Вопросы для подготовки к экзамену Функциональноструктурная организация информационных систем на архитектуре клиентсервер
 Скачать 443.22 Kb.
|
|
Тема 3.4. Технические решения по защите от НСД компьютерных ресурсов на уровне серверов и рабочих станций ЛВС и реализации подсистемы аутентификации и идентификации 3.4.1. Технические решения по защите от НСД компьютерных ресурсов на уровне серверов HP-UX 1. Обеспечить невозможность неконтролируемого полного администрирования системы аудита ОС администратором ОС для чего: создать учетные записи администратора ОС (не root) и администратора информационной безопасности; после установки ОС произвести разделение паролей пользователя root имеющего неограниченные права в ОС, на 2 части, одна из которых передается в административную группу ИКС а, другая – в группу АИБ. Первоначальное разделение паролей и их изменения производится их совместным набором администратором ИКС и администратором ИБ согласно принятой политике парольной защиты; включить и настроить аудит ОС HP-UX. перевести ОС HPUX в режим Trusted с целью включения возможности аудита и усиленного управления учетными записями и паролями пользователей. для оперативного контроля аудиторской информации необходимо настроить syslogd и параметры аудита таким образом, чтобы аудиторская информация дублировалась на сервер аудита ИБ. С помощью syslogd HPUX автоматически аудирует такие события, как подбор паролей пользователя, вход с правами администратора, критичные события и предупреждения системного и прикладного уровней ОС. включить аудит всех команд, исполняемых администратором ОС HPUX, а также аудит операций удаления/записи в файлы системных настроек OC HPUX и СУБД Oracle. обеспечить наделение администратора ОС и АИБ полномочиями, необходимыми и достаточными для выполнения ими своих функциональных обязанностей, запретив при этом АИБ производить любые изменения настроек ОС, а администратору ОС возможность искажения журналов аудита, для чего реализовать запись журналов аудита ОС на сервер аудита в режиме реального времени, обеспечив невозможность их искажения на сервере аудита; поскольку аудит работы пользователя root системой HP-UX не предусмотрен, необходимо использовать этот идентификатор только в случае невозможности произведения необходимых операций с помощью идентификатора администратора HP-UX; с помощью штатных средств HP-UX обеспечить невозможность управления журналами аудита ОС администратору ОС (запретить ему доступ к командам audsys, audusr, audevent audisp, audomon), а также право записи в каталог аудита. Администратору безопасности необходимо запретить менять настройки HP-UX, сохранив при этом возможность управления аудитом (право на исполнение команд аудита и право на чтение и запись в файлы аудита). 2. Обеспечить оперативный анализ и периодическое архивирование аудиторской информации, а также определить порядок взаимодействия подразделений по результатам анализа аудиторской информации. 3. Обеспечить усиленную аутентификацию пользователей ОС. Для усиленной аутентификации в ОС HP-UX необходимо использовать режим Trusted HP-UX, который позволяет реализовать следующие дополнительные функции управления учетными записями пользователей и паролями: зашифрованный файл паролей (shadowed passwd file); ограничение пользователей по времени работы, по числу попыток входа в систему, по сроку действия пароля и учетной записи; требование пароля пользователя при входе в систему в режиме single-mode. автоматическое отключение долго неиспользуемых учетных записей. 4. Оптимизировать набор сервисов и системного программного обеспечения на серверах. Необходимо ограничить набор сервисов, загружаемых в ОС HP-UX, только сервисами необходимыми для работы и администрирования ИКС и систем резервного копирования. Также необходимо ограничить набор установленного системного ПО только необходимыми для функционирования ИКС программными пакетами, в частности не устанавливать компиляторы. Для минимизации угрозы безопасности серверов HP-UX необходимо ограничить набор сервисов HP-UX, загружаемых ОС, только необходимыми для работы ИКС сервисами, а именно:
|