В тому випадку, якщо вторгнення в систему недоброзичливців відбулося, то системний адміністратор, що відповідає за безпеку, повинен виявити «слабку ланку» системи захисту, а так само визначити причину проникнення і те, яким чином це відбулося. Для формування політики безпеки першою дією, яку повинен зробити адміністратор, буде так звана інвентаризація наявних ресурсів, які і мають бути захищені. Фахівець здійснює ідентифікацію всіх користувачів мережі, організовує їм доступ до наявних ресурсів, а так само аналізує можливі джерела небезпеки, які загрожують кожному з наявних ресурсів. Оперуючи всією зібраною інформацією, стає можливим починати створення політики безпеки, дотримувати яку зобов'язані всі користувачі без виключення.

Варто підкреслити, що політика безпеки мережі не є набором простих правил, які так чи інакше можуть бути всім зрозумілі. Безпека подібного рівня повинна мати форму повноцінного друкарського документа зі всіма необхідними особливостями і нюансами. А для того, щоб кожен з користувачів не забував про складене зведення правил політики безпеки, необхідне що б вони завжди були, що називається, на вигляді. Наприклад, можна розіслати копії складених правил безпеки по всіх призначених для користувача робочих місцях офісу.

Потрібний за якістю рівень безпеки мережі обов'язково повинен включати наступні аспекти:

* ризик і його оцінка. Простіше кажучи - виявлення предмету захисту (що захищаємо і від кого). Цей аспект має на увазі виявлення цінностей, розташованих в мережі і знаходження потенційних джерел риски;
* відповідальність. Всі рішення по ухваленню тих або інших дій стосовно політики безпеки (будь то нові облікові записи, або виявлення порушників) повинні здійснюватися відповідальними особами, яких і необхідно вказати;
* мережеві ресурси і правила їх використання. У зведенні правил політики безпеки обов'язково мають бути присутніми (у очевидній формі) пояснення, які б показали користувачеві, що він має права робити, а що ні. Наприклад, використання ресурсів мережі в особистих цілях і вживання інформації не за призначенням - не допускається;
* аспекти юридичного характеру. Необхідно заручитися підтримкою грамотного юриста, яка б дозволила відповісти на всі питання про інформацію, що зберігається або оброблюваній в мережі. Всі отримані відомості обов'язково мають бути включені в документи про політику безпеки мережі;
* відновлення системи безпеки і всі супутні процедури. Слід точно позначити дії, які мають бути прийняті у разі порушення системи захисту. Плюс до цього мають бути визначені заходи, які будуть прийняті на аресу тих, хто став винуватцем порушення, що відбулося.

Види вторгнення. Класифікація

Залежно від мети вторгнення, існує можливість визначити їх класи, які діляться на п'ять основних типів:

* апаратні засоби. Сервери, робочі станції, периферійні пристрої (принтери, сканери), мережеві кабелі і різноманітні дискові накопичувачі. У тому числі і мережеве устаткування: комутатори, маршрутизатори, мости;
* програмне забезпечення. То або інше програмне забезпечення, встановлене на будь-якому з комп'ютерів, який включений в мережу, може стати можливим «ключем» для проникнення недоброзичливця. І не має значення, чи куплені ці програми у сторонніх розробників, або створені власним ІТ-відділом. Важливо відзначити, що операційні системи, що є базою для роботи всіх необхідних програмних продуктів, потребують регулярного оновлення (установка «патчів»);
* інформація. Найважливішою цінністю володіють дані, операція якими відбувається в комп'ютерній мережі. Якщо будь-яке програмне забезпечення і самі операційні системи можна відновити (або переустановити), то цілісність даних, як правило, не підлягає відновленню. Наприклад, список клієнтів, що потрапив до рук недоброзичливців, може вилитися в справжню катастрофу для всього бізнесу;
* люди. Користувачі, що працюють в єдиній мережі, завжди знаходяться в зоні риски. Про це варто пам'ятати завжди;
* документи. Статистика показує, що різні паролі, дані і зачую конфіденційну інформацію дуже часто переносять на паперовий носій (роздрук, записи на листах паперу і багато що інше). І, як правило, рано чи пізно вся подібна «паперова» інформація потрапляє в сміття і просто викидається. Недоброзичливець може цим скористатися і оволодіти закритою для нього інформацією. Слід знати, що будь-які паперові носії, перш ніж бути викинуті, мають бути знищені. Наприклад, за допомогою спеціального утилізатора паперу.

Політика безпеки, яку дійсно можна назвати хорошою і ефективною, винна, перш за все, бути зрозуміла всім користувачам. Проте, не все так просто, адже далеко не всі можуть все зрозуміти досконально. Для вирішення цієї проблеми рекомендується проводити постійні повторні ознайомлення робочого персоналу з наявною політикою безпеки. Це може бути виконано не тільки на спеціальних інструктажах, але і безпосередньо на самому робочому місці. І найголовніше - не розцінювати подібні дії як просту формальність. Користувачі повинні розуміти всю узяту на себе відповідальності і сприяти збереженню інформації.

Безпека з фізичної точки зору

Несанкціонований доступ, а точніше його запобігання - це, перш за все, фізичне блокування доступу до мережі, що захищається. Плюс позбавлення доступу до комп'ютерів і серверів мережі, кабелів повідомлень і різних периферійних пристроїв. У тому випадку, коли мережа і підключення до неї виходять за рамки контрольованої зони (наприклад, вихід в інтернет через провайдера), необхідні особливі заходи, такі як організація віртуальних тунелів або шифрування. На додаток до цього, все устаткування, яке так чи інакше бере участь в обміні даними, повинне завжди знаходитися під контролем.

Банальним, але в той же час надзвичайним дієвим засобом подібного контролю може стати надійний дверний замок. Всі сервери і сховища даних повинні знаходитися в закритих приміщеннях. У них повинні мати доступ тільки компетентні особи із строгим рівнем допуску. Подібними заходами захисту мають бути забезпечені і пристрої функціонування мережі (концентратори, маршрутизатори і інші пристрої). Всі комп'ютери повинні знаходитися в приміщеннях, що закриваються на замок, за якими здійснюватиметься спостереження. Існує багато способів організації контролю і спостереження за приміщеннями, наприклад - реєстраційний журнал і вказівка в нім всіх відвідувачів. Різні резервні копії даних, розміщені на носіях (лазерні диски, стрічки, касети), повинні зберігатися в закритих місцях без загального доступу, наприклад - в сейфах.

Застарілі комп'ютери і їх утилізація

Достатньо часто парку обчислювальної техніки може потрібно комп'ютерна допомога. Ремонт, відновлення і багато інших операцій повинні проводитися тільки компетентними фахівцями. Проте, не рідкісні і ті випадки, коли необхідна модернізація устаткування (комп'ютери, сервери, сховища даних), або ж повна заміна застарілої техніки на нову. Все «списане» устаткування, як правило, передається в користування стороннім організаціям (комп'ютерні клуби, школи і інше). Будь-яка політика безпеки, організована на підприємстві або організації, повинна містити жорсткі правила по знищенню даних, які раніше або зараз представляють конфіденційність. Зрозуміло, подібні дії мають бути проведені зі всіма жорсткими дисками і іншими накопичувачами інформації списуваної техніки, щоб виключити ризик розповсюдження конфіденційної інформації. Так само мають бути описані алгоритми утилізації носіїв інформації з резервними копіями важливих даних. У багатьох випадках буде незамінна процедура фізичного знищення подібних носіїв. Це буде хорошим гарантом, який повністю виключить «просочування» конфіденційної інформації.

Програмний доступ до інформації

Окрім фізичного обмеження доступу до мережі слід прийняти заходи по програмному обмеженню. Проте, як показує статистика, як би добре не була побудована система подібного обмеження, завжди відшукається людина, яка буде здатна її обійти. Отже, необхідно мати засоби контролю і спостереження за всіма подіями, що відбуваються в мережі і, у разі потреби, зуміти визначити вторгнення і його глибину.

Мають місце декілька алгоритмів управління мережевим доступом:

* захист ресурсів;
* ідентифікація на фізичному рівні;
* паролі і облікові записи користувачів.

Такий елемент як володіння ресурсами в багатьох операційних системах є ключовою ланкою політики безпеки. Так, наприклад, серверні операційні системи від компанії Microsoft (Windows 200/2003) мають інструменти по відстежуванню дій користувачів, які контактують з тими або іншими ресурсами (наприклад, файли). Творці файлів мають безліч засобів вплинути на їх захист: обмежити доступ, заборонити його і багато що інше. Операційні системи Unix/linux так само мають подібні інструменти, хоч і відрізняються ними від MS Windows.

Користувачі і їх ідентифікація

В тому випадку, якщо які-небудь особливо секретні дані не зберігаються в мережі, то для їх доступу, а так само для доступу до інших ресурсів достатньо лише логіна і пароля. Подібна система проста і у багатьох випадках є оптимальним рішенням. Операційні системи Windows 2000/2003/xp дозволяють створювати так звані домени, які є відособленими зонами управління зі встановленим рівнем захисту. Системний адміністратор може дуже гнучко управляти правами доступу домена, вирішуючи або забороняючи доступ конкретним користувачам не тільки на рядові обчислювальні машини, але і на сервер (сервери). Так само, можливі і такі дії, як довірчі стосунки між декількома доменами, де системні адміністратори можуть вирішити доступ для користувачів до ресурсів інших доменів. Подібні дії вимагають дозволів на рівні облікових записів і співпраці відповідальних осіб (системних адміністраторів). Серверні операційні системи Microsoft (Windows 200/2003 і пізніші) підтримують групові політики безпеки, що надзвичайно ефективно дозволяє оперувати правами доступу до важливих ресурсів.

Для вирішення подібних завдань в Novell Netware використовується спеціальна служба Novel Directory Services. Кожен користувач отримує унікальне реєстраційне мережеве ім'я і представляється в певному каталозі об'єктом User. У даному об'єкті розташовується все інформація про користувача, будь то логін, з'єднання і інше.

Unix і подібні операційні системи не містять в своїй структурі доменних систем. Замість цього, кожен хост системи містить так званий файл паролів, де присутня інформація про всіх користувачів, у тому числі і їх паролі в зашифрованому вигляді. Так, наприклад, для доступу до інших мережевих ресурсів, користувач Unix повинен використовувати проксі, або ж пройти реєстрацію на комп'ютері іншої частини мережі, що відноситься до необхідних ресурсів. Варто пам'ятати, що такі мережеві утиліти, як FTP і Telnet можуть пересилати ідентифікаційну інформацію користувачів відкритим текстом без якого-небудь шифрування, а значить - можуть стати об'єктом уваги для недоброзичливців.

Звичайні мережеві операції (друк файлів, їх копіювання), а так само реєстрація на якій-небудь видаленій системі в операційній системі Unix виконується утилітами видаленої роботи. Зазвичай, вони називаються «r-командами», де їх імена завжди починаються з букви «r».

Утиліти подібного класу надзвичайно ефективні в мережевому середовищі, якщо одному користувачеві доводиться здійснювати роботу на декількох обчислювальних машинах мережі. Проте, враховуючи той факт, що для виконання тієї або іншої команди на видаленому комп'ютері користувачеві цілком досить мати обліковий запис, то це може викликати проблеми із загальною безпекою системи.

Файл /etc/hosts.equiv, або ж .rhosts, а точніше запис в нім визначає права доступу. Комп'ютер, до якого виконується видалене підключення, «довіряє» тому комп'ютеру з якого виконується r-команда. Якщо комп'ютер знаходить відповідний запис в даному файлі, то вирішує доступ до запрошуваних ресурсів. Кожен із записів файлу /etc/hosts.equiv дозволяє ідентифікувати користувача, оскільки містить його ім'я і хост, які мають повноваження на виконання необхідної команди. Саме з цієї причини зовсім не обов'язковий пароль. Простіше кажучи, якщо користувач має реєстрацію на видаленому комп'ютері, то аутентифікація їм вже пройдена. Файл .rhosts розташовується в «домашньому» каталозі користувача і має такий самий алгоритм роботи. Вся робота видалених користувачів (їх доступ і права) грунтуються на записах наявних в цьому файлі.

В наші дні, в операційних системах Unix і Linux з'явилися спеціальні утиліти Secure Shell (утиліти захисної оболонки), які хоч і схожі по своєму дії з r-командами, але відрізняються від них наявністю шифрування і спеціальними алгоритмами аутентифікації.

Дані алгоритми безпеки системи мають схожість з довірчими стосунками, реалізованими в Windows Nt/2000/server 2003/xp, проте механіка їх роботи все ж таки різна. Так, наприклад, в системі Unix/linux недоброзичливець достатньо легко може представитися видаленим комп'ютером і за допомогою r-команд дістати доступ до інформації, що захищається.

На серверах Windows здійснюються різноманітні фонові процеси, які виконують строго певні функції. Вони називаються службами. Операційні системи Unix так само мають схожі інструменти, які виконують подібну роботу і називаються «демонами». Всі дані процеси, як правило, виконуються автоматично і без інформування про це користувача. В деяких випадках вони можуть стати винуватцями порушень системи захисту.

Слідує чітко знати всі основні фонові процеси операційних систем і уміти оперувати з ними. Так, наприклад, в системах Unix існують певні демони, які так чи інакше стосуються роботи мережевих протоколів Tcp/ip. Можливі такі випадки, коли вони можуть негативно позначитися на безпеці всієї системи. Їх можна відключити і тим самим вирішити багато проблем.

Наприклад, служба tftp є спрощеною моделлю FTP. Дана спрощена служба відрізняється своєю компактністю і легкістю реалізації в апаратних засобах комп'ютера (перепрограмований ПЗП). У багатьох випадках використання цієї служби достатнє ефективно, але ця служба не має доступу до механіки (в порівнянні з FTP), що управляє, і не оперує обліковими даними користувача (логін і пароль). Враховуючи, що аутентифікації як такий немає, можуть виникнути серйозні проблеми з безпекою всієї системи.

Сервери, що працюють під управлінням операційних систем Windows, мають в своєму розпорядженні дві утиліти з набору Resource Kit, які дозволяють запускати практично будь-які програми у фоновому режимі. Одна з них - це INSTRV.EXE, яка встановлює виконувані програми. А друга - SRVANY.EXE, яка перетворює необхідну програму на службу.

Слід зазначити, що окрім технічного обслуговування обчислювальної техніки, будь то ремонт комп'ютерів і їх своєчасна модернізація, слід розробити чітку концепцію корпоративної безпеки.

Корпоративна безпека і її елементи. Зразок

Основна мета: забезпечити надійні гарантії по правильному використанню обчислювальною технікою і телекомунікаційних ресурсів «Компанії» штатом її співробітників і іншими користувачами.

Всі користувачі зобов'язані оперувати обчислювальним засобам з урахуванням всіх норм і правил, і тим самим здійснювати на ній ефективну роботу. Дана політика безпеки стосується всіх користувачів обчислювальних машин, телекомунікаційних ресурсів і служб. Порушення політики безпеки може стати причиною дисциплінарної дії, звільнення і/або порушення кримінальної справи. В міру необхідності дана політика безпеки може видозмінюватися і переглядатися. Перевірку комп'ютерної системи мають право здійснювати керівники компанії. Під їх компетентність потрапляє електронна пошта і багато інших інтерфейсів обміну даними. Подібна перевірка здійснюється з метою гарантувати повне дотримання всіх норм встановленої політики безпеки. Телекомунікаційна і обчислювальна системи є власністю Компанії і можуть бути використані тільки у вирішенні строго робочих завдань. Штат співробітників Компанії не повинен розраховувати на конфіденційність тієї інформації, яку вони створюють, відправляють або отримують за допомогою обчислювальних і комунікаційних засобів, що належать Компанії. Всім користувачам комп'ютерів Компанії належить керуватися приведеними нижче заходами безпеки і правилами, які стосуються обчислювальної техніки і телекомунікаційних ресурсів. Всі програмні ліцензії мають бути строго дотримані користувачами. Мають бути враховані авторські права і закони, що підкріплюють інтелектуальну власність. Будь-яку інформацію, що є невірною, непристойною, образливою, загрозливою або протизаконною, забороняється зберігати, отримувати або передавати за допомогою електронних ліній зв'язку (будь то електронна пошта або багато що інше), що належать Компанії. Будь-яка інформація, створена на комп'ютерах Компанії, будь то файли або листи електронної пошти, може бути проаналізована і вивчена керівниками Компанії. Програмне забезпечення, яке не отримало дозвіл на установку у системного адміністратора, не може бути встановлене на комп'ютери Компанії. Забороняється пересилка будь-якої інформації, без дозволу на те її власників. Будь-яка електронна кореспонденція від юриста Компанії або адвоката, що представляє її, повинна містити на кожній сторінці (у колонтитулі) позначку: "Захищено адвокатським правом/без дозволи не пересилати". Користувачі не мають права змінювати або копіювати яку-небудь інформацію (без відповідного не те дозволи), що належить іншим користувачам. Без особливого попереднього дозволу забороняється зберігати на комп'ютерах Компанії яку-небудь сторонню комерційну інформацію, будь то оголошення, рекламні матеріали і так далі. Так само, забороняється зберігання і пересилка шкідливих програм - вірусів. Користувач несе відповідальність за власний обліковий запис і інформацію, що ідентифікує його (наприклад, особистий пароль на вхід в систему). Так само, забороняється роздруковувати подібну інформацію паперові носії і зберігати її в загальних мережевих ресурсах. Можливість входу в інші комп'ютерні мережі не дає користувачам права на підключення і взаємодію з цими мережами без наявності відповідного на те дозволу адміністратора.