Мошак_Птицына_ Учебное пособие. Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский

2. Данные аудита должны быть максимально независимыми от администратора контролируемой системы.
3. Необходимо обеспечить несанкционированное искажение журналов аудита, включая системных администраторов.
4. Мониторы безопасности должны использоваться для быстрого обнаружения возможных атак в режиме реального времени.
5. Журналы аудита должны храниться в сроки, определенные правилами компании.
Вне зависимости от типа операционной системы, подсистема аудита должна обеспечивать регистрацию:
1. Идентификационная информация, включая попытки пользователей ввести пароль.
2. Операции, отклоненные автоматизированными системами из-за отсутствия полномочий операторов.
3. Факт модификации конфигурационных файлов IE.
4. Тот факт, что администраторы изменили разрешения пользователей.
5. Система аудита отключена администраторами.
6. Факты IE начинаются и останавливаются.
4.1.2. Решения по ОС HP-UX для обеспечения корпоративной
безопасности
Для контроля за соблюдением принципов ИБ, описанных выше, для ОС
HP-UX должен быть выполнен следующий набор работ.
1. Включить и настроить аудит ОС HP-UX:
1.1. Установить ОС HP-UX в режим Trusted HP-UX для расширенной аутентификации пользователей. Trusted HP-UX предоставляет следующие дополнительные функции управления учетными записями пользователей и паролями:
– зашифровывать файл паролей (shadowed passwd file);
– ограничить время пользователя, количество попыток входа в систему, пароль и срок действия учетной записи;
– требовать пароль от пользователя при входе в систему в одномодовом режиме (single-mode);
– настроить автоматическое отключение долгосрочных неиспользуемых учетных записей.
Для этого требуется войти в консоль сервера под именем root и использовать утилиту sam для выполнения необходимых действий. Затем необходимо перегрузить ОС путем ввода shutdown –r now с консоли.
1.2. Обеспечить невозможность неконтролируемого администрирования системы аудита ОС администратором ОС, для чего:
– запретить пользователю root работу в нормальном режиме, так как действия пользователя root не регистрируются в ОС. Это можно сделать, разделив пароль входа для root, ограничив доступ к файлу пароля ОС. После установки ОС разделите пароль root на две части, одна из которых передается в административную группу ИС, а другая – в группу

безопасности. Первоначальное разделение паролей и их изменение осуществляется их совместным набором администратором ИС и AИБ в соответствии с принятой политикой защиты паролей;
– создать учетные записи AИБ и, в дополнение к пользователю root, создать администратора ОС. Разделите свои разрешения, чтобы запретить
АИБ настраивать ОС и администратору ОС доступ к журналам аудита.
Обеспечить, чтобы администратор ОС и АИБ обладали необходимыми и достаточными полномочиями для выполнения своих функциональных обязанностей, запретив при этом АИБ вносить какие-либо изменения в настройки ОС, а администратору ОС – искажать журналы аудита для чего реализовать их перенос на сервер аудита безопасности в режиме реального времени;
– включить аудит всех команд, выполняемых администратором ОС HP-
UX, а также аудит операций удаления/записи в файлы конфигурации системы HP-UX OC и СУБД Oracle.
– с помощью штатных средств HP-UX запретить администратору ОС управление журналами аудита ОС, а именно: запретить ему доступ к командам audsys, audusr, audevent audisp, audomon, а также запись в каталог аудита. Администратор безопасности не должен изменять настройки HP-UX при сохранении возможности управления аудитом (права на выполнение команд для чтения и записи в файлы аудита).
1.3. Обеспечить оперативный контроль за аудиторской информацией, для чего:
– настройте параметры syslogd и аудита таким образом, чтобы информация аудита дублировалась на сервере аудита безопасности;
– включите аудит всех команд, выполняемых администратором HPUX, а также операций удаления/записи в файлы конфигурации системных настроек, например, OC HP-UX и СУБД Oracle;
– поскольку система HP-UX не обеспечивает аудит пользователя root, используйте этот идентификатор только в том случае, если идентификатор администратора HP-UX не может быть использован.
1.4. Обеспечить оперативный анализ и периодическое архивирование аудиторской информации, а также порядок взаимодействия отделов по результатам анализа аудиторской информации.
Каталог для размещения файлов аудита необходимо поместить в отдельную файловую систему размером не менее 512 МБ, чтобы избежать переполнения диска в корневой файловой системе и отключения ОС. После этого ОС считается готовой к включению подсистемы аудита.
2. Оптимизировать набор сервисов и системного ПО на серверах, для чего:
2.1. Ограничьте набор услуг, загружаемых в ОС HP-UX, услугами, необходимыми для работы и администрирования ИС и систем резервного копирования. Также необходимо ограничить набор установленного системного ПО только программными пакетами, необходимыми для работы
ИС, в частности, не устанавливать компиляторы. Чтобы минимизировать

риск безопасности серверов HP-UX, необходимо ограничить набор сервисов
HP-UX, загружаемых ОС, только необходимыми для работы (табл. 4.1).
Таблица 4.1.
Минимальный набор сервисов необходимых для работы ОС HP-UX
Номер сервиса
Вид сервиса
Название сервиса
23
Tcp telnet
53
Tcp
Domain
111
Tcp
Sunrpc
113
Tcp authentication
135
Tcp/Udp
Unknown
177
Udp
Unknown
382
Tcp
Pvserver
512
Udp
Syslog
515
Tcp
Printer
543
Tcp
Klogin
544
Tcp
Kshell
806
Udp
Unknown
808
Tcp
Unknown
812
Tcp
Unknown
816
Tcp/Udp
Unknown
821
Tcp
Unknown
824
Tcp
Unknown
825
Tcp
Unknown
826
Udp
Unknown
827
Udp
Unknown
891
Udp
Unknown
1023
Udp
Unknown
2049
Udp nfs
6112
Tcp
Dtsps
3. Обеспечить контроль целостности программных компонент и конфигурационных файлов ОС, а именно:
– файлов системных настроек (каталог /etc);
– всех исполняемых файлов и библиотек ОС;
– ядра операционной системы;
– файлов драйверов устройств (каталог /dev).
4. Обеспечить своевременное получение обновлений ОС (patches) от поставщиков ОС. О недостатках безопасности ОС HP-UX АИБ следует сообщать администратору ОС.
5. Обеспечить своевременное установления обновлений ОС.
6. Обеспечить периодическое тестирование ОС с помощью сканеров безопасности (например, ISS System Scanner).
4.1.3. Организационно-технические решения для защиты СУБД Oracle
1. С учетом того, что администратор СУБД имеет неограниченные права на управление содержимым журнала аудита, а действия администратора SYS вообще не регистрируются, необходимо исключить возможность

неконтролируемого полного администрирования подсистемы аудита СУБД администратором базы данных путем:
– для администратора СУБД снять привилегии (Audit system, Audit any) работы с аудитом;
– создать дополнительную учетную запись администратора СУБД, предоставив ему только привилегии, необходимые для повседневной работы по управлению СУБД, при этом запрещая работу под именами SYS и
SYSTEM, используя их только в случае чрезвычайных ситуаций;
– создать учетную запись АИБ и назначить ему права аудита. Поскольку в СУБД Oracle технически невозможно обеспечить эффективный контроль безопасности путем разделения на две половины административных паролей
SYS и INTERNAL (например, пользователь-владелец данных uid:oracle автоматически имеет привилегии INTERNAL, роль SYSDBA имеет привилегии
SYS), разделение паролей не выполняется и контроль осуществляется с помощью средств аудита СУБД, паролями SYS и INTERNAL владеет администратор СУБД;
2. Включить и настроить аудит базы данных Oracle:
– включить аудит с помощью параметра AUDIT_TRAIL=OS. При этом данные аудита будут записаны в файл аудита HPUX. Для обеспечения безопасной оперативной записи информации аудита на сервер аудита безопасности местоположение файла аудита назначается серверу аудита безопасности, который предоставляет свои файловые ресурсы через NFS.
Местоположение файла аудита назначается путем установки переменной конфигурации Oracle AUDIT_FILE_DEST;
– сконфигурировать аудит следующих событий в СУБД Oracle:
а) всех неудачных SQL- команд; (AUDIT [SQL] BY SESSION WHILE NOT
SUCCESS) - это одна запись протокола для каждого пользователя и
объекта базы данных в каждом сеансе, независимо от количества событий.
б) операций администратора БД (AUDIT DBA BY SESSION). Эта опция
включает следующие операции аудита:
– SYSTEM AUDIT – аудит команд NOAUDIT (отключение
аудита);
– PUBLIC DATABASE LINK – создание и удаление публичных
ссылок на объекты удаленных баз данных;
– PUBLIC SYNONYM – создание и удаление публичных
синонимов (альтернативных имен) объектов БД;
– ROLE – создание, изменение, установку, удаление ролей БД;
– SYSTEM GRANT – присвоение и удаление системных
привилегий или ролей пользователям, или ролям БД;
– USER – создание, изменение, удаление пользователей БД;
в) команд SQL (DELETE, ALTER, CREATE, DROP) для таблиц БД, г) операций по изменению прав на процедуры БД (AUDIT GRANT
PROCEDURE BY SESSION);
– с помощью механизма редактирования ролей обеспечить, чтобы администратор БД и АИБ имели необходимые и достаточные полномочия

для выполнения своих функциональных обязанностей, запретив при этом
АИБ вносить какие-либо изменения в настройки СУБД, а администратору БД
– искажать журналы аудита, для чего передавать их на сервер аудита
службы безопасности;
– удалить привилегии DELETE ANY TABLE и AUDIT SYSTEM у администратора базы данных. Привилегия AUDIT ANY должна быть выдана только АИБ БД;
– поскольку СУБД Oracle не обеспечивает аудит пользователей SYS и
INTERNAL, эти идентификаторы следует использовать только в том случае, если невозможно выполнить необходимые операции с помощью идентификатора DBA.
3. Обеспечить оперативный анализ и периодическое архивирование аудиторской информации, а также определить порядок взаимодействия отделов по результатам ее анализа:
– для быстрого анализа и формирования отчетов по результатам аудита базы данных необходимо разработать инструмент импорта аудиторской информации в базу данных SQL и программное обеспечение для выборки из этой базы данных, а также для формирования отчетов по результатам реализации политики безопасности.
До завершения разработки программного обеспечения анализ текущего аудита выполняется администратором IP вручную;
– по результатам ежедневного онлайн-аудита АИБ может получить необходимую информацию о работе СУБД Oracle от администратора СУБД, который, в свою очередь, обязан предоставить такую информацию и обосновать выполняемые в СУБД операции, отраженные в файлах аудита.
4. Обеспечить усиленную проверки подлинности пользователей СУБД.
Для усиления аутентификации в СУБД Oracle необходимо использовать одну из следующих систем: SecurID, Kerberos или RADIUS, которые позволяет обеспечить:
– трехстороннюю аутентификацию пользователя, сервера СУБД и сервера аутентификации;
– периодическое изменение аутентификационной информации во время работы пользователя;
– управление режимом доступа пользователя к серверу БД (время доступа);
– криптографическая защита соединения между пользователем и сервером БД;
– возможность использования личных идентификаторов для идентификации и аутентификации пользователей в БД.
5. Для реализации расширенной технологии аутентификации необходимо настроить сервер БД и клиентские части Oracle на использование технологии third-party authentication. В руководстве администратора СУБД Oracle подробно описывается установка службы расширенной аутентификации. Kerberos также может использоваться в

качестве системы усиленной аутентификации в СУБД Oracle, которая также поддерживается Oracle.
6. Оптимизировать набор услуг на серверах HP-UX. Ввести профили пользователей, ограничивающие количество одновременных соединений
(сеансов), продолжительность сеанса, продолжительность неактивного состояния;
7.
Контролировать сертифицированными
СЗИ целостность программных компонентов и конфигурационных файлов СУБД, а именно:
– файлов системных настроек СУБД;
– всех исполняемых файлов и библиотек СУБД.
7. Периодически тестировать СУБД с помощью сканеров безопасности на предмет обнаружения уязвимостей в СУБД и выработки рекомендации по их устранению (например, Database Scanner от ISS).
8. Обеспечить оперативное уведомление администратора СУБД от поставщиков ОС о новых исправлениях в СУБД и своевременную установку обновлений СУБД с уведомлением АИБ.
9. Обеспечить оперативное уведомление администратора СУБД о существующих обновлениях СУБД с точки зрения безопасности и АИБ об установке обновлений СУБД.
4.1.4. Организационно-технические решения для защиты сервера БД
В качестве возможных мероприятий по ограничению потенциальных угроз со стороны администратора _DBA могут быть выполнены следующие действия:
– создать замкнутую программную среду на АРМ администратора приложений для предотвращения запуска с него клиентского приложения прикладного ПО;
– установить средств защиты от НСД (аутентификация пользователя) на
АРМ пользователей «закрытого» контура ИС для предотвращения доступа администратора на эти АРМ;
– организовать виртуальные выделенные подсети, объединяющие АРМ групп пользователей «закрытого» контура с различными полномочиями, с целью запрета доступа к серверу БД неразрешенных АРМ.
4.1.5. Организационно-технические решения для защиты АРМ
пользователей ИС
1. Использовать только сертифицированные СЗИ от НСД на каждом
АРМ. Настройку СЗИ от НСД на каждом АРМ производить индивидуально, с учётом задач, независимо от используемой ОС. Блокировать выполнение пользователем собственных задач, не разрешенных АИБ.
2. В минимальной конфигурации СЗИ от НСД на каждом АРМ должны обеспечивать:
– создание закрытой программной среды для каждого пользователя
(позволяет запускать только указанный набор программ и/или процессов);

– идентификацию и аутентификацию пользователей, предоставление доступа к компьютерным ресурсам только путем ввода пароля с клавиатуры;
– контроль целостности программного обеспечения СЗИ от НСД до входа пользователя в операционную систему;
– контроль целостности файлов системного и прикладного ПО, расположенных локально;
– разграничение доступа к локальным каталогам и файлам АРМ, обеспечивающее защиту от модификации системного и прикладного ПО
АРМ;
– регистрацию попыток доступа к наиболее важным объектам локальной файловой системы компьютера;
– блокирование работы пользователей в случае нарушения ограничений, введенных СЗИ от НСД.
3. Управление доступом пользователей АРМ должно основываться на стандартных механизмах идентификации, аутентификации и разграничения доступа к ресурсам, предоставляемых:
– BIOS АРМ;
–СЗИ от НСД;
– ОС Windows;
– сетевой ОС;
– СУБД Oracle;
– серверами SecurID или Kerberos и др.
4. Завершение работы пользователя АРМ должно сопровождаться освобождением всех используемых ресурсов (выход из системы).
5. Настройка СЗИ от НСД должна запрещать пользователю выполнение следующих действий (табл. 4.2).
Таблица 4.2
Запрет на действия пользователя АРМ
Запрет
Пояснения
Загрузка с внешних носителей
Запрещается загрузка компьютера с системной дискеты или с загрузочного CD–диска
Работа при нарушении целостности
При обнаружении факта нарушения целостности контролируемых файлов доступ пользователя к компьютеру блокируется
Работа при изъятии аппаратной поддержки
При обнаружении факта изъятия устройства аппаратной поддержки из компьютера доступ пользователя к компьютеру блокируется. При попытке пользователя войти в систему на экран будет выведено предупреждающее сообщение, и загрузка компьютера будет прервана
Работа при изменении конфигурации
При обнаружении факта изменения конфигурации компьютера доступ пользователя к компьютеру блокируется.
При попытке пользователя войти в систему на экран выводится предупреждающее сообщение, и загрузка компьютера прерывается

Запрет
Пояснения
Доступа к портам
Пользователю запрещается обмен информацией через коммуникационные порты компьютера
Редактирования системного реестра
Пользователю запрещается изменять параметры системного реестра
Изменения настроек сети
Пользователю запрещено изменение параметров работы сетевой карточки, сетевых протоколов и других настроек «сетевого окружения» в операционной системе
Изменения параметров безопасности
Пользователю запрещен доступ к изменению политик безопасности.
Выполнения функций, не определенных технологическим процессом
Пользователю запрещено выполнять программное обеспечение, не используемое в технологическом процессе