Практические стандарты Score и программа сертификации SANS/GIAC Site Certification
SCORE (Security Consensus Operational Readiness Evaluation) является совместным проектом института SANS и Центра безопасности Интернета (CIS). Профессионалы—практики в области информационной безопасности из различных организаций объединились в рамках проекта SCORE с целью разработки базового набора практических стандартов и руководств по обеспечению безопасности для различных операционных платформ. Требования и рекомендации, предлагаемые для включения в стандарты, широко обсуждаются и проверяются участниками проекта SCORE, и только после их одобрения всеми участниками передаются в CIS, который занимается их формализацией и оформлением, а также разрабатывает программные средства (minimum standards benchmarks) для оценки соответствия операционных платформ предложенным стандартам. Программа сертификации “GIAC Site Certification“ определяет три уровня защищенности интернет—сайтов. На практике, в настоящее время, используются только первые два из них. Сертификация сайта на первом уровне предполагает проверку внешних сетевых адресов организации, видимых из сети Интернет, на предмет уязвимости соответствующих машин в отношении сетевых атак. На этом уровне должна быть обеспечена защита сайта от наиболее распространенных атак. Требуется отсутствие наиболее серьезных и часто встречающихся уязвимостей защиты. Предъявляются также определенные требования к уровню квалификации специалистов, отвечающих за обеспечение безопасности сайта. На втором уровне, в дополнение к соблюдению требований первого уровня, полагается осуществлять периодический пересмотр политики и процедур обеспечения сетевой безопасности. Также производится проверка защищенности сайта от сетевых атак путем осуществления попыток проникновения и взлома систем, подключенных к Интернету.
На третьем уровне, помимо обеспечения соответствия всем требованиям второго уровня, требуется также регулярно проводить сканирование сети изнутри с целью защиты от угроз со стороны внутренних нарушителей, а также внешних злоумышленников, пытающихся преодолеть механизмы защиты внешнего периметра сети путем использования совершенных методов, включая методы социального инжениринга. От уровня к уровню ужесточаются требования, предъявляемые к квалификации специалистов, организационной структуре подразделений, занимающихся вопросами защиты, наличию формальных политик и процедур, а также строгости и глубине тестов, используемых для проверки механизмов защиты интернет—сайта организации.
Безопасность INTERNET, INTRANET,электронной почты
Анализ безопасности сети Развитие современных информационных технологий ведет к тому, что происходит постепенный переход к объединению автономных компьютеров и локальных сетей в единую корпоративную сеть организации. Помимо явных преимуществ такой переход несет с собой и ряд проблем, специфичных для корпоративных сетей. С этими проблемами приходится сталкиваться как специалистам служб безопасности, так и сотрудникам управлений автоматизации. К причинам, приводящим к возникновению таких проблем, можно отнести: • Сложность и разнородность используемого программного и аппаратного обеспечения. В настоящий момент очень трудно встретить сети, построенные на основе только одной сетевой операционной системы (ОС). Опыт показывает, что в российских организациях используется следующий вариант построения корпоративной сети: рабочие станции под управлением Windows 95 и Windows NT, Windows-2000?а в качестве сетевой операционной системы используется Novell Netware и Windows NT или 2000. Системы обширного семейства UNIX пока не получили широкого распространения в России. Большое число конфигурационных параметров используемого программного и аппаратного обеспечения затрудняет его эффективную настройку и эксплуатацию.
• Большое число узлов корпоративной сети, их территориальная распределенность и отсутствие времени для контроля всех настроек. Уже не редкость, когда узлы, объединенные в корпоративную сеть, разбросаны по разным территориям не только одного города, но и региона. Эта особенность, а также отсутствие времени на контроль всех настроек, не позволяет администраторам лично и своевременно контролировать деятельность пользователей системы на всех узлах корпоративной сети и соответствия настроек программного и аппаратного обеспечения заданным значениям. • Подключение корпоративной сети к сети глобальной Internet и доступ внешних пользователей (клиентов, партнеров и пр.) в корпоративную сеть. Данная причина приводит к тому, что, зачастую, очень трудно определить границы сети и всех, подключенных к ней пользователей, что может привести к попыткам несанкционированного доступа к защищаемой информации. Одной из важных проблем, возникающей вследствие действия названных причин, является увеличение числа уязвимостей корпоративной сети. Поэтому для их устранения и обеспечения надлежащего уровня защищенности информации, циркулирующей в корпоративной сети, применяются различные механизмы и средства обеспечения безопасности. Соответствующая настройка этих средств зависит от технологии обработки информации, принятой в организации, порядка и правил обращения с защищаемой информацией. Совокупность таких правил, законов и практических рекомендаций по обеспечению безопасности, охватывающих все особенности процесса обработки информации, называется политикой безопасности. К средствам, обеспечивающим политику безопасности и, соответственно, защиту технологии обработки информации, можно отнести межсетевые экраны, системы обнаружения атак, системы шифрования трафика, системы контроля "мобильного кода" (Java, ActiveX) и т.п. Однако при использовании этих средств возникает закономерный вопрос: "А правильно ли настроены используемые механизмы защиты? Решают ли они все возложенные на них задачи?". Другими словами, насколько надежно обеспечивает реализованная политика безопасности защиту ресурсов корпоративной сети от внешних и внутренних нарушителей? Существует несколько различных методов контроля правильности политики безопасности и средств, их реализующих. Этой статьей я начинаю обзор таких методов и средств. Будут рассмотрены различные варианты - от простых, доступных небольшим организациям и не требующим больших материальных затрат, до более дорогостоящих, и более эффективных. Первый вариант, самый простой и доступный, - это ознакомление с информационными бюллетенями, описывающими обнаруживаемые уязвимости и методы их устранения. Этот способ абсолютно не требует никаких материальных затрат, кроме оплаты подключения к Internet, т.к. эти бюллетени распространяются абсолютно бесплатно всем заинтересованным лицам. Второй вариант, позволяющий своевременно обнаруживать нарушения политики безопасности, - применение автоматизированных средств анализа защищенности. Данные средства, имитируя атаки злоумышленников, позволяют выявлять уязвимости в корпоративной сети и выдавать рекомендации по их устранению. Причем использоваться данные средства могут не только отделами защиты информации, но и управлениями автоматизации для контроля правильности настройки сервисов и протоколов сети, настроек операционных систем и прикладных программ и т.п. Применение средств, автоматизирующих работу администратора, не может заменить специалиста по информационной безопасности. Они могут лишь автоматизировать поиск некоторых уязвимостей и подтвердить, что анализируемая система свободна от некоторых из них. Поэтому наиболее эффективным, хотя и не всегда приемлемым, способом контроля нарушений политики безопасности является приглашение специалистов внешних организаций для анализа защищенности узлов корпоративной сети. Этот метод получил название "tiger team", по названию групп специалистов, исследовавших автоматизированные системы Министерства Обороны США.
Каждый из указанных методов имеет свои достоинства и свои недостатки, свои ограничения на применение. И в данной серии статей я постараюсь подробно описать варианты применения различных методов анализа защищенности.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|