Сервер аутентифікації Kerberos. 5 страница

Іноді зовнішні організації приймають на обслуговування й адміністрування відповідальні компоненти комп'ютерної системи, наприклад, мережеве устаткування. Нерідко адміністрування виконується у вилученому режимі. Загалом кажучи, це створює в системі додаткові уразливі місця, які необхідно компенсувати посиленим контролем засобів вилученого доступу або навчанням власних співробітників.

Ми бачимо, що проблема навчання - одна з основних з погляду інформаційної безпеки. Якщо співробітник не знайомий з політикою безпеки своєї організації, він не може прагнути до досягнення сформульованих у ній цілей. Не знаючи заходів безпеки, він не зможе їх дотримуватися. Навпаки, якщо співробітник знає, що його дії протоколюються, він, можливо, утримається від порушень.

6.3. Фізичний захист

Безпека інформаційної системи залежить від оточення, у якому вона функціонує. Необхідно прийняти заходи для захисту будинків і прилягаючої території підтримуючої інфраструктури, обчислювальної техніки, носіїв даних.

Основний принцип фізичного захисту, дотримання якого варто постійно контролювати, формулюється як "безперервність захисту в просторі й часі", Раніше ми розглядали поняття вікна небезпеки. Для фізичного захисту таких вікон бути не повинно.

Ми коротко розглянемо наступні напрямки фізичного захисту:

* фізичне керування доступом;

* протипожежні заходи;

* захист підтримуючої інфраструктури;

* захист від перехоплення даних;

* захист мобільних систем.

Засоби фізичного керування доступом дозволяють контролювати й при необхідності обмежувати вхід та вихід співробітників і відвідувачів. Контролюватися може весь будинок організації, а також окремі приміщення, наприклад, ті, де розташовані сервери, комунікаційна апаратура й т.п.

При проектуванні й реалізації заходів фізичного керування доступом доцільно застосовувати об'єктний підхід. По-перше, визначається периметр безпеки, що обмежує контрольовану територію. На цьому рівні деталізації важливо продумати зовнішній інтерфейс організації - порядок входу/виходу штатних співробітників і відвідувачів, внесення/виносу техніки. Усе, що не входить у зовнішній інтерфейс, повинно бути інкапсульовано, тобто захищене від несанкціонованих проникнень.

По-друге, виробляється декомпозиція контрольованої території, виділяються (під) об'єкти й зв'язки (проходи) між ними. За такої, більш глибокої деталізації варто виділити серед підоб'єктів найбільш критичні з погляду безпеки й забезпечити до них підвищену увага. Декомпозиція повинна бути семантично виправданою, що забезпечує розмежування різнорідних сутностей, таких як устаткування різних власників або персонал, що працює з даними різного ступеня критичності. Важливо зробити так, щоб відвідувачі, за можливості, не мали безпосереднього доступу до комп'ютерів або, у крайньому випадку, подбати про те, щоб від вікон і дверей не проглядалися екрани моніторів і принтери. Необхідно, щоб відвідувачів по зовнішньому вигляду можна було відрізнити від співробітників. Якщо відмінність полягає в тому, що відвідувачам видаються ідентифікаційні картки, а співробітники ходять "без розпізнавальних знаків", зловмисникові досить зняти картку, щоб його вважали "своїм". Очевидно, що відповідні картки потрібно видавати всім.

Засоби фізичного керування доступом відомі давно. Це охорона, двері із замками, перегородки, телекамери, датчики руху й багато чого іншого. Для вибору оптимального (за критерієм вартість/ефективність) засобу доцільно провести аналіз ризиків (до цього ми ще повернемося). Крім того, є сенс періодично відслідковувати появу технічних новинок у даній області, намагаючись максимально автоматизувати фізичний захист.

Більш докладно дана тема розглянута в статті В. Барсукова "Фізичний захист інформаційних систем" (Jet Info, 1997, 1).

Професія пожежника - одна з найдавніших, але пожежі як і раніше трапляються й завдають великої шкоди. Ми не збираємося цитувати параграфи протипожежних інструкцій або винаходити нові методи боротьби з вогнем - на це є професіонали. Відзначимо лише необхідність установки протипожежної сигналізації й автоматичних засобів пожежогасіння. Звернемо також увагу на те, що захисні заходи можуть створювати нові слабкі місця. Якщо на роботу взяли нового охоронця, це імовірно, поліпшує фізичне керування доступом. Якщо ж він ночами палить і п'є, то через підвищену пожежонебезпеку подібний засіб захисту може лише нашкодити.

До підтримуючої інфраструктури можна віднести системи електро-, водо-і теплопостачання, кондиціонери й засоби комунікацій. У принципі, до них можна застосувати ті ж вимоги цілісності й доступності, що й до інформаційних систем. Для забезпечення цілісності потрібно захищати устаткування від крадіжок та ушкоджень. Дія підтримки доступності варто вибирати устаткування з максимальним терміном праці на відмову, дублювати відповідальні вузли й завжди мати під рукою запчастини.

Окрему проблему становлять аварії водопроводу. Вони відбуваються нечасто, але можуть завдати величезної шкоди. При розміщенні комп'ютерів необхідно взяти до уваги розташування водопровідних і каналізаційних труб і намагатися триматися від них подалі. Співробітники повинні знати, куди варто звертатися при виявленні протікань,.

Перехоплення даних (про що ми вже писали) може здійснюватися різними способами. Зловмисник може підглядати за екраном монітора, читати пакети, передані по мережі, робити аналіз побічних електромагнітних випромінювань і наведень (ПЕМІН) і т.д. Залишається сподіватися на повселюдне використання криптографії (що, втім, поєднане в нас у країні з безліччю технічних і законодавчих проблем), намагатися максимально розширити контрольовану територію, розмістившись у тихому особнячку, віддалік від інших будинків, намагатися тримати під контролем лінії зв'язку (наприклад, помістити їх у надувну оболонку з виявленням проколювання), але найрозумніше, імовірно, - намагатися усвідомити, що для комерційних систем забезпечення конфіденційності є все-таки не головним завданням.

Бажаючим докладніше ознайомитися з питанням ми рекомендуємо прочитати статтю В. Барсукова "Блокування технологічних каналів витоку інформації" (Jet Info, 1998, 5-6).

Мобільні й портативні комп'ютери - привабливий об'єкт крадіжки. їх часто залишають без догляду, в автомобілі або на роботі, і викрасти такий комп'ютер зовсім нескладно. Раз у раз засоби масової інформації повідомляють про те, що який-небудь офіцер англійської розвідки або американський військовий втратив у такий спосіб рухомое майно. Ми настійно рекомендуємо шифрувати дані на жорстких дисках таких комп'ютерів.

Загалом кажучи, при виборі засобів фізичного захисту варто робити аналіз ризиків. Так, ухвалюючи рішення щодо закупівлі джерела безперебійного живлення, необхідно врахувати якість електроживлення в будинку, займаному організацією (втім, майже напевно воно виявиться поганим), характер і тривалість збоїв електроживлення, вартість доступних джерел і можливі втрати від аварій (поломка техніки, припинення роботи організації й т.п.) (див. також статтю В.Барсукова "Захист комп'ютерних систем від силових деструктивних впливів" в Jet Info, 2000, 2). У той же час, у багатьох випадках рішення очевидні. Засоби протипожежної безпеки обов'язкові для всіх організацій. Вартість реалізації багатьох засобів (наприклад, установка звичайного замка на двері серверної кімнати) або мала, або хоч і помітна, але все-таки значно менша, ніж можливий збиток. Зокрема, має сенс регулярно копіювати великі бази даних.

6.4. Підтримка працездатності

Далі розглянемо ряд рутинних заходів, спрямованих на підтримку працездатності інформаційних систем. Саме тут чатує найбільша небезпека. Ненавмисні помилки системних адміністраторів і користувачів можуть призвести до ушкодження апаратур, руйнування програм і даних; у найкращому випадку вони створюють пролом у захисті, який уможливлює реалізацію загроз.

Недооцінка факторів безпеки в повсякденній роботі - ахіллєсова п'ята багатьох організацій. Коштовні засоби безпеки втрачають сенс, якщо вони погано документовані, конфліктують з іншим програмним забезпеченням, а пароль системного адміністратора не змінювався з моменту установки.

Можна виділити наступні напрямки повсякденної діяльності:

* підтримка користувачів;

* підтримка програмного забезпечення;

* конфігураційне керування;

* резервне копіювання;

* керування носіями;

* документування;

* регламентні роботи.

Підтримка користувачів має на увазі насамперед консультування й надання допомоги при вирішенні різного роду проблем. Іноді в організаціях створюють для цієї мети спеціальний "довідковий стіл", але частіше від користувачів відкараскується системний адміністратор. Дуже важливо з переліку питань уміти виявляти проблеми, пов'язані з інформаційною безпекою. Так, багато труднощів користувачів, що працюють на персональних комп'ютерах, можуть бути наслідком зараження вірусами. Доцільно фіксувати питання користувачів, щоб виявляти їхні типові помилки й випускати пам'ятки з рекомендаціями для розповсюджених ситуацій.

Підтримка програмного забезпечення - один з найважливіших засобів забезпечення цілісності інформації. Насамперед, необхідно стежити за тим, яке програмне забезпечення встановлене на комп'ютерах. Якщо користувачі будуть установлювати програми за своїм розсудом, це може привести до зараження вірусами, а також появі утиліт, що діють в обхід захисних засобів. Цілком імовірно також, що "самодіяльність" користувачів поступово приведе до хаосу на їхніх комп'ютерах, а виправляти ситуацію доведеться системному адміністратору.

Другий аспект підтримки програмного забезпечення - контроль за відсутністю неавторизованої зміни програм і прав доступу до них. Сюди ж можна віднести підтримку еталонних копій програмних систем. Звичайно контроль досягається комбінуванням засобів фізичного й логічного керування доступом, а також використанням утиліт перевірки й забезпечення цілісності.

Конфігураційне керування дозволяє контролювати й фіксувати зміни, внесені в програмну конфігурацію. Насамперед, необхідно застрахуватися від випадкових або непродуманих модифікацій, уміти як мінімум повертатися до попередньої, працюючої, версії. Фіксація змін дозволить легко відновити поточну версію після аварії.

Кращий спосіб зменшити кількість помилок у рутинній роботі -максимально автоматизувати її. Праві ті "ледачі" програмісти й системні адміністратори, які, оглянувши поглядом море одноманітних завдань, говорять: "Я нізащо не буду робити цього; я напишу програму, що зробить усе за мене". Автоматизація й безпека залежать один від одного; той, хто піклується в першу чергу про полегшення свого завдання, насправді оптимальним чином формує режим інформаційної безпеки.

Резервне копіювання необхідно для відновлення програм і даних після аварій. І тут доцільно автоматизувати роботу, як мінімум, сформувавши комп'ютерний розклад створення повних й інкрементальних копій, а як максимум - скористатись відповідними програмними продуктами (див., наприклад, Jet Info, 2000, 12). Потрібно також налагодити розміщення копій у безпечному місці, захищеному від несанкціонованого доступу, пожеж, протікань, тобто від усього, що може привести до крадіжки або ушкодження носіїв. Доцільно мати кілька екземплярів резервних копій і частину з них зберігати за межами території організації, захищаючись у такий спосіб від великих аварій й аналогічних інцидентів.

Час від часу в тестових цілях варто перевіряти можливість відновлення інформації з копій.

Управляти носіями необхідно для забезпечення фізичного захисту й обліку дискет, стрічок, друкованих видач і т.п. Керування носіями повинне забезпечувати конфіденційність, цілісність і доступність інформації, що зберігається за межами комп'ютерних системх. Під фізичним захистом тут розуміється не тільки відбиття спроб несанкціонованого доступу, але й запобігання від шкідливих впливів навколишнього середовища (спеки, холоду, вологи, магнетизму). Керування носіями повинно охоплювати весь життєвий цикл - від закупівлі до виведення з експлуатації. Документування - невід'ємна частина інформаційної безпеки. У вигляді документів оформляється майже все - від політики безпеки до журналу обліку носіїв. Важливо, щоб документація була актуальною, відбивала саме поточний стан справ, причому в несуперечливому вигляді.

До зберігання одних документів (які містять у собі, наприклад, аналіз уразливих місць системи й загроз) можна застосувати вимоги забезпечення конфіденційності, до інших, таких як план еідновлєння після аварій - вимоги цілісності й доступності (у критичній ситуації план необхідно знайти й прочитати).

Регламентні роботи - дуже серйозна загроза безпеки. Співробітник, що здійснює регламентні роботи, одержує винятковий доступ до системи, і на практиці дуже важко проконтролювати, які саме дії він робить. Тут на перший план виходить ступінь довіри до тих, хто виконує роботу.

6.5. Реагування на порушення режиму безпеки

Програма безпеки, прийнята організацією, повинна передбачати набір оперативних заходів, спрямованих на виявлення й нейтралізацію порушень режиму інформаційної безпеки. Важливо, щоб у подібних випадках послідовність дій була спланована заздалегідь, оскільки заходи потрібно приймати термінові й скоординовані.

Реакція на порушення режиму безпеки переслідує три головні цілі:

* локалізація інциденту й зменшення нанесеної шкоди;

* виявлення порушника;

* попередження повторних порушень.

В організації повинна бути людина, яка буде на зв'язку 24 години на добу, яка б відповідача за реакцію на порушення. Усі повинні знати координати цієї людини й звертатися до неї за перших ознак небезпеки.

Важливість швидкої й скоординованої реакції можна продемонструвати на наступному прикладі. Нехай локальна мережа підприємства складається із двох сегментів, адміністрованих різними людьми. Далі, нехай в один із сегментів буде заражений вірус. Майже напевно через кілька хвилин (або, у крайньому випадку, кілька десятків хвилин) вірус пошириться й на інший сегмент. Виходить, заходи потрібно ужити негайно. "Вичищати" вірус необхідно одночасно в обох сегментах; у іншому випадку сегмент, відновлений першим, заразиться від іншого, а потім вірус повернеться й у другий сегмент.

Нерідко вимога локатізації інциденту й зменшення нанесеної шкоди вступає в конфлікт із бажанням виявити порушника. У політику безпеки організації пріоритети повинні бути розставлені заздалегідь. Оскільки, як показує практика, виявити зловмисника дуже складно, на наш погляд, у першу чергу варто піклуватися про зменшення збитку.

Щоб знайти порушника, потрібно заздалегідь з'ясувати контактні координати постачальника мережевих послуг і домовитися з ним про саму можливість і порядок виконання відповідних дій.

Щоб запобігти повторним порушенням, необхідно аналізувати кожен інцидент, виявляти причини, накопичувати відомості. Які джерела шкідливого ПЗ? Які користувачі мають звичку вибирати легкі паролі? На подібні питання й повинні дати відповідь результати аналізу.

Необхідно відслідковувати появу нових уразливих місць та якнайшвидше ліквідовувати асоційовані з ними вікна небезпеки. Хтось в організації повинен відслідковувати цей процес, уживати короткострокових заходів і корегувати програму безпеки для вживання довгострокових заходів.

6.6. Планування відновлювальних робіт

Жодна організація не застрахована від серйозних аварій, викликаних природними катаклізмами, діями зловмисника, недбалістю або некомпетентністю. У той же час, у кожній організації € функції, які керівництво вважає критично важливими, вони повинні виконуватися незважаючи ні на що. Планування відновлювальних робіт дозволяє підготуватися до аварій, зменшити збиток від них і зберегти здатність до функціонування хоча б у мінімальному обсязі.

Відзначимо, що заходи інформаційної безпеки можна розділити на три групи, залежно від того, чи спрямовані вони на попередження, виявлення або ліквідацію наслідків атак. Більшість засобів носить попереджувальний характер. Оперативний аналіз реєстраційної інформації й деякі аспекти реагування на порушення (так званого активного аудиту) слугують для виявлення й відбиття атак. Планування відновлювальних робіт, мабуть, можна віднести до останньої із трьох перерахованих груп.

Процес планування відновлювальних робіт можна розділити на наступні етапи:

* виявлення критично важливих функцій організації, установлення пріоритетів;

* ідентифікація ресурсів, необхідних для виконання критично важливих функцій;

* визначення переліку можливих аварій;

* розробка стратегії відновлювальних робіт;

* підготовка до реалізації обраної стратегії;

* перевірка стратегії.

Плануючи відновлювальні роботи, варто усвідомлювати те, що повністю зберегти функціонування організації не завжди можливо. Необхідно виявити критично важливі функції, без яких організація втрачає свою цілісність, і навіть серед критичних функцій розставити пріоритети, щоб якнайшвидше й з мінімальними витратами відновити роботу після аварії.

Ідентифікуючи ресурси, необхідні для виконання критично важливій функцій, варто пам'ятати, що багато хто з них мають некомп'ютерний характер. На даному етапі бажано підключати до роботи фахівців різного профілю, здатних у сукупності охопити всі аспекти проблеми. Критичні ресурси звичайно відносяться до однієї з наступних категорій:

* персонал;

* інформаційна інфраструктура;

* фізична інфраструктура.

Формуючи списки відповідальних фахівців, варто враховувати, що деякі з них можуть безпосередньо постраждати від аварії (наприклад, від пожежі), хтось може перебувати в стані стресу, частина співробітників, можливо, не буде мати змоги потрапити на роботу (наприклад, у випадку масових безладь). Бажано мати невеликий резерв фахівців або заздалегідь визначити канали, по яким можна на деякий час залучити додатковий персонал.

Інформаційна інфраструктура містить у собі наступні елементи:

* комп'ютери;

* програми й дані;

* інформаційні сервіси зовнішніх організацій;

* документацію.

Потрібно підготуватися до того, що на "запасному аеродромі", куди організація буде евакуйована після аварії, апаратна платформа може відрізнятися від вихідної. Відповідно, варто продумати заходи підтримки сумісності по програмам і даним.

Серед зовнішніх інформаційних сервісів для комерційних організацій, імовірно, найважливіше отримати оперативну інформацію й зв'язок з державними службами, що курирують даний сектор економіки.

Документація важлива хоча б тому, що не вся інформація, з якою працює організація, представлена в електронному вигляді. Швидше за все, план відновлювальних робіт надрукований на папері.

До фізичної інфраструктури відносяться будинки, інженерні комунікації, засоби зв'язку, оргтехніка й багато чого іншого. Комп'ютерна техніка не може працювати в поганих умовах, без стабільного електроживлення й т.п.

Аналізуючи критичні ресурси, доцільно врахувати часовий профіль їхнього використання. Більшість ресурсів потрібні постійно, але потреба може виникати тільки в певні періоди (наприклад, наприкінці місяця або року при складанні звіту).

При визначенні переліку можливих аварій потрібно спробувати розробити їхні сценарії. Як будуть розвиватися події? Які можуть виявитися масштаби нещастя? Що відбудеться із критичними ресурсами? Наприклад, чи зможуть співробітники потрапити на роботу? Чи будуть виведені з ладу комп'ютери? Чи можливі випадки саботажу? Чи буде працювати зв'язок? Чи постраждає будинок організації? Чи можна буде знайти й прочитати необхідні папери?

Стратегія відновлювальних робіт повинна базуватися на наявних ресурсах і бути не занадто накладною для організації. При розробці стратегії доцільно провести аналіз ризиків, яким піддаються критичні функції, і спробувати обрати найбільш економічне рішення.

Стратегія повинна передбачати не тільки роботу по тимчасовій схемі, але й повернення до нормального функціонування.

Підготовка до реалізації обраної стратегії полягає у виробленні плану дій в екстрених ситуаціях і по їхньому закінченні, а також у забезпеченні деякої надмірності критичних ресурсів. Останнє можливо й без великої витрати засобів, якщо укласти з однією або декількома організаціями угоди про взаємну підтримку у випадку аварій - ті, хто не постраждав, надають частину своїх ресурсів у тимчасове користування менш щасливим партнерам.

Надмірність забезпечується також заходами резервного копіювання, зберігання копій у декількох місцях, поданням інформації в різних виглядах (на папері й у файлах) і т.д.

Має сенс укласти угоду з постачальниками інформаційних послуг про першочергове обслуговування в критичних ситуаціях або укласти угоди з декількома постачальниками. Правда, ці заходи можуть зажадати певних витрат.

Перевірка стратегії виробляється шляхом аналізу підготовленого плану, прийнятих і намічених заходів.

Розділ 7. Основні програмно-технічні заходи

7.1. Основні поняття програмно - технічного рівня інформаційної безпеки

Програмно-технічні заходи, тобто заходи, спрямовані на контроль комп'ютерних сутностей - устаткування, програм й/або даних, утворюють останній і найважливіший рубіж інформаційної безпеки. Нагадаємо, що збиток наносять в основному дії легальних користувачів, стосовно яких процедурні регулятори малоефективні. Головні вороги - некомпетентність і неакуратність при виконанні службових обов'язків, і тільки програмно-технічні заходи здатні їм протистояти.

Комп'ютери допомогли автоматизувати багато областей людської діяльності. Цілком природним бажання покласти на них і забезпечення власної безпеки. Навіть фізичний захист все частіше доручають не охоронцям, а інтегрованим комп'ютерним системам, що дозволяє одночасно відслідковувати переміщення співробітників і в організації, і в інформаційному просторі.

Це друга причина, шо пояснює важливість програмно-технічних заходів.

Треба, однак, ураховувати, що швидкий розвиток інформаційних технологій не тільки надає оборонцям нові можливості, але й об'єктивно ускладнює забезпечення надійного захист)', якщо опиратися винятково на заходи програмно-технічного рівня. Причин тут декілька:

* підвищення швидкодії мікросхем, розвиток архітектур з високим ступенем паралелізму дозволяє методом грубої сили переборювати бар'єри (насамперед криптографічні), які раніше здавалися неприступними;

* розвиток мереж і мережевих технологій, збільшення кількості зв'язків між інформаційними системами, ріст пропускної здатності каналів розширюють коло зловмисників, що мають технічну можливість організовувати атаки;

* поява нових інформаційних сервісів призводить і до утворення нових уразливих місць як "усередині" сервісів, так і на їхніх з'єднаннях;

* конкуренція серед виробників програмного забезпечення змушує скорочувати строки розробки, що приводить до зниження якості тестування й випуску продуктів з дефектами захисту;

* парадигма постійного нарощування, нав'язуваня споживачам, потужності апаратного й програмного забезпечення не дозволяє довго залишатися в межах надійних, апробованих конфігурацій й, крім того, вступає в конфлікт із бюджетними обмеженнями, через що знижується частка асигнувань на безпеку.

Перераховані міркування підкреслюють важливість комплексного підходу до інформаційної безпеки, а також необхідність гнучкої позиції при виборі й супроводі програмно-технічних регуляторів.

Центральним для програмно-технічного рівня є поняття сервісу безпеки.

Дотримуючись об'єктно-орієнтованого підходу, при розгляді інформаційної системи з одиничним рівнем деталізації ми побачимо сукупність надаваних нею інформаційних сервісів. Назвемо їх основними. Щоб вони могли функціонувати й мали необхідні властивості, необхідно кілька рівнів додаткових (допоміжних) сервісів - від СУБД і моніторів транзакцій до ядра операційної системи й устаткування.

До допоміжного відносяться сервіси безпеки (ми вже зіштовхувалися з ними при розгляді стандартів і специфікацій в області ІБ); з-поміж них нас у перш}' чергу будуть цікавити універсальні, високорівневі, що допускають використання різними основними й допоміжними сервісами. Далі ми розглянемо наступні сервіси:

* ідентифікація й аутентифікація;

* керування доступом;

* протоколювання й аудит:

* шифрування;

* контроль цілісності;

* екранування;

* аналіз захищеності;

* забезпечення відмовостійкості;

* забезпечення безпечного відновлення;

* тунелювання;

* керування.

Будуть описані вимоги до сервісів безпеки, їхня функціональність, можливі методи реалізації й місце в загальній архітектурі.

Якщо зіставити наведений перелік сервісів із класами функціональних вимог "Загальних критеріїв", то впадає в око їхня істотна розбіжність. Ми не будемо розглядати питання, пов'язані з приватністю. На наш погляд, сервіс безпеки, хоча б частково, повинен перебувати в розпорядженні того, кого він захищає. У випадку ж з приватністю це не так: критично важливі компоненти зосереджені не на клієнтській, а на серверній стороні, так що приватність власне кажучи виявляється аластивістю пропонованої інформаційної послуги (у найпростішому випадку, приватність досягається шляхом збереження конфіденційності серверної реєстраційної інформації й захистом від перехоплення даних, для чого досить перерахованих сервісів безпеки).

З іншого боку, наш перелік є ширшим, ніж'у "Загальних критеріях", оскільки в нього входять екранування, аналіз захищеності й тунелювання. Ці сервіси мають важливе значення самі по собі й, крім того, можуть комбінуватися з іншими сервісами для одержання таких необхідних захисних засобів, як, наприклад, віртуальні приватні мережі/'

Сукупність перерахованих вище сервісів безпеки ми будемо називати повним набором. Уважається, що його, у принципі, досить для побудови надійного захисту на програмно-технічному рівні, щоправда, при дотриманні цілого ряду додаткових умов (відсутність уразливих місць, безпечне адміністрування й т.д.).

Для проведення класифікації сервісів безпеки й визначення їхнього місця в загальній архітектурі, заходи безпеки можна розділити на наступні види:

* превентивним, перешкоджаючим порушенням ІБ;

* заходи виявлення порушень;

* локалізуючі, звужуючі зону впливу порушень;

* заход виявлення порушника;

* заходи відновлення режиму безпеки.

Більшість сервісів безпек потрапляє в число превентивних, і це, безумовно, правильно. Аудит і контроль цілісності здатні допомогти у виявленні порушень; активний аудит, крім того, дозволяє запрограмувати реакцію на порушення з метою локалізації й/або простежування. Спрямованість сервісів відмовостійкості й безпечного відновлення очевидна. Нарешті, керування відіграє інфраструктурну роль, обслуговуючи всі аспекти ІС.

7.2. Особливості сучасних інформаційних систем, істотні з погляду безпеки

Інформаційна система типової сучасної організації є досить складним утворенням, побудованим у багаторівневій архітектурі клієнт/сервер, що користується численними зовнішніми сервісами й, у свою чергу, надає власні сервіси зовні. Навіть порівняно невеликі магазини, що забезпечують розрахунок з покупцями по пластикових картах (і, звичайно, що мають зовнішній Web-сервер), залежать від своїх інформаційних систем й, зокрема, від захищеності всіх компонентів систем і комунікацій між ними.

З погляду безпеки найбільш істотними уявляються наступні аспекти сучасних ІС:

* корпоративна мережа має декілька територіально рознесених частин (оскільки організація розташовується на декількох виробничих майданчиках), зв'язки між якими перебувають у компетенції зовнішнього постачальника мережевих послуг, виходити за межі зони, яка контролюється організацією;

* корпоративна мережа має одне або кілька підключень до Internet;

* на кожному з виробничих майданчиків можуть перебувати критично важливі сервери, у доступі до яких мають потребу співробітники, що працюють на інших майданчиках, мобільні користувачі й, можливо, співробітники інших організацій;

* для доступу користувачів можуть застосовуватися не тільки комп'ютери, але й споживчі пристрої, що використовують, зокрема, бездротовий зв'язок;

* протягом одного сеансу роботи користувачу доводиться звертатися до декількох інформаційних сервісів, що спираються на різні апаратно-програмні платформи;

* щодо доступності інформаційних сервісів висуваються жорсткі вимоги, які уособлюються в необхідності цілодобового функціонування з максимальним часом простою приблизно декілька хвилин;

* інформаційна система є мережею з активними агентами, тобто в процесі роботи програмні компоненти, такі як апплети або сервлети, передаються з однієї машини на іншу й виконуються в цільовому середовищі, підтримуючи зв'язок з вилученими компонентами;

* не всі користувацькі системи контролюються мережевими й/або системними адміністраторами організації;

* програмне забезпечення, особливо отримане по мережі, не може вважатися надійним, у ньому можуть бути помилки, що створюють проблеми в захисті;

* конфігурація інформаційної системи постійно змінюється на рівнях адміністративних даних, програм й апаратур (змінюється склад користувачів, їхні привілеї й версії програм, з'являються нові сервіси, нові апаратури й т.п.).