15.3.2. Аудит безопасности для корпоративных пользователей
Несмотря на постоянное развитие технологий безопасности Интернет/Интранет, положение дел в практике обеспечения информационной безопасности в российских компаниях вызывает беспокойство. Это вызвано следующими причинами:
-
возрастает роль информационных технологий в поддержке бизнес–процессов отечественных компаний, повышаются требования к качеству и безопасности процессов обработки, хранения и передачи данных, возрастает структурная и функциональная сложность корпоративных информационных систем, а следовательно, и возрастает цена ошибок и сбоев информационных систем. Эта причина нейтрализуется способностью компании обеспечить возрастающие требования в области информационной безопасности;
-
эволюционное развитие Интернет/Интранет–технологий приводит к появлению все большего числа уязвимостей операционной среды, многочисленных служб и сервисов, а также протоколов ТСР/IР, которые на практике ранее были не известны и не изучены, что в свою очередь приводит к росту уязвимости и незащищенности корпоративных информационных систем. Данная проблема решается постоянным отслеживанием и анализом выявленных уязвимостей с целью дальнейшего их оперативного устранения;
-
постоянное усложнение компьютерных информационных систем повышает квалификационные требования к обслуживающему персоналу, приводит к усложнению процедур выбора решений и выполнения политики безопасности компании, обеспечивающих приемлемый уровень информационной безопасности при допустимом уровне затрат. Эта проблема решается в рамках кадровой политики и определяется возможностью получения объективной информации о состоянии системы.
Рассмотрим актуальность аудита безопасности для корпоративных пользователей на примере наиболее используемых сервисов, реализованных в компьютерных сетях.
1. Безопасность электронной почты.
Безопасность электронной почты должна обеспечиваться как на уровне администрации сети, так на уровне конечного пользователя. В общем случае пользователь не является специалистом по технологиям Интернет и обучен работать с определенной почтовой программой без понимания деталей того, что происходит во время приема, отправки и чтения сообщений, и не может идентифицировать и анализировать нештатную ситуацию. Служба электронной почты предприятия должна быть организована так, чтобы администратор мог перехватить как можно большее число потенциальных инцидентов еще до начала работы пользователя.
На уровне конечного пользователя опасность для компьютера могут представлять только запущенные на этом компьютере программы, пересылка текстовых сообщений совершенно безвредна, но любая программа, содержащаяся во вложении к письму и неосторожно (либо автоматически) запущенная при его прочтении, может причинить компьютеру вред. Избежать этого можно следуя нескольким простым правилам:
-
никогда не конфигурировать свою почтовую программу на автоматическое открытие приложений. При получении письма с вложением его следует извлекать в отдельный файл на диске и проверять антивирусной программой. При получении письма с неизвестным вам типом файла или с неожиданным для данного отправителя приложением, следует до открытия файла попросить у отправителя разъяснений. по поводу этого приложения.
Нужно иметь в виду, что не только .ехе - файлы, но и файлы Visual Basic Script (vbs), Microsoft Office (Word, Excel), файлы HTML, Postscript (.ps), Program Information File (.pif) в общем случае являются программами и могут содержать вредоносный код.;
-
убедиться, что почтовая программа не опускает расширение и не сокращает слишком длинное имя. Система (по крайне мере, MS Windows) будет интерпретировать файл по его последнему расширению; ни имя файла, ни расширения, предшествующие последнему, значения не имеют, то есть файл Документ.txt.ехе будет интерпретирован как исполнимый .ехе-файл;
-
своевременно обновлять базу данных антивирусной программы и проводить периодическую проверку всех файлов системы. Некоторые современные почтовые серверы производят автоматическую проверку вложений в проходящих через них письмах на наличие вредоносных программ. Следует проконсультироваться у сетевого администратора или провайдера, производится ли такая проверка и какие именно типы приложений проверяются.
Проблема безопасности электронной почты состоит также в возможности фальсификации адреса отправителя в протоколе SMTP, с помощью которого письма пересылаются через Интернет. Частично эту проблему можно решить правильной конфигурацией почтовых серверов, но полностью ликвидировать эту угрозу нельзя.
Фальсификация адреса отправителя относится к типу атак, называемых social engineering. Для борьбы с подобными угрозами всем пользователям сети должна быть четко разъяснена политика безопасности на предприятии и, в частности, то, что администратор никогда не попросит пользователя сообщить свой пароль.
Поскольку почтовые сообщения передаются через Интернет в открытом виде, пользователю нужно иметь в виду, что любое отправленное им письмо может быть прочитано злоумышленником, и любое полученное им письмо может оказаться фальсификацией. Эти проблемы могут быть решены только с помощью шифрования сообщений и цифровой подписи.
Еще одна проблема безопасности – открытая передача имени пользователя и пароля при доступе пользователя к серверу электронной почты. Для доступа к серверу почтовая программа пользователя использует действующие версии протокола POP. Для получения почты с сервера пользователь должен предоставить пароль, который передается через сеть на сервер. Иногда пароль требуется и при отправке сообщения (в этом случае используется протокол SMTP). Перехват пароля позволит злоумышленнику не только свободно читать адресованные пользователю письма или удалять их с сервера до того, как к ним получит доступ адресат.
Часто «почтовый» пароль пользователя совпадает с «системным». Многие пользователи из соображений удобства вообще используют один и тот же пароль для получения почты и входа в различные системы предприятия (WWW-серверы, сеть Windows). Перехватив такой пароль, злоумышленник получит доступ к другим, возможно, лучше защищенным и более ответственным, системам.
Защититься от перехвата пароля можно применяя методы аутентификации, не требующие передачи пароля в открытом виде (APOP, SASL), или шифруя все передаваемые между клиентом и сервером данные (SSL). И POP-клиент, и сервер должны поддерживать используемый протокол APOP или SSL.
На уровне администратора проблема безопасности электронной почты представляется следующим образом.
Система электронной почты предприятия должна быть организована так, чтобы весь почтовый трафик (по крайней мере, весь почтовый трафик между корпоративной сетью и Интернет) проходил через один почтовый сервер.
В этом случае администратор имеет возможность контролировать проходящие сообщения на предмет опасных вложений и блокировать спам.
Известные производители антивирусных программ (например, Лаборатория Касперского) предлагают специальные модули для почтовых серверов, которые производят проверку корреспонденции на наличие вирусов.
Администратор не может предотвратить фальсификацию почтовых сообщений, т.к. нет никаких прямых средств борьбы с этой проблемой. В общем случае только использование цифровой подписи может гарантировать подлинность сообщения.
Со стороны администратора требует особого внимания обеспечение надежной аутентификации, серьезно затрудняющей возможность перехвата пароля пользователя.
Администратор должен также уделять серьезное внимание предотвращению атак, направленных против почтового сервера. Атаки на почтовый сервер реализуются через почтовое программное обеспечение. Поэтому от администратора требуется своевременное обновление программного обеспечения.
2. Безопасность WWW.
С точки зрения пользователя WWW – это огромная библиотека тексто-графических документов, распределенных по множеству серверов и связанных друг с другом перекрестными ссылками. При этом не все информационные ресурсы WWW могут быть открыты для всеобщего просмотра.
Для того чтобы ограничить доступ к какому-либо ресурсу, используется аутентификация клиента, то есть «клиент должен предоставить имя пользователя и пароль, прежде чем его запрос будет обслужен HTTP-сервером. Но эта мера не обеспечивает защиту передаваемых данных от перехвата.
Для пользователя WWW опасна также, как и электронная почта, а именно:
-
прослушивание передаваемых данных и паролей;
-
загрузка и исполнение на компьютере пользователя вредоносных программ: при этом может либо произойти автоматическая загрузка программного кода браузером без ведома пользователя при просмотре последним определенной Web-странницы, либо пользователь находит на каком-либо сайте ссылку на исполнимую программу и загружает ее. В последнем случае нужно понимать, что загруженная программа может содержать любой вредоносный код. Загрузка известной программы с известного сайта, не дает полной гарантии безопасности. Наличие цифровой подписи говорит только о том, что программа написана определенным автором и не была изменена. Подпись не гарантирует того, что после запуска программа не начнет стирать файлы с жесткого диска. Конечно, программа, подписанная широко известной компанией, вряд ли содержит умышленно введенный вредоносный код, но может содержать ошибки, которые потом могут быть использованы злоумышленником. Что касается программ, содержащих подпись с ничего не говорящей вам фамилией, то от них можно ожидать любых действий. К тому же, если браузер доверяет одной подписанной программе, то он автоматически доверяет всем программам, подписанным тем же автором;
-
подлог документов (ресурсов). Технология обмана пользователя, известная также под названием mirror world, состоит в том, что злоумышленник создает на подконтрольном ему сервере копию другого сайта (или его части). После этого злоумышленник обманом заставляет пользователя обратиться к своему серверу. В результате пользователь, полагая, что работает на сайте, скажем, банка, вводит в HTML-форму номер кредитной карты, который немедленно попадает к злоумышленнику. Аутентификация в этом случае не поможет, поскольку она предназначена для защиты ресурсов сервера, а не пользователя. Более того, использование аутентификации для доступа на сфальсифицированный сервер приведет к сдаче пароля злоумышленнику.
- Теоретические разделы курса “информатика”
- Введение
- Раздел 1. Базовые понятия курса “информатика” Глава 1. Введение в экономическую информатику
- Информационные процессы в экономике. Основные понятия информатики и информатизации
- Информация и данные
- Экономическая информация и ее свойства
- Классификация экономической информации
- Структура экономической информации
- Оценка экономической информации
- Вопросы для самоконтроля
- Контрольные тесты
- Глава 2. Программные средства реализации информационных процессов
- 2.1. Назначение и классификация программного обеспечения
- 2.2.1. Базовое программное обеспечение
- 2.2.2. Классификация операционных систем
- 2.2.3. Сервисное программное обеспечение
- 2.3. Инструментарий технологии программирования
- 2.4. Состав и назначение прикладного программного обеспечения
- 2.4.2. Методо-ориентированные пакеты прикладных программ
- 2.4.3. Пакеты прикладных программ общего назначения
- Вопросы для самоконтроля
- Контрольные тесты
- Глава 3. Технические средства реализации информационных процессов
- 3.1. Техническая основа реализации информационных процессов
- Эволюция компьютерных информационных технологий
- Арифметико-логическое устройство
- Устройство управления и интерфейс
- Процессорная память
- 3.2. Поколения электронных вычислительных машин
- 3.3. Классификация технических средств обработки информации
- 3.4. Персональные компьютеры
- 3.5. Структурная схема персонального компьютера
- Системная шина
- Контроллеры Системная плата
- 3.6. Принципы функционирования персонального компьютера
- Установка адреса начальной команды
- 3.7. Основные архитектурные схемы вычислительных систем
- Память команд
- Память команд
- Память команд
- Память данных
- Память команд
- 3.8. Режимы работы компьютеров
- 3.9. Информация в технических устройствах
- Единицы измерения памяти
- Вопросы для самоконтроля
- Контрольные тесты
- Глав 4. Способы представления информации в компьютерах
- 4.1. Системы счисления
- 4.1.1. Позиционные системы счисления
- Системы счисления
- 4.1.2. Перевод чисел из одной системы счисления в другую
- 4.1.3. Двоичная, восьмеричная и шестнадцатеричная системы счисления
- Представление чисел в двоичной, восьмеричной и шестнадцатеричной системах счисления
- 4.1.4. Выполнение арифметических операций в двоичной, восьмеричной и шестнадцатеричной системах счисления
- Сложение в двоичной системе
- Сложение в восьмеричной системе
- Сложение в шестнадцатеричной системе
- 4.2. Представление числовой информации. Прямой, обратный и дополнительный коды числа
- Диапазон значений целых чисел без знака
- Диапазон значений целых чисел со знаком
- 4.3. Представление символьной информации
- 4.4. Представление графической информации
- Вопросы для самоконтроля
- Контрольные тесты
- Глава 5. Логические основы построения персональных компьютеров
- 5.1. Аппарат алгебры логики
- Базовые логические операции
- 5.2. Основные аксиомы и законы алгебры логики
- 5.3. Логические элементы персональных компьютеров
- 5.4. Логические устройства с памятью
- Вопросы для самоконтроля
- Контрольные тесты
- Раздел 2. Основы алгоритмизации и программирования
- Глава 6. Понятие алгоритма и его основные формы
- 6.1. Алгоритм и его свойства
- 6.2. Формы представления алгоритма
- 1. Начало
- 8. Конец
- 6.3. Базовые алгоритмические структуры
- 6.3.2. Ветвящаяся (разветвлённая) структура
- Опер-р 1
- Опер-р 2
- Опер-р 20
- I нач.Знач.
- 6.4. Этапы развития программирования
- Глава 7. Объектно-ориентированное программирование в среде vba (Visual Basic for Application).
- 7.1. Что такое vba?
- 7.2. Основные понятия и элементы языка vba: объекты, свойства, методы, события, классы объектов
- 1. Объекты
- 3. Классы объектов
- Суперкласс
- Глава 8. Макросы в приложениях ms Office
- 8.1. Понятие макроса
- 8.2. Процесс создания макроса
- 8.3. Запуск макроса на исполнение
- АкБарсБанк
- 8.4. Код (текст) программы макроса и пояснения к нему
- 8.5. Корректировка макросов
- 8.6. Сохранение макросов в виде модулей
- Глава 9. Создание и выполнение vba – программ
- 9.1. Понятие об общем цикле создания vba – программы
- 9.2. Общие принципы построения vba-программы
- 9.3. Написание новых макросов и процедур
- 9.4. Выполнение vba-программы
- 9.5. Обработка ошибок
- Глава 10. Основные элементы языка программирования vba
- 10.1 Типы данных в vba.
- 10.2. Переменные vba.
- 10.3. Объявление переменных
- 10.4. Область действия переменной
- 10.5. Присвоение значения переменной
- 10.6. Константы
- 10.7. Массивы
- 10.7.1. Одномерные массивы
- 10.7.2. Многомерные массивы
- 10.8. Статические и динамические массивы
- 10.9. Структура текста программы и комментарии
- Глава 11. Примеры реализации различных макросов и фрагментов программ
- 11.1. Варианты реализации макросов
- 11.1.1. Порядок создания макросов в Excel
- 11.1.2. Задания на создание макросов в Excel
- 11.2. Варианты реализации разветвляющихся алгоритмов
- 11.3. Варианты реализации циклических алгоритмов
- 11.4. Вариант реализации смешанного алгоритма
- Раздел 3. Основы информационной безопасности
- Глава 12. Введение в информационную безопасность
- 12.1. Понятие информационной безопасности
- 12.2. Угрозы безопасности информации
- 12.3. Объекты и элементы защиты информации в компьютерных системах обработки данных
- Глава 13. Методы и средства защиты информации
- 13.1. Механизмы, методы и средства защиты информации
- 13.2. Средства опознания и разграничения доступа к информации
- 13.3. Криптографические методы защиты информации
- 13.3.1. Основные понятия криптографии
- 13.3.2. Криптографические ключи и методы защитных преобразований
- 13.3.3. Криптографические системы
- 13.4. Электронная цифровая подпись
- Глава 14. Компьютерные вирусы и спам
- 14.1. Понятие вредоносных программ
- 14.2. Понятие компьютерного вируса
- 14.3. Классификация компьютерных вирусов
- 14.4. Программы борьбы с компьютерными вирусами
- 14.5. Меры и средства защиты от компьютерных вирусов
- 14.6. Защита от спама
- Глава 15. Защита информации в корпоративных системах
- 15.1. Цели и задачи корпоративной системы информационной безопасности
- 15.2. Политики информационной безопасности
- 15.2.1. Основные понятия политик безопасности
- 15.2.2. Основные причины создания политик безопасности
- 15.2.3. Разработка политик безопасности
- 15.2.4. Пример постановки задачи разработки политики информационной безопасности предприятия
- 15.2.5. Особенности разработки политик безопасности в России
- 15.3. Аудит безопасности корпоративных систем Интенет/Интранет
- 15.3.1. Понятие аудита безопасности
- 15.3.2. Аудит безопасности для корпоративных пользователей
- 15.3.3. Возможности аудита безопасности
- 15.3.4. Практические шаги аудита безопасности
- 15.4. Проектирование системы обеспечения информационной безопасности предприятия
- Список литературы
- Содержание