Рекомендации по обеспечению сетевой безопасности

Аутентификация

Аутентификация авторизованных пользователей предотвращает получение неавторизованными пользователями доступа к корпоративным информационным системам. Использование механизмов аутентификации предотвращает доступ авторизованных пользователей к той информации, просмотр которой им запрещен. В настоящее время главным механизмом аутентификации при внутрисистемном доступе являются пароли. При использовании паролей следует руководствоваться приводимыми ниже рекомендациями.

• Длина пароля. Минимальная длина пароля должна составлять не менее 8 символов.
• Частота смены пароля. Возраст паролей не должен превышать 60 дней. Кроме того, пароли не должны изменяться в течение дня после плановой смены пароля.
• История пароля. Не должны использоваться последние десять прежних паролей.
• Содержимое паролей. Пароли не должны состоять только из букв; они должны представлять комбинацию букв, цифр и специальных символов пунктуации. При изменении паролей система должна в принудительном порядке налагать эти ограничения.

Примечание

Точные характеристики паролей корректируются в зависимости от используемой системы. Например, пароли Windows 2000 обладают самой высокой надежностью, если имеют длину в семь или четырнадцать символов. Пароли из восьми символов лишь немного надежнее, чем пароли из семи символов.

Пароли всегда хранятся в зашифрованном виде и недоступны обычным пользователям. Для систем или информации особой секретности пароли могут не обеспечивать должной защиты. В этих случаях следует использовать динамические пароли или двухфакторную аутентификацию. Имейте в виду, что аутентификация представляет собой комбинацию следующих компонентов.

• То, что известно пользователю, например пароль.
• То, что есть у пользователя, например карта доступа.
• То, что представляет личность пользователя, например отпечаток пальца.

Двухфакторная аутентификация используется для снижения уязвимости каждого типа аутентификационных данных. Например, пароли записываются на бумаге и, следовательно, могут быть раскрыты. Карты доступа можно украсть, а биометрические средства аутентификации дороги и требуют контролируемого или доверенного доступа между пользователем и компьютером.

Все системы организации следует настроить на запуск экранной заставки для удаления информации с экрана и требование повторной аутентификации, если пользователя нет за компьютером больше 10 минут. Если сотрудник оставит компьютер без присмотра, не выходя из сети, то при отсутствии повторной аутентификации злоумышленник сможет использовать этот компьютер под видом работника организации.

Отслеживание

Отслеживание (мониторинг) сетей на предмет наличия подозрительной активности стал необходимым и обязательным действием. Это действие включает как аудит, так и мониторинг сети и системы в реальном времени. Как правило, оно разделяется на аудит и обнаружение вторжений.

Аудит

Аудит - это механизм, записывающий действия, происходящие на компьютере. Журнал содержит информацию о произошедших событиях (вход в систему, выход из системы, доступ к файлам и т. д.), о том, кто выполнил то или иное действие, когда выполнено действие, было ли это действие успешным. Журнал аудита - это материал для исследовательских действий, выполняемых после какого-либо происшествия. Журнал содержит информацию о том, каким образом осуществлено проникновение в компьютерную систему, какая информация считана или изменена. Должна вестись запись следующих событий.

• Вход/выход пользователей.
• Неудачные попытки входа.
• Попытки сетевого подключения.
• Попытки удаленного подключения по телефонной линии.
• Вход супервизора/администратора/основателя.
• Функции, привилегии на выполнение которых имеются у супервизора/администратора/основателя.
• Доступ к секретным файлам.

В идеальном случае эти события записываются в файл, расположенный на защищенной системе - злоумышленник не сможет удалить следы своих действий.

Журналы аудита полезны в том случае, если они регулярно просматриваются. К сожалению, журналы аудита - это одни из наиболее сложных файлов для просмотра вручную. Человеку очень трудно искать в огромном файле журнала несколько записей, которые могут означать некоторое интересуемое событие. Следовательно, в организациях следует использовать автоматизированные средства просмотра журналов аудита. Эти средства представляют собой сценарии, просматривающие файлы журналов на предмет поиска определенных строк текста. Рекомендуется осуществлять еженедельный просмотр журналов аудита.

Совет

Процесс воссоздания часто затрудняется тем, что временные метки в различных журналах не соответствуют друг другу. Чтобы упростить процесс просмотра журнала, рекомендуется синхронизировать часы на всех системах при помощи централизованной системы синхронизации времени, такой как NTP.

Обнаружение вторжений

Системы обнаружения вторжений (IDS) используются для мониторинга сетей или систем и оповещения в реальном времени о событии, представляющем интерес для лиц, обеспечивающих безопасность (см. "Обнаружение вторжений" ). Использование узловой системы обнаружения вторжений помогает при проверке журналов аудита, т. к. дает возможность просмотра файлов журналов. Сетевая IDS используется для мониторинга сети на предмет атак или трафика, который отличается от нормального потока данных, обычно наблюдаемого в сети. Системы IDS обоих типов обеспечивают безопасность посредством выдачи предупреждений и оповещений при наличии необычной активности в системе, тем самым снижая время, затрачиваемое на обработку инцидента.

Внимание!

Не следует ограничиваться только лишь применением IDS. Развертываемая IDS должна быть тесно связана с политикой использования компьютеров и политикой безопасности, а также с процедурами обработки инцидентов, имеющимися в организации.

Шифрование

Секретная информация подвергается опасности при передаче незащищенным способом, например через электронную почту или телефонные линии. Секретная информация подвергается опасности при хранении на незащищенном переносном компьютере. Защиту информации обеспечивает шифрование.

Если уровень секретности информации того требует, информация должна шифроваться при передаче по незащищенным каналам связи или через электронную почту. Используемый алгоритм шифрования должен обеспечивать уровень защищенности, соответствующий степени секретности защищаемой информации. На линиях связи между компьютерами организации должно применяться шифрование канала связи. Если между компьютерами используются VPN-соединения, то VPN должны использовать очень мощное шифрование для всей информации, передаваемой между двумя расположениями.

Если электронная почта используется для передачи секретной информации внутри организации, шифрование сообщений не обязательно. Однако если секретные данные передаются за пределы внутренней сети организации, необходимо шифровать сообщения. Если сообщение передается в другую организацию, следует заранее разработать процедуры, обеспечивающие шифрование сообщения. Некоторые правила (такие как HIPAA) требуют шифрования секретной информации при ее прохождении через открытые сети.

При хранении на переносных компьютерах секретная информация должна находиться в зашифрованном виде. Используемый алгоритм шифрования должен обеспечивать уровень надежности, соответствующий степени секретности защищаемой информации. Система на портативном компьютере должна требовать аутентификацию пользователя перед тем, как он сможет осуществить доступ к информации. В идеальном случае система должна запрещать доступ к информации, если пользователь компьютера недоступен.

При шифровании любых данных следует использовать хорошо известные и проверенные алгоритмы шифрования (см. "Шифрование" ).