Пример типовой политики безопасности компании, имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернет.
Сетевая безопасность
1. Головной файрвол. Обязателен антивирусный контроль трафика на файрволе (АВП с еженедельным обновлением через Интернет). Файрвол администрируется локально или удаленно (с обязаельным использованием средств шифрования трафика и только из внутренней сети с виртуального фиксированного НАТ адреса администратора).
Из операционной системы на файрволе удаляются все не нужные сервисы и протоколы, ставятся и регулярно обновляются необходимые патчи, создается максимально безопасная конфигурация ОС. Пользователь имеется только один - администратор.
Фильтрация на головном файрволе.
ДОСТУП из Интернет в корпоративную сеть:
· во внутреннюю приватную сеть доступ извне запрещен
· к файрволу извне доступ запрещен
· В ДМЗ (демилитаризованная зона) доступ разрешен ТОЛЬКО к следующим портам на объектах (в остальных случаях доступ запрещен):
o § Веб-сервер.
1. анонимный доступ всем разрешен только к 80 порту.
2. разрешен авторизованный FTP-доступ на 21 порт и 20 порт (возможно с предварительной идентификацией / аутенитификацией на файрволе) администратору веб-сервера только из сегмента административного управления (с приватного ИП-адреса администратора).
3. из приватной сети, только из сегмента административного управления (с ИП-адреса администратора) возможен удаленный терминальный доступ по протоколу rsh на веб-сервер
o § Мейл - сервер (SMTP and POP3)
1. разрешен доступ только из приватной корпоративной сети к сервису POP3 - 110 порт, исключая учебную подсеть
2. разрешен доступ к SMTP сервису - 25 порт только из приватной сети, исключая учебную подсеть
Доступ из корпоративной сети в Интернет разрешен без ограничений
2. Свитч - Доступ из учебной сети во всю рабочую сеть (три сегмента) запрещен (но доступ из учебного сегмента в Интернет разрешен)
Доступ из сети персонала в сети менеджеров и административного управления запрещен
Свитч выбирается такой, чтобы можно было задавать политику безопасности и запрещать доступ из одного сегмента в другой. Также свитч должен быть по возможности устойчив к ARP-атаке, чтобы такая атака, переполнив ARP-таблицу свитча, не перевела его в режим хаба
3. Электронная почта. Необходимо обеспечить возможность безопасной отправки - приема почты через корпоративный сервер через Интернет.
1. Универсальное решение - это ssl- редиректор. Клиент посылает запрос на 110 или 25 порт сервера; попытка установления соединения обнаруживается клиентским редиректором, пропускается через (например) socks с ssl и отправляется на сервер (какой-нибудь другой порт). Там это получает аналогичный редиректор, расшифровывает и перебрасывает на 110 порт.
Плюсы решения: стандартные клиент и сервер, не надо писать свои.
Минусы решения: клиенту все же надо иметь с собой спец. софт, но это терпимо, если он компактный и не требует настройки.
4. Система обнаружения атак .(IDS-Intrusion Detection System)
Можно использовать ISS Real Secure или любую иную программу данного типа (в том случае, если применяется файрвол Check Point, имеющий возможность сопряжения с ISS Real Secure (RS), которая обладает возможностью автоматической реконфигурации данного файрвола в случае обнаружения атаки) или бесплатная юникс программа snort. Располагается на выделенных компьютерах, контролируя входной трафик из Интернет на файрвол и трафик внутри сегментов корпоративной сети. Консоль управления RS находится в сегменте административного управления (или RS администрируется локально).
5. Контроль содержания трафика. Для контроля содержимого трафика устанавливается система анализа и контроля трафика типа MIMEsweeper (Baltimore)
6. Протоколирование и регулярный мониторинг доступа.
· На межсетевом экране заводится лог-файл, куда записываются все обращения (попытки создания соединений) в корпоративную сеть и из корпоративной сети. Лог файл должен храниться локально и удаленно
· Система обнаружения атак сохраняет информацию об атаках и подозрительной активности в лог-файл. Лог файл должен храниться локально и удаленно
· Веб-сервер сохраняет информацию о его посещении в лог-файл. Лог файл должен храниться локально и удаленно
· Сервер анализа контента сохраняет информацию о нарушениях в лог-файл. Лог файл должен храниться локально и удаленно
Локальная безопасность (безопасность рабочих станций и серверов)
1. Антивирусный контроль. Обязательный антивирусный контроль на рабочих станциях. Обязателен автоматический запуск антивирусного монитора и обязательно его автоматическое обновление через Интернет каждую неделю
2. Защита от НСД. Необходимо поставить аппаратную систему защиты от НСД, которая должна контролировать и разграничивать доступ к каждой рабочей станции и серверу на аппаратном уровне (при загрузке). Система должна быть:
· ОС-независима и выполнена в виде платы к ЭВМ.
· при загрузке идентификация пользователя должна производиться при помощи смарт карты или электронной «таблетки» и при помощи пароля.
· блокировать доступ в сетап всех рабочих станций и серверов всем пользователям кроме администратора.
· блокировать компьютер, если пользователь покинул свое место (либо по нажатию клавиш, либо по таймауту)
3. Криптографическая защита данных
Сотрудники компании должны сохранять информацию начиная с уровня «Строго Конфиденциально» (см. положение о уровнях секретности информации) на PGP крипто диске (или на крипто диске иной разработки), разрешенном менеджментом компании.
4. Защита персональным файрволом
Все рабочие станции и мобильные компьютеры должны быть защищены персональным файрволом.
5. Резервирование данных.
Обязательным является резервирование пользователями важных данных на персональных компьютерах на внутреннем сервере данных компании.
Обязательно наличие бэкап-диска для сервера данных. Бэкап делается либо каждую недел
ю, либо после серьезных изменений в системе. Необходимо сохранять три цикла генерации бэкапа.
6. Протоколирование доступа
· При локальном доступе пользователя к рабочей станции ведется лог-файл его посещений (протоколируются все удачные и неудачные попытки входа в систему)
· При локальном доступе администратора к серверам ведется лог-файл его посещений (протоколируются все удачные и неудачные попытки входа в систему)
Физическая безопасность
1. Файрвол, веб-сервер, сервера IDS и контроля за трафиком и все сервера данных должны находится в отдельном помещении, доступ в которое разрешен только администраторам, у которых есть ключ или магнитная карта к этой комнате (комната обычно закрыта). Необходимо введение отдельной должности администратора безопасности, и все изменения в системах они будут делать только вдвоем: одна часть пароля администратора имеется у ИТ - администратора, вторая - у администратора безопасности.
2. Помещение должно быть оборудовано принудительной вентиляцией и пожарной защитой (полуавтоматической или автоматической) и, возможно, видео наблюдением за действиями администраторов.
3. Вход в офис компании должен осуществляться только по магнитным картам
Поделиться