|
p>Организация полностью соединена с Интернетом и другими сетями. В целом, пользователи имеют неограниченный доступ к сети. Но доступ из Интернета или других сетей к ресурсам организации разрешен только тогда, когда это требуется для выполнения служебных обязанностей. Для личного использования Интернета сотрудниками имеется отдельный сервер доступа. Этот сервис должен использоваться только для отдельных сотрудников с обоснованием доступа к нему. С его помощью можно получать доступ только с тем сайтам, которые одобрены организацией. Любое их использование, которое можно считать незаконным или нарушающим политику организации, или такое использование, которое наносит вред организации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры . Письма пользователей в группы новостей USENET, списки рассылки и т. д. должны включать строку о том, что точка зрения выраженная в письме - личная точка зрения, а не точка зрения организации. Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей Доступ к Интернету с домашнего компьютера должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации. 5. 6. 3. Сохранение конфиденциальности личной информации (privacy) Политика конфиденциальности личной информации при использовании Интернета должна быть согласована с политиками конфиденциальности личной информации в других областях. Хотя технически довольно просто наблюдать за сотрудниками, это плохая идея. На безопасность очень большое влияние оказывает мораль сотрудников. Сотрудники должны знать, что протоколы их работы на компьютерах могут быть сообщены посторонним организациям, таким как правительственные агентства, или по запросу согласно акту о свободе информации. Низкий и средний риск Соединение с Интернетом - это ресурс организации. Деятельность сотрудников организации в Интернете может наблюдаться, протоколироваться и периодически проверяться для того, чтобы организация имела гарантии того, сотрудники работают правильно, и могла защититься от неавторизованного использования Интернета. Кроме того, организация может получить доступ к любой информации пользователей или к любому взаимодействию пользователей. Организация может разгласить информацию, полученную таким образом уполномоченным на это третьим лицам, включая правоохранительные органы или запросы FOIA. Использование (список ресурсов) означает согласие пользователя с тем, что за его деятельностью осуществляется контроль. 5. 7. Обучение пользователей Большинство компьютерных пользователей организации попадает в одну из трех категорий - интернет-мастера; пользователи, обладающие знаниями, но не обладающие опытом; пользователи, которые знают Интернет, провели в нем много времени, но не знают, как он устроен. Большинство пользователей знает, что с использованием Интернета связан риск, но не понимает, с чем он связан, и как его избежать. Они часто не умеют распознать проблему с безопасностью, или как обезопасить себя при повседневном использовании Интернета. Они не знают последствий недопустимого или неавторизованного использования Интернета. Доведите до пользователей их обязанности в области безопасности, и научите их, как надо себя вести - это изменит их поведение. Пользователи не могут соблюдать политики, которые они не понимают. Обучение также способствует индивидуальной отчетности, которая является самым важным способом повышения компьютерной безопасности. Не зная необходимых мер безопасности и как их применять, пользователи не смогут до конца отвечать за свои действия. Обучение также необходимо сетевым администраторам, которым требуются специальные навыки для понимания и реализации технологий, требуемых для обеспечения безопасности соединения с Интернетом. Риски, связанные с Интернетом, должны быть доведены до руководства организацией, чтобы обеспечить его поддержку. Все пользователи, администраторы и руководители подразделений, имеющие доступ к Интернету, должны пройти начальный инструктаж в области безопасности и периодически проходить его снова. Обучение опытных пользователей должно быть, в основном, сосредоточено на вопросе допустимого использования Интернета. Например, почему организация приняла решение запретить прием определенных групп новостей USENET. Почему личные письма, в заголовке которых указан почтовый домен организации, отражаются на репутации, независимо от того, использовалась фраза о том, что точка зрения, выраженная в письме - это личное мнение или нет. Некоторые пользователи, окончившие университет, могут испытать шок при доведении до них таких требований. Должен быть сделан упор на ролях и их ответственности, помимо технических проблем безопасности. Технических специалистов надо обучать их обязанностям при реализации технических сторон политики на их системах и сетях, как это описано в пункте 5. 6. 1. Пользователи, которые уже что-то знают, должны обучаться способам использования Интернета. Они могут быть достаточно хорошо знакомы с BBS, и должны быть проинформированы, что их письма будут теперь распространяться по всему миру, а не только в США или среди небольшой группы пользователей. Эти пользователи должны быть осмотрительны - перед тем, как написать письмо, следует сначала посмотреть, о чем пишут в данной группе новостей. Они не должны загружать программы или подписываться на информацию, пока не будут понимать последствий своих поступков - они могут подвергнуть организацию риску. А других пользователей, которые более продвинуты, чем остальные, надо учить, как стать более опытным пользователем Интернета, помимо обучения допустимому использованию Интернета, ответственности при работе в нем и технических вопросов безопасности. Неграмотным же пользователям требуется объяснять все. Они должны узнать, что такое Интернет, какие виды сервисов он предоставляет, кто является его пользователями, и как установить с ним соединение. Они должны узнать о группах новостей и списках рассылки в Интернете, поисковых системах и этике в Интернете. Кроме того, они должны узнать все то, что изучают более грамотные пользователи. Обучение безопасности в Интернете - низкий риск Организация должна проводить периодическое обучение в области безопасности всех руководителей, операторов и конечных пользователей так, как это описано в политике организации. Такое обучение должно дополняться доведением новых проблем с безопасностью, постоянно возникающих в Интернете. Пользователям рекомендуется просматривать списки рассылки, связанные с безопасностью, чтобы быть в курсе всех проблем и технологий и знать все новости, сообщаемые отделом информационной безопасности. Обучение безопасности в Интернете - средний риск В организации должна быть достаточно либеральная политика в отношении использования Интернета, но опытные пользователи должны повышать свой уровень в отношении эффективного использования Интернета и рисков, связанных с ним. Следует добавить приведенные ниже положения к тем, что указаны для организации с низким риском. Обучение безопасности в Интернете должно включать проведение как комплексных, так и индивидуальных занятий со специалистами центров по обучению безопасности, краткое доведение информации о новостях и советов по использованию , а также другое необходимое обучение, как это принято в организации... При обучении обязательно должны быть изучены следующие вопросы - использование брандмауэров, загрузка информации и программ, проблемы, связанные с апплетами, электронной почтой, списками рассылки, домашними страницами, браузерами, шифрование. Администраторы брандмауэра и ЛВС, а также технический персонал сетей, подключенных к Интернету, должны пройти курс обучения в области контроля за безопасностью в сети, достоинств и недостатков различных подходов, возможных видов атак, сетевой архитектуры и вопросов, связанных с политикой безопасности. Системные и сетевые администраторы должны пройти полный курс обучения в области администрирования брандмауэров. Некоторые средства сканирования (например, pingall, SATAN) стали обязательным элементом при проведении контроля защищенности сети для выявления активных систем, их IP-адресов, параметров конфигурации и т. д. Кроме того, для выявления уязвимых мест в системах крайне полезны как бесплатные, так и коммерческие средства (например, SATAN, ISS, NETProbe, PINGWARE, COPS, Tripwire и др. ). Все сетевые и системные администраторы должны уметь их использовать. Они также должны знать текущее состояние дел в этой области безопасности. Новые пользователи должны пройти вводный курс обучения работе в Интернете, который включает серьезную отработку практических навыков и обзор проблем безопасности. Все пользователи должны расписаться в журнале проведения инструктажей по использованию Интернета. Обучение безопасности в Интернете - высокий риск Организация должна стремиться повысить доступность Интернета для своих сотрудников, но делать это консервативным методом и только после обучения пользователей в области правил безопасности при использовании Интернета. Уместна следующая политика помимо политики, указанной для организации со средним риском. Пользователи должны быть постоянно информированы о текущих проблемах с безопасностью в Интернете путем чтения сообщений и предупреждений об ошибках в программах и уязвимых местах и других советах, разборах имевших место происшествий, а также пройти курс обучения таким образом, как это определено в организации. При обучении обязательно должны быть изучены следующие вопросы - использование брандмауэров, загрузка информации и программ, проблемы, связанные с апплетами, электронной почтой, списками рассылки, домашними страницами, браузерами, шифрование. 6. Политика безопасности брандмауэров
6. 1. Основы и цель
Многие организации присоединили или хотят присоединить свои локальные сети к Интернету, чтобы их пользователи имели легкий доступ к сервисам Интернета. Так как Интернет в целом не является безопасным, машины в этих ЛВС уязвимы к неавторизованному использованию и внешним атакам. Брандмауэр - это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Брандмауэр - это не одна компнента, а стратегия защиты ресурсов организации, доступных из Интернета. Брандмауэр выполняет роль стражи между небезопасным Интернетом и более надежными внутренними сетями. Основная функция брандмауэра - централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход брандмауэра, его эффективность близка к нулю. Например, если менеджер, находящийся в командировке, имеет модем, присоединенный к его ПЭВМ в офисе, то он может дозвониться до своего компьютера из командировки, а так как эта ПЭВМ также находится во внутренней защищенной сети, то атакующий, имеющий возможность установить коммутируемое соединение с этой ПЭВМ, может обойти защиту брандмауэра. Если пользователь имеет подключение к Интернету у какого-нибудь провайдера Интернета, и часто соединяется с Интернетом со своей рабочей машины с помощью модема, то он или она устанавливают небезопасное соединение с Интернетом, в обход защиты брандмауэра. Брандмауэры часто могут быть использованы для защиты сегментов интранета организации, но этот документ в-основном будет описывать проблемы, связанные с Интернетом. Более подробная информация о брандмауэрах содержится в " NIST Special Publication 800-10 "Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls. "" Брандмауэры обеспечивают несколько типов защиты:
Они могут блокировать нежелательный трафик
Они могут направлять входной трафик только к надежным внутренним системам Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом. Они могут протоколировать трафик в и из внутренней сети Они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения. Каждая из этих функций будет описана далее. Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. Прозрачность - это видимость брандмауэра как внутренним пользователям, так и внешним, осуществляющим взаимодействие через брандмауэр. Брандмауэр прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно брандмауэры конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу за брандмауэр); и с другой стороны брандмауэр конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям. 6. 2. Аутентификация Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации: Имя/пароль Это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов Одноразовые пароли Они используют программы или специальные устройства для генерации нового пароля для каждого сеанса. Это означает, что старые пароли не могут быть повторно использованы, если они были перехвачены в сети или украдены другим способом. Электронные сертификаты
Они используют шифрование с открытыми ключами
6. 3. Анализ возможностей маршрутизации и прокси-серверов
В хорошей политике должно быть написано, может ли брандмауэр маршрутизировать пакеты или они должны передаваться прокси-серверам. Тривиальным случаем брандмауэра является маршрутизатор, который может выступать в роли устройства для фильтрации пакетов. Все, что он может - только маршрутизировать пакеты. А прикладные шлюзы наоборот не могут быть сконфигурированы для маршрутизации трафика между внутренним и внешним интерфейсами брандмауэра, так как это может привести к обходу средств защиты. Все соединения между внешними и внутренними хостами должны проходить через прикладные шлюзы (прокси-сервера). 6. 3. 1. Маршрутизация источника
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15
|
