Политики безопасности компании при работе в Интернет
Шрифт:
Оглашая политику безопасности
Чтобы политика безопасности действительно работала, ее необходимо довести до сведения пользователей и системных администраторов. Ниже объясняется, что и как следует говорить этим людям.
Обучая пользователей. Пользователи должны знать, как правильно использовать компьютерные системы и как защитить себя от неавторизованных лиц. Существует несколько способов такой защиты:
правильное использование системных счетов и/или рабочих станций;
Всем пользователям необходимо разъяснить, что подразумевается под «правильным» использованием системных счетов и рабочих станций. Проще всего это сделать, когда пользователь получает новый счет и, одновременно, брошюру с текстом политики безопасности. Политика использования обычно должна определять, разрешается ли применять счет или рабочую станцию для личных надобностей (ведение домашней бухгалтерии, подготовка писем), для извлечения доходов, для игр и т. д. В политике могут также содержаться положения, касающиеся лицензионных вопросов. Например, многие университеты имеют учебные лицензии, явным образом запрещающие коммерческое использование систем.
процедуры администрирования счета и/или рабочей станции;
Каждому пользователю необходимо объяснить, как правильно администрировать счет и/или рабочую станцию. В частности, пользователь должен усвоить, как защищать файлы, как выходить из системы или блокировать терминал либо рабочую станцию и т. п. По большей части подобная информация содержится в документации для новичков, поставляемой вместе с операционной системой, хотя во многих организациях предпочитают делать свои дополнения, учитывающие местную специфику.
Если компьютеры вашей организации открыты для модемного доступа по коммутируемым линиям, необходимо проинформировать пользователей об опасностях, присущих подобным конфигурациям. Например, прежде чем получить право на модемный доступ, пользователи должны усвоить, что следует сначала выходить из системы и только потом вешать трубку.
В свою очередь наличие доступа к системе через локальные или глобальные сети несет с собой свой набор проблем безопасности, которые нужно довести до сведения пользователей. Файлы, придающие статус доверенных удаленным хостам или пользователям, должны быть изучены досконально.
выявление нелегального использования счета;
Пользователям необходимо объяснить, как выявлять случаи нелегального использования их счетов. Если при входе в систему выдается время предыдущего входа, пользователи должны его контролировать на предмет согласованности со своими прошлыми действиями.
Командные интерпретаторы некоторых операционных систем (например, C-shell в ОС UNIX) поддерживают историю выполнения команд. Целесообразно время от времени заглядывать в историю, чтобы проверять, не пользовались ли данным счетом другие лица для выполнения своих команд.
процедуры доклада о проблемах.
Должны быть разработаны процедуры, позволяющие пользователям докладывать о замеченных проблемах, связанных с неправильным использованием счета или с другими аспектами безопасности. Пользователям следует сообщить имя и телефон администратора безопасности или соответствующий адрес электронной почты (например, security).Обучая администраторов хостов. Во многих организациях компьютерные системы администрируются самыми разными людьми. Эти люди должны знать, как защищать свою систему от атак и неавторизованного использования и как сообщать о случаях успешного проникновения в назидание коллегам. Для этого применяются следующие процедуры:
процедуры администрирования счетов;
Администрирование счетов требует осторожности. При начальной установке системы с дистрибутива следует проверить элементы файла паролей, соответствующие «стандартным» счетам, заведенным поставщиком. Многие поставщики заводят счета для административного и обслуживающего персонала вообще без паролей или с общеизвестными паролями. Следует или дать новые пароли, или аннулировать ненужные счета.
Иметь счета без паролей очень опасно, поскольку они открывают свободный доступ в систему. Даже счета, при входе по которым запускается не командный интерпретатор, а другая программа (например, программа вывода списка активных пользователей), могут быть скомпрометированы, если установки выполнены некорректно. Опасны и средства «анонимной» передачи файлов (FTP), позволяющие пользователям всей сети входить в вашу систему для перекачки файлов из (обычно) защищенных дисковых областей. Вы должны тщательно взвесить выгоды от наличия счета без пароля в сравнении с риском несанкционированного доступа к системе.
Если операционная система поддерживает «теневые» файлы паролей (хранение паролей в отдельных файлах, доступных только привилегированным пользователям), ими нужно обязательно воспользоваться. В число таких систем входят UNIX System V, SunOS 4.0 или старше и некоторые другие. Поскольку зашифрованные пароли оказываются недоступны обычным пользователям, нападающий не сможет скопировать их на свою машину, чтобы на досуге заняться их раскрытием.
Отслеживайте использование привилегированных счетов (root в ОС UNIX или MAINT в VMS). Как только привилегированный пользователь увольняется или перестает нуждаться в привилегиях, следует изменить пароли всех привилегированных счетов.
процедуры конфигурационного управления;
При установке с дистрибутива операционной системы или дополнительного программного продукта необходимо тщательно проверить результирующую конфигурацию. Многие процедуры установки исходят из предположения надежности всех пользователей в организации, оставляя файлы общедоступными для записи или иным способом компрометируя безопасность.
Тщательной проверке должны подвергаться и сетевые сервисы. Часто поставщики в стандартной конфигурации предполагают надежность всех внешних хостов, что едва ли разумно, если речь идет о глобальной сети, такой, как Интернет.
Многие злоумышленники собирают информацию о слабостях конкретных версий систем. Чем старее версия, тем более вероятно наличие в ее защите известных ошибок, исправленных поставщиком в более поздних выпусках. В этой связи необходимо сопоставить риск от сохранения старой версии (с «дырами» в безопасности) и стоимость перехода на новое программное обеспечение (включая возможные проблемы с продуктами третьих фирм). Из тех же соображений оценивается и целесообразность постановки «заплат», предоставляемых поставщиком, но с учетом того обстоятельства, что заплаты к системе безопасности, как правило, закрывают действительно серьезные дыры.
Другие исправления, полученные по электронной рассылке или аналогичным образом, обычно следует вносить, но только после тщательной проверки. Никогда не вносите исправления, если не уверены, что понимаете все последствия. Всегда есть опасность, что «исправление» предлагает злоумышленник, дабы открыть себе доступ в вашу систему.
процедуры сохранения и восстановления;
Невозможно переоценить важность хорошей стратегии резервного копирования. Наличие копии файловой системы не только выручит вас в случае поломки аппаратуры или нечаянного удаления данных, но и защитит от последствий несанкционированных изменений, внесенных злоумышленником. Без копии, действуя только по методу «максимального правдоподобия», трудно вернуть к первоначальному состоянию все то, что было злонамеренно модифицировано.
Резервные копии, особенно ежедневные, могут быть полезны и для прослеживания действий злоумышленника. Анализируя старые копии, нетрудно выяснить, когда система была скомпрометирована в первый раз. Нарушитель мог оставить следы в виде файлов, впоследствии удаленных, но оставшихся на копии. Резервные копии – это и материал для правоохранительных органов, расследующих компьютерные преступления.
Хорошая стратегия состоит в том, чтобы делать полную копию не реже одного раза в месяц. Частичные (или «инкрементальные») должны делаться не реже двух раз в неделю, а в идеале – каждый день. Предпочтительно использовать команды, специально предназначенные для сохранения файловых систем (dump в случае ОС UNIX или BACKUP на VMS), а не просто команды копирования файлов, поскольку первые обеспечивают возможность восстановления целостного состояния.
процедуры доклада о проблемах.
Как и пользователи, администраторы должны располагать конкретными процедурами доклада о проблемах, связанных с информационной безопасностью. Для больших конфигураций обычно заводят список электронной рассылки, в котором перечисляются все системные администраторы организации. Можно также организовать группу быстрого реагирования по типу CERT или «горячую» линию, обслуживаемую группой поддержки.Ресурсы для предупреждения нарушений безопасности
В этом разделе обсуждаются программные, аппаратные и процедурные ресурсы, которые могут быть использованы для поддержки вашей политики безопасности.
Сетевые соединения и межсетевые экраны. Противопожарные перегородки (firewalls) устанавливают в зданиях, чтобы воспрепятствовать проникновению пламени в защищаемые области. В русском языке получил распространение также термин «брандмауэр», обозначающий устройство аналогичного назначения в автомобиле. Оно защищает салон в случае возгорания двигателя. Применительно к компьютерным вопросам мы будем использовать термин «межсетевой экран». Аналогично, секретариат или приемная являются точками контроля за доступом посетителей в другие части офиса. Подобную технологию можно распространить и на информационную систему предприятия, особенно если речь идет о сетевых соединениях.
Некоторые сети соединяются только с другими сетями той же организации и не имеют выхода во внешний мир. Подобные организации менее уязвимы для угроз извне, хотя злоумышленник все же может воспользоваться коммуникационными каналами (например, коммутируемыми телефонными линиями). С другой стороны, многие организации связаны с другими предприятиями через глобальные сети, такие, как Интернет. Над подобными организациями нависают все опасности, типичные для сетевых сред.
Перед подключением к внешним сетям следует взвесить все «за» и «против». Разумно сделать доступными из внешнего мира только хосты, не хранящие критичной информации, изолируя жизненно важные машины (например, с данными о финансовых или материальных ценностях). Если необходимо включиться в глобальную сеть, рассмотрите возможность ограничения доступа к вашей локальной сети через один хост. Иными словами, все информационные потоки из вашей локальной сети и в нее должны проходить через один хост, играющий роль противопожарной перегородки между вашей организацией и внешним миром. Эту экранирующую систему необходимо строго контролировать, защищать паролями, а функциональные возможности, доступные внешним пользователям, следует ограничить. С помощью такого подхода ваша организация сможет ослабить некоторые внутренние регуляторы безопасности в локальной сети, сохраняя прочно защищенный передний край.
Заметьте, что даже при наличии межсетевого экрана его компрометация может привести к компрометации всей прикрываемой локальной сети. Ведутся работы по созданию экранирующих систем, которые, даже будучи скомпрометированы, все же защищают локальную сеть.
Конфиденциальность. Конфиденциальность, то есть обеспечение скрытности или секретности, – одна из главных практических целей информационной безопасности. Большинство современных операционных систем предоставляют различные механизмы, которые дают пользователям возможность контролировать распространение информации. В зависимости от своих нужд организация может защищать все, может, напротив, все считать общедоступным или занимать место где-то в середине спектра, что большинство организаций и делает (во всяком случае, до первого нарушения режима безопасности).
Как правило, с информацией могут несанкционированно ознакомиться в трех местах: там, где она хранится (на компьютерных системах), там, где она передается (в сети), и там, где хранятся резервные копии (на лентах).
В первом случае для защиты используются права доступа к файлам, списки управления доступом и/или аналогичные механизмы. В последнем случае можно применить физическое ограничение доступа к лентам (например, заперев их в сейф). И во всех случаях помощь способны оказать криптографические средства:
шифрование (аппаратное и программное);
Шифрование – это процесс преобразования информации из читабельной формы в нечитабельную. Коммерчески доступны несколько криптографических пакетов, где шифрование реализовано аппаратно или программно. Аппаратное шифрование значительно быстрее программного; однако это достоинство может обернуться и недостатком, так как криптографические устройства могут стать объектом атаки злоумышленника, пожелавшего расшифровать вашу информацию методом грубой силы.
Преимущество криптографических методов состоит в том, что даже после компрометации других средств управления доступом (паролей, прав доступа к файлам и т. п.) информация остается для злоумышленника бесполезной. Естественно, ключи шифрования и аналогичные атрибуты должны защищаться не менее тщательно, чем файлы паролей.
Передаваемую по сети информацию могут перехватить. Для защиты от этой угрозы существует несколько методов, начиная от простого шифрования файлов перед передачей (шифрование из конца в конец) и кончая использованием специального сетевого оборудования, шифрующего всю передаваемую информацию без вмешательства пользователя (секретные каналы). Интернет в целом не использует секретные каналы, поэтому, если возникает необходимость, приходится использовать шифрование из конца в конец.
стандарт шифрования данных (Data Encryption Standard, DES);
Пожалуй, на сегодняшний день DES является наиболее употребительным механизмом шифрования. Существует ряд аппаратных и программных реализаций этого механизма, а некоторые компьютеры поставляются вместе с программной версией. DES преобразует обычный текст в шифрованный посредством специального алгоритма и «затравки», называемой ключом. До тех пор пока пользователь хранит (или помнит) ключ, он может вернуть текст из шифрованного состояния в обычное.
Одна из потенциальных опасностей любой системы шифрования состоит в необходимости помнить ключ, с помощью которого текст был зашифрован (это напоминает проблему с паролями, обсуждаемую в других разделах). Если ключ записать, он станет менее секретным. Если его забыть, расшифровка становится практически невозможной.Большинство вариантов ОС UNIX предоставляют команду des, позволяющую шифровать данные с помощью DES-алгоритма.
crypt;
Как и команда des, команда crypt ОС UNIX позволяет шифровать информацию. К сожалению, алгоритм, использованный в реализации crypt, весьма ненадежен (он заимствован из шифровального устройства Enigma времен Второй мировой войны), так что файлы, зашифрованные данной командой, нетрудно расшифровать за несколько часов. Пользоваться командой crypt не рекомендуется, за исключением особо тривиальных случаев.
конфиденциальная почта (Privacy Enhanced Mail, РЕМ).
Обычно электронная почта передается по сети в открытом виде (то есть прочитать ее может каждый). Такое решение, конечно, нельзя назвать идеальным. Конфиденциальная почта предоставляет средства для автоматического шифрования электронных сообщений, так что лицо, осуществляющее прослушивание в узле распределения почты, не сможет (легко) эти сообщения прочитать. В настоящее время разрабатывается и распространяется по Интернету несколько пакетов конфиденциальной почты.
Группа по конфиденциальности интернет-сообщества разрабатывает протокол, предназначенный для использования в реализациях конфиденциальной почты.
Аутентификация источника данных. Обычно мы принимаем на веру, что в заголовке электронного сообщения отправитель указан правильно. Заголовок, однако, нетрудно подделать. Аутентификация источника данных позволяет удостоверить подлинность отправителя сообщения или другого объекта, подобно тому, как нотариус заверяет подпись на официальном документе. Цель достигается с помощью систем шифрования с открытыми ключами.
Шифрование с открытыми ключами отличается от систем с секретными ключами несколькими моментами. Во-первых, в системе с открытыми ключами применяются два ключа – открытый, который каждый может использовать (иногда такой ключ называют публичным), и секретный, известный только отправителю сообщения. Отправитель использует секретный ключ для шифрования сообщения (как и в случае DES). Получатель, располагая открытым ключом отправителя, может впоследствии расшифровать сообщение.
В подобной схеме открытый ключ позволяет проверить подлинность секретного ключа отправителя. Тем самым более строго доказывается подлинность самого отправителя. Наиболее распространенной реализацией схемы шифрования с открытыми ключами является система RSA. Она использована и в стандарте Интернета на конфиденциальную почту (РЕМ).
Целостность информации. Говорят, что информация находится в целостном состоянии, если она полна, корректна и не изменилась с момента последней проверки «цельности». Для разных организаций важность целостности данных различна. Например, для военных и правительственных организаций сохранение режима секретности гораздо важнее истинности информации. С другой стороны, для банка важна прежде всего полнота и точность сведений о счетах своих клиентов.
На целостность системной информации влияют многочисленные программно-технические и процедурные механизмы. Традиционные средства управления доступом обеспечивают контроль над тем, кто имеет доступ к системной информации. Однако не всегда эти механизмы сами по себе достаточны для обеспечения требуемого уровня целостности. Рассмотрим некоторые дополнительные средства:
контрольные суммы;
В качестве простейшего средства контроля целостности можно использовать утилиту, которая подсчитывает контрольные суммы для системных файлов и сравнивает их с предыдущими известными значениями. В случае совпадения файлы, вероятно, не изменились; при несовпадении можно утверждать, что кто-то изменил их некоторым неизвестным способом.
Оборотной стороной простоты и легкости реализации является ненадежность механизма контрольного суммирования. Целенаправленный злоумышленник без труда добавит в файл несколько символов и получит требуемое значение суммы.
Особый тип контрольных сумм, называемый циклическим контролем (Cyclic Redundancy Check, CRC), обладает гораздо большей надежностью. Его реализация лишь немногим сложнее, зато обеспечивается более высокая степень контроля. Тем не менее и он может не устоять перед злоумышленником.
Контрольные суммы можно использовать для обнаружения фактов изменения информации, однако они не обеспечивают активной защиты от внесения изменений. По этой причине следует применять другие механизмы, такие, как управление доступом и криптография.
криптографические контрольные суммы.
Криптографические контрольные суммы (называемые также имитовставками) вычисляются следующим образом. Файл делится на порции, для каждой из них подсчитывается контрольная сумма (CRC), а затем эти частичные суммы складываются. При подходящей реализации данный метод гарантирует практически стопроцентное обнаружение изменений файлов, несмотря на возможное противодействие злоумышленника. Недостаток метода состоит в том, что он требует значительных вычислительных ресурсов, так что его разумно применять лишь тогда, когда требуется максимально возможный контроль целостности.
Другой сходный механизм, называемый односторонней хеш-функцией (или кодом обнаружения манипуляций – Manipulation Detection Code, MDC), может быть использован также для уникальной идентификации файлов. Идея состоит в том, что никакие два разных исходных файла не дадут одинаковых результатов, так что при модификации файла хеш-функция изменит значение. Односторонние хеш-функции допускают эффективную реализацию на самых разных системах, что превращает стопроцентное обнаружение изменений файлов в реальность. (Одним из примеров эффективной односторонней хеш-функции является Snefru, доступная по USENET и Интернету.)
Заметим, что помимо обсуждаемых имеются и другие механизмы обеспечения целостности, такие, как совместный контроль со стороны двух лиц и процедуры проверки целостности. К сожалению, их рассмотрение выходит за рамки данного документа.Ограничение сетевого доступа. Протоколы, доминирующие в Интернете, – IP (RFC 791), TCP (RFC 793) и UDP (RFC 768) – предусматривают наличие управляющей информации, которой можно воспользоваться для ограничения доступа к определенным хостам или сетям организации.
Заголовок IP-пакета содержит сетевые адреса как отправителя, так и получателя. Далее, протоколы TCP и UDP поддерживают понятие «порта», идентифицирующего оконечную точку коммуникационного маршрута (обычно это сетевой сервер). В некоторых случаях может быть желательным запретить доступ к конкретным TCP– или UDP-портам, а быть может, даже к определенным хостам или сетям.
К управляющей информации относятся:
шлюзовые маршрутные таблицы;
Один из простейших способов предотвращения нежелательных сетевых соединений состоит в удалении определенных сетей из шлюзовых маршрутных таблиц. В результате хост лишается возможности послать пакеты в эти сети. (В большинстве протоколов предусмотрен двусторонний обмен пакетами даже при однонаправленном информационном потоке, поэтому нарушения маршрута с одной стороны, как правило, бывает достаточно.)
Подобный подход обычно применяется в экранирующих системах, чтобы не открывать локальные маршруты для внешнего мира. Правда, при этом зачастую запрещается слишком много (например, для предотвращения доступа к одному хосту закрывается доступ ко всем системам сети).
фильтрация пакетов маршрутизатором.
Многие коммерчески доступные шлюзовые системы (которые более правильно называть маршрутизаторами) предоставляют возможность фильтрации пакетов, основываясь не только на адресах отправителя или получателя, но и на их комбинациях. Этот подход может быть использован, чтобы запретить доступ к определенному хосту, сети или подсети из другого хоста, сети или подсети. Шлюзовые системы некоторых поставщиков (например, Cisco Systems) поддерживают еще более сложные схемы, допуская более детальный контроль над адресами отправителя и получателя. Посредством масок адресов можно запретить доступ ко всем хостам определенной сети, кроме одного. Маршрутизаторы Cisco Systems реализуют также фильтрацию пакетов на основе типа IP-протокола и номеров TCP– или UDP-портов.
Для обхода механизма фильтрации злоумышленник может воспользоваться «маршрутизацией отправителем». Возможно отфильтровать и такие пакеты, но тогда под угрозой окажутся некоторые законные действия (например, диагностические).Системы аутентификации. Аутентификация – это процесс проверки подлинности «личности», проводимый в интересах инстанции, распределяющей полномочия. Системы аутентификации могут включать в себя аппаратные, программные и процедурные механизмы, которые дают возможность пользователю получить доступ к вычислительным ресурсам. В простейшем случае частью механизма аутентификации является системный администратор, заводящий новые пользовательские счета. На другом конце спектра находятся высокотехнологичные системы распознавания отпечатков пальцев и сканирования роговицы потенциальных пользователей. Без доказательного установления личности пользователя до начала сеанса работы компьютеры вашей организации будут уязвимы, по существу, для любых атак.
Обычно пользователь доказывает свою подлинность системе, вводя пароль в ответ на приглашение. Запросно-ответные системы улучшают парольную схему, предлагая ввести элемент данных, известный и компьютерной системе, и пользователю (например, девичью фамилию матери и т. п.):
Kerberos;
Система Kerberos, названная по имени мифологического пса, охранявшего врата ада, является набором программ, используемых в больших сетях для проверки подлинности пользователей. Разработанная в Массачусетском технологическом институте, она опирается на криптографию и распределенные базы данных и дает возможность пользователям распределенных конфигураций начинать сеанс и работать с любого компьютера. Очевидно, это полезно в учебном или аналогичном ему окружении, когда большое число потенциальных пользователей могут инициировать подключение с любой из множества рабочих станций. Некоторые поставщики встраивают Kerberos в свои системы.
Заметим, что, несмотря на улучшения в механизме аутентификации, в протоколе Kerberos остались уязвимые места.
интеллектуальные карты.
В некоторых системах для облегчения аутентификации применяются интеллектуальные карты (небольшие устройства размером с калькулятор). Здесь подлинность пользователя подтверждается обладанием определенным объектом. Одна из разновидностей такой системы включает в себя новую парольную процедуру, когда пользователь вводит значение, полученное от интеллектуальной карты. Обычно хост передает пользователю элемент данных, который следует набрать на клавиатуре карты. Интеллектуальная карта высвечивает на дисплее ответ, который, в свою очередь, нужно ввести в компьютер. Только после этого начинается сеанс работы. Другая разновидность использует интеллектуальные карты, высвечивающие меняющиеся со временем числа. Пользователь вводит текущее число в компьютер, где аутентификационное программное обеспечение, синхронизированное с картой, проверяет корректность введенного значения.
Интеллектуальные карты обеспечивают более надежную аутентификацию по сравнению с традиционными паролями. С другой стороны, использование карт сопряжено с некоторыми неудобствами, да и начальные затраты довольно велики.
Типы процедур безопасностиПроверка системной безопасности
Частью нормальной деловой жизни многих бизнесменов являются ежегодные финансовые проверки. Проверки безопасности – важная часть функционирования любой компьютерной среды. Элементом таких проверок должна стать ревизия политики безопасности и защитных механизмов, используемых для проведения политики в жизнь.
Проводите плановые учения. Конечно, не каждый день или каждую неделю, но периодически нужно проводить плановые учения, чтобы проверить, адекватны ли выбранные процедуры безопасности предполагаемым угрозам. Если главной угрозой вы считаете стихийное бедствие, на учении могут проверяться механизмы резервного копирования и восстановления. С другой стороны, если вы опасаетесь прежде всего вторжения в систему сторонних злоумышленников, можно устроить учебную атаку, проверив тем самым эффективность политики безопасности.
Учения – хороший способ выяснения результативности политики и процедур безопасности. С другой стороны, они отнимают много времени и нарушают нормальную работу. Важно сопоставлять выгоды от учений и неизбежно связанные с ними потери времени.
Проверяйте процедуры. Если решено не устраивать плановых учений, проверяющих сразу всю систему безопасности, следует как можно чаще проверять отдельные процедуры. Проверьте процедуру резервного копирования, чтобы убедиться, что вы можете восстановить данные с лент. Проверьте регистрационные журналы, чтобы удостовериться в их полноте и т. п.
При проведении проверок необходимо с максимальной тщательностью подбирать тесты политики безопасности. Важно четко определить, что тестируется, как проводится тестирование и какие результаты ожидаются. Все это нужно документировать и включить в основной текст политики безопасности или издать в качестве дополнения.
Важно протестировать все аспекты политики безопасности, процедурные и программно-технические, с упором на автоматизированные механизмы проведения политики в жизнь. Должна быть уверенность в полноте тестирования каждого средства защиты. Например, если проверяется процесс входа пользователя в систему, следует явно оговорить, что будут пробоваться правильные и неправильные входные имена и пароли.
Помните, что существует предел разумности тестирования. Цель проверок состоит в получении уверенности, что политики безопасности корректно проводятся в жизнь, а не в «доказательстве абсолютной правильности» системы или политики. Важно убедиться, что разумные и надежные средства защиты, предписанные политикой, обеспечивают должный уровень безопасности.Процедуры управления счетами
Процедуры управления счетами важны для предотвращения несанкционированного доступа к вашей системе. В этой связи в политике безопасности необходимо дать ответы на следующие вопросы:
• Кто может иметь счет на данной системе?
• Как долго можно иметь счет без обновления запроса?
• Как из системы удаляются старые счета?Помимо определения круга возможных пользователей, необходимо решить, для чего каждый из них имеет право использовать систему (например, допускается ли применение в личных целях). Если имеется подключение к внешней сети, то ее или ваше руководство могут установить правила пользования этой сетью. Следовательно, для любой политики безопасности важно определить подходящие процедуры управления счетами как для администраторов, так и для пользователей. Обычно системный администратор отвечает за заведение и ликвидацию счетов и осуществляет общий контроль за использованием системы. До некоторой степени, управление счетом – обязанность каждого пользователя, в том смысле, что он должен следить за всеми системными сообщениями и событиями, которые могут свидетельствовать о нарушении политики безопасности. Например, выдаваемое при входе в систему сообщение с датой и временем предыдущего входа необходимо переправить «куда следует», если оно не согласуется с прошлыми действиями пользователя.
Процедуры управления паролями
Политика управления паролями важна для поддержания их секретности. Соответствующие процедуры могут варьироваться от эпизодических просьб или приказаний пользователю сменить пароль до активных попыток этот пароль подобрать с последующим информированием владельца о легкости данного мероприятия. Другая часть политики управления описывает, кто может распространять пароли – имеет ли право пользователь сообщать свой пароль другим?
Независимо от политики процедуры управления должны быть тщательно продуманы и подробно регламентированы, чтобы избежать раскрытия паролей. Критичным является выбор начальных паролей. Бывают случаи, когда пользователи вообще не работают в системе и, следовательно, не активируют счета. Значит, начальный пароль не должен быть очевидным. Никогда не присваивайте счетам пароли по умолчанию, каждый раз придумывайте новый пароль. Если существует печатный список паролей, его необходимо хранить подальше от посторонних глаз в надежном месте. Впрочем, лучше вообще обойтись без подобного списка.
Выбор пароля. Пожалуй, пароли – наиболее уязвимая часть любой компьютерной системы. Как бы ни была защищена система от атак по сети или по коммутируемым линиям, от «Троянских коней» и аналогичных опасностей, она может быть полностью скомпрометирована злоумышленником, если тот получит к ней доступ из-за плохо выбранного пароля. Важно сформировать хороший свод правил выбора паролей и довести его до каждого пользователя. По возможности, следует модифицировать программное обеспечение, устанавливающее пароли, чтобы оно в максимальной степени поддерживало эти правила.
Приведем один набор простых рекомендаций по выбору паролей:
• не используйте в качестве пароля производные от входного имени (само имя, обращенное, записанное прописными буквами, удвоенное имя и т. п.);
• не используйте в качестве пароля свое имя, отчество или фамилию;
• не используйте имя супруги (супруга) или детей;
• не используйте другую ассоциированную с вами информацию, которую легко узнать (номера документов и телефонов, марку автомобиля, домашний адрес и т. п.);
• не используйте чисто цифровой пароль или пароль из повторяющихся букв;
• не используйте слов, содержащихся в словаре английского или иного языка, в других списках слов;
• не используйте пароль менее чем из шести символов;
• используйте пароли со сменой регистра букв;
• используйте пароли с небуквенными символами (цифрами или знаками пунктуации);
• используйте запоминающиеся пароли, чтобы не пришлось записывать их на бумаге.
• используйте пароли, которые вы можете ввести быстро, не глядя на клавиатуру.