации. Это уменьшает вероятность того, что информационный сервер будет скомпрометирован и использован для атаки на другие системы организации.

При использования средств администрирования с помощью WWW, ограничьте доступ к нему только авторизованных систем (с помощью IP-адресов, а не имен хостов). Всегда меняйте пароли по умолчанию.

  •  Высокий риск

Пользователь

Пользователям запрещено загружать, устанавливать или запускать программы веб-серверов.

Должен производиться контроль сетевого трафика для выявления неавторизованных веб-серверов. Операторы этих серверов будут подвергаться дисциплинарным наказаниям.

Менеджер

Руководство организации должно дать в письменном виде разрешение на работу веб-сервера, подключенного к Интернету.

Все содержимое веб-серверов компании, присоединенных к Интернету, должно быть утверждено и установлено веб-мастером.

Конфиденциальная информация не должна быть доступна с помощью веб-сайта.

К информации, размещенной на веб-сервере, применимы все законы о защите информации. Поэтому, перед размещением информации в Интернете, она должна быть просмотрена и утверждена так же, как утверждаются бумажные официальные документы организации. Должны быть защищены авторские права, и получено разрешение о публикации информации на веб-сайте.

Все публично доступные веб-сайты должны регулярно тестироваться на предмет корректности ссылок, и не должны находиться в состоянии «under construction». При реконструкции областей они должны делаться недоступными.

Сотрудник отдела автоматизации

Не должно иметься средств удаленного управления веб-сервером (то есть с мест, отличных от консоли). Все действия администратора должны делаться только с консоли. Вход в систему с удаленного терминала с правами суперпользователя должен быть запрещен.

Программы веб-серверов и операционной системы, под управлением которой работает веб-сервер, должны содержать все исправления, рекомендованные производителем для этой версии.

Входящий трафик HTTP должен сканироваться, и о случаях появления неавторизованных веб-серверов должно докладываться

Ограничение доступа к информации пользователями, адрес которых заканчивается на .GOV или .COM, обеспечивает минимальную защиту для информации, не разрешенной для показа всем. Может использоваться отдельный сервер или отдельная часть для информации с ограниченным доступом.

За всеми веб-сайтами должен осуществляться контроль как составная часть администрирования сети. Действия всех пользователей, заподозренных в некорректном использовании Интернете, могут быть запротоколированы для обоснования применения к ним в дальнейшем административных санкций.

На UNIX-системах веб-сервера не должны запускаться с правами суперпользователя.

Разработка и использование CGI-скриптов должно контролироваться. CGI-скрипты не должны обрабатывать входные данные без их проверки . Любые внешние программы, запускаемые с параметрами в командной строке, не должны содержать метасимволов. Разработчики отвечают за использование правильных регулярных выражений для сканирования метасимволов командного процессора и их удаление перед передачей входных данных программа на сервере и операционной системе.

Все WWW-сервера организации, подключенные к Интернету, должны находиться между брандмауэром и внутренней сетью организации. Любые внутренние WWW-сервера организации, обеспечивающие работу критических приложений организации должны быть защищены внутренними брандмауэрами. Критическая, конфиденциальная и персональная информация никогда не должны храниться на внешнем WWW-сервере.


Электронная почта

Использование электронной почты

Электронная почта или e-mail – самый популярный вид использования Интернета. С помощью электронной почты в Интернете вы можете послать письмо миллионам людей по всей планете. Существуют шлюзы частных почтовых систем в интернетовский e-mail, что занчительно расширяет ее возможности.

Помимо взаимодействия один-один, e-mail может поддерживать списки электронных адресов для рассылки, поэтому человек или организация может послать e-mail всему этому списку адресов людей или организаций. Иногда списки рассылки e-mail имеют элементы, являющиеся указателями на другие списки рассылки, поэтому одно письмо может быть в конце концов доставлено тысячам людей.

Разновидностью списков рассылки являются дискуссионные группы на основе e-mail. Их участники посылают письмо центральному серверу списка рассылки, и сообщения рассылаются всем другим членам группы. Это позволяет людям, находящимся в разных временных зонах или на разных континентах, вести интересные дискуссии. При помощи специальных программ люди могут подписаться на список или отписаться от него без помощи человека. Сервера списков рассылки часто предоставляют другие сервисы, такие как получение архивов, дайджестов сообщений, или связанных с сообщениями файлов. Группы новостей USENET являются усовершенствованием дискуссионных почтовых групп.

Электронная почта становится все более важным условием ведения повседневной деятельности. Организациям нужны политики для электронной почты, чтобы помочь сотрудникам правильно ее использовать, уменьшить риск умышленного или неумышленного неправильного ее использования, и чтобы гарантировать, что официальные документы, передаваемые с помощью электронной почты, правильно обрабатываются. Аналогично политике использования телефона, организациям нужно разработать политику для правильного использования электронной почты.

Политика должна давать общие рекомендации в таких областях:

  •  Использование электронной почты для ведения деловой деятельности
  •  Использование электронной почты для ведения личных дел
  •  Управление доступом и сохранение конфиденциальности сообщений
  •  Администрирование и хранение электронных писем

Основы e-mail

Основными почтовыми протоколами в Интернете (не считая частных протоколов, шлюзуемых или туннелируемых через Интернет) являются SMTP (Simple Mail Transport Protocol), POP (Post Office Protocol) и IMAP (Internet Mail Access Protocol).

SMTP

SMTP – это почтовый протокол хост-хост. SMTP-сервер принимает письма от других систем и сохраняет их в почтовых ящиках пользователей. Сохраненные письма могут быть прочитаны несколькими способами. Пользователи с интерактивным доступом на почтовом сервере могут читать почту с помощью локальных почтовых приложений. Пользователи на других системах могут загрузить свои письма с помощью программ-почтовых клиентов по протоколам POP3 и IMAP.

UNIX-хосты сделали самым популярным SMTP. Широко используемыми SMTP-серверами являются Sendmail, Smail, MMDF и PP. Самым популярным SMTP-сервером в Unixе является Sendmail, написанный Брайаном Эллманом. Он поддерживает создание очередей сообщений, переписывание заголовков писем, алиасы, списки рассылки и т.д. Обычно он конфигурируется так, что должен работать как привилегированный процесс. Это означает, что если его защиту можно будет обойти каким-нибудь способом, атакующий сможет нанести вред, далеко превышающий удаление электронных писем.

POP

POP – это самый популярный протокол приема электронной почты. POP-сервер позволяет POP-клиенту загрузить письма, которые были получены им от другого почтового сервера. Клиенты могут загрузить все сообщения или только те, которые они еще не читали. Он не поддерживает удаление сообщений перед загрузкой на основе атрибутов сообщения, таких как адрес отправителя или получателя. POP версии 2 поддерживает аутентификацию пользователя с помощью пароля, но пароль передается серверу в открытом (незашифрованном) виде.

POP версии 3 предоставляет дополнительный метод аутентификации, называемый APOP, который прячет пароль. Некоторые реализации POP могут использовать Kerberos для аутентификации.

IMAP

IMAP – это самый новый, и поэтому менее популярный протокол чтения электронной почты.

Как сказано в RFC:

IMAP4rev1 поддерживает операции создания, удаления, переименования почтовых ящиков; проверки поступления новых писем; оперативное удаление писем; установку и сброс флагов операций; разбор заголовков в формате RFC-822 и MIME-IMB; поиск среди писем; выборочное чтение писем.

IMAP более удобен для чтения почты в путешествии, чем POP, так как сообщения могут быть оставлены на сервере, что избавляет от необходимости синхронизировать списки прочитанных писем на локальном хосте и на сервере.

MIME

MIME – это сокращение для Многоцелевых расширений интернетовской почты (Multipurpose Internet Mail Extensions). Как сказано в RFC 2045, он переопределяет формат сообщений электронной почты, чтобы позволить:

  1.  Передачу текстов в кодировке, отличной от US-ASCII,
  2.  Передачу в письме нетекстовой информации в различных форматах,
  3.  Сообщения из нескольких частей, и
  4.  Передачу в заголовке письма информации в кодировке, отличной от US-ASCII.

Он может использоваться для поддержки таких средств безопасности, как цифровые подписи и шифрованные сообщения. Он также позволяет посылать по почте выполняемые файлы, зараженные вирусами, или письма с РПС.

Как и веб-браузеры, программы чтения почты могут быть сконфигурированы автоматически запускать приложения-помощники для обработки определенных типов MIME-сообщений.

Потенциальные проблемы с электронной почтой

Случайные ошибки

Можно легко допустить ошибку при работе с электронной почтой. Письмо может быть случайно послано. Простое нажатие клавиши или щелчок мышкой могут послать письмо по неправильному адресу. Почтовые сообщения могут храниться годами, поэтому плохое выражение может аукнуться через много времени. Архивы писем могут возрасти до такой степени, что система будет аварийно завершаться. Неправильно настроенная программа чтения групп новостей может привести к посылке сообщения не в те группы. Ошибки в списках рассылки могут привести к долгому блужданию писем между почтовыми серверами, причем число писем может увеличиться до такой степени, что почтовые сервера аварийно завершатся.

Когда почтовая система организации присоединена к Интернету, последствия ошибок могут оказаться в тысячу раз хуже.

Вот некоторые из способов предотвратить ошибки:

  •  Учить пользователей что делать, если они совершили ошибку, и как правильно работать с электронной почтой
  •  Конфигурировать программы электронной почты так, чтобы стандартные действия пользователя, использующие установки по умолчанию, были бы самыми безопасными
  •  Использовать программы, которые строго реализуют протоколы и соглашения Интернета. Каждый раз, когда онлайновый сервис шлюзует письмо из частной почтовой системы в интернетовскую электронную почту, слышатся вопли протеста из-за появления большого числа сообщений с ошибками, возникшими в результате неправильных настроек почтовых серверов этого сервиса.

Персональное использование

Так как письмо обычно используется для обеспечения деятельности организации, как телефон и факс, использование его в личных целях должно быть ограничено или запрещено (это зависит от организации).

Хотя проще всего определить, что электронная почта используется только для решения задач организации, все понимают, что эту политику тяжело претворить в жизнь. Если политика не может быть согласованно внедрена, неизбежно ее несоблюдение и тогда политика не сможет использоваться в качестве основы для наказания. Гораздо более мудрым будет создать политику, которая устанавливает четкие границы использования e-mail в личных целях, аналогично тому, как устанавливаются рамки использования служебного телефона в личных целях.

Если вы используете служебный телефон для того, чтобы позвонить в химчистку, то маловероятно, что ваш звонок будет восприниматься как официальный запрос компании. Но посылка электронного письма с электронным почтовым адресом, содержащим адрес организации, будет похожа на посылку бумажного письма на фирменном бланке компании. Если отправитель использует свой логин в компании для посылки электронной почты в группу новостей, может показаться, что компания одобряет мнение, высказываемое им в письме.

Маркетинг

В прошлом, когда Интернет был исследовательской сетью, ее коммерческое использование было запрещено. Кроме того, слишком мало компаний и людей имели доступ к интернетовской почте, поэтому было нецелесообразно использовать ее для коммерческих целей. Сейчас Интернет расширился и разрешается использовать его в коммерческих целях, поэтому компании стали поддерживать списки рассылки для обмена информацией со своими клиентами. Как правило, клиенты должны послать запрос для того, чтобы попасть в список рассылки. Когда большие онлайновые сервисы стали шлюзовать письма в Интернет, неожиданно обнаружилось, что таким образом можно передать информацию гораздо большей аудитории. Так родился маркетинг в Интернете с помощью посылки отдельных почтовых сообщений.

Люди написали программы для автоматизации поддержания списков рассылки, и образовали компании для сбора и продажи списков электронных почтовых адресов организациям, занимающимся маркетингом. Конгресс США принял билль, согласно которому прямой маркетинг с помощью электронной почты должен осуществляться в соответствии с теми же правилами, которыми ограничивается использование массовой посылки писем, чтобы лица, занимающиеся таким маркетингом, вели списки адресов, владельцы которых не желают получать рекламу в электронных письмах.

Угрозы, связанные с электронной почтой

Основные протоколы передачи почты(SMTP, POP3,IMAP4) обычно не осуществляют надежной аутентификации, что позволяет легко создать письма с фальшивыми адресами. Ни один из этих протоколов не использует криптографию, которая могла бы гарантировать конфиденциальность электронных писем. Хотя существуют расширения этих протоколов, решение использовать их должно быть явно принято как составная часть политики администрации почтового сервера. Некоторые такие расширения используют уже имеющиеся средства аутентификации, а другие позволяют клиенту и серверу согласовать тип аутентификации, который будет использоваться в данном соединении.

Фальшивые адреса отправителя

Адресу отправителя в электронной почте Интернета нельзя доверять, так как отправитель может указать фальшивый обратный адрес, или заголовок может быть модифицирован в ходе передачи письма, или отправитель может сам соединиться с SMTP-портом на машине, от имени которой он хочет отправить письмо, и ввести текст письма.

Перехват письма

Заголовки и содержимое электронных писем передаются в чистом виде. В результате содержимое сообщения может быть прочитано или изменено в процессе передачи его по Интернету. Заголовок может быть модифицирован, чтобы скрыть или изменить отправителя, или для того чтобы перенаправить сообщение.

Почтовые бомбы

Почтовая бомба – это атака с помощью электронной почты. Атакуемая система переполняется письмами до тех пор, пока она не выйдет из строя. Как это может случиться, зависит от типа почтового сервера и того, как он сконфигурирован.

Некоторые провайдеры Интернета дают временные логины любому для тестирования подключения к Интернету, и эти логины могут быть использованы для начала подобных атак.

Типовые варианты выхода почтового сервера из строя:

  •  Почтовые сообщения принимаются до тех пор, пока диск, где они размещаются. Не переполнится. Следующие письма не принимаются. Если этот диск также основной системный диск, то вся система может аварийно завершиться.
  •  Входная очередь переполняется сообщениями, которые нужно обработать и передать дальше, до тех пор, пока не будет достигнут предельный размер очереди. Последующие сообщения не попадут в очередь.
  •  У некоторых почтовых систем можно установить максимальное число почтовых сообщений или максимальный общий размер сообщений, которые пользователь может принять за один раз. Последующие сообщения будут отвергнуты или уничтожены.
  •  Может быть превышена квота диска для данного пользователя. Это помешает принять последующие письма, и может помешать ему выполнять другие действия. Восстановление может оказаться трудным для пользователя, так как ему может понадобиться дополнительное дисковое пространство для удаления писем.
  •  Большой размер почтового ящика может сделать трудным для системного администратора получение системных предупреждений и сообщений об ошибках
  •  Посылка почтовых бомб в список рассылки может привести к тому, что его члены могут отписаться от списка.

Угрожающие письма

Так как любой человек в мире может послать вам письмо, может оказаться трудным заставить его прекратить посылать их вам. Люди могут узнать ваш адрес из списка адресов организации, списка лиц, подписавшихся на список рассылки, или писем в Usenet. Если вы указали ваш почтовый адрес какому-нибудь веб-сайту, от он может продать ваш адрес «почтовым мусорщикам». Некоторые веб-браузеры сами указывают ваш почтовый адрес, когда вы посещаете веб-сайт, поэтому вы можете даже не понять, что вы его дали. Много почтовых систем имеют возможности фильтрации почты, то есть поиска указанных слов или словосочетаний в заголовке письма или его теле, и последующего помещения его в определенный почтовый ящик или удаления. Но большинство пользователей не знает, как использовать механизм фильтрации. Кроме того, фильтрация у клиента происходит после того, как письмо уже получено или загружено, поэтому таким образом тяжело удалить большие объемы писем.

Для безопасной атаки может использоваться анонимный ремэйлер. Когда кто-то хочет послать оскорбительное или угрожающее письмо и при этом скрыть свою личность, он может воспользоваться анонимным ремэйлером. Если человек хочет послать электронное письмо, не раскрывая свой домашний адрес тем, кто может угрожать ему, он может тоже использовать анонимный ремэйлер. Если он начнет вдруг получать нежелательные письма по своему текущему адресу, он может отказаться от него и взять новый.

Одним часто используемым средством защиты, применяемым некоторыми пользователями Usenet, является конфигурирование своих клиентов для чтения новостей таким образом, что в поле Reply-To (обратный адрес) письма, посылаемого ими в группу новостей, помещается фальшивый адрес, а реальный адрес помещается в сигнатуре или в теле сообщения. Таким образом программы сбора почтовых адресов, собирающие адреса из поля Reply-To, окажутся бесполезными.

В конгрессе США было подано несколько биллей об ограничениях на работу таких программ-мусорщиков. В одном предлагалось создать списки стоп-слов и помещать слово «реклама» в строку темы письма. В другом предлагалось считать их просто незаконными.

Защита электронной почты

Защита от фальшивых адресов

От этого можно защититься с помощью использования шифрования для присоединения к письмам электронных подписей. Одним популярным методом является использование шифрования с открытыми ключами. Однонаправленная хэш-функция письма шифруется, используя секретный ключ отправителя. Получатель использует открытый ключ отправителя для расшифровки хэш-функции и сравнивает его с хэш-функцией, рассчитанной по полученному сообщению. Это гарантирует, что сообщение на самом деле написано отправителем, и не было изменено в пути. Правительство США требует использования алгоритма Secure Hash Algorithm (SHA) и Digital Signature Standard, там где это возможно. А самые популярные коммерческие программы используют алгоритмы RC2, RC4, или RC5 фирмы RSA.

Защита от перехвата

От него можно защититься с помощью шифрования содержимого сообщения или канала, по которому он передается. Если канал связи зашифрован, то системные администраторы на обоих его концах все-таки могут читать или изменять сообщения. Было предложено много различных схем шифрования электронной почты, но ни одна из них не стала массовой. Одним из самых популярных приложений является PGP. В прошлом использование PGP было проблематичным, так как в ней использовалось шифрование, подпадавшее под запрет на экспорт из США. Коммерческая версия PGP включает в себя плагины для нескольких популярных почтовых программ, что делает ее особенно удобной для включения в письмо электронной подписи и шифрования письма клиентом. Последние версии PGP используют лицензированную версию алгоритма шифрования с открытыми ключами RSA.

Корректное использование электронной почты

Все служащие должны использовать электронную почту так же, как и любое другое официальное средство организации. Из этого следует, что когда письмо посылается, как отправитель, так и получатель должен гарантировать, что взаимодействие между ними осуществляется согласно принятым правилам взаимодействия. Взаимодействие с помощью почты не должно быть неэтичным, не должно восприниматься как конфликтная ситуация, или содержать конфиденциальную информацию.

Защита электронных писем и почтовых систем

Защита писем, почтовых серверов и программ должна соответствовать важности информации, передаваемой по сетям. Как правило, должно осуществляться централизованное управление сервисами электронной почты. Должна быть разработана политика, в которой указывался бы нужный уровень защиты.

Примеры политик безопасности для электронной почты

  •  Низкий риск

Пользователь

Использование служб электронной почты для целей, явно противоречащий интересам организации или противоречащих политикам безопасности организации -явно запрещено, также как и чрезмерное использование ее в личных целях.

Использование адресов организации в письмах-пирамидах запрещено.

Организация предоставляет своим сотрудникам электронную почту для выполнения ими своих обязанностей. Ограниченное использование ее в личных целях разрешается, если оно не угрожает организации.

Использование электронной почты таким образом, что это помогает получать личную коммерческую выгоду, запрещено.

Менеджер

Все сотрудники должны иметь адреса электронной почты.

Справочники электронных адресов должны быть доступны для общего доступа.

Если организация обеспечивает доступ к электронной почте внешних пользователей, таких как консультанты, контрактные служащие или партнеры, они должны прочитать политику доступа к электронной почте и расписаться за это.

Содержимое почтовых сообщений считается конфиденциальным, за исключением случая проведения расследований органами внутренних дел.

Сотрудник отдела автоматизации

POP-сервер должен быть сконфигурирован так, чтобы исключать использование незашифрованных паролей с локальных машин.

  •  Средний риск

Пользователь

Электронная почта предоставляется сотрудникам организации только для выполнения ими своих служебных обязанностей. Использование ее в личных целях запрещено.

Конфиденциальная информация или информация, являющаяся собственностью организации, не может быть послана с помощью электронной почты.

Могут использоваться только утвержденные почтовые программы.

Нельзя устанавливать анонимные ремэйлеры

Служащим запрещено использовать анонимные ремэйлеры

Менеджер

Конфиденциальная информация или информация, являющаяся собственностью организации, не может быть послана с помощью электронной почты.

Если будет установлено, что сотрудник неправильно использует электронную почту с умыслом, он будет наказан

Сотрудник отдела автоматизации

Почтовая система должна обеспечивать только один внешний электронный адрес для каждого сотрудника. Этот адрес не должен содержать имени внутренней системы или должности

Должен вестись локальный архив MIME-совместимых программ для просмотра специальных форматов и быть доступен для внутреннего использования..

  •  Высокий риск

Пользователь

Электронная почта предоставляется сотрудникам организации только для выполнения своих служебных обязанностей. Использование ее в личных целях запрещено.

Все электронные письма, создаваемые и хранимые на компьютерах организации, являются собственностью организации и не считаются персональными.

Организация оставляет за собой право получить доступ к электронной почте сотрудников, если на то будут веские причины. Содержимое электронного письма не может быть раскрыто, кроме как с целью обеспечения безопасности или по требованию правоохранительных органов.

Пользователи не должны позволять кому-либо посылать письма, используя их идентификаторы. Это касается их начальников, секретарей, ассистентов или других сослуживцев.

Организация оставляет за собой право осуществлять наблюдение за почтовыми отправлениями сотрудников. Электронные письма могут быть прочитаны организацией даже если они были удалены и отправителем, и получателем. Такие сообщения могут использоваться для обоснования наказания.


Менеджер

Справочники электронных адресов сотрудников не могут быть сделаны доступными всем.

Если с помощью электронного письма должна быть послана конфиденциальная информация или информация, являющаяся собственностью организации, она должна быть зашифрована так, чтобы ее мог прочитать только тот, кому она предназначена, с использованием утвержденных в организации программ и алгоритмов.

Никто из посетителей, контрактников или временных служащих не имеет права использовать электронную почту организации.

Должно использоваться шифрование все информации, классифицированной как критическая или коммерческая тайна, при передаче ее через открытые сети, такие как Интернет.

Выходящие сообщения могут быть выборочно проверены, чтобы гарантировать соблюдение политики.

Сотрудник отдела автоматизации

Входящие письма должны проверяться на вирусы или другие РПС.

Почтовые сервера должны быть сконфигурированы так, чтобы отвергать письма, адресованные не на компьютеры организации.

Журналы почтовых серверов должны проверяться на предмет выявления использования неутвержденных почтовых клиентов сотрудниками организации, и о таких случаях должно докладываться.

Почтовые клиенты должны быть сконфигурированы так, чтобы каждое сообщение подписывалось с помощью цифровой подписи отправителя.

Хранение электронных писем

Официальные документы организации, передаваемые с помощью электронной почты, должны быть идентифицированы и должны администрироваться, защищаться и сопровождаться настолько долго, насколько это нужно для деятельности организации, аудита, юристов, или для других целей. Когда электронная почта – это единственный способ передачи официальных документов компании, то к ним применяются те же самые процедуры, как если бы они передавались на бумаге.

Для предотвращения случайного удаления писем, сотрудники должны направлять копии таких сообщений в официальный файл или архив. Должны храниться как входящие, так и выходящие сообщения с приложениями. Любое письмо, содержащее формальное разрешение или выражающие соглашение организации с другой организацией, должно копироваться в соответствующий файл (или должна делаться его печатная копия) для протоколируемости и аудита.

Период хранения всех писем определяется юристами. Если сообщения хранятся слишком долго, организация может вынуждена сделать такую информацию публичной по решению суда.

Интернет

Маршрутизатор

рандмауэр

Корпоративная сеть

Рисунок 1. Типичная архитектура подключения к Интернету

Интернет

Шифрующий
ма
ршрутизатор или брандмауэр

Шифрующий
ма
ршрутизатор или брандмауэр

ЛВС А

ЛВС B

Рисунок 2.


 

А также другие работы, которые могут Вас заинтересовать

58429. Решение уравнений производства. Закон установления цен на продукты и услуги 72.5 KB
  Произведённое количество счётного товара (А) пока определенно только наугад; но и его следует определить так, чтобы предприниматели не имели ни прибыли, ни убытков. Но для этого, естественно, необходимо, чтобы себестоимость счетного товара была равна его продажной цене.
58430. Учись быть верным другом. Избрание Апостолов 118 KB
  Развивать эстетический вкус творческие способности детей. Приветствие С любовью и с радостью встречайте детей. Молитва Пригласите детей помолиться за свои огорчения и радости поблагодарить Бога за все и попросите благословения на этот урок. Всех детей поблагодарите за участие за старание вместе с ними ещё раз полюбуйтесь совместной работой подведите к выводу что одному было бы сложно выполнить такую работу а команде это под силу.
58431. Декларація прав дитини. Основний Закон держави. Обовязки батьків та дітей 54.5 KB
  Мета. Формувати в учнів уявлення про Декларацію прав дитини, Основний Закон нашої держави. Зясувати обовязки батьків і дітей. Виховувати шанобливе ставлення до батьків.
58432. Национальная экономика 45 KB
  Основные цели национальной экономики Макроэкономика изучает: процессы использования разнообразных ресурсов которыми располагает общество для удовлетворения потребностей людей. Предметом макроэкономики являются закономерности развития и функционирования национальной экономики...
58433. Учись быть благодарным. Десять прокаженных 158 KB
  Показать им что в нашей жизни есть множество поводов благодарить Бога.Молитва Предложите детям совершить молитву и попросить у Бога благословения на этот урок.Мотивация Ребята когда мы говорим Спасибо А что хорошее сделал вам Бог За что же мы должны благодарить Бога За пищу за одежду за здоровье. Бога в небесах.
58434. ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ОТНОШЕНИЙ УЧАСТИЯ В ДОГОВОРЕ ДОЛЕВОГО СТРОИТЕЛЬСТВА ЖИЛЫХ ПОМЕЩЕНИЙ 353.5 KB
  Появление и дальнейшее развитие договора участия в долевом строительстве в российском законодательстве имеют огромное значение для решения жилищной проблемы, поскольку надежное правовое регулирование отношений долевого строительства - гарантия успешного развития данных отношений
58435. Чудесная любовь Иисуса. Пасха 156 KB
  Побудить детей своими поступками не огорчать Иисуса но быть всегда послушными исполнительными дружелюбными. И спросил правитель Иисуса: Ты Царь Иудейский Иисус отвечал: Ты говоришь. В чем же он заключался Бог – Отец послал Сына Иисуса на землю сказать людям чтобы они перестали делать злые дела поверили в Бога и исполняли Его заповеди.
58436. Религия 47.5 KB
  Религия как форма мировоззрения; Структура и функции религии; Виды религий; Веротерпимость и свобода совести. Другие определения религии: одна из форм общественного сознания; совокупность духовных представлений основывающихся на вере в сверхъестественные силы и существа богов...
58437. ООН и международные организации в области народонаселении 360 KB
  Международная конференция по народонаселению и развитию (МКНР), состоявшаяся в Каире, Египет, в 1994 году, позволила Фонду ООН в области народонаселения (ЮНФПА)