|
|
№ 5 сентябрь-октябрь 2005 г.
Тема номера: БЕЗОПАСНОСТЬ ERP-СИСТЕМ
|
ТРЕБУЮТСЯ КОНТРОЛЕРЫ
Практические вопросы контроля защищенности корпоративных сетей
А. Л. Липатов, С. Н. Гирин |
|
|
Последнее время немало публикаций в различных изданиях посвящается проблемам безопасности корпоративных сетей. При этом большое внимание уделяется вопросам построения систем защиты информации, выбору средств и методов защиты. Однако для обеспечения должного уровня информационной безопасности АС эффективность функционирования созданной в организации системы защиты информации необходимо постоянно и квалифицированно контролировать.
Все течет, все изменяется... Изменяется сетевое окружение, а вместе с ним и правильные когда-то (с точки зрения информационной безопасности) настройки маршрутизаторов, внешних и внутренних брандмауэров, web-серверов, серверов баз данных, внедряются новые информационные технологии, ежедневно появляются неизвестные ранее уязвимости… В таких условиях отсутствие должного контроля за состоянием защищенности сети уже само по себе становится достаточно важной угрозой защищаемой информации (причем серьезность этой угрозы находится в прямой зависимости от «времени бездействия»).
Попытаемся здесь рассказать об известных нам методах контроля сетевой защищенности АС, а также о порядке и периодичности его проведения.
Основные принципы
Прежде всего опишем четыре основных принципа, на которых, по нашему мнению, должна строиться работа по организации контроля защищенности корпоративной сети.
1. Контроль защищенности АС должен являться неотъемлемой составной частью работ по защите информации.
В организации должен постоянно проводиться контроль сетевой защищенности АС от внутренних и внешних угроз с целью подтверждения того, что используемые в системе защитные механизмы правильно настроены и соответствуют требованиям политики безопасности. Проведение таких проверок позволит оперативно выявлять и устранять появляющиеся в АС уязвимости, минимизируя тем самым риски нарушения целостности, доступности и конфиденциальности защищаемой информации.
2. Контроль защищенности должен являться составной частью работ по управлению рисками.
Контроль защищенности выявляет неизвестные ранее уязвимости, а также ошибки в конфигурации различных сетевых узлов и позволяет получить четкое представление о состоянии вопроса защиты информации в АС. Для устранения найденных уязвимостей может потребоваться переконфигурирование средств защиты, установка последних обновлений, корректировка политик безопасности или изменение инфраструктуры АС. Все эти работы должны проводиться в рамках профессионально составленной программы по управлению рисками.
3. При проведении контроля защищенности особое внимание следует уделять наиболее важным сетевым узлам.
Основное внимание необходимо обращать на общедоступные узлы АС: маршрутизаторы, внешние брандмауэры, web-серверы, почтовые серверы. Не стоит забывать и о контроле АС «изнутри». Обязательной проверке должны подлежать маршрутизаторы и коммутаторы, внутренние брандмауэры, контроллеры домена, серверы баз данных, файл-серверы и т. п. Если верить данными мировой статистики, примерно 70–80 % всех инцидентов, связанных с безопасностью информации в АС, происходят по вине ее легальных пользователей. Поэтому никогда не стоит исключать возможность наличия в АС внутреннего нарушителя. Другие сетевые узлы АС проверяются в зависимости от их важности и критичности обрабатываемой или хранимой на них информации. Это могут быть, например, рабочие станции руководства организации, портативные компьютеры или сетевой сегмент, в котором располагаются компьютеры бухгалтерии.
4. Политики безопасности должны точно отражать потребности организации.
Результаты, полученные после проведения контроля защищенности АС, должны быть использованы для сравнения с требованиями действующих в организации политик безопасности. Без наличия политик безопасности проведение полноценного анализа результатов испытаний затруднительно. Например, при обнаружении на компьютере открытого порта 4899/tcp приложения Remote Administrator делать вывод о существовании в АС сетевой уязвимости некорректно. Компьютер может администрироваться удаленно «своим» системным администратором, но, с другой стороны, может использоваться злоумышленником в его корыстных интересах. Соответственно, в случае если удаленное администрирование АС необходимо в процессе деятельности организации, то оно должно быть предусмотрено требованиями политик безопасности. В этом случае факт открытия порта 4899/tcp при правильно настроенном приложении Remote Administrator не свидетельствует о наличии уязвимости в АС.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|