Средства защиты от возможных угроз
Защита от угрозы № 2:
Для того, чтобы обеспечить безопасность НСД к активному оборудованию, необходимо его разместить под охрану. Обеспечить доступ к нему лицам, обладающим такими полномочиями.
Администратор должен позаботиться об эффективности паролей.
Пароль – это последовательность букв, цифр и других символов, с помощью которой система проверяет, действительно ли это тот самый пользователь, который имеет данную учетную запись и право доступа к ресурсам.
При регистрации нового пользователя администратор дает пользователю пароль по умолчанию, который в обязательном порядке должен меняться пользователем при первом доступе к системе. Пользователь должен помнить о том, чтобы пароль был менее наглядным, что вызывает определённые трудности при его подборе злоумышленниками. Для этого к паролю предъявляются определённые требования:
пароль не должен содержать данных, которые как-то связаны с пользователем (дата рождения, адрес и др.);
пароль должен сочетать в себе как символы, так и числа;
пароль должен быть не слишком длинным и не коротким;
пароль периодически должен меняться в зависимости от политики предприятия.
Защита от угрозы № 1:
Для усложнения доступа к компьютеру и его ресурсам злоумышленников, необходимо предусмотреть пароли BIOS. А также, если компьютер включен, но пользователь отсутствует, необходимо перевести компьютер в режим ожидания, т.е. включить хранитель экрана (screen-saver) c опцией ввода пароля при выходе из этого режима.
Защита от угрозы № 3:
Для предотвращения прослушивания сетевого трафика ЛВС необходимо отказаться от повторителя (Hub-а) и заменить его на коммутатор (Switch). Благодаря этому информация от отправителя будет направляться непосредственно получателю.
Защита от угрозы № 4:
Так как отдел работает с конфиденциальной информацией, которая не должна быть доступной посторонним лицам, то помещение во внерабочее время должно находиться под замком и сигнализацией. Ключ должен выдаваться на основании распоряжения руководителя лицам, оговоренным в нём.
Во избежание от подмены оборудования пользователя необходимо сделать привязку MAC-адреса сетевого интерфейса к коммутатору, т.е. разрешить доступ к данному порту определённому сетевому устройству.
Существует также ряд неявных угроз, которые могут возникнуть в процессе функционирования активного оборудования, например сбой в электропитании, выход из строя винчестеров.
Для предотвращения последствий от сбоя рекомендуется использовать:
Фильтры питания;
Источники бесперебойного питания;
Автономные генераторы.
Возможные механизмы защиты вертикальной структуры сети
Для большей защиты информации, циркулирующей по сети передачи данных, по возможности необходимо защищать на каждом уровне модели OSI.
Физический уровень:
Данный уровень отвечает за кодирование передаваемых сигналов в среде передачи данных. На этом уровне происходит преобразование поступающих со всех остальных уровней битов (0 и 1) в электрические сигналы. В соответствии с этим, для избежание воздействия различных электромагнитных наводок, которые могут привести к искажению передаваемой информации, необходимо использовать для передачи данных специальные экранированный кабель.
Канальный уровень:
Так как на данном уровне семиуровневой модели OSI происходит работа с MAC-адресами сетевых интерфейсов (адресами сетевых карт), то с целью устранения такой угрозы, как подмена рабочего места пользователя, необходимо произвести привязку MAC-адресов к конкретным портам активного оборудования, например, коммутатора.
Привязка MAC-адресов будет выглядеть примерно следующим образом:
[разрешить доступ MAC-1 к порту Port-1]
После выполнения такой операции к порту 1 коммутатора будут иметь доступ только компьютеры с адресами сетевых интерфейсов MAC-1. Устройства с другими сетевыми картами уже не смогут получить доступ к портам данного коммутатора.
Сетевой уровень:
Сетевой уровень отвечает за маршрутизацию, т.е. за выбор оптимального пути и доставку пакета данных адресату. В соответствии с этим необходимо разбить нашу сеть на виртуальные сегменты (сгруппировать в отдельные VLAN-ы), причём каждый такой сегмент будет иметь дело с конфиденциальной информацией, касающейся только пользователей, расположенных в данном сегменте сети (работников бухгалтерии предприятия).
[Включить Port – 1 в VLAN - 1]
[Включить Port – 2 в VLAN - 1]
[Включить Port – 3 в VLAN – 1]
[Включить Port – 4 в VLAN - 2]
[Включить Port – 5 в VLAN - 2]
[Включить Port – 6 в VLAN - 3]
Для достижения большего эффекта от такого разбиения сети необходимо использовать листы доступа (ACCESS – листы), которые бы запрещали сетям с конфиденциальной информацией маршрутизироваться в общую сеть, где циркулирует информация общего пользования. В результате использования таких листов доступа, конфиденциальная информация из одного виртуального сегмента никогда не попадёт в сегменты с общедоступной информацией.
Транспортный уровень:
На данном уровне необходимо организовать списки доступа (ACCESS – листы) аналогичные листам доступа на сетевом уровне, однако, здесь можно указывать не адреса сетей, а адреса конкретных сервисов. Например:
[Разрешить сервису Service-1 адреса IP-1 доступ к сервису Service-1 адреса IP-2]
[Разрешить сервису Service-2 адреса IP-1 доступ к сервису Service-2 адреса IP-2]
[Разрешить сервису Service-5 адреса IP-3 доступ к сервису Service-5 адреса IP-2]
Такие списки доступа можно настроить на серверах.
Это уровень сетевой модели, отвечающий за взаимодействие пользовательского приложения и сетью. На данном уровне необходимо осуществлять идентификацию (проверку наличия данного пользователя в списке) и аутентификацию (проверку достоверности имени и пароля) пользователей. При этом необходимо следить за тем, чтобы пользователи периодически осуществляли смену пароля, причём новый пароль должен значительно отличаться. Беспарольных пользователей в системе быть не должно.
Также на данном уровне необходимо произвести разделение прав доступа пользователей к информации на сервере.
На всех пользователях данной системы желательно установить операционную систему Windows XPProfessional. На сервере баз данных для большей защищённости находящейся на нём информации должна быть установлена ОС Windows 2003 Server.
При инсталляции и настройке ОС рекомендуется:
1. Необходимо поставить все существующие для ОС сервиспаки;
2. Опускать ненужные сервисы, при этом необходимо периодически проверять включенные сервисы с целью выявления изменений, которые могут произойти, например, при установке нового ПО или АО (На сервере с конфиденциальной информацией не должно быть таких сервисов, как telnet, ftp, http);
3. По возможности не использовать удалённое администрирование;
4. Постоянно контролировать процессы, запущенные в системе. Администратору необходимо знать каждый процесс и для чего он запускается;
5. Поставить на компьютеры последнюю версию хорошего антивируса (AVP, DrWEB, ...) и регулярно обновлять антивирусные базы. Также необходимо политикой безопасности запретить всем пользователям, кроме администратора, отключать антивирус. Обязательно наличие механизмов регистрации процессов, их анализа и распознавания угроз системе;
6. Выполнять проверку целостности, путем вычисления значения хэш-функции (некий аналог контрольной суммы) от заранее определенного набора критичных файлов системы и сравнения этого значения с эталоном. Проверка может проводиться как программными, так и аппаратными средствами;
7. Все пользователи должны иметь пароли, устойчивые к прямому перебору, т.е. содержать буквенные, цифровые и специальные символы в разных регистрах и иметь длину не менее 10 символов. Таким образом, пароль типа Nb6$iL78@+&67K будет подбираться прямым перебором несколько лет, пароль не должен нести смысловую нагрузку, как, например: quake, doom, password и т.д.;
8. Учитывать социальный фактор: не записывать пароль на бумажках, не сообщать пароль кому-либо, игнорировать письма от якобы системного администратора сообщить логин и пароль и т.д.;
9. Пользователи, не имеющие прав администратора, не должны иметь доступ к системным файлам, реестру и т.д. Например, файл MSV_0.dll, отвечающий за проверку подлинности пароля при локальном входе в систему, может быть скопирован и изменен таким образом, что любой пароль для любого пользователя будет считаться верным.
Прикладное и общесистемное ПО:
1. На сервере и клиенте запрещено иметь средства разработки;
2. Категорически запрещено вести разработку и эксплуатацию ПО на промышленных ресурсах. Для этих целей должны быть выделены отдельные ресурсы;
3. Каждый субъект должен иметь доступ только к тем объектам, который ему разрешён в соответствии с матрицей доступа.