Сергей Петренко - Политики безопасности компании при работе в Интернет

При проведении проверок необходимо с максимальной тщательностью подбирать тесты политики безопасности. Важно четко определить, что тестируется, как проводится тестирование и какие результаты ожидаются. Все это нужно документировать и включить в основной текст политики безопасности или издать в качестве дополнения.

Важно протестировать все аспекты политики безопасности, процедурные и программно-технические, с упором на автоматизированные механизмы проведения политики в жизнь. Должна быть уверенность в полноте тестирования каждого средства защиты. Например, если проверяется процесс входа пользователя в систему, следует явно оговорить, что будут пробоваться правильные и неправильные входные имена и пароли.

Помните, что существует предел разумности тестирования. Цель проверок состоит в получении уверенности, что политики безопасности корректно проводятся в жизнь, а не в «доказательстве абсолютной правильности» системы или политики. Важно убедиться, что разумные и надежные средства защиты, предписанные политикой, обеспечивают должный уровень безопасности.

Процедуры управления счетами

Процедуры управления счетами важны для предотвращения несанкционированного доступа к вашей системе. В этой связи в политике безопасности необходимо дать ответы на следующие вопросы:

• Кто может иметь счет на данной системе?

• Как долго можно иметь счет без обновления запроса?

• Как из системы удаляются старые счета?

Помимо определения круга возможных пользователей, необходимо решить, для чего каждый из них имеет право использовать систему (например, допускается ли применение в личных целях). Если имеется подключение к внешней сети, то ее или ваше руководство могут установить правила пользования этой сетью. Следовательно, для любой политики безопасности важно определить подходящие процедуры управления счетами как для администраторов, так и для пользователей. Обычно системный администратор отвечает за заведение и ликвидацию счетов и осуществляет общий контроль за использованием системы. До некоторой степени, управление счетом – обязанность каждого пользователя, в том смысле, что он должен следить за всеми системными сообщениями и событиями, которые могут свидетельствовать о нарушении политики безопасности. Например, выдаваемое при входе в систему сообщение с датой и временем предыдущего входа необходимо переправить «куда следует», если оно не согласуется с прошлыми действиями пользователя.

Процедуры управления паролями

Политика управления паролями важна для поддержания их секретности. Соответствующие процедуры могут варьироваться от эпизодических просьб или приказаний пользователю сменить пароль до активных попыток этот пароль подобрать с последующим информированием владельца о легкости данного мероприятия. Другая часть политики управления описывает, кто может распространять пароли – имеет ли право пользователь сообщать свой пароль другим?

Независимо от политики процедуры управления должны быть тщательно продуманы и подробно регламентированы, чтобы избежать раскрытия паролей. Критичным является выбор начальных паролей. Бывают случаи, когда пользователи вообще не работают в системе и, следовательно, не активируют счета. Значит, начальный пароль не должен быть очевидным. Никогда не присваивайте счетам пароли по умолчанию, каждый раз придумывайте новый пароль. Если существует печатный список паролей, его необходимо хранить подальше от посторонних глаз в надежном месте. Впрочем, лучше вообще обойтись без подобного списка.

Выбор пароля. Пожалуй, пароли – наиболее уязвимая часть любой компьютерной системы. Как бы ни была защищена система от атак по сети или по коммутируемым линиям, от «Троянских коней» и аналогичных опасностей, она может быть полностью скомпрометирована злоумышленником, если тот получит к ней доступ из-за плохо выбранного пароля. Важно сформировать хороший свод правил выбора паролей и довести его до каждого пользователя. По возможности, следует модифицировать программное обеспечение, устанавливающее пароли, чтобы оно в максимальной степени поддерживало эти правила.

Приведем один набор простых рекомендаций по выбору паролей:

• не используйте в качестве пароля производные от входного имени (само имя, обращенное, записанное прописными буквами, удвоенное имя и т. п.);

• не используйте в качестве пароля свое имя, отчество или фамилию;

• не используйте имя супруги (супруга) или детей;

• не используйте другую ассоциированную с вами информацию, которую легко узнать (номера документов и телефонов, марку автомобиля, домашний адрес и т. п.);

• не используйте чисто цифровой пароль или пароль из повторяющихся букв;

• не используйте слов, содержащихся в словаре английского или иного языка, в других списках слов;

• не используйте пароль менее чем из шести символов;

• используйте пароли со сменой регистра букв;

• используйте пароли с небуквенными символами (цифрами или знаками пунктуации);

• используйте запоминающиеся пароли, чтобы не пришлось записывать их на бумаге.

• используйте пароли, которые вы можете ввести быстро, не глядя на клавиатуру.

Методы выбора пароля в соответствии с приведенными рекомендациями могут состоять в следующем:

• возьмите одну-две строки из песни или стихотворения и составьте пароль из первых букв последовательных слов;

• составьте последовательность из чередующихся согласных и гласных (одной или двух подряд) букв длиной семь-восемь символов. Получится бессмысленное, но легко произносимое и, следовательно, запоминающееся слово;

• выберите два коротких слова и соедините их, вставив в середину знак пунктуации.

Пользователей нужно убедить в необходимости регулярно менять пароли, обычно раз в три-шесть месяцев. Это позволяет поддерживать уверенность в том, что даже если злоумышленник подберет один из паролей, он в конце концов потеряет доступ к системе, равно как рано или поздно потеряет актуальность нелегально полученный список паролей. Многие системы дают администратору возможность заставлять пользователей менять пароли по истечении срока годности; если вам доступно соответствующее программное обеспечение, его нужно задействовать.

Некоторые системы программным образом вынуждают пользователей регулярно менять пароли. Компонентом многих из подобных систем является генератор паролей. Он предлагает пользователю на выбор несколько вариантов; самостоятельно придумывать пароли не разрешается. У таких систем есть как достоинства, так и недостатки. С одной стороны, генерация защищает от выбора слабых паролей. С другой – если генератор не настолько хорош, чтобы порождать запоминающиеся пароли, пользователям придется их записывать, чтобы не забыть.

Процедуры смены паролей. То, как организована смена паролей, существенно для их безопасности. В идеале у пользователей должна быть возможность менять пароли в оперативном режиме. (Имейте в виду, что программы смены паролей – излюбленная мишень злоумышленников.)

Бывают, однако, исключительные случаи, когда действовать нужно осторожно. Пользователь может забыть пароль и лишиться тем самым возможности входа в систему. Стандартная процедура состоит в присваивании пользователю нового пароля. При этом важно убедиться, что запрашивает смену и получает новый пароль реальный человек. Одна из стандартных уловок злоумышленников – позвонить или послать сообщение системному администратору и запросить новый пароль. Перед выдачей нового пароля нужно применить какую-либо внешнюю форму проверки подлинности пользователя. В некоторых организациях пользователи должны лично явиться к администратору, имея при себе удостоверение.

Иногда нужно изменить много паролей. Если система скомпрометирована злоумышленником, он мог украсть файл паролей. В подобных обстоятельствах разумно изменить все пароли. В организации должны быть заготовлены процедуры для быстрого и эффективного выполнения такой работы. Конкретный способ действий может зависеть от серьезности проблемы. В случае выявленной атаки, наносящей ущерб, вы можете принудительно блокировать все счета и присвоить пользователям новые пароли, прежде чем они смогут вновь войти в систему. В некоторых организациях пользователям рассылаются сообщения с просьбой изменить пароль, возможно, с указанием срока исполнения. Если пароль в оговоренное время не меняют, счет блокируется.

Пользователи должны знать стандартные процедуры управления паролями, применяемые при нарушениях режима безопасности. Один из хорошо известных мошеннических приемов, о котором сообщила группа реагирования на нарушения информационной безопасности (Computer Emergency Response Team, CERT), состоит в рассылке пользователям сообщений, вроде бы от имени местного системного администратора, с предложением изменить пароль на новое, сообщаемое тут же, значение. Конечно, сообщения рассылали не администраторы, а злоумышленники, пытающиеся таким образом получить доступ к счетам. Пользователей следует предупредить о необходимости докладывать администраторам обо всех подозрительных запросах, аналогичных упомянутому.