Не бывает двух компьютеров или сетей, идентичных по природе, цели или потребности в безопасности. Поэтому точная реализация методов управления (controls) (усилий, направленных на снижение вероятности появления изъяна) и мер обеспечения безопасности (safeguards) (механизмов, правил и процедур, защищающих ценности от угроз) должна варьироваться от одной сети к другой. В этой главе представлен обзор необходимых основ управления. Глава 12 рассматривает определенный вид управления: управле ния доступом, а остальные главы охватывают различные меры обеспечения безопасности. Методы управления физическим доступом В большинстве организаций управление физическим досту пом к зданиям и любым помещениям, где установлены большие ЭВМ и серверы, в целом отвечает требованиям. Однако, посетив некоторые организации, мы убедились, насколько просто попасть в якобы защищенную зону. Охранники всегда любезно подержат дверь, а служащие по могут внести тяжелые вещи. Если вы покидаете защищенную зону с каким-то тяжелым оборудованием, - всегда найдется тот, кто подкатит вам тележку. Да Бог с ними, с нашими путешествиями; посмотрим лучше, что можно сделать простейшей пластиковой вилкой. Как обойти систему защиты с помощью пластиковой вилки и отвертки 21 февраля 1990 года аналитик по бюджету Мэри Пирчем пришла на работу. Когда она набрала свой четырехзначный код в системе защиты и произнесла свое имя по специальному телефону, дверь не открылась. Мэри по пробовала еще пару раз и затем решила проникнуть в помещение иным способом. Вместе со своим сотрудником Джерри Покорски она открыла дверь черного хода с по мощью пластиковой вилки и карманной отвертки, кото рые оказались в сумочке. Система, которую она пере хитрила, была новой фирменной системой защиты ($44 000), откликающейся на голос, которую производитель рекламировал как "практически безотказную". (Эту ис торию поведал Corporate Security Digest за 7 мая 1990 года.) Мы можем сделать три важных вывода из этого инцидента. Если вы закрыли парадный вход, нарушители могут воспользоваться запасным. Изъяны в защите обычно обнаруживаются не сразу и чаще всего случайно. Рассчитывая на доверчивость людей, производите ли безапелляционно заявляют о надежности своих систем. Вы должны больше уделять внимания анализу физического доступа при защите своих компьютеров и сетей, чем при защите копировальных автоматов и пишущих машинок. Тщательно анализируйте: Удаленные средства. Физический доступ к любому узлу сети открывает доступ ко всей сети. Каждый узел, видимо, заслуживает адекватного управления физическим доступом. Компоненты линии связи. Обеспечьте управление физическим дос тупом к кабелям, усилительным подстанциям, спутниковым антеннам, распределительным щитам и другим частям сети. Обычные средства передачи. Обратите внимание на управление доступом к оборудованию, линиям связи и аппаратуре. Центральные средства управления сетью. Обратите внимание на месторасположение любого сетевого оборудования, используемого для управления и испытания сетевых компонентов. Информационный центр. Проверьте управление физическим досту пом ко всем помещениям, предназначенным для обслуживания пользователей. Материалы пользователя. Проанализируйте, как хранятся руково дства, диски и программное обеспечение, и какое управление физиче ским доступом необходимо в местах хранения. Принтеры. Любые коллективно используемые принтеры нуждаются в тщательном физическом управлении доступом для защиты информа ции, которая от них поступает. Методы управления логическим доступом Управление логическим доступом, например, с помощью системы паролей заключается в идентификации и подтверждении прав пользователей и ограничении их деятельности только определенными действиями и ресурсами. (В выборе слова логический нет никакой особой логики.) Управление логическим доступом не менее важно управления физическим доступом. Управление логическим доступом предполагает следующее. Обеспечение избирательной защиты ресурсов (например, отказ пользователю A в праве доступа к базе данных B, но предоставление пользователю A права доступа к базе данных C). Если компьютер имеет коммутируемые порты, вы должны защитить порты. Предоставление и лишение допуска по всем видам и уровням дос тупа (административная функция). Идентификация и документирование любых нарушений прав досту па и попыток нарушений. Обеспечение простого и понятного способа для администрирова ния (управления) этими возможностями. Учет и хранение информации о том, каким образом защищены те или иные ресурсы, и какие пользователи имеют доступ к тем или иным ресурсам. Для того чтобы в полной мере воспользоваться преимуществом управления доступом, офицер/администратор безопасности должен сделать следующее. Установить, какие именно ресурсы должны быть защищены. Присвоить каждому пользователю уникальный идентификатор. Обеспечить возможность аутентификации, позволяя системе про верить, действительно ли пользователь является тем, за кого он се бя выдает. Для того чтобы удостоверить личность пользователя, сис тема может потребовать от него предъявить пароль, который знает только данный пользователь; специальную карточку (card key), которую имеет только данный пользователь; подпись или отпечатки пальцев, которые свойственны лишь дан ному пользователю. Разработать план допуска пользователя, при котором владелец каждого ресурса мог бы определить, кто имеет право доступа к ре сурсам, и каким образом этот доступ осуществляется. Фиксировать использование ресурса, вычислять отклонения от ожидаемого значения и докладывать эту информацию соответствующим должностным лицам. Принимать меры для устранения проблем и предупреждения их по явления в будущем. Организационные методы управления До появления компьютерных сетей организации применяли традиционные методы управления безопасностью, основанные на организационном разделении организации на самостоятельные подразделения со своими счетами и бюджетами. В организациях, например, отделялся: персонал вычислительных центров от пользователей; одни группы служб в подразделении ВЦ от других; одно множество функций программного обеспечения от других. Сети грозятся поломать эти организационные деления и смешать опять все вместе. Для обеспечения безопасности сети необходим, вероятно, новый подход на организационном уровне. При новом подходе вы должны избежать рассеивания ответственности, когда кто-то там еще следит за безопасностью, а в итоге - никто. Люди не берут инициативу в свои руки, если не уверены, что это их прямая обязанность. При обеспечении безопасности компьютера возложить ответственность на кого-либо так же трудно, как убедить проезжающего автомобилиста остановиться, когда ваш автомобиль поломался, или заставить очевидца пожара энергично взяться за дело и помочь, когда ваш дом горит. Каждый отдельный пользователь должен нести персональную ответственность за определенный перечень обязанностей. В этом перечне нужно точно указать, что должно быть сделано, когда это должно быть сделано, и как это должно быть сделано. Последствия невыполнения перечисленных обязанностей также должны быть четко определены. При новом подходе вы должны доверять другим. В дни больших ВЦ группа обработки данных смотрела на пользователей волком, а пользователи бросали такие же взгляды на эту группу. В наше время каждый несет на себе часть этого груза. Пользователь микрокомпьютера работает с системой, которая может доставлять большинство из тех проблем, с которыми сталкивается большая ЭВМ, и может достигать почти той же производительности, что и большая ЭВМ. Но доверие к другим тре бует следующего. Учреждения системы, которая сведет к минимуму необходимое до верие. Ничего в системе не должно искушать служащих обмануть ваше доверие. Чем меньше требуется доверия, тем лучше. Учреждения системы, которая не разглашает вашу тайну, - недоверие ко всем пользователям. Люди лучше будут работать, если будут осознавать, что им доверяют. Учреждения системы, которая в достаточной степени контролирует работу каждого так, что другие всегда могут определить, оправдано ли доверие. Учреждения системы, доставляющей удовольствие при ее применении, которая заслуживает доверия, а не нареканий пользователя. Система, о которой можно лишь мечтать, не только безопасна, но и приятна в использовании. Как руководители службы безопасности, мы не должны доверять людям только потому, что они заслуживают доверия. Фактически они никогда в полной мере не заслуживают доверия. Мы должны доверять им в меру необходимости. Руководитель, который не доверяет персоналу, делает все сам, никогда не уходит вовремя домой и никогда ничего не доводит до конца. Руководитель, который доверяет персоналу, позволяет выполнить работу, хотя иногда она не настолько хорошо вы полнена, как это мог бы сделать он сам. В век компьютеров не может быть взаимодействия без определенного доверия. Методы управления персоналом Для обеспечения безопасности компьютера и сети необходимо пересмотреть привычные методы управления персоналом, применяемые в вашей организации. Обязательно наведите справки о принимаемых на работу пользо вателях и узнайте, не возникали ли у них проблемы с компьютерными системами. Поскольку большинство компьютерных преступлений не фиксируется, маловероятно, что эти проблемы будут отражены в отчете об уголовных преступлениях. Тем не менее, наведение справок о прошлом служащих может иметь неожиданный эффект. Прочтите о случае с беглецом, который красил подводные лодки Трайдент. Переработайте общие сведения о вашей организации так, чтобы они содержали раздел о компьютерной безопасности. В этом разделе должна быть подчеркнута важность обеспечения мер безопасности для организации, представлены правила, которым должны следовать служащие, и последствия нарушения этих правил. Включите занятия по безопасности в курс подготовки новых слу жащих. Беглец красит Трайденты Один из десяти самых опасных беглецов, разыскиваемых ФБР, который был обвинен в двух убийствах в 1983 г., внезапно объявился в 1990 г. в качестве рабочего, красящего подводные лодки Трайдент на верфи Electric Boat Division в Гротоне, ш. Коннектикут. Вордэл Форд (Wardell Ford) проработал на верфи два года до того, как эта история появилась в телепередаче "Самые опасные люди Америки". Вскоре после выхода передача получила 183 отзыва, в том числе 10 от людей, которые утверждали, что работали с Фордом. Всего лишь через десять дней ФБР удалось определить местонахождение Коннектикута на карте и арестовать Вордэла. Каким образом он ускользал от ФБР в течение семи лет - это сюжет для другой книги. А мы советуем вам получше проверять биографии своих служащих. По-видимому, чтобы получить роботу, Форду достаточно было лишь представиться Майклом Коллинзом. (Эта история была приведена в Corporate Security Digest за 24 сентября 1990 года.) Проверяя исполнительность служащего, оценивайте ее по тем ас пектам, которые касаются компьютерной безопасности. Воздавайте должное пользователям, предпринимающим усилия по защите своих сис тем, и перевоспитывайте тех, кто этого не делает. Увольняя служащего помните, что он может разозлиться, вслед ствие чего может произойти значительное происшествие с тяжелыми последствиями. Сменить все пароли за пять минут до разговора об увольнении - это хорошая идея, поскольку служащий, скорее всего, знает пароли нескольких пользователей. Блокировка всех личных фай лов служащего путем установки атрибута Read Only - не менее хоро шая идея, так как служащий не сможет удалить файлы, которые разра батывались им в интересах организации. Простая ролевая игра, в которой вы играете роль рассерженного служащего, поможет вам определить, какие аспекты компьютерной безопасности следует изменить, и, что очень важно, тщательно прохронометрировать действия по обеспечению безопасности. Но говорить о персонале и управлении на одном дыхании - значит отвлечь вас от самого важного вопроса, связанного с персоналом, который состоит в том, что следует не управлять людьми, а направлять их. Управлять людьми легче всего, когда они хотят делать то, что должны делать. Тогда их не нужно подталкивать или наказывать. Они будут послушны. Глава 26 описывает несостоятельную и очень распространенную организационную парадигму, наносящую вред большинству наших служб, и рекомендует альтернативу, которая будет эффективнее, если ваша цель - безопасность, производительность, качество и удовлетворенность служащих своей работой. Методы управления эксплуатацией Методы управления эксплуатацией - это все те искусные приемы, которые применяют компьютерная система и обслуживающий ее персонал для предотвращения ошибок и восстановления от ошибок. К таким ошибкам, вызванным некомпетентностью или небрежностью, относятся отказ от резервирования файлов, некачественное резервирование, неправильная идентификация резервных копий, ошибочный выбор команды восстановления (restore), вместо резервирования (backup) из меню резервирования и т.п. Вы можете осуществлять управление эксплуатацией следующим образом. Оценить сразу все аспекты сети, гарантируя наивысшую степень надежности и целостности данных, которая только возможна при определенных финансовых ресурсах. Необходимо, например, убедиться в том, что резервирование информации на ленте эффективнее резервирования на гибких дисках, и требовать от пользователей резервирования на ленте. Необходимо убедиться, что сервер имеет хорошую защиту от сбоев питания. Структурировать файлы и каталоги так, чтобы избежать их разрушения. Если вы сбрасываете на жесткий диск файлы из корневого каталога локальных дисков, система может быть случайно переформатирована. Если вы фиксируете информацию о типе дисков ваших ПК, у системы больше шансов выжить после смены батарейки. Если вы поместите в AUTOEXEC.BAT команду UNDELETE /SC, вам будет проще восстановить удаленные файлы. Если вы будете применять меню, снизится потребность в обучении. Этот список можно было бы продолжить, но совет таков: любое организационное или структурное управление, которое предупреждает появление проблем или обеспечивает эффективное их решение, в конечном итоге вознаграждается. Исследовать каждую проблему, решать ее, после чего описывать эту проблему, а также точную причину ее возникновения и способы устранения; определять, что необходимо для предупреждения повторения этой проблемы; предпринимать шаги по предотвращению ее повторения; и направлять соответствующие отчеты как "вверх" (руководству), так и "вниз" (пользователям). Руководство должно знать о проблемах и их решениях; пользователи должны знать, как избежать этих проблем. Организовывать встречи с пользователями для решения больших или часто возникающих проблем. Проверьте, не забыли ли вы пригласить группы, на которые влияет эта проблема или решение, людей, в чьих силах решить эту проблему, и тех, кто считает, что может предложить оптимальное решение. Выслушайте всех. Методы управления разработкой приложений Большинство организаций переходят от централизованной к распределенной разработке приложений. Конечно, имея локальную сеть, многие организации не разрабатывают программное обеспечение, а покупают готовое. Такие перемены обусловлены рядом причин и приводят к положительным результатам. Объем незавершенных работ при создании приложений, учет которого проводился один раз в год, теперь измеряется в реальном масштабе времени. Таким образом, некоторые пользователи могут разра ботать приложение в считанные часы (например, с помощью электронных таблиц на микрокомпьютере). Разрабатываемые приложения в большей степени отвечают реальным нуждам пользователя. Издержки от разработки приложений распределяются по организации, но наносят тяжелый (и вполне заслуженный) удар по отделам, которые больше всего нуждаются в приложениях. Препятствия на пути распределенной разработки приложений связаны с тем, что собственно и было причиной первоначальной централизации штата отделов. Использование нестандартного программного обеспечения, как правило, не имеющего адекватной документации, которое может требовать специального аппаратного обеспечения и не иметь интерфейсов с другим программным обеспечением. Распространение по организации программного обеспечения, разрабатываемого в отделах, которое сложно сопровождать. Сопровождение в отделе разработки обычно усложняется после того, как разработчик покидает организацию. Использование программного обеспечения, содержащего ошибки и работающего некорректно и неэффективно. (Конечно, такое программ ное обеспечение может с успехом разработать и группа обработки данных. Но эта группа, в отличие от многих пользователей, по край ней мере, знает об отладке и тестировании.) Программное обеспечение может иметь лазейки, логические или часовые бомбы. Организациям, которые останавливаются на распределенной обработке в сети, рекомендуются следующие методы управления. Приобретение только утвержденного программного обеспечения, соответствующего стандартам организации. Конечно, список такого программного обеспечения должен обновляться и включать лучшие пакеты для каждой функции. Разработка требований и документации для любого кода, который разрабатывается в отделах. Такие требования должны изменяться в программировании. Даже для электронной таблицы, разработанной в течение часа, необходима определенная документация, хотя на нее не было потрачено и дня. Как минимум, в документации должно быть указано имя разработчика, дата создания, имя программы, ее назначение, язык программирования и место хранения исходного кода. Разработка процедур модификации кода, предусматривающая обязательное адекватное тестирование каждой версии и своевременное повсеместное распространение готовой текущей версии. Сопровождение исходного кода на сервере/центральном узле (а еще лучше на автономной машине, которая не подключена ни к какой сети, если вы действительно хотите ее защитить) и пересылка только объектного кода. Тщательное тестирование новых приложений. Разработка правил тестирования и процедур, включающих формальные просмотры и утверждения. Резервирование всего кода и идентификация резервных копий. Методы управления рабочей станцией Рабочие станции и ПК отличаются в масштабах необходимой защиты. Многие организации прикрепили старые IBM PC к столам, чем лишь причиняют неудобства пользователям, знающим, что рыночная цена этих машин упала до цены замка. Другие же организации хранят портативные компьютеры на общедоступных полках и время от времени обнаруживают, что компьютеры исчезают. Методы управления вашей рабочей станцией должны предусматривать адекватную физическую защиту от кражи, где адекватность означает соизмеримость со стоимостью замены. Физическая защита ПК - это полумера. Если ПК не может быть украден, информация в нем, видимо, не исчезнет, и это прекрасно. Но ПК, не имеющий надлежащего управления доступом, побуждает случайных прохожих беспрепятственно копировать, а также модифицировать или разрушать информацию в компьютере. Вы можете улучшить управление доступом к ПК, закрывая комнату, где он расположен, закрывая кейс, удаляя или блокируя дисководы гибких дисков, подключая программные средства управления доступом (глава 12 дает более глубокое представление об управлении доступом и продуктах управления доступом). Поскольку разноплановая защита сети с большей вероятностью достигнет цели, если защищаться будет каждый узел, обеспечение (помимо физических мер защиты) надлежащего управления доступом к каждому сетевому ПК, невзирая на его стоимость, - хорошее дело. Управление доступом снижает риск, что кто-то будет просматривать экран, копировать файлы или устанавливать резидентные программы перехвата пароля. Методы управления сервером Сервер заслуживает того же уровня защиты, что и большая ЭВМ, при ус ловии сопоставимости значимости хранящейся в нем информации. Вы защищаете сервер так, как и большую ЭВМ. Основные требования к за щите следующие. Держите сервер в закрытой комнате. Используйте приемлемые методы управления доступом для тех, кто обойдет физическую защиту от повреждения или кражи сервера. Поддерживайте чистоту сервера, обеспечьте его постоянным и резервным источником питания с помощью UPS. Поддерживайте подходящую температуру и влажность. Обеспечивайте защиту от пожара (средства сигнализации, огне тушители, огнеупорные стенки и покрытия). Регулярно и часто производите резервирование. Периодически тестируйте системы резервирования. Тщательно маркируйте ленты с резервными копиями. Храните резервные копии в отдельном помещении. Периодически отключайте сервер, снимайте крышку и вытирайте грязь, чтобы помочь вентилятору. Защита передачи данных Вы должны защищать передаваемую информацию от пассивного (немодифицирующего) и активного (модифицирующего) вторжения. Хорошего управления физическим доступом часто достаточно для обеспечения защиты передачи данных. Однако если информация выходит за пределы здания или рассылается по зданию, имеющему многих арендаторов, необходимо прибегнуть к полному шифрованию. Полное шифрование также является необходимой мерой защиты от сетевых анализаторов. Другими средствами защиты от прослушивания являются оптико-волоконный кабель (который не имеет электромагнитного излучения) или кабель, заключенный в пневмооболочку, которая ослабляет излучение и сигнализирует об опасности шипением выходящего воздуха при постороннем подключении к кабелю. При работе сети защиты кабеля недостаточно. Вы должны также побеспокоиться о тех местах, откуда отходят кабели, и куда они входят. Ключевыми элементами управления в любой сети являются коммуникационные процессоры (front-end processor), мосты, шлюзы, терминальные серверы (terminals servers), модемы с обратным дозвоном и другие фильтрующие устройства подключения линий связи. Вы не можете быть уверены в том, что эти элементы работают надлежащим образом, пока не убедитесь в отсутствии скрытых сетей (hidden network) - сетей или соединений (connections), связанных с внешним миром, о которых вы могли не знать. Питер Браун (Peter Browne), региональный директор службы безопасности информационных технологий Coopers & Lybrand статистической фирмы, расположенной в Нью-Йорке, считает, что четыре фактора серьезно мешают менеджерам обеспечить безопасность сети [1]. Бесконечные сети. Сети без концевых точек "являются обрабаты вающими устройствами, подключающимися к базам данных большой ЭВМ, информационным службам и другим пунктам, минуя сетевые физические устройства". Множественность путей в сети и компьютерных системах. Многоуровневость сетей со множеством паролей, что усложняет управление. Широкий ассортимент систем и протоколов, которые могут создавать неучтенные возможности перехода между системами. Например, хакеры, способные проникнуть в компьютер IBM System 36, получают доступ к другим подсоединенным системам IBM. Большие ЭВМ IBM при этом могут считать, что все действия со стороны 36 правомерны, даже те, что производятся извне. Из-за проблем, описанных Брауном, Coopers & Lybrand проводит инвентаризацию всех входных путей, соединительных устройств и средств управления доступом. Этот анализ сетевого пути продолжается по направлению от центра к периферии по всей сети. Анализ пути часто помогает компании оценить свою разветвленную сеть. Он полезен при планировании усовершенствованных методов управления доступом и стратегий нарушение-ответственность. Браун гово рит: "Очень редко компании имеют такой источник информации, как анализ пути, - даже искушенные в делах, ориентированные на сеть организации. Они естественно осведомлены о соединениях первого уровня, исходящих от центра, но не о соединениях второго и третьего уровней". Эти наружные соединения могут быть скрытой сетью, угрожающей безопасности компании. Браун замечает, что "одна из компаний, которую мы обследовали, считала, что имеет шесть локальных сетей в своем здании. А мы обнаружили 70. Люди втихаря покупают, собирают и подсоединяют собственные сети. Был случай, когда анализ пути сети показал, что сеть организации подсоединена к десяти различным большим ЭВМ других компаний, причем некоторые из этих компаний - конкуренты". Каким образом конкуренты становятся частью вашей сети? Иногда это случается, когда конкурент приобретает долевой пай вашей компании или ваша компания принимает долевое участие в бизнесе конкурента. Иногда это случается из-за того, что группы из вашей и конкурирующей фирмы работают над совместными проектами. Запомните, что громоздкие, сложно взаимосвязанные сети более уязвимы, чем маленькие и изолированные. Подумайте, действительно ли ваша организация нуждается в больших сетях, или полезнее и безопаснее иметь побольше сетей меньшего размера. Не забывайте также закрывать всех пользователей в здании на ночь, чтобы они не могли уйти с какой-либо информацией.