Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27033-1-2011 "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 683-ст)
- Приложение А (справочное). Аспекты "технологии" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления
Приложение А (справочное). Аспекты "технологии" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления
Приложение А
(справочное)
Аспекты "технологии" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления
А.1. Локальные вычислительные сети
А.1.1. Вводная информация
ЛВС представляет собой сеть для соединения компьютеров и серверов на небольшом географическом пространстве. Размеры сети варьируются от нескольких связанных систем, например формирующих домашнюю сеть, до нескольких тысяч систем, например, в сети университетского городка. Обычные реализуемые услуги включают в себя коллективное использование ресурсов, таких как принтер, и совместное использование файлов и приложений. Обычно ЛВС также обеспечивают централизованные услуги, подобные обмену сообщениями или электронного календаря. В некоторых случаях ЛВС также используются для замены традиционной функции других сетей, например, если протоколы и сервисы передачи речи по IP предоставляются в качестве замены телефонной сети на основе офисной АТС. ЛВС могут иметь проводную или беспроводную основу.
Проводные ЛВС обычно состоят из узлов, соединенных в сеть через сетевой коммутатор посредством сетевых кабелей, способных обеспечивать возможности высокоскоростной передачи данных. Наиболее широко применяемой технологией проводных ЛВС является Ethernet (IEEE 802.3).
Беспроводные ЛВС используют радиоволны высокой частоты для передачи сетевых пакетов. Их гибкость заключается в быстроте организации локальной сети без необходимости прокладки проводов. Широко известные технологии беспроводных ЛВС включают в себя реализации IEEE 802.11 и Bluetooth.
При использовании ЛВС в пределах физически защищенных областей, например, только в пределах собственных помещений организации, риски, вероятно, будут таковы, что потребуются только базовые технические меры и средства контроля и управления. Однако в случае использования ЛВС в более широкой среде, а также при использовании беспроводных технологий одна только физическая защита вряд ли будет гарантировать достаточный уровень безопасности.
Настольный компьютер представляет собой уязвимую область, так как является пользовательским интерфейсом. Если настольный компьютер не блокируется, существует вероятность установки пользователем несанкционированного программного обеспечения в ЛВС. Серверы, используемые в корпоративной сети, предназначенные для Интернета, и внутренние серверы, не имеющие непосредственного соединения с Интернетом, могут служить источником существенных рисков безопасности, к которым необходимо относиться очень серьезно. Например, несмотря на то, что большинство сотрудников ИТ-отделов утверждает, что они внимательно относятся к осуществлению исправлений в используемом организацией программном обеспечении, даже крупным организациям не удавалось своевременно осуществить такие исправления программного обеспечения на всех серверах, что приводило к разрушению внутреннего сетевого трафика "червями" и вирусами.
А.1.2. Риски безопасности
В проводных ЛВС риски безопасности создаются узлами, физически соединенными с сетью. В общем, основные риски безопасности, имеющие отношение к ЛВС, включают в себя риски, связанные с:
- несанкционированным доступом и изменениями, вносимыми в ПК, серверы и другие, соединенные с ЛВС устройства;
- устройствами, в которых не осуществлены исправления программного обеспечения;
- паролями низкого качества;
- хищением аппаратных средств;
- нарушениями энергоснабжения;
- импортом вредоносной программы через электронную почту и доступ к веб-страницам;
- неудачным резервным копированием локальных жестких дисков;
- отказом аппаратных средств, таких, например, как жесткие диски;
- несанкционированными соединениями с инфраструктурой ЛВС, например, коммутаторами и коммутационными стойками;
- несанкционированными соединениями с выходными устройствами, например дорожными компьютерами;
- паролями по умолчанию на портах управления сетевых устройств;
- вторжениями, при которых происходит раскрытие информации или при которых в дальнейшем не могут быть гарантированы целостность и (или) доступность данных;
- DoS-атаками, когда ресурсы становятся недоступными для уполномоченных пользователей;
- длительным запаздыванием, которое будет оказывать влияние на передачу речи через IP сервисы;
- сбоем устройств;
- повреждением кабеля;
- недостаточной физической защитой.
Риски безопасности, связанные с беспроводными ЛВС, представлены в А.3.2.
А.1.3. Меры и средства контроля и управления безопасностью
Поддержание безопасности пространства ЛВС требует обеспечения защиты компонентов ЛВС и подсоединенных устройств. Таким образом, меры и средства контроля и управления для защиты среды ЛВС могут включает в себя:
- физические меры и средства контроля и управления безопасностью и меры и средства контроля и управления безопасностью, связанные с влиянием среды:
использование систем стальных тросов для защиты центральных процессоров, мониторов и клавиатур от хищения,
использование замков на устройствах для предотвращения хищения таких частей, как запоминающие устройства,
использование устройств неконтактного действия для предотвращения несанкционированного выноса оборудования с территории организации,
обеспечение хранения устройств ЛВС, таких как коммутаторы и маршрутизаторы, в физически защищенных шкафах в безопасных помещениях связи,
использование ИБП с автоматическим отключением для критических устройств и ПК пользователей если пользователи не хотят потерять результаты выполняемой работы;
- аппаратные и программные меры и средства контроля и управления безопасностью:
конфигурирование устройств с частными (например, IP) адресами,
строгая политика паролей,
требование регистрации на каждом ПК/рабочей станции с использованием, по крайней мере, пара идентификатор пользователя/пароль,
отображение времени последней успешной регистрации,
запрет повторного отображения имени пользователя в последней успешной регистрации или любого списка ранее использованных имен пользователей,
установка программных средств защиты от вредоносной программы (включая антивирусные программные средства) и регулярное автоматическое их обновление,
реализация безопасных установок конфигурации,
блокировка дисковода для жестких дисков, дисковода для компакт-дисков и портов универсальной последовательной шины,
зеркальное копирование накопителей сервера (или реализация матрицы независимых дисковых накопителей с избыточностью) для обеспечения избыточности,
удаление ненужного программного обеспечения,
обеспечение обоснованного управления интерактивной средой;
- операционные меры и средства контроля и управления безопасностью:
документирование установок программного обеспечения и безопасности для использования в будущем при конфигурировании новых ПК/рабочих станций,
планирование периодического получения и осуществления исправлений программного обеспечения для операционной системы,
создание и поддержка текущих дисков аварийного восстановления и хранение их в контролируемом месте,
реализация протокола для фиксирования проблем технического обслуживания и ненадлежащего пользования ПК/рабочих станций,
хранение в архиве всей документации компонентов ПК/рабочей станции (документы/руководства/д ки) для использования специалистами по обслуживанию оборудования,
обеспечение режима резервного копирования,
обеспечение изменения паролей по умолчанию на всех сетевых устройствах,
простановка соответствующих имен сообщества/паролей в протоколе сетевого менеджмента,
шифрование сетевого трафика,
надлежащее конфигурирование (в случае доступности) контрольных журналов и реализация процедур их мониторинга,
планирование периодической установки обновленных версий встроенных программ,
документирование настройки оборудования для использования в будущем при повторном его конфи рировании; создание резервной копии конфигурационного файла маршрутизатора и хранение его в безопасном месте,
тестирование всех подсоединенных к локальной вычислительной сети устройств на предмет наличия уязвимостей.
Меры и средства контроля и управления безопасностью, связанные с беспроводными локальными вычислительными сетями, представлены в А.3.3.
А.2. Глобальные вычислительные сети
А.2.1. Вводная информация
ГВС используются для соединения удаленных пунктов и их ЛВС. ГВС могут быть созданы с использованием кабелей и каналов связи провайдера услуг или посредством аренды услуги у провайдера сетей связи. Технологии ГВС дают возможность передачи и маршрутизации сетевого трафика на большие расстояния и обычно обеспечивают широкие возможности маршрутизации для направления сетевых пакетов в ЛВС нужного пункта назначения. Обычно для связи между ЛВС используется физическая общедоступная сетевая инфраструктура, например, выделенные линии, спутниковая связь, или волоконно-оптические кабели. ГВС могут иметь проводную или беспроводную основу.
Проводные ГВС обычно состоят из устройств маршрутизации (например, маршрутизаторов), соединенных с общедоступной или частной сетью телекоммуникационными кабелями. Беспроводные ГВС обычно используют радиоволны для передачи сетевых пакетов на большие расстояния - 10 километров и более.
Хотя традиционные ГВС были первоначально созданы с использованием арендуемых у провайдеров стационарных (магистральных) линий связи, причем провайдер услуг выполнял минимальную управленческую деятельность, связанную с этими линиями связи, помимо обеспечения их функционирования, развитие технологии ГВС привело к перекладыванию ответственности за управление на провайдера услуг, что принесло организациям выгоду, заключающуюся в отсутствии необходимости развертывания собственной сети и управления ею, то есть ответственность в обеспечении уверенности в безопасности менеджмента сети возлагается на провайдера услуг. Кроме того, поскольку ГВС главным образом используются для направления сетевого трафика на большие расстояния, функция маршрутизации должна быть хорошо защищена для обеспечения того, чтобы сетевой трафик не был направлен в ЛВС, представляющую неверный пункт назначения. Поэтому проходящий через ГВС трафик может подвергаться перехвату лицами, имеющими доступ к инфраструктуре ГВС. Поскольку инфраструктура ГВС, по-видимому, более доступна, чем инфраструктура ЛВС, следует соблюдать осторожность, обеспечивая шифрование передаваемой через среду ГВС значимой информации. В договоре с провайдером услуг должен быть оговорен уровень безопасности, необходимый организации, который должен продемонстрировать провайдер.
А.2.2. Риски безопасности
Хотя проводные ГВС разделяют основные риски безопасности с проводными ЛВС (см. А.1), у проводной ГВС существует больше рисков безопасности вследствие более значительной подверженности риску сетевого трафика в ГВС, что означает необходимость наличия мер и средств контроля и управления, включая средства управления доступом, для обеспечения того, чтобы проводную ГВС было нелегко скомпрометировать, вызывая тем самым широко распространяющееся нарушение. Аналогично, хотя беспроводные ГВС разделяют основные риски безопасности с беспроводной ЛВС (см. А.3), они более подвержены нарушениям из-за возможностей преднамеренных помех в системе, используемой для передачи сетевых пакетов. В целом, к основным рискам безопасности, имеющим отношение к ГВС, относятся риски, связанные с:
- вторжением, при котором происходит раскрытие информации или не могут быть гарантированы целостность и (или) доступность данных;
- DoS-атаками, когда ресурсы становятся недоступными для авторизованных пользователей;
- длительным запаздыванием, которое будет оказывать влияние на такие услуги, как передача речи через IP сервисы;
- неустойчивой синхронизацией в сети, которая будет оказывать влияние на качество передачи речи (вызываемой главным образом использованием медных кабелей для поставки услуг);
- сбоем устройств;
- повреждением кабеля;
- устройствами с неосуществленными исправлениями программного обеспечения;
- потерей электроснабжения на транзитной площадке, затрагивающей многие другие риски;
- средствами сетевого менеджмента провайдера услуг.
А.2.3. Меры и средства контроля и управления безопасностью
Основные меры и средства контроля и управления безопасностью, необходимые для обеспечения защиты ГВС, должны включать в себя:
- использование безопасных протоколов управления, таких как SSH, SCP или SNMPv3;
- шифрование каналов управления;
- шифрование сетевого трафика;
- реализацию безопасной аутентификации для получения доступа к устройствам ГВС с соответствующей подачей сигнализации для устройств;
- обеспечение безопасности физического оборудования ГВС на каждой площадке, например, использование запираемых шкафов с сигнализацией доступа;
- использование ИБП для обеспечения защиты от нарушения энергоснабжения;
- двойное соединение узлов сети/связи с использованием разных маршрутов;
- профилактический последовательный опрос устройств ГВС;
- составление схемы размещения сетевых устройств для идентификации несанкционированных устройств;
- менеджмент осуществления исправлений программного обеспечения;
- шифрованные оверлеи для значимых данных;
- получение от провайдера услуг гарантий предоставления услуг по таким вопросам, как доступность, запаздывание и неустойчивая синхронизация;
- реализацию процесса аудита и ведения учета сетевых ресурсов для доступа к устройствам ГВС;
- использование межсетевых экранов, отвергающих любой неожиданный входящий трафик;
- обеспечение уверенности в том, что инфраструктура и адреса являются скрытыми;
- присвоение IP-адресов, которые не могут быть маршрутизированы через Интернет;
- использование программных средств для того, чтобы помешать вредоносному программному обеспечению ("троянские кони", вирусы, шпионское ПО и черви) открывать лазейки в безопасности изнутри сети;
- использования систем обнаружения вторжений для идентификации подозрительного трафика;
- обеспечение логической безопасности систем сетевого менеджмента;
- внеполосный сетевой менеджмент;
- обеспечение физической безопасности мест управления сетью;
- обеспечение резервного копирования устройств;
- проведение проверок надежности персонала, занимающегося сетевым менеджментом.
А.3. Беспроводные сети
А.3.1. Вводная информация
Беспроводные сети определяют как "сети, охватывающие небольшие в географическом отношении области и использующие беспроводные средства связи, такие как радиоволны или инфракрасные волны". Обычно беспроводные сети используют для реализации связности, эквивалентной той, что обеспечивается в ЛВС, и поэтому их также называют "беспроводной локальной вычислительной сетью" (WLAN). Основные используемые технологии стандартизированы в IEEE 802.11 и Bluetooth. Следует подчеркнуть, что беспроводные сети составляют категорию сетей, отличную от радиосетей, таких как GSM, 3G и ОВЧ, так как радиосети используют антенные мачты для передачи (см. А.4). Кроме того, рассматривая беспроводные сети, следует принимать в расчет инфракрасные соединения или любой другой вид соединений, поддерживающих беспроводные сети.
WLAN подвержены всем уязвимостям проводных ЛВС и, вдобавок, от некоторых особых уязвимостей, связанных с характеристиками беспроводной связи. Для рассмотрения этих дополнительных уязвимостей были разработаны некоторые специфические технологии (главным образом основанные на шифровании), хотя у более ранних версий этих технологий (например, WEP) имелись слабые места в архитектуре, и поэтому они не отвечали ожиданиям в отношении требований конфиденциальности.
А.3.2. Риски безопасности
Основные риски безопасности, имеющие отношение к использованию WLAN, включают в себя риски, связанные с:
- подслушиванием;
- несанкционированным доступом;
- взаимными и преднамеренными помехами;
- неправильной конфигурацией;
- отключением по умолчанию безопасного режима доступа;
- небезопасными протоколами шифрования;
- небезопасными протоколами управления, используемыми для управления WLAN;
- не всегда существующей возможностью идентифицировать пользователей WLAN;
- неисправными устройствами (например, в точках доступа).
А.3.3. Меры и средства контроля и управления безопасностью
Меры и средства контроля и управления, необходимые для WLAN, могут включать в себя:
- конфигурирование инфраструктуры с соответствующими техническими мерами безопасности (включая, например, организацию межсетевой защиты WLAN от корпоративной инфраструктуры);
- шифрование связи и данных при обмене, например, путем реализации виртуальной частной сети на основе IPsec через WLAN между клиентом и межсетевым экраном периметра;
- рассмотрение вопроса повышения безопасности каждого устройства WLAN путем конфигурирования персональных межсетевых экранов, программных средств обнаружения вторжений и защиты от вредоносной программы (включая антивирусы), установленных на клиентском устройстве;
- использование аутентификации;
- контроль уровня передаваемого сигнала для исключения распространения за пределы физической территории организации;
- конфигурирование простого протокола сетевого управления (SNMP) доступом только для чтения;
- сбор и анализ журналов регистрации с целью обнаружения любого искажения или несанкционированного использования;
- управление сетью по дополнительному шифрованному каналу, например, с использованием SSH;
- поддержку физической безопасности точек беспроводного доступа;
- повышение прочности любых сетевых элементов;
- тестирование системы;
- рассмотрение использования системы обнаружения вторжений между корпоративной и беспроводной сетью.
А.4. Радиосети
А.4.1. Вводная информация
Радиосети определяют как "сети, использующие радиоволны в качестве средства связи для охвата географически обширных областей". Типичными примерами радиосетей являются сети сотовой связи, использующие такие технологии, как GSM или UMTS, и предоставляющие общедоступные сервисы передачи речи и данных.
Следует подчеркнуть, что сети, использующие радиоволны для охвата небольших областей, считают относящимися к другой категории и приведены в А.З.
К радиосетям, например, относятся:
- TETRA;
- GSM;
- 3G (включая UMTS);
- GPRS;
- CDPD;
- CDMA.
A.4.2. Риски безопасности
Основные риски безопасности, имеющие отношение к использованию радиосетей, в целом включают риски, связанные с:
- подслушиванием;
- перехватом сеанса связи;
- представлением себя другим лицом;
- угрозами прикладного уровня, например, мошенничеством;
- отказом в обслуживании.
Риски безопасности, имеющие отношение к GSM, включают в себя риски, связанные с тем фактом, что:
- Сотр128-1 и алгоритмы А5/х являются слабыми;
Примечание - Запатентованный алгоритм, первоначально использовался по умолчанию в SIM-картах.
- GSM шифрование, как правило, обычно отключено;
- клонирование SIM-карт является реальностью.
Риски безопасности, имеющие отношение к 3G, включают в себя риски того, что:
- телефоны уязвимы для электронных атак, включая внесение вредоносной программы, например, вирусов;
- возможности атак высоки, так как телефоны зачастую включены;
- услуги могут стать объектами подслушивания;
- в радиосетях могут быть преднамеренные помехи;
- возможно введение ложных базовых станций;
- шлюзы могут подвергаться несанкционированному доступу;
- услуги могут подвергаться атакам и несанкционированному доступу через Интернет;
- возможно внесение спама;
- системы управления могут подвергаться несанкционированному доступу через RAS;
- услуги могут подвергаться атакам посредством потерянного или похищенного оборудования инженерно-технической помощи, включая портативные компьютеры.
UMTS является основным представителем глобального семейства технологий мобильной связи третьего поколения (3G) и предоставляет существенные возможности широкополосной передачи и пропускной способности для поддержки передачи данных и речи большому числу клиентов. UMTS использует несущую полосу частот 5 МГц для достижения значительно более высоких скоростей передачи данных и увеличения пропускной способности, обеспечивая оптимальное использование радиоресурсов, особенно для операторов с широкими смежными участками спектра, обычно от 2 х10 до 2 х 20 МГц, для снижения расходов на развертывание 3G сетей. Пакетная радиосвязь общего назначения (GPRS) является существенным шагом вперед к сетям мобильной связи третьего поколения, улучшая функциональные возможности GSM-сети. GPRS - это спецификация передачи данных в GSM-сетях, дающая возможность существования в GSM-инфраструктуре и пакетного трафика и трафика с коммутацией каналов. GPRS использует до восьми 9,05 Кбит или 13,4 Кбит TDMA таймслотов с общей пропускной способностью 72,4 или 107,2 Кбит. GPRS поддерживают протоколы TCP/IP и Х.25. GSM-сети с технологией EDGE, могут реализовывать EGPRS - улучшенную версию GPRS, которая увеличивает пропускную способность каждого таймслота до 60 Кбит. GPRS делает возможным "постоянно включенное" Интернет-соединение, являющееся потенциальной проблемой безопасности. GPRS-провайдер обычно старается повысить безопасность связи, обеспечивая межсетевой экран между GPRS-сетью и Интернетом, но обеспечение межсетевого экрана должно быть сконфигурировано так, чтобы сделать возможной работу допустимых сервисов, и, следовательно, возможность использования сторонними организациями.
Сотовая цифровая передача пакетов данных (CDPD) представляет собой спецификацию для поддержки беспроводного доступа к Интернету и другим общедоступным сетям с коммутацией пакетов через сотовые телефонные сети. CDPD поддерживает TCP/IP и CLNP. CDPD использует поточный шифр RC4 с 40-битовыми ключами для шифрования. CDPD определена в стандарте IS-732. Алгоритм не является стойким и может быть дешифрован методом грубого прямого подбора.
CDMA - форма расширенного спектра - является семейством методов цифровой связи, который использовался в течение многих лет. Основным принципом расширенного спектра является использование шумоподобных несущих частот, имеющих гораздо большую ширину полосы пропускания, чем требуется для простой прямой связи при одной и той же скорости передачи данных. Технология цифрового кодирования позволяет CDMA предупреждать намеренное или случайное подслушивание. Технология CDMA разбивает звук на "кусочки", проходящие по расширенному спектру частот. Каждый "кусочек" разговора (или данных) идентифицируется по цифровому коду, известному только CDMA-телефону и базовой станции. Это означает, что фактически никакое другое устройство не может принять звонок. Наличие миллионов кодовых комбинаций, доступных для любого звонка, обеспечивает защиту от подслушивания.
А.4.3. Меры и средства контроля и управления безопасностью
Существует ряд технических мер и средств контроля и управления безопасностью для осуществления менеджмента рисков радиосетей от идентифицированных угроз, включая:
- надежную аутентификацию;
- шифрование с эффективными алгоритмами;
- защищенные базовые станции;
- межсетевые экраны;
- защиту от вредоносной программы (вирусы, "троянские кони" и т. д.);
- антиспам.
А.5. Широкополосные сети
А.5.1. Вводная информация
Широкополосные сети могут брать начало от группы технологий, позволяющих индивидуальным абонентам осуществлять высокоскоростной доступ к точке наличия Интернет. Широкополосные технологии включают в себя, например:
3G;
кабельную (оптическую, коаксиальную);
спутниковую;
xDSL;
FiOS;
BPL;
FTTH.
Что касается xDSL, существуют два основных вида: ADSL, скорость потока которого от пользователя ниже (от четверти до половины скорости потока к пользователю) и SDSL, скорости потоков в которых в обоих направлениях одинаковы. В любом случае скорость потока к пользователю обычно составляет от 128 Кбит/с до 2-8 Мбит/с, в зависимости от продукта. Кабельная и спутниковая технологии также имеют сходные виды продукта.
Основные причины выбора широкополосных технологий заключаются в том, что они являются высокоскоростными технологиями постоянного подключения, которые дешевле традиционных систем связи и могут поддерживать приложения, требующие широкой полосы пропускания (например, HDTV требует 15-20 Мб при текущей компрессии). Все технологии делают возможным доступ к Интернету и, следовательно, действуют только в диапазоне от Интернета до помещений абонента. Использование Интернета в качестве универсального транспортного средства связи позволяет быстро и дешево организовывать связь, возможно, с развертыванием виртуальной частной сети для безопасных линий связи.
А.5.2. Риски безопасности
Широкополосная связь - это просто высокоскоростная линия связи "постоянного подключения" между абонентом и Интернетом. Эти свойства облегчают хакеру задачу подключения к широкополосной системе связи. К основным рискам безопасности, имеющим отношение к использованию широкополосных сетей, относятся риски, связанные с:
- раскрытием, модификацией или удалением информации в результате несанкционированного удаленного доступа;
- распространением вредоносной программы;
- приемом/передачей и выполнением несанкционированных программ;
- кражей идентификаторов;
- неправильным конфигурированием систем клиента;
- внесением программных уязвимостей;
- перегрузкой сети;
- отказом в обслуживании.
А.5.3. Меры и средства контроля и управления безопасностью
Существует ряд технических мер и средств контроля и управления безопасностью для осуществления менеджмента рисков широкополосной связи от идентифицированных угроз, которые могут включать в себя:
- межсетевые экраны для малого офиса/домашнего офиса;
- шифрование данных;
- программные средства защиты от вредоносной программы (включая антивирусы);
- системы обнаружения вторжений, включая системы предупреждения вторжений;
- виртуальные частные сети;
- обновление версий /осуществление исправлений программного обеспечения.
А.6. Шлюзы безопасности
А.6.1. Вводная информация
Соответствующий механизм шлюза безопасности должен обеспечивать защиту внутренних систем организации и осуществлять безопасные управление и контроль проходящего через него трафика в соответствии с документально оформленной политикой доступа к сервису шлюза безопасности (см. А.6.3).
А.6.2. Риски безопасности
С каждым днем хакеры предпринимают все более изощренные попытки взлома сетей, используемых для целей деятельности организаций, и в центре их внимания находятся шлюзы. Попытки несанкционированного доступа могут быть злонамеренными, ведущими, например, к DoS атаке; атаки могут быть направлены на злоупотребление ресурсами или получение ценной информации. Шлюзы должны защищать организацию от таких вторжений извне, например, из Интернета или сетей сторонней организации. Неконтролируемое, исходящее из организации информационное наполнение, приводит к правовым проблемам и потенциальной потере интеллектуальной собственности. К тому же, по мере того как все больше организаций устанавливают связь с Интернетом для удовлетворения своих организационных потребностей, они сталкиваются с необходимостью контроля доступа к несоответствующим или нежелательным веб-сайтам. Без такого контроля организации рискуют стать непродуктивными, подвергнуться неприятностям и неправильно распределить пропускную способность из-за непродуктивного "блуждания" по веб-сайтам. Таким образом, требующие рассмотрения основные риски безопасности включают в себя риски, связанные с:
- возможностью недоступности соединения с внешним миром;
- повреждением данных;
- несанкционированным раскрытием, которому могут подвергнуться ценные активы организации;
- размещением данных на веб-сайтах или передачей их иным способом без надлежащих полномочий, приводящим к правовым проблемам (например, инсайдерская торговля).
А.6.3. Меры и средства контроля и управления безопасностью
Шлюз безопасности должен:
- разделять логические сети;
- выполнять функции ограничения и анализа информации, проходящей между логическими сетями;
- пользоваться организацией в качестве средства контроля доступа к информации, поступающей в сеть организации и выходящей из нее;
- обеспечивать наличие единственной контролируемой и управляемой точки входа в сеть;
- осуществлять политику безопасности организации относительно сетевых соединений;
- обеспечивать наличие единственной точки регистрации данных.
Для каждого шлюза безопасности должен быть разработан отдельный документ, касающийся политики (безопасности) доступа к услугам, и его требования должны выполняться, чтобы обеспечить прохождение только санкционированного трафика. Этот документ должен содержать набор правил, которые должны применяться к шлюзу и конфигурации шлюза. Должна существовать возможность по отдельности определять разрешенные соединения согласно протоколу связи и другим деталям. Таким образом, для обеспечения уверенности в том, что только санкционированные пользователи и трафик получают разрешение на доступ к соединениям для передачи данных, в политике, где должны быть определены и подробно зафиксированы ограничения и правила, применяемые к трафику, входящему в шлюз безопасности и исходящему из него, а также параметры управления и конфигурации.
Для всех шлюзов безопасности необходимо полностью использовать доступные средства идентификации и аутентификации, логического контроля доступа и аудита. Кроме того, они должны регулярно проверяться на наличие несанкционированных программных средств и (или) данных, а при их обнаружении должны составляться отчеты об инцидентах в соответствии со схемой менеджмента инцидентов информационной безопасности организации и (или) сообщества (см. ИСО/МЭК 18044*(1).
Следует подчеркнуть, что подключение к сети должно осуществляться только после проверки соответствия выбранного шлюза безопасности требованиям организации и (или) сообщества и возможности безопасного менеджмента всех рисков от подобного соединения. Должна обеспечиваться невозможность обхода шлюза безопасности.
Хорошим примером шлюза безопасности является межсетевой экран. Межсетевые экраны обычно должны обладать соответствующей степенью доверия, соизмеримого с оцененным риском, и стандартным набором правил для межсетевого экрана, обычно начинающихся с запрещения любого доступа к внутренним и внешним сетям и добавляющих определенные требования для обеспечения соответствия только необходимым каналам связи.
Более подробная информация о шлюзах безопасности представлена в ИСО/МЭК 27033-4 (а также в ИСО/МЭК 27002 и ИСО/МЭК 27005).
Следует отметить, что хотя аспекты сетевой безопасности персональных межсетевых экранов (специального вида межсетевых экранов) в ИСО/МЭК 27033-4 не обсуждаются, они также подлежат рассмотрению. В отличие от большинства центральных площадок, защищенных специальными межсетевыми экранами, удаленные системы могут не оправдать расходы и уровень специалистов, обеспечивающих поддержку таких устройств. Вместо специальных межсетевых экранов может использоваться персональный межсетевой экран, контролирующий поток информации в удаленный компьютер (и иногда из него). Администрирование правил (политик) межсетевого экрана может удаленно осуществляться персоналом на центральной площадке, освобождая удаленного пользователя системы от необходимости изучения технической стороны процесса, но если это невозможно, следует позаботиться об обеспечении эффективной конфигурации, особенно если персонал на удаленной площадке не имеет специальных знаний в сфере ИТ. Некоторые персональные межсетевые экраны также могут ограничивать способность передавать санкционированные программы (даже библиотеки) по сети, ограничивая возможность распространения вредоносного программного средства.
А.7. Виртуальные частные сети
А.7.1. Вводная информация
Виртуальные частные сети представляют собой частные сети, которые реализуются при помощи инфраструктуры существующих сетей. С точки зрения пользователя, виртуальные частные сети функционируют как частные сети и предлагают аналогичные выполняемые функции и услуги. Конкретная виртуальная частная сеть может использоваться в различных ситуациях, таких, например, как:
- реализация удаленного доступа к организации для сотрудников, которым приходится много перемещаться или находящимися за пределами организации;
- осуществление связи между различными площадками организации, включая избыточные связи для реализации инфраструктуры восстановления;
- установление подсоединений к сети организации других организаций/партнеров по основной деятельности.
Другими словами, виртуальные частные сети позволяют двум компьютерам или сетям обмениваться информацией в такой передающей среде как Интернет. Такой обмен ранее осуществлялся с большими затратами путем использования арендуемых линий с шифраторами в канале связи. Однако с появлением высокоскоростных каналов связи Интернет и подходящего оконечного оборудования на каждом конце сети появилась возможность установления надежных связей между узлами сети с помощью виртуальных частных сетей.
А.7.2. Риски безопасности
Ключевым риском безопасности, присущим передаче данных в незащищенной сети, является риск, связанный с конфиденциальной информацией, потенциально доступной для несанкционированных сторон, что может приводить к ее несанкционированному раскрытию и (или) изменению. В дополнение к рискам безопасности, обычно связанным с локальными и глобальными сетями (см. А.1 и А.2 соответственно), типичные риски безопасности, имеющие отношение к виртуальным частным сетям, включают в себя риски, связанные с:
- небезопасной реализацией в результате:
не прошедшего тестирование или дефектного набора шифров,
слабого совместно используемого пароля, который может быть легко разгадан,
неуверенности в безопасности удаленного клиента,
неуверенности в аутентификации пользователей;
- неуверенностью в безопасности основного провайдера услуг;
- плохим функционированием или доступностью сервиса;
- несоответствием нормативным и законодательным требованиям, предъявляемым к применению шифрования в некоторых странах.
А.7.3. Меры и средства контроля и управления безопасностью
Для реализации функциональных возможностей безопасности и услуг в виртуальных частных сетях обычно используются криптографические технологии и (или) протоколы приложений, особенно если сеть, на которой построена виртуальная частная сеть, является общедоступной сетью (например, Интернет). В большинстве случаев реализации для обеспечения конфиденциальности каналы связи между участниками шифруют, а для подтверждения идентичности систем, подключенных к виртуальной частной сети, используют протоколы аутентификации. Обычно зашифрованная информация проходит по безопасному "туннелю", который соединяется со шлюзом организации, с сохранением конфиденциальности и целостности этой информации. Затем шлюз идентифицирует удаленного пользователя и делает возможным его доступ только к той информации, которую он уполномочен получить.
Таким образом, виртуальная частная сеть представляет собой механизм, основанный на туннелировании протокола - обработке одного полного протокола (клиентского протокола) как простого потока битов, и на заключении его в другой протокол (протокол несущей частоты). Обычно протокол несущей частоты виртуальной частной сети обеспечивает безопасность (конфиденциальность и целостность) клиентского протокола(ов). При рассмотрении использования виртуальной частной сети следует учитывать следующие аспекты архитектуры:
- безопасность конечной точки;
- безопасность завершения;
- защита от вредоносного программного средства;
- строгая аутентификация;
- шлюзы безопасности (включая межсетевые экраны);
- шифрование данных;
- проектирование сети;
- другая возможность соединения;
- раздельное туннелирование;
- ведение контрольных журналов и мониторинг сети;
- технический менеджмент уязвимостей.
Более подробная информация о виртуальных частных сетях, включая каждый из приведенных выше аспектов архитектуры, представлена в ИСО/МЭК 27033-5.
А.8. Сети телефонной связи
А.8.1. Вводная информация
На сегодняшний день имеются учрежденческие АТС с исходящей и входящей связью, поддерживающие традиционную канальную телефонию, соединенную с телефонной коммутируемой сетью общего пользования. Информация для наладки вызова проходит между ними, используя DPNSS (промышленный стандартный интерфейс между учрежденческой АТС с исходящей и входящей связью и сетью доступа). Цифровая сигнальная система частных сетей распространяет возможности, которые обычно доступны только между абонентскими добавочными телефонными номерами единственной учрежденческой АТС с исходящей и входящей связью, на все абонентские добавочные телефонные номера учрежденческих АТС с исходящей и входящей связью, соединенных друг с другом в частной сети. Однако несколько лет назад параллельно с цифровой сигнальной системой частных сетей был разработан новый протокол передачи информации между учрежденческими АТС с исходящей и входящей связью, а также между учрежденческой АТС с исходящей и входящей связью и телефонной коммутируемой сетью общего пользования. Новый протокол связан с архитектурой для частных цифровых сетей связи с комплексными услугами и протоколом межстанционной передачи сигналов, основанным на концепциях цифровой сети связи с комплексными услугами, определенных в рекомендациях ITU-Т. Этот межстанционный протокол, основанный на рекомендации ITU-Т Q.931, известен как QSIG. Протоколы передачи сигналов считались надежными и ранее не вызывали никаких проблем в области безопасности, однако появился ряд рисков безопасности, связанных с традиционными телефонными системами учрежденческих АТС и исходящей и входящей связью.
А.8.2. Риски безопасности
Риски безопасности, имеющие отношение к традиционной телефонии, включают в себя риски, связанные с:
- отсутствием мер и средств контроля и управления резервным копированием информации, характерной для узла, что при определенных обстоятельствах может оказать влияние на доступность;
- подслушиванием, если может быть получен физический доступ к кабельной системе;
- уязвимостью портов управления к несанкционированному вторжению, поскольку они плохо защищены простыми системами с обратным вызовом, что может приводить к перепрограммированию учрежденческой АТС с исходящей и входящей связью и использованию ее с мошенническими целями или к ее отключению;
- мошенничеством, связанным с несанкционированными междугородними звонками, поскольку реестры запрета междугородней связи плохо поддерживаются, позволяя вручную маршрутизировать звонки через сеть, а затем отправлять в телефонную коммутируемую сеть общего пользования (в ряде случаев это обстоятельство приводит к серьезному мошенничеству, заключающемуся в совершении вызовов с оплатой по повышенному тарифу и, как результат, существенные финансовые потери);
- мошенничеством, являющимся результатом неэффективного запрета соединений между каналами прямой связи (trunk to trunk), позволяющим осуществлять несанкционированное изменение маршрута вызова и настройку вызова (мошенничество происходит с использованием взаимосвязанной системы передачи речевых сообщений для перенаправления вызовов в телефонную коммутируемую сеть общего пользования);
- недостатком устойчивости и (или) пропускной способности, который может влиять на доступность.
А.8.3. Меры и средства контроля и управления безопасностью
Меры и средства контроля и управления безопасностью сетей телефонной связи должны обеспечивать уверенность в:
- невозможности получения физического доступа к кабельной системе, распределительным коробкам и стойкам;
- надлежащем использовании реестров запрета соединений между каналами прямой связи (trunk to trunk) для предотвращения несанкционированной маршрутизации вызовов;
- невозможности доступа пользователей к кодам маршрутизации;
- частом резервном системном копировании с хранением копий во внешнем хранилище;
- конфигурировании учрежденческих АТС с исходящей и входящей связью со многими процессорами с тем, чтобы отсутствовали компоненты, отказ которых приводит к отказу всей системы;
- наличии резервных аккумуляторов или ИБП;
- наличии многих маршрутов к телефонной коммутируемой сети общего пользования с выбранными резервными аналоговыми линиями для использования в аварийной ситуации;
- использовании строгой аутентификации на всех каналах управления (это может означать использование дополнительного оборудования сторонних организаций);
- невозможности осуществления мошенничества, связанного с несанкционированными междугородними звонками, либо путем использования несанкционированной маршрутизации, либо посредством взаимосвязанных систем передачи речевых сообщений;
\- наличии устройств антиспама;
- установке системы анализа вызовов и регулярной проверке затрат, связанных с вызовами;
- регулярном проведении проверок соответствия услуг требованиям и тестирования с принятием необходимых мер по их результатам.
Следует отметить, что "традиционные" телефонные системы учрежденческих АТС с исходящей и входящей связью устаревают и их либо частично переводят на системы передачи речи по IP - VoIP, либо заменяют этими системами (см. А.9 *(2)).
А.9. IP-конвергенция
А.9.1. Вводная информация
По мере завоевания популярности IP-конвергенцией (данные, речь и видео), появилась необходимость в выявлении и рассмотрении связанных с ней проблем безопасности. Хотя текущие реализации телефонии нуждаются в мерах и средствах контроля и управления безопасностью для предотвращения мошенничества, связанного с международными разговорами, и других инцидентов безопасности, эти системы не интегрированы в корпоративную сеть данных и не подвержены тем же рискам, что сети данных IP. При конвергенции речи и данных для снижения риска атак необходима реализация мер и средств контроля и управления безопасностью.
Приложение VoIP обычно состоит из специализированного программного обеспечения, размещенного на открытых или коммерчески доступных аппаратных средствах и операционных системах. Число серверов зависит от поставщика, а также от фактического их размещения. Эти компоненты сообщаются посредством IP по сети Интернет и соединены через коммутаторы и маршрутизаторы.
А.9.2. Риски безопасности
Основные сферы рисков безопасности могут быть связаны с IP-атаками, основанными на характерных уязвимостях программного средства, и аппаратными средствами или платформой операционной системы, на которых размещено приложение VoIP. Риски безопасности, имеющие отношение к компонентам приложения VoIP, включают в себя риски, связанные с атаками на сетевые устройства и приложения, и им могут содействовать уязвимости в проектировании или реализации решения, связанного с VoIP. Основные риски безопасности, имеющие отношение к IP-конвергенции, включают в себя риски, связанные с:
- качеством обслуживания - без общего обеспечения качества обслуживания возможны потеря качества или прерывание вызовов из-за потери пакета и задержки распространения сигнала в сети;
- недоступностью услуг из-за атак отказа в обслуживании или изменений в таблицах маршрутизации;
- влиянием на целостность и доступность вредоносных программ (включая вирусы), которая(ые) может(гут) проникнуть в сеть через незащищенные системы VoIP и ухудшить функционирование или даже вызвать потерю сервиса, а также распространиться на серверы в сети, что приведет к повреждению "памяти" для хранения данных;
- спамом через IP-телефонию (SPIT);
- программофонами, установленными на клиентских ПК, создающими существенный риск, так как они могут являться точками проникновения вредоносной программы (включая вирусы) и вторжения;
- подверженностью риску серверов VoIP и систем управления VoIP, если они не защищены межсетевыми экранами;
- возможностью ухудшения безопасности сети передачи данных из-за многочисленных портов, открытых на межсетевых экранах для поддержки VoIP. Сеанс VoIP использует множественные протоколы и связанные с ними номера портов. Н.323 использует многочисленные протоколы для передачи сигналов, а Н.323 и SIP используют протоколы RTP. В результате сеанс Н.323 может использовать до 11 различных портов;
- мошенничеством, являющимся ключевой проблемой телефонии, и возможностью увеличения рисков при отсутствии внимания к проблемам безопасности при использовании VoIP. Хакеры могут получить несанкционированный доступ к услуге VoIP посредством атак имитации соединения, воспроизведения или нападения на соединения. Мошенничество, связанное с международными разговорами или несанкционированными вызовами с оплатой по повышенному тарифу, может привести к существенным убыткам;
- нарушениями конфиденциальности, которые могут возникнуть вследствие перехвата информации, например, в результате атаки "атакующий посередине" - проведенной в сети сотрудниками и другим персоналом, имеющим доступ к сети;
- прослушиванием речевых вызовов;
- потребностями IP-телефонов в питании для их работы, так как телефонная сеть не может функционировать в случае нарушений энергоснабжения;
- наличием более существенной вероятности сбоя сервисов, связанных с передачей речи и данных из-за использования общих компонентов, например ЛВС.
А.9.3. Меры и средства контроля и управления безопасностью
Существует ряд следующих технических мер и средств контроля и управления безопасностью менеджмента рисков от идентифицированных угроз сетям с IP-конвергенцией:
- в сети с IP-конвергенцией должны быть реализованы средства обеспечения качества обслуживания, в противном случае существует вероятность ухудшения качества речи. Оказание сетевых услуг и там, где это возможно, предоставление IP-каналов связи должно осуществляться по волоконно-оптическому кабелю для минимизации неустойчивой синхронизации (которая влияет на качество речи);
- все серверы VoIP должны конфигурироваться с защитой от вредоносного программного средства;
- ПК, поддерживающие программофоны, должны быть оснащены персональными межсетевыми экранами; должны часто обновляться программные средства проверки наличия вредоносной программы (включая вирусы);
- защита VoIP-серверов и систем управления VoIP должна быть реализована за межсетевыми экранами, чтобы оградить их от атак;
- для каждой услуги должны использоваться специальные виртуальные частные сети и должно осуществляться шифрование различных потоков данных;
- проектировщики должны обеспечивать открытие только минимального числа портов межсетевых экранов для поддержки услуг по VoIP;
- для борьбы с мошенничеством, связанным с международными разговорами, должны реализовываться меры и средства контроля и управления, направленные на защиту от повторного воспроизведения и имитации соединения (спуфинг), для предотвращения нападения на соединения;
- доступ к серверам управления должен быть аутентифицирован;
- для серверов, поддерживающих услуги по VoIP, должен быть рассмотрен вопрос реализации систем обнаружения вторжений;
- должна рассматриваться возможность шифрования канала прохождения данных, если в сети VoIP обсуждается конфиденциальная информация;
- IP-телефоны должны получать электроэнергию через коммутаторы, поддерживаемые ИБП;
- для использования в аварийных ситуациях может потребоваться предоставление обычного речевого сервиса с автономным источником питания.
А.10. Размещение информации на сервере веб-узлов
А.10.1. Вводная информация
Услуги по размещению информации на сервере веб-узлов предлагаются многими провайдерами сетевых услуг в форме стандартизированной услуги, часто включающей в себя средства баз данных для обработки длительно хранимых данных, а также основную среду выполнения приложения. Хотя большинство компонентов, необходимых для реализации и предложения услуг по размещению информации на сервере веб-узлов, находятся вне области рассмотрения настоящего стандарта (такие, например, как веб-сервер или база данных), в настоящем стандарте представлены некоторые мнения об услуге в целом, так как многие считают размещение информации на сервере веб-узлов сети составной частью предложения сетевых услуг.
Сервер веб-узлов размещения информации подвергается риску со стороны разнообразных угроз, особенно там, где они подсоединены к Интернету, и где, например, известные организации могут быть атакованы группами, готовыми на крайние действия. Таким образом, важно идентифицировать все потенциальные угрозы, а затем блокировать все уязвимости, которые могли бы эксплуатироваться этими угрозами. Наилучшим образом это достигается исключением уязвимостей при проектировании. Рассмотрение таких проблем в соответствии с представленной рекомендацией должно сделать возможным проектирование безопасного, надежного веб-узла с низкой вероятностью нанесения ущерба.
А.10.2. Риски безопасности
К основным рискам безопасности, имеющим отношение к размещению информации на серверах веб-узлов, относятся риски, связанные с:
- доступом злоумышленника к приложению и данным через единственную брешь в защите периметра;
- подверженностью компонента инфраструктуры уязвимостям;
- многочисленными компонентами, отказ которых приводит к отказу системы;
- потерей обслуживания из-за сбоя аппаратных средств;
- невозможностью вывода из эксплуатации для технического обслуживания;
- непреднамеренным доступом широкой пользовательской аудитории к местам хранения данных;
- атаками, направленными на целостность данных (например, нанесение ущерба веб-узлу или размещение несанкционированного информационного наполнения);
- загрузкой в систему вредоносного программного средства;
- компрометацией веб-узла с использованием функциональной возможности коммутации;
- неспособностью получения резервных копий без воздействия на работу веб-узла;
- несанкционированным раскрытием плана IP-адресации, облегчающим атаку на веб-узел;
- использованием соединений между станциями управления и веб-узлом;
- необнаруженной атакой;
- трудностью отслеживания вторжений между устройствами;
- неспособностью восстановления данных;
- неспособностью выполнять требования соглашения об уровне услуг;
- неспособностью поддерживать непрерывность обслуживания;
- несанкционированным использованием веб-услуг, включая нарушение политики организации (например, использование серверов в личных целях) и несоответствие законам и предписаниям (например, хранение материала, который нарушает авторские права, или детской порнографии).
А.10.3. Меры и средства контроля и управления безопасностью
Технические меры и средства контроля и управления безопасностью менеджмента рисков от идентифицированных угроз для веб-узлов могут включать в себя:
- обеспечение зонирования и углубленной безопасности для ограничения влияния успешной атаки;
- спецификацию различных видов межсетевых экранов для противодействия возможным уязвимостям межсетевых экранов (более подробная информация о межсетевых экранах представлена в А.6 и ИСО/МЭК 27033-4);
- устойчивость; проект должен быть проверен на наличие потенциальных компонентов, отказ которых приводит к отказу системы; они должны быть устранены;
- преодоление отказа/разделение нагрузки для защиты от сбоя в работе оборудования;
- кластеризацию там, где требованием является высокий уровень доступности в среде "24 х 7" (24 часа семь дней в неделю);
- предоставление посреднических услуг для ограничения доступа к веб-узлу и обеспечения высокой степени протоколирования;
- регулярные проверки целостности на предмет несанкционированных изменений данных;
- меры и средства контроля и управления, направленные на защиту от вредоносной программы (включая антивирусы), используемые на загрузках для предотвращения импорта вредоносного программного средства;
- коммутацию уровня 2*(3), обычно используемую в проекте веб-узла. Коммутация уровня 3*(4) не должна использоваться, если это не является требованием деятельности организации, таким, например, как требование разделения нагрузки. Кроме того, один и тот же физический коммутатор не должен использоваться обеими сторонами межсетевого экрана. В проект коммутатора следует включать контрольные точки;
- виртуальные локальные вычислительные сети, разделенные функцией для упрощения настройки системы обнаружения вторжений, так как существует сокращенный протокол, настроенный на любую виртуальную локальную вычислительные сеть. Кроме того, внедрение резервной виртуальной локальной вычислительные сети позволяет выполнять резервное копирование в любое время суток, не подвергая опасности работу сайта;
- насколько это необходимо для операций основной деятельности организации, план IP-адресации для сведения к минимуму числа общедоступных адресов с планом IP-адресации, хранящимся "под строжайшим секретом", так как осведомленность о его существовании может использоваться для инициирования атаки на веб-узел;
- места подсоединения каналов управления к общедоступным сетям должны шифроваться (более подробная информация об удаленном доступе приведена в ИСО/МЭК 27033-4). Это включает, по меньшей мере, наличие предупреждений об опасности/ловушек SNMP на соединениях портов пульта управления;
- копирование всех журналов регистрации событий и транзакций каждого устройства на контрольный сервер, а затем на носители резервных копий, такие, например, как компакт-диски;
- реализованную услугу временной синхронизации, поскольку она является основой анализа несанкционированного доступа и способности отслеживания по системным журналам. Для этого требуется синхронизация всех системных журналов и, следовательно, серверов, с точностью до +1 с или более (здесь уместен протокол NTP; более подробную информацию см. в 10.6 ИСО/МЭК 27002);
- конфигурирование устройств ЛВС для контроля неуправляемых изменений МАС-адресов;
- предпочтительность услуги централизованного резервного копирования, так как существует наибольшая вероятность ее выполнения должным образом;
- необходимость круглосуточного функционирования веб-узлов; функционирование требует высококачественных аппаратных средств, которые могут выдерживать такой режим. Для поддержки функционирования в режиме "24 х 7" в веб-узле должна быть определена инфраструктура сервера. Вспомогательные операционные системы должны быть укреплены, затем все серверы и другие устройства должны быть протестированы на предмет безопасности для обеспечения полной защищенности всех устройств;
- внедренное надежное прикладное программное средство, программа которого проверена в отношении структуры, являющейся логически корректной и использующей утвержденное программное средство аутентификации.
Также следует отметить, что при проектировании веб-узла часто не полностью рассматриваются вопросы менеджмента непрерывности деятельности. В отношении веб-узлов деятельности, связанные с менеджментом непрерывности деятельности, должны проводиться полностью.
А.11. Электронная почта в Интернете
А.11.1. Вводная информация
Ставшие возможными для организаций/сообществ Интернет-услуги, способные удовлетворять законные требования их деятельности, привносят с собой разнообразные угрозы, которые могут использовать уязвимости эксплуатируемых систем. Таким образом, электронная почта в Интернете может подвергаться риску, связанному с различными угрозами, и целью обеспечения безопасности является разработка и реализация безопасного и надежного решения. Пример решения для электронной почты в Интернете приведен на рисунке А.1.
Рисунок А.1 - Пример решения для электронной почты в Интернете
Почтовые системы Интернета (SMPT) можно довольно просто рассматривать в специализированной архитектуре сетевой безопасности, поскольку от них требуется только проверять и пересылать полученную почту. Подлежащая сбору информация должна включать в себя:
- ожидаемое число почтовых сообщений в день, пересылаемых в каждом направлении;
- разрешенные виды сообщений и содержание сообщений;
- число и размер почтовых сообщений в день, пересылаемых в каждом направлении;
- средний и максимальный размеры разрешенных сообщений;
- подробности о внутренней почтовой системе;
- подробности о внутреннем шлюзе в системе электронной почты, который будет обмениваться информацией с определенным в специализированной архитектуре безопасности шлюзом в системе электронной почты;
- подробности о внешней почтовой системе(ах) которая(ые) может(гут) быть с любым ретранслятором в системе электронной почты в Интернете или может(гут) быть определенным(и) почтовыми серверами, принадлежащим(и) провайдеру услуг;
- подробности о требованиях аутентификации почтового сервера для внутренних сообщений и сообщений электронной почты в Интернете;
- подробности о внутренних средствах WINS/DNS;
- подробности о средствах DNS в Интернете;
- подробности о том, какого рода доступ требуется к телеконференциям и (если доступ нужен) должны ли накладываться какие-либо ограничения в отношении телеконференций, к которым возможен доступ;
- подробности о том, потребуется ли временная синхронизация электронной почты/сервера из Интернета;
- подробности о том, должно ли быть более одного маршрута к Интернету;
- требования поиска вредоносной программы (включая вирусы).
А.11.2. Риски безопасности
К основным рискам безопасности, имеющим отношение к электронной почте в Интернете, относятся риски связанные с:
- несанкционированным вторжением в сеть организации/сообщества. Попытки несанкционированного доступа, включая представление себя другим пользователем, могут происходить в любое время суток, они становятся более "творческими" и изощренными и могут быть злонамеренными, например, приводя к DoS-атаке, злоупотреблению ресурсами или получению ценной информации;
- пересылкой вредоносной программы, которая может вносить "троянского коня", собирающего такую ин формацию, как пароли, и посылающего их на удаленный объект, или средства, захватывающие управление устаноленным устройством. Таким образом, следует обращать внимание на современные "комплексные атаки", г вредоносная программа содержит "начинку";
- пересылкой спама (спам представляет собой существенную угрозу для почтовых услуг - он может оказывать неблагоприятное влияние на почтовую деятельность, расходуя сетевые ресурсы для передачи спама, а также ресурсы системы для почтовых шлюзов, или может использоваться для распространения вредоносного программного средства);
- транслированием спама (если конфигурация почтового сервера допускает наличие анонимного транслятора в системе электронной почты, он может использоваться пользователями-спамерами для рассылки спама через Интернет от лица организации, которой принадлежит почтовый сервер);
- почтовым спуфингом (когда очень просто выдать себя за любого пользователя, притворяясь лицом, посылающим электронное письмо);
- фальсификацией содержания;
- неконтролируемым информационным наполнением, исходящим из организации без ведома персонала, отвечающего за информационную безопасность, что может привести к правовым проблемам и потенциальной пот интеллектуальной собственности;
- прямой DoS-атакой, направленной на почтовую систему;
- распределенной DoS-атакой, когда тысячи почтовых сообщений посылаются из многих мест, буквально заваливая почтовый сервер.
А.11.3. Меры и средства контроля и управления безопасностью
Меры и средства контроля и управления безопасностью для электронной почты в Интернете могут включать в себя:
- использование межсетевых экранов с уровнями доверия и наборами правил, соответствующих оцененным рискам. Для большинства целей безопасности начальным набором правил межсетевого экрана должен быть от в прохождении всего трафика через межсетевой экран. В системе электронной почты почтовый сервер обычно отсылает данные в Интернет и получает приходящие из Интернета данные. В системе электронной почты следует устанавливать набор правил для межсетевого экрана, разрешающих передачу почтовых данных в обоих направлениях. Как упоминалось ранее, рекомендуется иметь два последовательно установленных межсетевых экрана разных поставщиков или имеющих различные операционные системы;
- возможности хранения данных и проверок, поддерживаемые полностью синхронизированной службой в мени во всех компонентах инфраструктуры, межсетевых экранах и серверах. Эта временная синхронизация должна быть рассмотрена при проектировании с описанием главного генератора синхронизирующих импульсов плана иерархии серверов и сети(ей). Часто генератор синхронизирующих импульсов будет синхронизироватся при помощи системы глобального позиционирования (GPS) или наземной радиослужбы времени;
- надлежащим образом установленную систему простого протокола электронной почты для выполнения н обходимых, связанных с обеспечением безопасности, задач, включая предоставление организации/сообществ интерфейса из Интернета, передачу почтовых сообщений из Интернета на внутренний почтовый сервер и в обратном направлении, предотвращение трансляции почты из Интернета на другие адреса в Интернете и обеспечен уверенности в том, что почтовые сообщения и вложения не содержат вредоносной программы, независимо направления;
- проверку для любой входящей почты в результате просмотра на DNS-сервере Интернета сообщений, направляемых на адрес межсетевого экрана организации, а при получении из Интернета проверку внешним маршрутизатором на предмет нахождения поля адреса источника вне внутреннего адресного пространства перенаправлением на межсетевой экран. На межсетевом экране сообщение должно быть проверено на предмет нахождения поля адреса вне внутреннего адресного пространства и адреса назначения почтового сервера (и, конечно, принадлежность к электронной почте), а затем направлено на почтовый сервер SMTP. На почтовом сервере SMS должно быть проверено, что сообщение поступило из Интернета и что адрес назначения соответствует внутреннему адресу, а затем сообщение должно быть направлено на внешний сервер защиты от вредоносной программы с целью проверки на наличие вирусов и любого иного вредоносного наполнения. Наконец, оно должно быть направлено на внутренний почтовый сервер для распределения внутренней почтовой системой. Любые полученные сообщения с неверным адресом должны отклоняться с включением в протокол соответствующей записи. Любые полученные сообщения, содержащие вирусы или другое вредоносное наполнение, должны быть отклонены, и об этом должно быть проинформировано соответствующее лицо или группа лиц;
- для любой исходящей почты направление сообщений, посылаемых через Интернет, сначала с внутреннего почтового сервера на внешний сервер защиты от вредоносной программы в целях проверки на вирусы и любое другое вредоносное наполнение перед отправкой на внешний почтовый сервер SMTP для направления в Интернет. Внешний почтовый сервер SMTP должен проверить, находится ли адрес вне внутреннего адресного пространства, и предназначен ли он для каких-либо других почтовых маршрутов, а затем направить сообщение в Интернет;
- выбор одного из вариантов: отправка сообщения внешним почтовым сервером SMTP на единственный почтовый сервер Интернет-провайдера для предстоящей маршрутизации или на любой достоверный почтовый адрес на любом почтовом сервере. Первый вариант должен быть наиболее безопасным, поскольку он предполагает, что Интернет-провайдер (предположительно, специалист в сфере электронной почты) отвечает за организацию и поддержку пересылки почты, но он может вызывать задержки, связанные с пересылкой почты. Второй вариант является более гибким и не вызывает задержек, связанных с пересылкой, осуществляемой Интернет-провайдером, но он может стать менее безопасным в случае ненадлежащего управления, при этом организация/сообщество должна поддерживать пересылку почты на многие почтовые серверы и подвергаться риску отказа, если ее ретранслятор не будет признан удаленным почтовым сервером, что может быть преодолено посредством процедур аутентификации между соответствующими почтовыми серверами. Выбираемый вариант зависит от технических достоинств решения и уровня квалификации лиц, которые будут поддерживать почтовую систему;
- реализацию мер управления доступом на основе принципа наименьшего уровня привилегий;
- конфигурирование почтового сервера для блокирования или удаления почтовых сообщений, содержащих вложения, которые обычно используются для распространения вредоносной программы, таких, например, как файлы с расширениями vbs, bat, exe, pif и scr;
- быстрое устранение инфицированных компьютеров из сети для предотвращения дальнейшей компрометации, проведение судебной экспертизы и восстановления с использованием доверенных носителей данных;
- обучение тому, чтобы персонал не открывал вложения, пока они не проверены, и не запускал скаченные из Интернета программы, если не проведена проверка на наличие вредоносных программ;
- использование на маршрутизаторах списка контроля доступа (ACL). ACL на маршрутизаторах определяет на обращение с входящим IP-пакетом. Обычные действия при этом включают пересылку, протоколирование и отбрасывание (или отказ). В сочетании с соответствующей политикой маршрутизатора по умолчанию (например, отказ в прохождении всего трафика) можно определить набор правил для маршрутизатора, оказывающих существенную помощь в поддержке безопасности базовой сети;
- активизацию антиспуфинга. Спуфинг обычно относят к ситуации, когда исходный адрес сообщения имеет вид, как будто сообщение исходит от кого-то или откуда-то, но не от его подлинного автора. Меры антиспуфинга принимают форму непринятия сообщения из Интернета, если в нем утверждается, что оно исходит изнутри организации, и наоборот (более подробную информацию см. в RFC 2827 "Фильтрация на входе сети. Отражение атак отказа в обслуживании");
- активизацию модулей доступа электронной почты. Прокси-сервер представляет собой сервер, действующий в качестве посредника между пользователем ПК/рабочей станции и Интернетом так, чтобы предприятие могло обеспечить безопасность, административный контроль и услугу кэширования. Безопасность осуществляется с применением:
- сканирования данных по известным образцам (например, проверка на значимые слова для обеспечения соответствия);
- перемещения между внутренними и внешними адресами;
- создания журнала регистрации запросов и запрашивающих сторон;
- средств защиты от вредоносной программы, основанных на модулях доступа.
Прокси-серверы также могут проводить проверку на предмет вредоносного наполнения простой обработкой запроса. Если запрос является вредоносным, на самом прокси-сервере, вероятно, произойдет аварийный отказ. Поскольку прокси-серверы обычно реализуются в ДМЗ, полудоверенной зоне, такие действия выполняют функцию "предохранителя" с тем, чтобы обеспечить защиту реальной запрашивающей стороны или сервера;
- реализацию защитных мер и средств контроля и управления вредоносной программой на модулях доступа электронной почты. После того, как выявлено, что информационные системы свободны от вредоносной программы (включая вирусы), единственным маршрутом внесения вредоносной программы является внесение ее в качестве данных (или программ). Почтовые средства являются основными "кандидатами" на передачу вредоносной программы и основными точками реализации защитных мер и средств контроля и управления вредоносной программой. Обычные меры и средства контроля и управления безопасностью включают в себя средства, изолирующие подозрительные файлы (например, по типу информационного наполнения), и отсеивающие запрошенные адреса электронной почты, попавшие в "черный" список. Кроме того, для борьбы с самыми последними комплексными угрозами, когда вредоносная программа содержит "начинку", необходимо рассмотреть вопрос блокирования определенных вложений, содержащих исполняемую программу;
- использование технологий антиспама и обучение пользователей защите адресов электронной почты при доступе к сайтам;
- реализацию антиретранслятора на серверах электронной почты и обратных просмотров DNS. Один из возможных способов эксплуатации почтового сервера из Интернета состоит в том, чтобы послать на него сообщение, предназначенное на самом деле сторонней организации. Тогда, если почтовый сервер принимает сообщение, оно будет направлено сторонней организации, по-видимому, от организации/сообщества, а не от истинного отправителя. Эти механизмы могут быть использованы пользователями-спамерами или в целях разрушения сети сторонней организации атакой отказа в обслуживании. Меры и средства контроля и управления антиретранслятора определяют, предназначается ли входящее электронное письмо организации/сообществу. Если это не так, электронное письмо протоколируется (или изолируется), и почтовый сервер не предпринимает дальнейших действий;
- использование предупреждений об опасности и "ловушек" протокола SNMPv3. Протокол SNMP может использоваться для дистанционного управления сетевым устройством и для отправки устройством сообщений (или "ловушек") с целью уведомления станции мониторинга о состоянии этого устройства. Протокол относительно небезопасен, и существует тенденция не использовать его для целей управления устройством. Тем не менее, SNMP-вловушки" широко используются и передаются по сети для уведомления центральной станции о статистике или состояниях ошибки;
- реализацию управления аудитом. Все журналы регистрации, относящиеся к электронной почте, должны быть собраны на сервере аудита и должны ежедневно проверяться для обнаружения необычной деятельности, что включает в себя журналы регистрации межсетевого экрана и почтового модуля доступа SMTP. Журналы регистрации следует изучать, используя качественные инструментальные средства анализа и корреляции событий;
- установление внеполосного управления межсетевым экраном. Установление внеполосного управления межсетевым экраном связано с практикой использования разных сетей для передачи данных и управления, чтобы сделать невозможным подключение злоумышленника к целевому устройству (в данном случае межсетевому экрану). Существует несколько механизмов реализации внеполосного управления:
управление только путем физического доступа,
отдельная сеть управления,
использование виртуальных локальных сетей для создания отдельных каналов в сети данных, позволяющих разделить поток данных и трафик управления.
В иных случаях управление должно осуществляться только путем физического доступа.
А.12. Маршрутизированный доступ к сторонним организациям
А.12.1. Вводная информация
Число соединений со сторонними организациями увеличивается по мере стремления организаций к совместной работе, требующей прямой связи и шлюзов между организациями. Пример технического решения по обеспечению безопасности для маршрутизированного доступа к сторонним организациям представлен на рисунке А.2.
Маршрутизированный доступ к другим организациям может осуществляться с помощью технологий глобальных или широкополосных сетей и требоваться по многим причинам, например, может потребоваться доступ к приложениям баз данных в любом направлении - в этом случае может быть введен несанкционированный код с любой стороны, или пользователями любой сети может быть предпринята попытка несанкционированного доступа к другой сети. Подлежащая сбору информация должна, например, включать в себя:
- сведения о том, какие приложения подлежат поддержке через маршрутизированную связь;
- подробности о взаимодействующих серверах и их местоположении;
- подробности о ПК пользователей и их местоположении;
- подробности о маршрутизаторе сторонней организации, при наличии (включая IP-адрес, метод аутентификации, например, цифровые сертификаты, совместно используемые пароли, RADIUS, TACACS+);
- вид и скорость линии связи, например, виртуальная частная сеть в широкополосной сети, ретрансляция кадров, частная проводная связь, коммутируемое соединение по телефонной линии и цифровая сеть связи с комплексными услугами.
Целесообразно также разработать для доступа каждой сторонней организации документацию конфигурации (при ее отсутствии), включающую в себя обзор требований, сетевой график, информацию о конфигурации и подробности об IP-адресации и аутентификации.
(При рассмотрении маршрутизированного доступа к сторонним организациям целесообразно обратиться к ИСО/МЭК ТО 14516:1999).
А.12.2. Риски безопасности
Основные риски безопасности, имеющие отношение к маршрутизированному доступу к сторонним организациям, в основном связаны с тем фактом, что любая сторонняя организация представляет собой отдельную сферу безопасности с собственными политиками и может не отличаться такой же безопасностью, как собственная организация. Таким образом, основные риски безопасности, имеющие отношение к маршрутизированному доступу к сторонним организациям, включают риски, связанные с:
- несанкционированным доступом к вашей сети и связанным с ней "системам" и информации;
- введением вредоносной программы через кажущийся доверенным шлюз;
- DoS-атакой через стороннюю организацию;
- убеждением, что сеть сторонней организации предлагает более высокий уровень безопасности, чем Интернет.
Рисунок А.2 - Пример технического решения по маршрутизированному доступу к сторонним организациям
А.12.3. Меры и средства контроля и управления безопасностью
Меры и средства контроля и управления безопасностью для маршрутизированного доступа к сторонним организациям могут включать в себя:
- изоляцию всех соединений с внешней стороной посредством межсетевого экрана, отличающегося от используемого для Интернета и других классов внешних соединений;
- программное средство защиты от вредоносных программ для проверки программ Java и ActiveX вместо программного средства, работающего на межсетевых экранах [как упоминалось ранее, программы Java и ActiveX не распознаются стандартными программными средствами защиты от вредоносных программ (включая антивирусы)] и, следовательно, не могут быть обнаружены и проверены на предмет их достоверности);
- наличие строгой аутентификации на основе маркеров или карточек в виде цифровых сертификатов на токенах или смарт-картах либо двухфакторной аутентификации с маркерами;
- использование идентификатора линии вызова в качестве дополнительного метода аутентификации, если соединения осуществляются с помощью маршрутизированного доступа цифровой сети связи с комплексными услугами;
- аутентификацию маршрутизаторов, включая маршрутизаторы на удаленном конце соединения, с помощью сервера аутентификации, такого, например, как TACACS+. Однако если со сторонней организацией не может быть достигнуто соглашение о методе аутентификации, то при малом числе применений могут использоваться совместно используемые пароли - обмен паролями. Для большого числа соединений должны использоваться цифровые сертификаты, поскольку они могут регулярно меняться;
- использование маршрутизатором сторонней организации таких же средств аутентификации, например, цифровых сертификатов, совместно используемых секретных данных, RADIUS, TACACS+;
- обеспечение физической безопасности маршрутизаторов на обоих концах соединения;
- включение всех соединений со сторонней организацией в документированные условия обеспечения безопасного соединения, которые подписываются каждой сторонней организацией до разрешения любого соединения;
- рассмотрение вопроса об использовании системы обнаружения вторжений/системы предупреждения вторжений;
- реализацию аудита и подотчетности;
- разработку и согласование документации по конфигурации для доступа каждой сторонней организации, которая включает в себя обзор требований, сетевой график, информацию о конфигурации и подробности об IP-адресации и аутентификации.
А.13. Центр обработки (и хранения) данных сети Интранет
А.13.1. Вводная информация
Центр обработки (и хранения) данных Интранета содержит приложения и данные, наиболее важные для организации. Центр обработки (и хранения) данных может быть критической частью инфраструктуры организаций, и его деятельность может быть связана с решением задач, выходящих за пределы сетевых аспектов, рассматриваемых в других частях настоящего приложения. Хотя хранение (сети хранения данных) и отдельные аспекты, касающиеся серверов в центре обработки (и хранения) данных, выходят за область применения настоящего стандарта (например, повышение надежности серверов или баз данных); здесь приведены некоторые соображения об общей безопасности центра обработки (и хранения) данных.
Угрозы, с которыми сталкиваются в настоящее время администраторы безопасности ИТ, из относительно тривиальных попыток причинить ущерб сетям превратились в изощренные атаки, направленные на получение прибыли и хищение конфиденциальных корпоративных данных. Реализация возможностей обеспечения безопасности надежного центра обработки (и хранения) данных для защиты значимых и необходимых для целевой задачи приложений и данных служит краеугольным камнем усилий, направленных на обеспечение безопасности сетей предприятия.
Поскольку основной задачей обеспечения безопасности центра обработки (и хранения) данных является поддержание доступности услуг, необходимо тщательно рассмотреть, как обеспечение безопасности влияет на потоки данных, масштабируемость и сбои.
А.13.2. Риски безопасности
В настоящее время увеличились векторы атак, направленные на разрушение защиты сети и нацеленные непосредственно на приложения. Атаки на базе HTTP, XML и SQL оказываются успешными для большинства злоумышленников, потому что этим протоколам обычно разрешается проходить через сеть организации и входить в центр обработки (и хранения) данных Интранета.
Ниже приведены некоторые векторы угроз, оказывающие влияние на центр обработки (и хранения) данных Интранета:
- несанкционированный доступ к данным;
- несанкционированный доступ к приложениям;
- несанкционированный доступ к устройствам;
- нарушение важнейших услуг в результате DoS-атак;
- необнаруженные атаки;
- потеря данных;
- невозможность восстановления данных;
- целевые атаки для модификации данных;
- повышение привилегий;
- установка вредоносного программного средства;
- несанкционированное использование услуг, в том числе нарушение политики организации.
А.13.3. Меры и средства контроля и управления безопасностью
Технические меры и средства контроля и управления безопасностью для центров обработки (и хранения) данных могут включать в себя:
- шлюзы безопасности для управления доступом к центру обработки (и хранения) данных;
- использование в центре обработки (и хранения) данных системы обнаружения вторжений/предупреждения вторжений;
- защитные меры и средства контроля и управления вредоносной программой (включая антивирусы) на серверах;
- менеджмент безопасности устройств инфраструктуры;
- возможности регистрации и проверки, поддерживаемые полностью синхронизированной службой времени во всех частях центра обработки (и хранения) данных;
- план обеспечения непрерывности деятельности при аварийных ситуациях;
- гибкое проектирование;
- регулярные проверки целостности для выявления несанкционированных изменений данных;
- виртуальные ЛВС для разделения услуг в центре обработки (и хранения) данных с целью защиты более уязвимых услуг;
- конфигурирование устройств ЛВС для контроля неуправляемых изменений МАС-адресов;
- использование протоколов менеджмента безопасности.
_____________________________
*(1) В тексте ИСО/МЭК 27033-1:2009 даны ссылки на ИСО/МЭК 27035 - это опечатка.
*(2) По тексту ИСО/МЭК 27033-1:2009 даны ссылки на подраздел 11.10, что является опечаткой.
*(3) Уровень 2 - канальный уровень семиуровневой модели взаимосвязи открытых систем (примечание разработчика).
*(4) Уровень 3 - сетевой уровень семиуровневой модели взаимосвязи открытых систем (примечание разработчика).