Original is at
http://eye.wplus.spb.ru/www/kvn/sitesec.txt

    Перевод Владимира Казеннова. kvn@mail.wplus.net



    1. Введение



    1.1 Цель этой работы



Эта книга является руководством по выработке правил
разграничения доступа к ЭВМ (ПРД) и средств разграничения
доступа (СРД), реализующих эти правила, для организаций,
которые имеют соединение с Internetом. Это руководство
рассматривает проблемы, которые возникают при выработке
собственных ПРД. Оно дает некоторые рекомендации и
рассматривает ряд связанных с защитой областей.

Это руководство - только основа для выработки ПРД и СРД.
Чтобы в итоге получить эффективные ПРД и СРД, вашей организации
надо будет принять ряд решений, а затем реализовать выбранные
ПРД.

    1.2 На кого рассчитана книга



Те, на кого рассчитана эта книга, - это администраторы систем
и лица, принимающие решения (которых обычно и называют
"администраторами" или "специалистами среднего звена управления")
на местах . Этот документ не рассчитан на программистов или тех,
кто пробует создать программы или системы безопасности. Задача
этой книги состоит в том, чтобы показать какие ПРД и СРД должны
быть реализованы в вашей организации для поддержки всех
механизмов защиты, имеющихся в вашей организации.

В первую очередь эта работа ориентирована на организации,
являющиеся членами сообщества Internet. Тем не менее, эта книга
может быть полезной любой организации, чьи ЭВМ взаимодействуют с
ЭВМ других организаций. Как общее руководство по ПРД, эта книга
может быть также полезна и для организаций с изолированными
сетями.

    1.3 Определения



В этом руководстве "организация" - это любая организация,
которая имеет СВТ или оборудование, соединенное с сетью. Это
оборудование может включать СВТ общего назначения, которые
используют пользователи, маршрутизаторы, терминальные серверы,
персональные СВТ или другие устройства, которые имеют доступ к
Internetу. "Организация" может быть конечным пользователем услуг
Internetа или поставщиком услуг, таким как, например,
региональная сеть. Однако, наибольшее внимание в этом руководстве
уделяется конечным пользователям услуг Internetа.

Предполагается, что организация может самостоятельно
выработать ПРД и СРД для себя.

Internet -это объединение сетей и ЭВМ, использующих протоколы
TCP/IP, соединенных через межсетевые шлюзы, и совместно
использующих общие пространство имен и адресное пространство [1].

"Администраторами системы" называют всех, кто отвечает за
ежедневную работу с ресурсами. Это могут быть как конкретные
люди, так и организации.

"Лицом, принимающим решение (ЛПР)" называют тех людей в
организации, кто вырабатывает стратегию. Это часто (но не всегда)
те люди, кому принадлежат ресурсы.

    1.4 Работы в этой области



Рабочая группа по политике секретности (IETF Security Policy
Working Group (SPWG)) в данный момент работает над созданием
набора рекомендаций по организации защиты для Internetа. Эти
рекомендации могут быть приняты как ПРД региональными сетями или
владельцами других ресурсов. Это руководство должно помочь
организациям реализовать ПРД в нужном объеме. Однако даже
претворение в жизнь предложенных ПРД не достаточно для защиты
организации. Предлагаемые Internetом ПРД определяют только защиту
от доступа из сети. Они ничего не говорят о том, как организации
должны решать локальные проблемы защиты.

    1.5 Рассматриваемые вопросы



Этот документ рассматривает проблемы, которые должны быть
отражены в ПРД к автоматизированной системе (АС), какого рода
СРД нужны для соблюдения секретности, и содержит некоторые
рекомендации относительно того, как решать эти проблемы. При
выработке ПРД особое внимание должно уделяться не только
требованиям по безопасности для данной сети, но также
требованиям по безопасности для других присоединенных сетей.

Эта книга не содержит готовые рецепты по созданию защиты АС.
Каждая организация имеет различные потребности в защите;
потребности в защите корпорации могут очень отличаться от
потребностей в защите в академическом учреждении. Любой план
защиты должен соответствовать требованиям и специфике
организации.

Это руководство не раскрывает подробности оценки риска,
планирования согласованности мер, или создания физической защиты.
Эти вещи являются существенно важными при выработке и реализации
эффективных ПРД, но эта книга оставляет решение этих проблем
другим источникам. Мы попытаемся дать некоторые ориентиры в этом
направлении.

Этот документ также не говорит о том, как разрабатывать или
реализовывать системы или программы безопасности.

    1.6 Почему мы нуждаемся в ПРД и СРД ?



Для большинства организаций интерес к защите АС
пропорционален наличию риска и существованию угроз.

Мир средств вычислительной техники (СВТ) сильно изменился
за последние двадцать пять лет. Двадцать пять лет назад
большинство СВТ были централизованными и управлялись центрами
данных. СВТ располагались в закрытых комнатах, кроме того
специально назначенные люди гарантировали, что СВТ корректно
управляются и являются физически защищенными. Соединения сетей
организации с сетями других организаций были редкими. Угрозы
СВТ или отсутствовали, или в основном были связаны со своими
сотрудниками: неправильной регистрацией санкционированных
пользователей , вандализмом и т.д. Эти угрозы были хорошо
известны, и боролись с ними стандартными способами: СВТ
размещались в закрытых помещениях, а все ресурсы
регистрировались.

В 90-е годы ситуация радикально изменилась. Большое
количество СВТ находится в частных ведомствах и лабораториях, и
часто управляется людьми, не работавшими в компьютерных центрах.
Многие СВТ присоединены к Internetу, а через Internet связаны со
всем миром: Соединенными Штатами, Европой, Азией, и Австралией.

Современные угрозы безопасности отличаются от прежних.
Правило, проверенное временем, гласит: "Не записывайте ваш
пароль и не держите его на вашем столе" , чтобы кто-нибудь его
не нашел. Через Internet кто-нибудь может попасть в ваше СВТ с
другой стороны мира и узнать ваш пароль посреди ночи, когда
ваше здание закрыто. Вирусы и компьютерные штормы могут
распространяться по сети. Internet сделал возможным
существование электронного эквивалента вора, ищущего незапертые
окна и двери; теперь человек может проверить сотни СВТ на
незащищенность за несколько часов.

Системные администраторы и ЛПР должны знать существующие
угрозы безопасности, знать, каковы риск и стоимость решения
проблемы, и что надо сделать, если они хотят защититься от
угрозы безопасности.

В качестве иллюстрации некоторых проблем, которые нужно
учитывать при обеспечении защиты, рассмотрим следующие сценарии
(пpиносим благодаpности Расселу Бpанду [2,BRAND] за них]):
1) Системный программист принимает звонок, сообщающий, что
главный подпольный хэккерский журнал распространяется из
административной ЭВМ в его центре по пяти тысячам абонентам в США
и Западной Европе.
Восемь недель спустя власти сообщают вам, что одно из
сообщений этого журнала было использовано, чтобы отключить службу
неотложной помощи "911" в большом городе на пять часов.
2)Пользователь сообщает, что он не смог войти в АС под своим
именем в 3 часа утра в субботу. Системный оператор также не смог
войти в нее. После перезагрузки в однопользовательском режиме, он
обнаружил, что файл паролей пуст. К утру понедельника ваш
персонал установил, что имел место ряд пересылок
привилегированных файлов между этой ЭВМ и местным университетом.
Во вторник утром копия удаленного файла паролей была
обнаружена на университетской ЭВМ наряду с файлами паролей из
дюжины других ЭВМ.
Неделей позже вы обнаруживаете, что ваши файлы инициализации
АС были злонамеренно изменены.
3)Вы получаете сообщение о том, что проникновение в
правительственную лабораторию произошло с одной из ЭВМ вашего
центра. Вас просят показать учетные файлы, чтобы помочь отыскать
нарушителя защиты.
Неделю спустя вы получаете список ЭВМ в вашей организации, в
которые было осуществлено проникновение.
4)Репортер начинает задавать вам вопросы относительно
проникновения в ваш центр. Вы не слышали ни о каком
проникновении.
Три дня спустя вы узнаете о том, что такое проникновение
имело место. Руководитель центра использовал в качестве пароля
имя своей жены.
5)Обнаружено изменение в загрузочных модулях АС.
После того, как они были исправлены, они снова изменились. И
так продолжалось несколько недель.

- Если в вашей АС был обнаружен злоумышленник, следует ли вам
оставить ее открытой для наблюдения за ситуацией или закрыть
бреши в защите и открыть их несколько позже.
- Если злоумышленник использует ЭВМ вашей организации, должны
ли вы вызывать полицию? Кто принимает такое решение? Если полиция
попросит вас оставить ЭВМ открытыми для наблюдения, кто будет
принимать решение по этому вопросу ?
- Какие шаги должны быть предприняты, если другая организация
сообщит вам, что они обнаружили задачи в своих ЭВМ, запущенные
под регистрационным именем пользователя из вашей организации? Что
делать, если это имя принадлежит вашему администратору?

1.7 Основной подход

Выработка ПРД и СРД означает разработку плана, как решать
вопросы, связанные с компьютерной защитой. Вот один из возможных
подходов к решению этой задачи, пpедложенный Файтсом[3, FITES] :

- определить, что вы пытаетесь защищать;
- определить, от чего вам нужно защищаться;
- составить список наиболее вероятных угроз;
- реализовать меры, которые будут защищать ваши ценности
наиболее экономичным способом;
- непрерывно следить за этим процессом, и улучшать защиту
каждый раз, когда в ней найдено слабое место.

Это руководство будет в основном посвящено двум последним
шагам, но первые три шага также необходимы для принятия
эффективных решений относительно защиты. Одно из старых правил
гласит, что цена вашей защиты от угрозы должна быть меньше, чем
цена восстановления ваших ценностей после разрушений, нанесенных
в результате прорыва защиты. Не зная того, что вы защищаете, и
каковы наиболее вероятные угрозы, следовать этому правилу будет
трудно.

    1.8 Организация этого документа



Этот документ организован в виде семи частей, помимо
введения.

Как правило, каждая часть рассматривает проблемы, которые
организация может захотеть учесть при выработке ПРД к компьютерам
и определении СРД, реализующей эти ПРД. В некоторых случаях также
приводятся возможные варианты решений. Насколько это возможно,
данный документ не пытается диктовать, какой вариант нужно
выбрать, так как это зависит от местных условий. Некоторые из
этих проблем могут быть неактуальны для всех организаций. Тем не
менее, всем организациям нужно по крайней мере учитывать эти
проблемы, чтобы быть уверенным, что они не пропустили какой-либо
важной области.

В целом этот документ направлен на рассмотрение
организационных проблем, появляющихся как следствие проблем,
возникающих при разработке СРД, реализующей ПРД.

Раздел 2 рассматривает выработку официальных ПРД организации
доступа к вычислительным ресурсам. Он также детально изучает
вопрос о последствиях нарушения этих ПРД. Избранные ПРД во-многом
определят то, как будет реализовываться СРД, поэтому ЛПР надо
сделать выбор в области ПРД перед тем, как решать процедурные
вопросы, описанные в следующих разделах. Ключевым при выработке
ПРД является определение оценки риска, которая позволит решить,
что же на самом деле нужно защищать, и какие ресурсы должны
использоваться для организации защиты.

Как только ПРД определены, нужно выработать СРД для
предотвращения проблем с защитой в будущем. Раздел 3 определяет и
предлагает что делать, если возникли подозрения о том, что
осуществляется несанкционированный доступ. Также рассматриваются
ресурсы, позволяющие закрыть бреши в защите.

Раздел 4 рассматривает типы мер безопасности, предотвращающих
возникновение проблем с секретностью.

Предотвращение - главное в защите; например, Группа
компьютерной защиты (CERT/CC) в университете Карнеги-Меллона
считает, что более 80% проблем, с которыми им пришлось
столкнуться, возникли из-за плохо выбранных паролей.

Раздел 5 рассматривает улаживание инцидентов: с какими
проблемами столкнется организация, когда кто-то нарушит ПРД.
Конечно, многие решения нужно будет принять тогда, когда
произойдет инцидент, но многое можно учесть и решить наперед. По
крайней мере, ответственность лиц и методы взаимодействия между
ними должны быть установлены до инцидента. И опять, на решения
всех этих вопросов повлияет выбор политики, описанный в разделе
2.

Раздел 6 обсуждает вопрос о том, что должно делаться после
того, как инцидент с защитой улажен. Планирование секретности
имеет циклический характер; сразу после того, как произошел
инцидент, появляется великолепная возможность улучшить ПРД и
СРД.

Оставшаяся часть документа содеpжит ссылки и аннотиpованную
библиогpафию.

    2. Выработка официальных ПРД организации к АС



    2.1 Краткий обзор



    2.1.1 Организационные вопросы



Цель разработки официальных ПРД к АС в организации
определить, каким, с точки зрения организации, должно быть
правильное использование СВТ и сетей, и определить СРД,
предотвращающие инциденты с защитой и помогающие их уладить.
Для того, чтобы сделать все это, нужно учесть все особенности
конкретной организации.

Во-первых, нужно учесть цели и задачи организации. Например,
у военной базы интересы в области секретности сильно отличаются
от тех, что имеются у университета.

Во-вторых, разрабатываемые ПРД организации должны быть
согласованы с существующими правилами и законами, действие
которых распространяется на организацию. Поэтому необходимо
выявить их и учитывать при выработке ПРД.

В-третьих, за исключением случая, когда сеть организации
полностью изолирована и автономна, необходимо рассматривать
проблему защиты в более глобальном контексте. ПРД должны
учитывать ситуации, когда местные проблемы с секретностью
возникают вследствие нарушений защиты в удаленной организации, а
также ситуации, когда проблемы с секретностью в удаленной
организации являются результатом нарушений на местной СВТ или
местным пользователем.

    2.1.2 Кто вырабатывает ПРД ?



Создание ПРД должно осуществляться совместными усилиями
технического персонала, понимающего все тонкости предлагаемых
правил и их реализации, и ЛПР, имеющих власть для претворения
правил в жизнь. ПРД, которые либо не могут быть реализованы, либо
не подкреплены организационными мерами, являются бесполезными.

Так как ПРД к АС могут затрагивать любого члена организации,
стоит принять некоторые меры предосторожности, чтобы быть
уверенным, что вы имеете достаточно прав, чтобы принимать
какие-либо решения в области ПРД. Хотя конкретная группа (такая,
как группа информационных средств университета) может иметь право
претворять в жизнь ПРД, требуется поддержка и одобрение ПРД
группой более высокого ранга в организации.

    2.1.3 Кого это затрагивает ?



Вырабатываемые ПРД организации потенциально касаются каждого
пользователя АС организации в ряде случаев. Пользователи АС могут
отвечать за администрирование паролей пользователей. Системные
администраторы обязаны фиксировать бреши в защите и осуществлять
надзор за АС.

Очень важно определить группы людей, затрагиваемые данными
ПРД, в самом начале процесса. Могут уже существовать группы,
связанные с секретностью, которые считают ПРД своим полем
деятельности. Группами, которых могут касаться эти ПРД, являются
группы аудирования/управления, организации, имеющие дело с
физической секретностью, университетские группы информационных
систем и т.д. Привлечение этих групп к процессу выработки с
самого начала может помочь обеспечить приемлемость ПРД.

    2.1.4 Обязанности



Ключевым моментом в ПРД является гарантия того, что каждый
знает свои обязанности по поддержанию защиты. ПРД не могут
предвидеть все возможные варианты, тем не менее, они могут
гарантировать, что для решения каждого типа проблем назначен
кто-либо, отвечающий за их решение.

Могут существовать уровни ответственности, связанные с ПРД.
На одном уровне каждый пользователь АС отвечает за защиту своего
регистрационного имени и пароля. Пользователь, который позволил
скомпрометировать свой пароль, увеличивает шансы того, что будут
скомпрометированы другие пароли или ресурсы.

Системные администраторы образуют другой уровень
ответственности: они должны помогать обеспечивать гарантию
секретности АС. Сетевые администраторы могут находиться на еще
одном уровне.

    2.2 Оценка риска



    2.2.1 Общая постановка проблемы



Одной из самых важных причин выработки ПРД является
необходимость гарантии того, что затраты на защиту принесут
впоследствии прибыли (выгоду). Хотя это может показаться
очевидным, но вы можете быть введены в заблуждение, где следует
приложить усилия по организации защиты. Например, много говорят о
злоумышленниках со стороны, проникающих в АС; но просмотр
большинства обзоров по компьютерной безопасности показывает, что
для большинства организаций потери от внутренних
злоумышленников ("своих") гораздо больше.

Анализ риска включает определение того, что вам нужно
защищать, от чего вы защищаетесь, и как защищаться. Для этого вам
надо определить все, чем вы рискуете, и отранжировать их по
уровню важности. Этот процесс включает принятие экономичных
решений о том, что вы хотите защищать. Старый афоризм гласит, что
вы не должны тратить больше денег для защиты чего-либо, чем оно
на самом деле стоит.

Полное рассмотрение анализа риска находится за пределами
этого документа. [3, FITES] и [16,PFLEEGER] являются вводными
книгами в этой области. Тем не менее, существуют два элемента
анализа риска, которые будут кратко рассмотрены в двух следующих
разделах.

1) определение ценностей;
2) выявление угроз.

Для каждой ценности базовыми целями защиты являются
доступность, конфиденциальность и целостность. Каждая угроза
должна рассматриваться с точки зрения того, как она может
затронуть эти три качества.

    2.2.2 Определение ценностей



Одним из шагов при анализе риска является определение той
собственности организации, которую нужно защищать. Некоторые вещи
очевидны, такие, как различные СВТ, а некоторые упускаются,
такие, как люди, которые реально используют эти СВТ. Необходим
список всех вещей, которых затрагивает проблема защиты.

Вот один из возможных списков категорий вещей, составленный
на основе списка, пpедложенного Пфлигеpом [16, PFLEEGER, стpаница
459] :

1. Оборудование: системные блоки, платы расширения,
клавиатуры, терминалы, рабочие станции, отдельные персональные
компьютеры, принтеры, дисковые накопители, коммуникационное
оборудование, терминальные серверы, маршрутизаторы.

2. Программное обеспечение: исходные тексты программ,
объектные модули, утилиты, диагностические программы,
операционные системы, коммуникационные системы.

3. Данные: во время выполнения, сохраненные при оперативном
использовании , архивированные, журналы действий, базы данных,
при передаче по каналам связи.

4. Люди: пользователи, обслуживающий персонал, необходимый
для работы АС.

5. Документация: по программам, по СВТ, по АС, по локальным
административным мерам безопасности.

6. Расходные материалы: бумага, красящие ленты, магнитные
ленты.

    2.2.3 Выявление угроз



Как только ценности, требующие защиты, определены, необходимо
выявить угрозы этим ценностям. Затем можно изучить угрозы, чтобы
определить, каковы могут быть потенциальные потери. Это поможет
выяснить, от каких угроз вы пытаетесь защищать ваши ценности.

Следующие разделы описывают несколько возможных угроз.

    2.2.3.1 Несанкционированный доступ



Общей угрозой для большей части организаций является
несанкционированный доступ к СВТ. Несанкционированный доступ
имеет много форм. Одна из них - использование чужого пароля для
получения доступа к АС. Использование любой АС без разрешения
может считаться несанкционированным доступом к СВТ.

Опасность несанкционированного доступа неодинакова в
различных организациях. В некоторых организациях сам факт
предоставления доступа несанкционированному пользователю может
привести к невосстанавливаемым повреждениям СВТ. В других -
несанкционированный доступ открывает двери другим угрозам защите.
Кроме того, некоторые организации могут быть объектом более
частых атак, чем другие; поэтому риск несанкционированного
доступа меняется от организации к организации. Группа CERT (CERT
- смотpи часть 3.9.7.3.1) заметила, что известные университеты,
правительственные организации и военные части более привлекают
злоумышленников.

    2.2.3.2 Раскрытие информации



Другой распространенной угрозой является раскрытие
информации. Оцените ценность или важность информации, хранящейся
в ваших АС. Раскрытие файла паролей может стать причиной
несанкционированного доступа в будущем. Обрывок предложения может
дать вашему конкуренту большое преимущество. Технические заметки
могут сохранить ему годы исследований.

    2.2.3.3 Отказ в обслуживании



СВТ и сети предоставляют много ценных служб их
пользователям. Многие люди полагаются на эти службы, так как они
позволяют им эффективно решать свои задачи. Когда эти службы
недоступны в нужный момент, производительность падает.

Отказ в обслуживании имеет много форм и может по-разному
затрагивать пользователей. Сеть может стать неработоспособной
из-за специального вредного пакета, искажений при передаче или
неисправного компонента сети. Вирус может снизить
производительность или остановить АС. Каждая организация должна
определить, какие службы необходимы, и для каждой из этих служб
оценить, к каким последствиям для организации приведет
неработоспособность этого службы.

    2.3 Политические проблемы



Существует ряд проблем, которые нужно решить при разработке
ПРД. Вот они:

1) Кому разрешено использовать ресурсы?
2) Что такое правильное использование ресурсов?
3) Кто отвечает за предоставление доступа и надежное
предоставление сервиса?
4) Кто может иметь привилегии системного администратора?
5) Каковы права и обязанности пользователей?
6) Каковы права и обязанности системного администратора по
отношению к пользователям?
7) Что делать с конфиденциальной информацией?

Эти проблемы рассматриваются ниже. Кроме того, вы можете
захотеть включить в ваши ПРД раздел, связанный с этикой
использования СВТ и АС. Паpкеp, Своуп и Бейкеp [17, PARKER90], а
также Фоpестеp и Моppисон[18,FORESTER] являются двумя полезными
спpавочными pуководствами, описывающими этические вопpосы.

    2.3.1 Кому разрешено использовать ресурсы?



Одним из действий, которые вы должны произвести при
разработке ваших ПРД, - это определение тех лиц, кому разрешается
использовать вашу АС и ваши сервисы. ПРД должны явно определять,
кому официально разрешено использовать эти ресурсы.

    2.3.2 Что такое правильное использование ресурсов ?



После определения того, кому разрешен доступ к ресурсам
системы, необходимо дать рекомендации по приемлемому
использованию ресурсов. Вы можете давать различные рекомендации
различным типам пользователей (например, студентам, сотрудникам
факультета, внешним пользователям). ПРД должны определять, что
такое допустимое использование, а также что такое недопустимое
использование ресурсов. В них также следует включить определение
типов использования ресурсов, применение которых может быть
ограниченным.

Определите границы доступа к ресурсам и полномочия при
доступе. Вам понадобится учесть уровень доступа, который будут
иметь различные пользователи, а также то, какие ресурсы будут
доступны или ограниченно доступны различным группам людей.

В отношении допустимого использования ресурсов ваши ПРД
должны однозначно установить, что каждый человек отвечает за свои
действия. Их обязанности существуют всегда, независимо от того,
какие механизмы секретности действуют. Должно быть явно
определено, что использование чужих паролей или обход защиты
являются недопустимыми действиями.

Следующие моменты следует учесть при разработке правил
допустимого использования:

- допустимо ли получение доступа к информации о пользователях?
- допустимо ли вскрытие чужих паролей?
- допустимо ли разрушение служб сети?
- должны ли пользователи предполагать, что файл, являющийся
доступным всем по чтению, дает им право читать его?
- можно ли разрешить пользователям модифицировать файлы,