Самоучитель системного администратора

9. Безопасность

Расходы на обеспечение защиты информации растут впечатляющими темпами. Но при этом часто не соизмеряют реальную ценность информации с мерами по ее защите и ставят перед собой невыполнимую задачу достижения абсолютной надежности.

В каждом конкретном случае затраты, выделяемые на обеспечение безопасности, должны коррелировать с потенциальной опасностью. Если злоумышленник задастся целью "сломать" систему, он обязательно это сделает и нам не поможет никакая защита. Важно снизить вероятность такого вторжения до экономически оправданных значений и минимизировать возможный ущерб.

Человеческий фактор

Как руководители, так и системные администраторы должны четко понимать, что удобство в работе пользователей и безопасность предъявляют к системе совершенно противоположные требования. Чем безопаснее система, тем больше ограничений накладывается на текущую работу и тем более неудобной она становится, и наоборот. Проще всего использовать систему, в которой отсутствуют какие-либо ограничения по безопасности данных. Любая реальная система содержит разумные компромиссы, определяемые в каждом конкретном случае индивидуально.

При реализации тех или иных организационных и технических мероприятий всегда следует учитывать человеческий фактор. Если вы потребуете от сотрудников частой смены пароля, то, чтобы не забыть, они начнут записывать пароли на различные памятки. Контроль сложности паролей не заставит пользователей формировать их при помощи генераторов случайных чисел. Скорее всего, большинство будет постоянно использовать один и тот же пароль, составленный на основе некоторой осмысленной последовательности символов, изменяя в нем (когда настанет срок очередной смены пароля) по одному символу.

Любая идеально спроектированная система защиты окажется неработоспособной, если она не будет учитывать практические аспекты эксплуатации информационной системы.

Интернет-ресурсы, посвященные безопасности

Системному администратору необходимо быть достаточно информированным о текущем состоянии компьютерной безопасности. Это предполагает периодическое ознакомление с данными специализированных сайтов, посвященных этой тематике, по возможности подписку на оповещения об обнаруженных критических уязвимостях.

Отмечу следующие источники.

SecurityFocus (http://www.securityfocus.com).
Сайт позволяет подписаться на многочисленные рассылки по проблемам безопасности. Честно говоря, автору больше нравится читать приходящие сообщения электронной почты, чем периодически посещать страницы Интернета, выясняя новости сайтов.
Packet Storm (http://www.packetstormsecurity.org).
Сайт включает в себя перечни эксплойтов, сценариев, кодов, которые применяются при атаках на компьютерные системы. Эти коды собираются с андеграунд-сайтов, правда, не всегда оперативно. Но информация сайта, а также приведенные на нем ссылки на ресурсы Интернета заслуживают внимания администратора.
CERT vulnerability notes (http://www.kb.cert.org/vuls/).
Сайт, на котором публикуется информация об уязвимостях от группы United States Computer Emergency Readiness Team. Эта группа существует с 2003 года и занимается анализом и предупреждением кибер-преступлений в США.
На сайте также можно осуществить подписку на рассылку об обнаруженных уязвимостях.
Common Vulnerabilities and Exposures (MITRE CVE, http://cve.mitre.org).
Сайт посвящен вопросам стандартизации уязвимостей.
IBM Internet Security Systems (http://xforce.iss.net).
Сайт ISS (Internet Security Systems) — организации, являющейся одним из лидеров изучения безопасности и осуществляющей круглосуточный мониторинг Интернета. Администраторы могут загрузить различные патчи, устраняющие те или иные уязвимости.
Еженедельная рассылка @RISK (http://www.sans.org/newsletters/risk/).
Институт SANS (SysAdmin, Audit, Network, Security) занимается изучением уязвимостей и обучением специалистов безопасности. Данные об обнаруженных уязвимостях публикуются институтом в нескольких периодических рассылках, на одну из которых можно подписаться по указанному ранее адресу.
Русскоязычный сайт с исследованиями уязвимостей (http://securityvulns.ru/).
Группа реагирования на компьютерные инциденты (http://www.ciac.org/ciac/ index.html).

Попытаемся разложить по полочкам

Защита информации представляет собой настолько всеобъемлющую задачу, что очень легко запутаться во всех мерах защиты. Прежде чем начать что-то делать, ответьте на несколько вопросов:

что нужно защищать;
где нужно защищать;
от чего нужно защищать.

И только после этого можно решать как защищать.

Что защищаем

Информация может быть различных категорий. Часть данных публична, часть — является коммерческой тайной, часть подлежит защите как имеющая соответствующий гриф.

При этом системный администратор должен иметь четкое представление, каким категориям работников организации и в каком объеме разрешен доступ к информации определенного уровня. Соответствующее распоряжение должно быть сформулировано руководителями бизнеса совместно со специалистами.

Где защищаем

Необходимо четко представлять, где и как обрабатывается информация, как построена сеть организации, как данные из одной программы переносятся в другую, каким способом реализуется доступ в глобальную Сеть и т. п.

Объем информации зависит от уровня необходимой защиты. Например, если мы предполагаем реализовывать защиту от утечки данных через электромагнитное излучение, то должны получить схемы электропитания с указанием расположения кабелей (насколько они близко проложены к информационным линиям), схемы охранной и пожарной сигнализации, заземления, расположения оборудования относительно окон и т. п.

Чем точнее и полнее будет собрана информация, тем лучше можно будет организовать защиту.

От чего защищаем

После того, как в организации определено, что и где подлежит защите, необходимо подготовить список угроз, которым подвержена система. Говорят, что в этом случае нужно составить модель угроз.

Информация может быть утеряна, повреждена (временно недоступна) или же стать доступной третьим лицам. Все эти события нежелательны для системы. Причины, способные привести к указанным событиям, можно разделить на следующие группы:

умышленные действия пользователей, имеющих доступ к информации и/или настройкам системы;
не умышленные, ошибочные действия пользователей, имеющих доступ к информации и системе;
умышленные действия лиц, не имеющих доступа к информации;
отказ оборудования, порывы кабелей и т. д.

Для удобства подготовки мер противодействия удобно рассматривать эти угрозы по следующим уровням информационной системы:

уровню сети (уязвимости протоколов TCP/IP, канального уровня);
уровню операционных систем (особенности реализации и уязвимости различных ОС);
уровню управления базами данных (выделен особо, поскольку практически все информационные системы используют те или иные базы данных);
уровню прикладных приложений.

Таким образом, последовательность подготовки мер по защите информации будет выглядеть примерно так. Рассматриваем транспортный уровень сети. Что могут сделать допущенные к управлению сетью пользователи? Наверное, получить несанкционированный доступ к информации, модифицировать ее в своих интересах или нарушить связь. После этого пытаемся в общих чертах сформулировать возможности по каждому выявленному риску. Например, для получения доступа можно изменить настройки оборудования и направить копию данных на интерфейс своего компьютера. Можно подключиться к порту оборудования в другой частной сети, если для этого порта не настроен контроль доступа. И так далее.

После того как мы сформулируем риски, можно уже приступать к выработке мер противодействия.

Понятно, что для выявления возможных рисков и подготовки мероприятий необходимо наличие соответствующего опыта у системного администратора. Хотя для начала работ вполне достаточно тех материалов, которые есть в свободном доступе.

Наиболее трудоемки в определении риски, связанные с конкретной реализацией информационной системы и используемым в ней программным обеспечением. Чтобы правильно предусмотреть возможные опасности при использовании на одном компьютере программного продукта "А", на другом — "В" и при наличии, например, конкретного типа хранения данных на сервере, нужно обладать высокой квалификацией практически по всем используемым продуктам.

Хорошо, если такие специалисты в организации есть, и они могут выработать какие-либо предупреждающие мероприятия. В подавляющем же большинстве случаев используется информация только о типовых уязвимостях, которые известны техническому персоналу.

Примечание

В силу особой важности этого положения, хочу еще раз акцентировать внимание на том, что ни одна программа, сканирующая сеть на наличие уязвимостей, ни одна аудиторская организация, приглашенная для анализа безопасности, не смогут предложить вам исчерпывающий перечень мероприятий. В большинстве случаев вы получите анализ типовых уязвимостей в типовой структуре. Так, сканеры безопасности проверяют, прежде всего, реализацию всех мер, предлагаемых изготовителем в инструкции по повышению безопасности (см. разд. "Индивидуальная настройка серверов" далее в этой главе), и установку обновлений (см. разд. "Исключение уязвимостей программного обеспечения" далее в этой главе). При сертификации системы особое внимание уделяется наличию комплекта организационно-распорядительной документации (приказов, инструкций, матриц доступа и т. п.). "Закрытие" всех этих уязвимостей не даст шанса "покоиться на лаврах".

Как защищаем

При выработке мер противодействия нужно учитывать стоимостные факторы. Как правило, существует несколько возможных путей решения, и вам необходимо, исходя из специфики организации, выбрать оптимальный. Например, риску кражи сервера с важной информацией можно противопоставить введение круглосуточной охраны, а можно предусмотреть какое-либо аппаратное шифрование данных на жестком диске. Если стоимость сервера меньше стоимости мер его защиты от пожара, то выгоднее пожертвовать конкретным компьютером, ограничившись резервным копированием данных.

В итоге описанной ранее процедуры анализа вы получите достаточно большой перечень возможных рисков. Понятно, что реализовать все мероприятия будет практически невозможно. Поэтому следует руководствоваться достаточно общим правилом "30/70": 70% всех уязвимостей могут быть закрыты реализацией лишь 30% мероприятий, надо только правильно ранжировать их по значимости.

К сожалению, практика оперативного появления в продаже практически любых баз данных, имеющих коммерческое значение, свидетельствует, что многие меры защиты существуют больше "для отчетности", чем реально обеспечивают конфиденциальность информации. Без постоянного внимания к вопросам информационной безопасности говорить о безопасности бессмысленно.

Три "кита" безопасности

Объем работ по обеспечению безопасности информационной системы составляет основную часть рабочего времени системного администратора, поэтому важно правильно организовать свою работу. На какие принципиальные моменты я бы советовал обратить внимание.

Обеспечьте документальное оформление безопасности информационной системы организации.
Все действия, которые предпринимает системный администратор в части тех или иных технических настроек системы, являются только реализацией требований, которые должны быть заложены в концепции информационной безопасности предприятия и реализующих ее конкретных положениях и инструкциях.
Реализовывайте эшелонированную систему обороны.
При организации мер защиты информационной системы возьмите курс на создание нескольких рубежей защиты. Взломать два уровня защиты гораздо сложнее, чем один.
Так, антивирусную защиту можно настроить на сервере (анализ сообщений на почтовом сервере, проверка трафика Интернета на прокси-сервере и т. п.) и на компьютере пользователя. Проверку пользователя можно выполнять как при физическом подключении (настройкой безопасности портов активного оборудования), при входе в сеть, при запуске прикладной программы (используя аутентификацию при входе в задачу) и т. д.
Постоянно контролируйте систему.
Ни одни правила не выполняются, пока нет реального контроля. Не доверяйте радужным отчетам. Проводите независимый контроль, организуя специальные проверки. Анализируйте данные статистики: отклонения от "нормального" поведения могут свидетельствовать о готовящейся атаке. Например, на одном из предприятий кража данных была обнаружена анализом статистики сетевого трафика: пользователь копировал информацию в ночное время, и эти действия проявились повышением сетевого трафика в часы, когда подобной активности не предполагалось.

И последний совет. Сколько бы усилий вы не прилагали, защищая систему, всегда может обнаружиться уязвимость, которая может позволить злоумышленнику провести успешную атаку. Поэтому целью защиты должна быть не гарантия 100%-й надежности — это недостижимая цель, а реализация таких мер, которые позволят уменьшить эффект от вторжения и с минимальными затратами для предприятия восстановить работу информационной системы.

Типовые меры защиты информационной системы

В каждой организации "лидеры" по эффективности мер обеспечения безопасности будут свои. Тем не менее существуют типовые мероприятия, реализовывать которые необходимо любому системному администратору. Условно эти меры можно сгруппировать по следующим характеристикам:

выработка организационных мероприятий обеспечения безопасности;
реализация мер защиты информационной системы от внешних угроз;
реализация мер защиты серверов и станций от злонамеренного ПО;
защиты информации периметром организации.