Главная страница
Навигация по странице:

  • 4.1. Технические решения для защиты компьютерных ресурсов серверов и АРМ

  • Мошак_Птицына_ Учебное пособие. Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский


    Скачать 3.09 Mb.
    НазваниеФедеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский
    Дата08.05.2023
    Размер3.09 Mb.
    Формат файлаpdf
    Имя файлаМошак_Птицына_ Учебное пособие.pdf
    ТипУчебное пособие
    #1115671
    страница5 из 16
    1   2   3   4   5   6   7   8   9   ...   16
    Глава 4. Организационно-технические предложения по методам и
    механизмам защиты ИС организации
    Для построения СИБ ИС соответствующего класса защищенности, должны быть выбраны защитные меры и механизмы защиты, реализующие требования Политики
    ИС и ведомственных документов организации, а также требований документов ФСТЭК
    [11-13] и других регуляторов.
    В
    ыбор защитных мер, адекватных моделям угроз и нарушителей, должен проводится с учетом затрат на их реализацию и объема возможных потерь от реализации угроз. При этом должны применяться только те защитные меры, эффективность работы которых может быть проверена с учетом их на бизнес–
    цели.
    Ниже приводятся общие подходы по защите «закрытого» и «открытого» контуров ИС организации
    [15-17]
    4.1. Технические решения для защиты компьютерных ресурсов
    серверов и АРМ
    4.1.1. Общие организационно-технические решения по обеспечению
    безопасности
    В качестве приоритетной организационной меры по предотвращению потенциальных угроз со стороны группы администраторов необходимо сначала разделить полномочия по обеспечению доступа к управлению компонентов ИС и непосредственному управлению этими компонентами.
    Кроме того, необходимо ограничить доступ к оборудованию путем оснащения помещений средствами демилитаризации доступа.
    Для предотвращения несанкционированного дистанционного сетевого управления оборудованием необходимо использовать средства фильтрации сетевого трафика, позволяющие управлять оборудованием только из выделенного для этих целей АРМ, указанный AРМ должен быть оснащен средствами защиты от НСД, обеспечивая, в частности, невозможность изменения её сетевых настроек (например, СЗИ от НСД SecretNet)
    Пользователи и администраторы всех компонентов ИС должны иметь в них уникальные идентификаторы. Использование чужих идентификаторов должно быть запрещено. Учетные записи администратора этих систем
    (например, root в HP-UX, SYS в СУБД Oracle) должны использоваться только в том случае, если требуемая операция не может быть выполнена технически с использованием учетной записи индивидуального администратора этой системы.
    При настройке инструментов регистрации событий на другой уровень детализации перехваченных событий в серверной ОС, сетевом оборудовании
    ОС, ОС АРМ и СУБД должны быть выполнены следующие требования.
    1. Полнота зарегистрированных событий должна быть достаточной, а не избыточной для доказательного анализа ситуации.

    2. Данные аудита должны быть максимально независимыми от администратора контролируемой системы.
    3. Необходимо обеспечить несанкционированное искажение журналов аудита, включая системных администраторов.
    4. Мониторы безопасности должны использоваться для быстрого обнаружения возможных атак в режиме реального времени.
    5. Журналы аудита должны храниться в сроки, определенные правилами компании.
    Вне зависимости от типа операционной системы, подсистема аудита должна обеспечивать регистрацию:
    1. Идентификационная информация, включая попытки пользователей ввести пароль.
    2. Операции, отклоненные автоматизированными системами из-за отсутствия полномочий операторов.
    3. Факт модификации конфигурационных файлов IE.
    4. Тот факт, что администраторы изменили разрешения пользователей.
    5. Система аудита отключена администраторами.
    6. Факты IE начинаются и останавливаются.
    4.1.2. Решения по ОС HP-UX для обеспечения корпоративной
    безопасности
    Для контроля за соблюдением принципов ИБ, описанных выше, для ОС
    HP-UX должен быть выполнен следующий набор работ.
    1. Включить и настроить аудит ОС HP-UX:
    1.1. Установить ОС HP-UX в режим Trusted HP-UX для расширенной аутентификации пользователей. Trusted HP-UX предоставляет следующие дополнительные функции управления учетными записями пользователей и паролями:
    – зашифровывать файл паролей (shadowed passwd file);
    – ограничить время пользователя, количество попыток входа в систему, пароль и срок действия учетной записи;
    – требовать пароль от пользователя при входе в систему в одномодовом режиме (single-mode);
    – настроить автоматическое отключение долгосрочных неиспользуемых учетных записей.
    Для этого требуется войти в консоль сервера под именем root и использовать утилиту sam для выполнения необходимых действий. Затем необходимо перегрузить ОС путем ввода shutdown –r now с консоли.
    1.2. Обеспечить невозможность неконтролируемого администрирования системы аудита ОС администратором ОС, для чего:
    – запретить пользователю root работу в нормальном режиме, так как действия пользователя root не регистрируются в ОС. Это можно сделать, разделив пароль входа для root, ограничив доступ к файлу пароля ОС. После установки ОС разделите пароль root на две части, одна из которых передается в административную группу ИС, а другая – в группу
    безопасности. Первоначальное разделение паролей и их изменение осуществляется их совместным набором администратором ИС и AИБ в соответствии с принятой политикой защиты паролей;
    – создать учетные записи AИБ и, в дополнение к пользователю root, создать администратора ОС. Разделите свои разрешения, чтобы запретить
    АИБ настраивать ОС и администратору ОС доступ к журналам аудита.
    Обеспечить, чтобы администратор ОС и АИБ обладали необходимыми и достаточными полномочиями для выполнения своих функциональных обязанностей, запретив при этом АИБ вносить какие-либо изменения в настройки ОС, а администратору ОС – искажать журналы аудита для чего реализовать их перенос на сервер аудита безопасности в режиме реального времени;
    – включить аудит всех команд, выполняемых администратором ОС HP-
    UX, а также аудит операций удаления/записи в файлы конфигурации системы HP-UX OC и СУБД Oracle.
    – с помощью штатных средств HP-UX запретить администратору ОС управление журналами аудита ОС, а именно: запретить ему доступ к командам audsys, audusr, audevent audisp, audomon, а также запись в каталог аудита. Администратор безопасности не должен изменять настройки HP-UX при сохранении возможности управления аудитом (права на выполнение команд для чтения и записи в файлы аудита).
    1.3. Обеспечить оперативный контроль за аудиторской информацией, для чего:
    – настройте параметры syslogd и аудита таким образом, чтобы информация аудита дублировалась на сервере аудита безопасности;
    – включите аудит всех команд, выполняемых администратором HPUX, а также операций удаления/записи в файлы конфигурации системных настроек, например, OC HP-UX и СУБД Oracle;
    – поскольку система HP-UX не обеспечивает аудит пользователя root, используйте этот идентификатор только в том случае, если идентификатор администратора HP-UX не может быть использован.
    1.4. Обеспечить оперативный анализ и периодическое архивирование аудиторской информации, а также порядок взаимодействия отделов по результатам анализа аудиторской информации.
    Каталог для размещения файлов аудита необходимо поместить в отдельную файловую систему размером не менее 512 МБ, чтобы избежать переполнения диска в корневой файловой системе и отключения ОС. После этого ОС считается готовой к включению подсистемы аудита.
    2. Оптимизировать набор сервисов и системного ПО на серверах, для чего:
    2.1. Ограничьте набор услуг, загружаемых в ОС HP-UX, услугами, необходимыми для работы и администрирования ИС и систем резервного копирования. Также необходимо ограничить набор установленного системного ПО только программными пакетами, необходимыми для работы
    ИС, в частности, не устанавливать компиляторы. Чтобы минимизировать
    риск безопасности серверов HP-UX, необходимо ограничить набор сервисов
    HP-UX, загружаемых ОС, только необходимыми для работы (табл. 4.1).
    Таблица 4.1.
    Минимальный набор сервисов необходимых для работы ОС HP-UX
    Номер сервиса
    Вид сервиса
    Название сервиса
    23
    Tcp telnet
    53
    Tcp
    Domain
    111
    Tcp
    Sunrpc
    113
    Tcp authentication
    135
    Tcp/Udp
    Unknown
    177
    Udp
    Unknown
    382
    Tcp
    Pvserver
    512
    Udp
    Syslog
    515
    Tcp
    Printer
    543
    Tcp
    Klogin
    544
    Tcp
    Kshell
    806
    Udp
    Unknown
    808
    Tcp
    Unknown
    812
    Tcp
    Unknown
    816
    Tcp/Udp
    Unknown
    821
    Tcp
    Unknown
    824
    Tcp
    Unknown
    825
    Tcp
    Unknown
    826
    Udp
    Unknown
    827
    Udp
    Unknown
    891
    Udp
    Unknown
    1023
    Udp
    Unknown
    2049
    Udp nfs
    6112
    Tcp
    Dtsps
    3. Обеспечить контроль целостности программных компонент и конфигурационных файлов ОС, а именно:
    – файлов системных настроек (каталог /etc);
    – всех исполняемых файлов и библиотек ОС;
    – ядра операционной системы;
    – файлов драйверов устройств (каталог /dev).
    4. Обеспечить своевременное получение обновлений ОС (patches) от поставщиков ОС. О недостатках безопасности ОС HP-UX АИБ следует сообщать администратору ОС.
    5. Обеспечить своевременное установления обновлений ОС.
    6. Обеспечить периодическое тестирование ОС с помощью сканеров безопасности (например, ISS System Scanner).
    4.1.3. Организационно-технические решения для защиты СУБД Oracle
    1. С учетом того, что администратор СУБД имеет неограниченные права на управление содержимым журнала аудита, а действия администратора SYS вообще не регистрируются, необходимо исключить возможность
    неконтролируемого полного администрирования подсистемы аудита СУБД администратором базы данных путем:
    – для администратора СУБД снять привилегии (Audit system, Audit any) работы с аудитом;
    – создать дополнительную учетную запись администратора СУБД, предоставив ему только привилегии, необходимые для повседневной работы по управлению СУБД, при этом запрещая работу под именами SYS и
    SYSTEM, используя их только в случае чрезвычайных ситуаций;
    – создать учетную запись АИБ и назначить ему права аудита. Поскольку в СУБД Oracle технически невозможно обеспечить эффективный контроль безопасности путем разделения на две половины административных паролей
    SYS и INTERNAL (например, пользователь-владелец данных uid:oracle автоматически имеет привилегии INTERNAL, роль SYSDBA имеет привилегии
    SYS), разделение паролей не выполняется и контроль осуществляется с помощью средств аудита СУБД, паролями SYS и INTERNAL владеет администратор СУБД;
    2. Включить и настроить аудит базы данных Oracle:
    – включить аудит с помощью параметра AUDIT_TRAIL=OS. При этом данные аудита будут записаны в файл аудита HPUX. Для обеспечения безопасной оперативной записи информации аудита на сервер аудита безопасности местоположение файла аудита назначается серверу аудита безопасности, который предоставляет свои файловые ресурсы через NFS.
    Местоположение файла аудита назначается путем установки переменной конфигурации Oracle AUDIT_FILE_DEST;
    – сконфигурировать аудит следующих событий в СУБД Oracle:
    а) всех неудачных SQL- команд; (AUDIT [SQL] BY SESSION WHILE NOT
    SUCCESS) - это одна запись протокола для каждого пользователя и
    объекта базы данных в каждом сеансе, независимо от количества событий.
    б) операций администратора БД (AUDIT DBA BY SESSION). Эта опция
    включает следующие операции аудита:
    SYSTEM AUDIT – аудит команд NOAUDIT (отключение
    аудита);
    PUBLIC DATABASE LINK – создание и удаление публичных
    ссылок на объекты удаленных баз данных;
    PUBLIC SYNONYM – создание и удаление публичных
    синонимов (альтернативных имен) объектов БД;
    ROLE – создание, изменение, установку, удаление ролей БД;
    SYSTEM GRANT – присвоение и удаление системных
    привилегий или ролей пользователям, или ролям БД;
    USER – создание, изменение, удаление пользователей БД;
    в) команд SQL (DELETE, ALTER, CREATE, DROP) для таблиц БД, г) операций по изменению прав на процедуры БД (AUDIT GRANT
    PROCEDURE BY SESSION);
    – с помощью механизма редактирования ролей обеспечить, чтобы администратор БД и АИБ имели необходимые и достаточные полномочия
    для выполнения своих функциональных обязанностей, запретив при этом
    АИБ вносить какие-либо изменения в настройки СУБД, а администратору БД
    – искажать журналы аудита, для чего передавать их на сервер аудита
    службы безопасности;
    – удалить привилегии DELETE ANY TABLE и AUDIT SYSTEM у администратора базы данных. Привилегия AUDIT ANY должна быть выдана только АИБ БД;
    – поскольку СУБД Oracle не обеспечивает аудит пользователей SYS и
    INTERNAL, эти идентификаторы следует использовать только в том случае, если невозможно выполнить необходимые операции с помощью идентификатора DBA.
    3. Обеспечить оперативный анализ и периодическое архивирование аудиторской информации, а также определить порядок взаимодействия отделов по результатам ее анализа:
    – для быстрого анализа и формирования отчетов по результатам аудита базы данных необходимо разработать инструмент импорта аудиторской информации в базу данных SQL и программное обеспечение для выборки из этой базы данных, а также для формирования отчетов по результатам реализации политики безопасности.
    До завершения разработки программного обеспечения анализ текущего аудита выполняется администратором IP вручную;
    – по результатам ежедневного онлайн-аудита АИБ может получить необходимую информацию о работе СУБД Oracle от администратора СУБД, который, в свою очередь, обязан предоставить такую информацию и обосновать выполняемые в СУБД операции, отраженные в файлах аудита.
    4. Обеспечить усиленную проверки подлинности пользователей СУБД.
    Для усиления аутентификации в СУБД Oracle необходимо использовать одну из следующих систем: SecurID, Kerberos или RADIUS, которые позволяет обеспечить:
    – трехстороннюю аутентификацию пользователя, сервера СУБД и сервера аутентификации;
    – периодическое изменение аутентификационной информации во время работы пользователя;
    – управление режимом доступа пользователя к серверу БД (время доступа);
    – криптографическая защита соединения между пользователем и сервером БД;
    – возможность использования личных идентификаторов для идентификации и аутентификации пользователей в БД.
    5. Для реализации расширенной технологии аутентификации необходимо настроить сервер БД и клиентские части Oracle на использование технологии third-party authentication. В руководстве администратора СУБД Oracle подробно описывается установка службы расширенной аутентификации. Kerberos также может использоваться в
    качестве системы усиленной аутентификации в СУБД Oracle, которая также поддерживается Oracle.
    6. Оптимизировать набор услуг на серверах HP-UX. Ввести профили пользователей, ограничивающие количество одновременных соединений
    (сеансов), продолжительность сеанса, продолжительность неактивного состояния;
    7.
    Контролировать сертифицированными
    СЗИ целостность программных компонентов и конфигурационных файлов СУБД, а именно:
    – файлов системных настроек СУБД;
    – всех исполняемых файлов и библиотек СУБД.
    7. Периодически тестировать СУБД с помощью сканеров безопасности на предмет обнаружения уязвимостей в СУБД и выработки рекомендации по их устранению (например, Database Scanner от ISS).
    8. Обеспечить оперативное уведомление администратора СУБД от поставщиков ОС о новых исправлениях в СУБД и своевременную установку обновлений СУБД с уведомлением АИБ.
    9. Обеспечить оперативное уведомление администратора СУБД о существующих обновлениях СУБД с точки зрения безопасности и АИБ об установке обновлений СУБД.
    4.1.4. Организационно-технические решения для защиты сервера БД
    В качестве возможных мероприятий по ограничению потенциальных угроз со стороны администратора _DBA могут быть выполнены следующие действия:
    – создать замкнутую программную среду на АРМ администратора приложений для предотвращения запуска с него клиентского приложения прикладного ПО;
    – установить средств защиты от НСД (аутентификация пользователя) на
    АРМ пользователей «закрытого» контура ИС для предотвращения доступа администратора на эти АРМ;
    – организовать виртуальные выделенные подсети, объединяющие АРМ групп пользователей «закрытого» контура с различными полномочиями, с целью запрета доступа к серверу БД неразрешенных АРМ.
    4.1.5. Организационно-технические решения для защиты АРМ
    пользователей ИС
    1. Использовать только сертифицированные СЗИ от НСД на каждом
    АРМ. Настройку СЗИ от НСД на каждом АРМ производить индивидуально, с учётом задач, независимо от используемой ОС. Блокировать выполнение пользователем собственных задач, не разрешенных АИБ.
    2. В минимальной конфигурации СЗИ от НСД на каждом АРМ должны обеспечивать:
    – создание закрытой программной среды для каждого пользователя
    (позволяет запускать только указанный набор программ и/или процессов);

    идентификацию и аутентификацию пользователей, предоставление доступа к компьютерным ресурсам только путем ввода пароля с клавиатуры;
    – контроль целостности программного обеспечения СЗИ от НСД до входа пользователя в операционную систему;
    – контроль целостности файлов системного и прикладного ПО, расположенных локально;
    – разграничение доступа к локальным каталогам и файлам АРМ, обеспечивающее защиту от модификации системного и прикладного ПО
    АРМ;
    – регистрацию попыток доступа к наиболее важным объектам локальной файловой системы компьютера;
    – блокирование работы пользователей в случае нарушения ограничений, введенных СЗИ от НСД.
    3. Управление доступом пользователей АРМ должно основываться на стандартных механизмах идентификации, аутентификации и разграничения доступа к ресурсам, предоставляемых:
    – BIOS АРМ;
    –СЗИ от НСД;
    – ОС Windows;
    – сетевой ОС;
    – СУБД Oracle;
    – серверами SecurID или Kerberos и др.
    4. Завершение работы пользователя АРМ должно сопровождаться освобождением всех используемых ресурсов (выход из системы).
    5. Настройка СЗИ от НСД должна запрещать пользователю выполнение следующих действий (табл. 4.2).
    Таблица 4.2
    Запрет на действия пользователя АРМ
    Запрет
    Пояснения
    Загрузка с внешних носителей
    Запрещается загрузка компьютера с системной дискеты или с загрузочного CD–диска
    Работа при нарушении целостности
    При обнаружении факта нарушения целостности контролируемых файлов доступ пользователя к компьютеру блокируется
    Работа при изъятии аппаратной поддержки
    При обнаружении факта изъятия устройства аппаратной поддержки из компьютера доступ пользователя к компьютеру блокируется. При попытке пользователя войти в систему на экран будет выведено предупреждающее сообщение, и загрузка компьютера будет прервана
    Работа при изменении конфигурации
    При обнаружении факта изменения конфигурации компьютера доступ пользователя к компьютеру блокируется.
    При попытке пользователя войти в систему на экран выводится предупреждающее сообщение, и загрузка компьютера прерывается

    Запрет
    Пояснения
    Доступа к портам
    Пользователю запрещается обмен информацией через коммуникационные порты компьютера
    Редактирования системного реестра
    Пользователю запрещается изменять параметры системного реестра
    Изменения настроек сети
    Пользователю запрещено изменение параметров работы сетевой карточки, сетевых протоколов и других настроек «сетевого окружения» в операционной системе
    Изменения параметров безопасности
    Пользователю запрещен доступ к изменению политик безопасности.
    Выполнения функций, не определенных технологическим процессом
    Пользователю запрещено выполнять программное обеспечение, не используемое в технологическом процессе
    1   2   3   4   5   6   7   8   9   ...   16


    написать администратору сайта