Политика за мрежова сигурност – 3

След като в предишните две статии разгледахме нормативната база, общите изисквания и правила при налагане на политиката за мрежова сигурност, предстои да разгледаме конкретни мероприятия за защита.

Организационните мероприятия за защита на  автоматизираните информационни системи /АИС/ включват:
•     Създаване на документи с правила за инсталиране на компютърните системи, правила за полагане на кабелните системи на локалната мрежа;
•     Създаване условия за спазване изискванията на Физическа сигурност – при планиране на политиката за мрежова сигурност трябва да се има предвид и ограничаване на физическия достъп на външни лица  до данните в мрежата.

Мероприятията могат да бъдат насочени в следните направления:
Използване на технически средства за защита за физически достъп до съответните  помещения, компютърни устройства и активно оборудване
•       система за видеонаблюдение;
•       алармена система (СОТ);
•       кодови брави;
•       система с персонални магнитни карти.
•       всяко устройство да се маркира с инвентарен номер;
•       да се изисква легитимиране на външните посетители, преди да бъдат допуснати до оборудването;
•       работните станции и сървърите да се държат в заключващи се помещения с организиран физически контрол на достъпа до тях;
•       там където това не е възможно, да се въведе софтуерна защита.

Защита на структурно кабелните системи /СКС/ и кабелите срещу директен физически достъп
Мрежовите кабели, както и структурно кабелните системи /СКС/ трябва да бъдат положени така, че да няма възможност за физически достъп до тях. При изграждане на локална компютърна мрежа е необходимо да бъде направено т.н. структурно окабеляване. Мрежовите кабели трябва да бъдат положени в специални канали или да бъдат скрити в окачени тавани или подови настилки. Кабелите с усукани двойки проводници са особено лесни за подслушване. При оптичните кабели това е възможно, но е значително по-трудно, поради което в последно време фирмите, който имат необходимост от по-висока степен на защита на данните използват оптични кабелни трасета.

Техническите мероприятия за защита на компютърните системи включват:
•       въвеждане на нива на сигурност на операционната система;
•       политика за използване на паролите;
•       криптиране на файловете;
•       използване на цифрови подписи;
•       използване на протоколи за сигурност при предаване на данните по мрежата;
•       използване на защитни стени и прокси сървъри;
•       спазване на правилата за антивирусна защита;
•       физическа сигурност на данните.
Политиката за мрежова сигурност изисква използване на комбинирани методи за сигурност.

Нива на сигурност на операционната система
Съвременните операционни системи с файлова система NTFS позволяват въвеждане на нива на сигурност. Всеки потребител притежава собствен акаунт с парола за достъп. Акаунтьт се състои от потребителско име и параметри за влизане в мрежата, зададени за конкретния потребител. Тази информация се въ¬вежда от администратора и се съхранява в мрежата от операционната система. За всеки потребител се задават:
•       права за достъп до системата и нейните ресурси;
•       време за влизане;
•       потребителска директория;
•       дата на изтичане.
Важен момент при задаването на тези настройки е дефинирането за всеки акаунт на достъпа до ресурсите на системата!
Операционната система предлага ключови потребителски акаунти, които автоматично се активират по време на инсталацията.
Administrator – първоначален акаунт. Той е с пълни права в мрежата и може да:
•       стартира мрежата;
•       инсталира файлове и програми на операционната система;
•       настройва първоначалните параметри на системата за сигурност;
•       създава други потребителски акаунти;
•       поделя директории и принтери.
Guest – посетителски акаунт.  Дава временен достъп до мрежата на някой, който няма акаунт.
Мрежовите операционни системи могат да поддържат хиляди акаунти. Мрежовият администратор ще бъде затруднен, ако реши да извърши някакви настройки върху всички акаунти или дори само върху част от тях. Почти във всяка мрежова операционна система различни потребителски акаунти се обединяват в един общ акаунт, наречен група.     Групата е акаунт, съдържащ други акаунти. Основната причина за въ¬веждането на групите е улесняване на администрирането. Групата дава възможност на администратора да третира голям брой потребители като един-единствен акаунт.

Правата за достъп се настройват за групата и всичките й членове автоматично ще по¬лучат и наследят тези права. Правата за достъп за различните групи могат да бъдат различни. Така например за потребителите в Group_1 може да бъде разрешен пълен достъп до file1.doc – да могат да четат, променят и съхраняват файла, но за потребителите от Group_2 – само да четат този файл.

Управление на правата на групов акаунт
Освен на NTFS ниво, правата за достъп до папка или файл могат да се задават и чрез ключовете в Windows Registry. Това ограничава потребителите във възможността им да инсталират програми и да ги конфигурират.

Управление на правата на групов акаунт в Windows Registry
Home Edition версиите на Windows XP и Windows Vista предлагат ограничено поддържане на сигурност – дефинирани са само три вида потребители: администратори, обикновени потребители и гости. Задаване на NTFS права е възможно само в режима Safe Mode.
Всяка фирма или организация трябва да изгради своя политика за контрол на достъпа до ресурсите на системата.

Сигурност на паролите
Важен момент от политиката за мрежова сигурност е използването на възможно по-трудни за разгадаване пароли.
Политиката за сигурност на паролите трябва  да включва следното:
•       Паролата не трябва да съдържа имена на роднини, рождени дати, адреси, телефони;
•       Да не се използват смислени думи, които се съдържат в речниците. Комбинацията между букви и цифри е добър вариант;
•       В паролата да има включени главни и малки букви,цифри  и специални символи на случайни позиции (например DoY%s86$);
•       Паролата трябва да бъде лесна за запомняне от потребителя. В противен случай тя ще бъде записана на хартия, което не е желателно;
•       Да се използват дълги пароли (поне 8 символа);
•       Периодично потребителите трябва да сменят паролите си;
•      Съвременните операционните системи притежават възможности за задаване на правила при въвеждане на потребителските пароли – минимална дължина, история, срокове за изтичане на паролата, както и изисквания към символите, които са включени в паролата.

Конфигуриране на политика за сигурност на локална Windows система
В следващата статия ще покажем мероприятията свързани с  защитата преноса на данни в локални и глобални мрежи  изискванията към хардуера и организацията на работа.

Румен Дончев, брой 6 на Списание Professional