 |
Методы проектирования безопасности и меры и средства контроля и управления
|
|
|
|
Методы проектирования безопасности и меры и средства контроля и управления, относящиеся к услугам бизнес-клиент, приведены в таблице 5.
Таблица 5 - Меры и средства контроля и управления безопасности для сценария услуг бизнес-клиент
| Применяемые свойства безопасности для идентифицированных угроз | Реализуемые проекты и методы |
| Вирусные атаки и введение вредоносной программы | |
| - Целостность - Управление доступом - Аутентификация | - Использование антивирусных программ на шлюзах к Интернету для сканирования всего трафика от сотрудника до Интернета. Процесс сканирования должен охватывать все сетевые протоколы, разрешенные к применению. - Сканирование файлов и всех хранимых данных на наличие вирусов и троянов, а также других видов вредоносных программ. - Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты. - Маршрутизация трафика, используемого для услуг доступа к Интернету, посредством небольшого количества контролируемых шлюзов безопасности. - Активное установление подлинности содержания |
| Неавторизованный доступ | |
| - Управление доступом - Аутентификация - Конфиденциальность - Безопасность связи - Целостность - Непрозрачность | - Ограниченное количество разрешений для веб-приложений при доступе к серверной базе данных. - Сегментация сети и уровни безопасность внутри демилитаризованной зоны (DMZ) для предотвращения каналов связи, направленных к корпоративным активам данных. - Безопасная регистрация пользователя для обеспечения уверенности в том, что полномочия доступа выданы подлинным пользователям - например, с привлечением к данному процессу независимого органа регистрации. - Аутентификация с использованием цифровых сертификатов, паролей, биометрии или смарт-карт. - Межсетевые экраны и списки управления доступом для предотвращения несанкционированного доступа пользователей. - Управление доступом, основанное на ролях, для ограничения функций пользователя, разрешенных к выполнению. - Анализ регистрационных журналов веб-приложений для идентификации атак и их сдерживания. - Надлежащие уровни шифрования хранимой информации. - Обеспечение уверенности в безопасном соединении между веб-браузерами и веб-серверами с использованием таких технологий, как SSLv3/TLS. - Защита основной связи с веб-сервисами с помощью, например сообщений SOAP. - Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты. - На уровне веб-приложений целостность данных URL, куки-файлов или элементов скрытых форм обеспечивается: - шифрованием всех данных (даже если используется SSLv3); - использованием изменяемых временных меток; - использованием цифровой подписи или ключевого хэша для чувствительных данных. - Использование "инвертированного" прокси-сервера между веб-сервером и внешней сетью |
| Атаки "отказ в обслуживании" | |
| - Доступность - Непрозрачность | - Блокирование неиспользуемых портов протоколов и услуг, чтобы предотвратить их реагирование на несанкционированное сканирование/зондирование, которые приводят к возможности лавинного распространения трафика DoS. - Исключение описательной информации из предупреждающих баннеров предотвращает получение злоумышленниками специальной информации |
| Фальсификация информационного наполнения транзакций | |
| - Неотказуемость | - Подробные журналы регистрации транзакций. - Использование цифровых подписей |
| SOAP (Simple Object Access Protocol) - Простой протокол доступа к объектам. URL (Uniform Resource Locator) - Унифицированный указатель ресурса (Интернет). Куки - небольшой фрагмент данных о предыстории обращений данного пользователя к веб-серверу, автоматически создаваемый сервером на машине пользователя. |
Расширенное применение услуг для совместного использования
|
|
|
|
|
|
Исходные данные
Этот сценарий должны рассматривать организации, которые используют услуги, касающиеся многих сотрудников. Примерами таких услуг являются:
- программное средство коллективного пользования;
- файловые серверы;
- список адресов для рассылки по электронной почте;
- услуги, базирующиеся на Интернет-технологиях.
Расширенное применение услуг для совместного использования, объединяющих различные средства связи и возможности совместного использования документов, является важным аспектом среды бизнеса.
Такое расширенное применение услуг для совместного использования обычно объединяет видео-телефонию, голосовую связь с чат-каналов, системы электронной почты, а также совместное использование документов и совместное использование оборудования в режиме онлайн.
Существуют два основных способа использования таких услуг для организаций:
- использование их только в качестве внутренних услуг, но недостатком этого способа является то, что услуги не могут быть использованы при работе с внешними партнерами и т.д.;
- использовать их в качестве внутренних услуг и услуг, внешних по отношению к организации. Такое использование услуг более выгодно, но имеет больше связанных с ними рисков безопасности по сравнению с использованием услуг только для внутреннего пользования.
Что касается реализации, услуги могут быть:
- реализованы внутри; или
- третьей стороной.
Если услуги должны быть использованы внутри и вне организации, то более подходящим решением может быть покупка услуг для совместного использования у третьих сторон.
В следующих пунктах описаны угрозы безопасности и рекомендации по методам проектирования безопасности, а также меры и средства контроля и управления безопасности для уменьшения сопутствующих рисков, как только для внутреннего, так и для внутреннего и внешнего использования. Меры и средства контроля и управления безопасности применяются к управлению, передаче сигналов и трафику пользователя.
|
|
|
Угрозы безопасности
К угрозам безопасности, связанным с расширенным применением услуг для совместного использования, относятся:
- неавторизованный доступ, ведущий к раскрытию конфиденциальной информации:
- злоупотребление совместным использованием инструментальных средств, чтобы незаконно воспользоваться материалами, охраняемыми авторским правом, получать конфиденциальные данные и навязывать пользователям нежелательную или пропагандистскую информацию,
- нарушение непрозрачности посредством мониторинга использования шаблонов, спаминга и других идентичных атак;
- вирусные атаки и внедрение вредоносных программ:
- распределение и выполнение вредоносных программ путем использования общих ресурсов;
- снижение доступности сети связи:
- перегрузка сети с легитимным трафиком,
- уязвимости эксплуатируемого протокола, используемые в услугах для совместного использования.
|
|
|
