Защита информации
Введение
Потребность в защите информации зависит от рода выполняемой вами работы и от
чувствительности информации , которой вы управляете. Однако все хотят
секретности и чувства безопасности, которое появляется вместе с обоснованной
уверенностью в том, что они не могут стать жертвой нарушения защиты информации.
Так же, как вы можете изготавливать приспособления, помогающие сделать ваш дом
менее привлекательным для грабителей, так и каждый пользователь может сделать
приспособления, которые помогают поддерживать секретность и безопасность его
работы.
Любая компьютерная система требует некоторого рода защиты. Уровни защиты
включают в себя физическую защиту (центрального процессора, дисков и
терминалов), защиту файлов, защиту процессов и всей работающей системы. В
многопользовательской среде еще более важно усиливать защиту. Каждый
пользователь имеет право засекречивать и защищать свою среду и свои файлы. Ни
один компьютер не имеет стопроцентной защиты. Ваша среда лишь настолько
защищена, насколько вы сделали ее таковой. Защитные мероприятия могут достигать
такой степени, что начинают мешать свободному обмену идеями и затруднять
использование гибкости системы или исследование ее новых аспектов. Лично я
считаю, что пользователи должны иметь свободу делать все, что они хотят, пока
это не вредит системе или другим пользователям.
Управление доступом и полномочиями, защита информации
Сервер Exchange позволяет использовать разнообразные средства, чтобы сохранить
неприкосновенной важную информацию. Среди них:
подтверждение прав пользователя на доступ к серверу, выполняемое средствами
защиты Windows NT Server;
проверка прав пользователя на доступ к информационным ресурсам, включая почтовые
ящики, общие папки, почтовые шлюзы и т.п.;
аудит и протоколирование в системном журнале событий, имеющих отношение к
системе разграничения доступа;
расширенные средства защиты, такие как шифрование и цифровая подпись сообщений;
шифрование трафика между клиентом и сервером.
Списки доступа и наследование полномочий
Контроль доступа к объектам каталога и информационных хранилищ в Exchange
производится на основе списков доступа (access control lists). Список доступа
содержит перечень идентификаторов пользователей домена Windows NT. С каждым
пользовательским идентификатором ассоциирован набор привилегий, определяющих,
какие действия способен выполнить конкретный пользователь над данным объектом.
Ниже приведен список привилегий, поддерживаемых сервером Exchange:
право создавать объекты, расположенные в иерархии ниже данного (Add Child),
например вложенные пользовательские контейнеры;
право модифицировать пользовательские атрибуты объекта (Modify User
Attributes), например добавлять адресатов в список рассылки;
право модифицировать административные атрибуты объекта (Modify Admin
Attributes), например изменять название улицы или отображаемое имя в свойствах
пользовательского ящика;
право удалять текущий объект (Delete);
право производить посылку от имени данного объекта (Send As), как правило,
используется для пользовательских ящиков или серверных контейнеров;
право выполнять регистрацию в почтовом ящике, выполнять посылку и прием
сообщений (Mailbox Owner), как правило, используется для пользовательских
ящиков или серверных контейнеров;
право выполнять репликацию каталога (Replication), как правило, используется
для серверных контейнеров;
изменять набор привилегий для текущего объекта (Modify Permission), например,
без данной привилегии администратор может создавать новых пользователей, но не
имеет права изменять списки доступа к существующим почтовым ящикам.
Для удобства назначения прав существует несколько стандартных наборов
привилегии, называемых ролями. Ниже приводится список стандартных ролей и их
привилегий:
роль администратор (Admin.), дает право создавать новые объекты каталога,
удалять и модифицировать существующие, но не позволяет модифицировать для них
списки доступа;
роль администратор полномочий (Permissions Admin.), дополнительно к правам
администратора позволяет изменять текущие списки доступа на объекты;
роль посылка от имени (Send As), дает право посылать сообщения от имени
данного объекта;
роль администратор учетной записи сервиса (Service Account Admin.),
предназначена для использования только сервисом Exchange Server, имеет полный
набор прав на объект;
роль пользователь (User), дает право на получение доступа к почтовому ящику и
назначение прав другим пользователям на доступ к содержимому этого ящика.
В случае, когда требуемый или достаточный набор прав не может быть обеспечен ни
одной стандартной ролью, пользователю можно назначить нестандартный набор
привилегий (роль custom). Примером использования специального набора привилегий
может являться случай настройки RAS-коннектора между двумя площадками. В этом
случае достаточный набор привилегий, которым должен обладать звонящий агент
передачи сообщений (MTA) - право Send As и Mailbox Owner на контейнере серверов
принимающей стороны.
В зависимости от типа объекта, набор привилегий может наследоваться всеми или
только некоторыми объектами, находящимися в каталоге на нижних уровнях иерархии.
В Exchange Server используется следующая схема наследования прав (рисунок 1):
права на объект организация, пользователи с правами на этот объект могут
менять только отображаемое имя организации, привилегии не наследуются другими
объектами иерархии;
права на объект площадка, пользователи с правами на этот объект могут
манипулировать объектами уровня площадки и контейнерами адресатов. Привилегии
автоматически наследуются всеми вложенными, за исключением объекта настройки;
права на объект настройки, пользователи с правами на этот объект могут
управлять всеми настройками текущей площадки, как-то таблицы маршрутизации,
соединения, мониторы, серверы и т.д. Привилегии автоматически наследуются
объектами нижних уровней, за исключением контейнеров адресатов, которые
наследуют набор привилегий объекта площадка.
Такая схема наследования позволяет разделить функции между несколькими
администраторами, одни из которых отвечают за ведение базы пользователей и общие
папки организации, другие обеспечивают взаимодействие серверов в пределах
площадки и сопряжение с внешним миром, включая шлюзы в другие почтовые системы и
синхронизацию каталога в рамках организации.
Следует иметь ввиду, что если все функции администрирования должны выполняться
одним лицом, то ему необходимо назначить соответствующие привилегии на каждом из
трех указанных объектов. При инсталляции первого сервера площадки администратор,
выполняющий установку, автоматически получает права Permissions Admin. на
упомянутые объекты.
Отдельно следует упомянуть о назначении привилегий на общие папки. Как и для
прочих объектов каталога, для общих папок поддерживаются списки доступа и роли,
однако назначение прав пользователям происходит на основе учетных записей в
доменах Windows NT, а не на основе записей в глобальной адресной книге. Это
позволяет пользователям, относящимся к различным площадкам организации выполнять
над данными, находящимися в локальных репликах общих папок, действия,
предписанные администратором.
На общие папки могут быть назначены следующие права:
создание сообщений (Create Items), дает право пользователю помещать новые
сообщения в папку;
чтение сообщений (Read Items), дает право пользователю просматривать сообщения
в папке;
создание подпапок (Create Subfolders), дает право пользователю создавать
папки, вложенные в данную;
владелец папки (Folder Owner), дает пользователю все права на папку;
ответственный за папку (Folder Contact), получает уведомления о конфликтах и
разрешает их, обычные пользователи посылают данному пользователю пожелания и
рекомендации;
видимость папки (Folder Visible), позволяет пользователю видеть данную папку
при просмотре иерархии общих папок;
редактирование (Edit), дает право пользователю редактировать сообщения;
удаление (Delete), дает право пользователю удалять сообщения.
Два последних права имеют три градации каждое:
ничего (None), не дает пользователю права выполнять действие над сообщениями;
собственные (Own), дает пользователю право выполнять действие над сообщениями,
созданные им сами;
все (All), дает пользователю право выполнять действие над сообщениями,
созданными другими пользователями.
Для упрощения задачи назначения полномочий на общие папки, в сервере Exchange
предусмотрен набор стандартных ролей:
роль владелец (Owner), дает право пользователю назначать привилегии другим
пользователям, манипулировать сообщениями в папке и вложенными папками,
назначать способы представления папки (folder Views), а так же удалять саму
папку и все в нее вложенные;
роль главный редактор (Publishing Editor), дает право пользователю создавать,
редактировать и удалять любые сообщения и создавать подпапки;
роль редактор (Editor), в отличие от главного редактора не имеет права
создавать подпапки;
роль главный автор (Publishing Author), дает право пользователю создавать,
редактировать и удалять созданные им сообщения и создавать подпапки;
роль автор (Author), в отличие отглавного автора, не имеет права создавать
подпапки;
роль не редактирующий автор (Nonediting Author), в отличие от автора не имеет
права редактировать сообщения, но имеет право удалять собственные;
роль читатель (Reviewer), дает право пользователю только просматривать
сообщения, созданные другими пользователями;
роль помощник (Contributor), дает право пользователю только создавать
сообщения;
роль никто (None), не дает пользователю никаких прав в папке.
Кроме пользователей в глобальной адресной книге, права могут быть назначены
псевдопользователю Anonymous, представляющему клиентов, использующих анонимный
режим доступа к общим папкам, например при обращении к серверу Exchange из
клиентских программ чтения новостей Internet.
Авторизация доступа к данным сети (NetWare)
В NetWare реализованы три уровня защиты данных (рисунок 2).
Здесь под аутентификацией понимается:
процесс подтверждения подлинности клиента при его подключении к сети,
процесс установления подлинности пакетов, передаваемых между сервером и
рабочей станцией.
Права по отношению к файлу (каталогу) определяют, какие операции пользователь
может выполнить с файлом (каталогом). Администратор может для каждого клиента
сети определить права по отношению к любому сетевому файлу или каталогу.
Атрибуты определяют некоторые системные свойства файлов (каталогов). Они могут
быть назначены администратором для любого сетевого файла или каталога.
Например, чтобы записать данные в файл, клиент должен:
знать свой идентификатор и пароль для подключения к сети,
иметь право записи данных в этот файл,
файл должен иметь атрибут, разрешающий запись данных.
Следует отметить, что атрибуты файла (каталога) имеют более высокий приоритет,
чем права пользователей по отношению к этому файлу.
Новая инициатива компании Internet Security Systems по обеспечению безопасности
ведущих промышленных предприятий
19 октября 1998 года - г. Атланта и г. Стэмфорд. –
Угрозы, окружающие современные информационные системы, растут с астрономической
скоростью. Состав преступников колеблется от неопытных недовольных
пользователей, ищущих признания, до хорошо организованных организаций,
использующих сложнейшие структурированные атаки для промышленного шпионажа.
Вопросы, касающиеся защиты информации , являлись движущей силой, стоящей за
образованием Комиссии по защите наиболее важных инфраструктур при Президенте США
(United States President's Commission on Critical Infrastructure Protection). В
своих первых материалах комиссия констатировала: "Возможность нанесения вреда -
особенно через информационные сети - является реальной; она возрастает с
угрожающей скоростью, и у нас небольшая защита против этого". Работы комиссии
указывают на необходимость перехода на более высокий уровень совместного
использования информации для улучшения понимания шагов, которые необходимо
предпринять правительственным агентствам и корпорациям Америки для эффективной
защиты сетевых ресурсов.
Проект Spotlight (Project Spotlight) - новая программа, которая решает эти
вопросы и представляет первую официальную инициативу, направленную на
информационное обеспечение как частного, так и общественного секторов о
современном состоянии защиты информации.
Организаторами Project Spotlight стали ведущие компании, внесшие уникальный
вклад в области защиты информации : Client/Server Labs, первая испытательная
лаборатория в области информационных технологий для проведения широкомасштабных
проверок предприятия; компания Internet Security Systems, Inc. (ISS), ведущий
поставщик средств адаптивного управления сетевой безопасностью, которые
автоматически обнаруживают и реагируют на нарушения безопасности; META Group,
ведущая фирма, занимающаяся исследованиями и предоставляющая аналитические
услуги в области информационных технологий.
"Project Spotlight представляет первую попытку собрать наиболее важные
количественные данные, которые предоставят более высокий уровень знаний,
касающийся защиты от угроз и облегчат разработку эффективных контрмер по
противодействию нарушениям безопасности", сказал, бывший сенатор и последний
со-председатель Консультационного комитета Комиссии по защите наиболее важных
инфраструктур при Президенте. "Цель проекта - дальнейшее развитие технологий в
области зашиты информации , которые позволят организациям осуществлять более
активную защиту систем своего предприятия, благодаря более высокой
осведомленности в вопросах защиты , а также предоставит методы и решения по
управлению рисками".
Project Spotlight будет включать подобранную группу из компаний, входящих в
списки Fortune 500 и Global 2000. Команда Project Spotlight будет заниматься
установкой программного обеспечения по обнаружению атак и анализу защищенности,
а также собирать и анализировать данные об атаках и уязвимостях. Углубленный
анализ и соответствующие отчеты позволят лучше понять возможность использования
той или иной уязвимости или угрозы, имеющих место в информационных системах
участников проекта Spotlight.
"Одно из правил American Electronics Associations - оказывать влияние на Public
Policy", - заявила исполнительный директор Южно-Восточного подразделения AEA
Бетти Грей-Роуз (Betty Gray-Rose). "В этом смысле, мы считаем, что Project
Spotlight и преследуемая им цель ознакомления как общественного, так и частного
секторов с современным состоянием в области защиты информации , является
чрезвычайно важной. Кроме того, в том, что касается участников этой компании,
информация , которую они получат о состоянии защиты своей собственной
информационной системы, будет бесценной для них".
Участникам Project Spotlight будет предоставлена следующая информация:
Реальные данные по угрозам и уязвимостям, собранные в промышленном секторе - эта
информация будет оцениваться с целью определения ее потенциального воздействия
на корпоративные информационные системы и сети.
Специальные данные по уязвимостям - эта информация позволит участникам проекта
своевременно принимать соответствующие меры по устранению уязвимостей.
База данных по уязвимостям и угрозам, организованная по отраслям промышленности
- предназначена для проведения анализа направления внешних воздействий.
Количественный и качественный статистический анализ - основа для ранжирования и
создания предпосылок для будущих инвестиций в технологию защиты информации.
Всесторонний отчет по уязвимостям и угрозам - сравнение состояния защиты
участника проекта с состояниями защиты других корпораций и промышленных
предприятий.