Иллюстрированный самоучитель по разработке безопасности

Резюме

Сетевая безопасность имеет отношение не только к безопасности Internet, но и к защите каждого сетевого подключения и интерфейса. Это означает установление определенных взаимоотношений между информацией и теми, кто ее запрашивает. Основой управления доступом является аутентификация. Аутентификация представляет собой передний рубеж защиты для любой системы или сети, где реквестор на основании предъявленных полномочий получает разрешение на вход в систему. Мы пытаемся решить проблемы защиты информации, опираясь на знание архитектуры сети и применяя различные способы аутентификации.

  1. Адресация сети и архитектура.
    • Руководствуясь правилами, предписывающими проектировать сеть с учетом требований безопасности, проектировщики отделяют системы с секретными или важными данными для того, чтобы легче было управлять доступом.
    • В правилах сетевой адресации определяется, какую информацию о конфигурации сети можно публиковать вне организации. Необходимо сконфигурировать DNS для сокрытия имен от внешнего окружения и систему преобразования сетевых адресов (NАТ), чтобы спрятать адресацию.
    • Правила должны определять процедуры расширения сети.
    • Такие возможности, как статическая и динамическая адресация, а также другие типы адресных решений, тоже должны быть включены в правила адресации сети.
  2. Управление доступом к сети.
    • Шлюзы определяются как места, где входящий и исходящий трафик сети организации, передается в другую сеть. Несмотря на то, что в правилах предполагается иметь только общие формулировки, все-таки можно разработать правила подключения к Internet, доступа к входящим/исходящим телефонным каналам, а также других внешних подключений.
    • В правилах использования виртуальных частных сетей (VPN) и экстрасетей определено, каким образом сеть организации использует общедоступную сеть. Эти правила создают впечатление, что приняты все надлежащие меры по защите информации.
    • Можно записать в правилах требования того, чтобы все вспомогательные шлюзовые системы были аутентифицированы в сети, либо вся информация от вспомогательных систем при прохождении через шлюз была аутентифицирована. Правила должны определять особые соображения для вспомогательных систем, для которых отсутствуют требования по аутентификации либо эти требования недостаточно жесткие.
  3. Безопасность регистрации.
    • Имена пользователей
      • С помощью имен пользователей определяется, кто или что получает доступ к сети или пытается получить доступ. Пользовательские имена могут являться источником информации, поэтому благоразумней использовать пользовательские имена, привязанные к фамилии, имени, отчеству пользователя, а не к его функциональным обязанностям. В правилах должно быть отражено, что делать с пользовательскими именами, назначенными операционной системой при ее установке.
      • Имена приглашенных пользователей и пользователей, не являющихся сотрудниками организации, должны особо тщательно контролироваться. В правила присвоения таких имен необходимо включить требования по контролю за ними и их аннулированию.
      • Регистрационные баннеры могут выглядеть вполне безобидными, но они могут нести информацию об операционной среде, которая может быть использована теми, кто захочет попытаться взломать систему и сеть. Можно записать в правила требование ограничить информацию, выводимую в баннере, или записать просто формулировку о неразглашении.
      • В правила необходимо включить соображения о многократных/однократных сеансах идентификации, а также требования, касающиеся систем положительной идентификации.
      • Протоколирование как успешных, так и безуспешных попыток зарегистрироваться в системе может быть использовано средствами обнаружения вторжений. Добавление примечания о времени и дате последней регистрации в системе, которое сможет просматривать пользователь, создаст новый уровень отчетности о нарушениях безопасности.
    • В правила ограничения числа сеансов регистрации необходимо добавить требование автоматического выхода из системы (по истечении промежутка времени, по времени суток и т.п.), при этом важная информация должна оставаться доступной без разрегистрации. Кроме того, необходимо ввести предписания тем, кто имеет доступ к важной информации, выходить из системы при оставлении рабочих станций без присмотра.
    • Правила администрирования пользовательского доступа могут предписывать минимальный уровень требований для управления назначением и распределением пользовательских имен. Сведение к минимуму требований, включенных в правила, дает возможность разрабатывать дополнительные инструкции в том случае, если необходимо расширить круг требований, но при этом разрешает администраторам при необходимости расширять список пользовательских имен.
    • Правила работы в привилегированном режиме – это тщательно расписанные требования, на основании которых разрабатываются инструкции, определяющие требования к доступу в систему, а также требования контроля за предоставлением привилегий.
  4. Пароли.
    • Правила, относящиеся к действующим паролям, следят за структурой пароля и сроком его действия. Эти правила также запрещают использовать повторно старые пароли.
    • Правило хранения паролей устанавливает, что пароли должны храниться таким образом, чтобы обычные пользователи не могли их считывать. Хранение паролей осуществляется операционной системой; также можно записать в правила, что защита, устанавливаемая системой по умолчанию, не может быть ослаблена.
    • Правила назначения специальных паролей требуют менять или удалять пароли, установленные поставщиком по умолчанию, а также назначать и использовать принудительные пароли – когда кого-то принудили ввести пароль, включается сигнализация для правоохранительных органов.
  5. В пользовательском интерфейсе для введения паролей необходимо учитывать использование алгоритмов, предоставляемых системой или системным программным обеспечением. Можно разработать правила, определяющие, что должно отображаться на экране, а также, как защитить пароли во время пересылки их в сеть.
  6. Правила управления доступом определяют системы или ресурсы, доступ к которым должен контролироваться или ограничиваться. Поскольку эти правила довольно разнообразны, предлагается разработать отдельный документ для каждой части системы, которая имеет свой специфический доступ. Чтобы новые системы располагали соответствующими правилами управления доступом, необходимо записать в отдельное правило, что хранители информации обязаны разработать правила управления доступом к новой системе до ее инсталляции.
  7. Средства телекоммуникации и удаленного доступа управляют удаленным доступом к сети служащих организации и другого, имеющего право доступа, персонала.
    • В некоторых организациях вводят необязательные правила, регламентирующие использование разрешенного в данной операционной среде оборудования по выбору сотрудника организации. В других организациях компьютеры и оборудование предоставляются служащим компанией. Эти организации могут ввести правила, согласно которым поставляемое оборудование должно использоваться без изменени1 так, как оно было установлено. Пользователь не может вносить изменения.
    • В правила управления защитой данных при удаленном доступе должно быть записано требование, что удаленный пользователь обеспечивает надлежащую защиту компьютерного оборудования и данных на дополнительных рабочих узлах. В этих же правилах должно быть записано, что организация является владельцем всей интеллектуальной собственности, используемой или созданной в среде удаленного доступа.
    • Чтобы придать правилам удаленного доступа больше веса, можно включить в них конкретное предписание, чтобы служащие несли ответственность за поддержание структурированной рабочей среды, а также исполняли все инструкции, касающиеся безопасности удаленных систем (лицензирование программного обеспечения, создание резервных копий и т.д.).
    • Правила эксплуатации средств телекоммуникации и удаленного доступа определяют режим работы модемов и, если используется, туннелирования Internet. Этими же правилами регламентируется распределение телефонных номеров для телефонных линий, а также расширенная аутентификация для доступа любого типа.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.