Bezpieczeństwo sieci komputerowych

Wykład 4

TWORZENIE I ZARZĄDZANIE POLITYKĄ BEZPIECZEŃSTWA

DROGA ‘TECHNICZNA’Według M. Strebe „Podstawy bezpieczeństwa sieci”

Tworzenie regulaminu bezpieczeństwa

• Pierwszy etap: ustalenie wymagań użytkowników sieci

• Znając wymagania należy sporządzić listę funkcji potrzebnych, ale nie niezbędnych

• Na koniec tworzymy listę wymagań bezpieczeństwa: czyli działania zabronione użytkownikom, środki przeciwko anonimowemu dostępowi etc

Przykład:Wymagane Potrzebne Wymagania

bezpieczeństwa

• Użytkownicy muszą mieć mieć możliwość wysyłania i odbierania emaili

• Użytkownicy muszą mieć dostęp do zewnętrznych serwisów

• Użytkownicy powinni mieć łatwe do zapamiętania hasła

• Hackerzy nie mogą mieć dostępu do wnętrza sieci

• Użytkownicy nie mogą przypadkiem obchodzić uprawnień w systemie plików

• Odgadnięcie haseł powinno być niemożliwe, a ich odkrycie przy obecnej technologii powinno trwać min. rok

Szkic regulaminu

• Mając listę ogólnych sformułowań dotyczących wymagań i ograniczeń, badamy każde żądania, aby ustalić jego implementację

• Tworzymy szkic, w którym wymagania będą nagłówkami, a następnie rozbijamy je na metody, które pomogą w ich implementacji. Zapisujemy wszystkie sposoby w jakie można spełnić dane wymaganie

• Nastepnie analizujemy metody, zastępując je prostszą i konkretniejszą wersją tychże

Przykład:

1. Hakerzy nie mogą mieć dostępu do wnętrza sieciA. Zrezygnować z połączenia internetowegoB. Zaimplementować firewall dla połączenia

internetowego1. Blokować cały ruch przychodzący2. Blokować niebezpieczne żądania wychodzące:

a) Usuwać załączniki do emailib) Zablokować wysyłanie plików przez http i ftp

C. Zrezygnować z dostępu wdzwanianegoD. Zastosować oddzwanianie dla dostępu

wdzwanianego

Szkic regulaminu

• Następnie eliminujemy sprzeczne wymagania: jednakże starając się w jak najmniejszym stopniu okroić wymagania bezpieczeństwa

• Po okrojeniu tworzymy prostą listę złożoną z reguł i grupujemy według systemu, który będzie je implementował (szczególna uwaga: musimy być ostrożni, żeby jak najmniej metod wymagało egzekwowania przez ludzi, a jak najwięcej działało automatycznie)

Reguły używania systemu

• Wiedząc, które wymagania musimy narzucić na użytkowników, tworzymy zbiór reguł używania systemu, dostępny dla użytkowników

Budowa

• Reguła• Uzasadnienie• Działanie• Egzekwowanie

Aktualizacje regulaminu bezpieczeństwa

• Identyfikacja i badanie potencjalnych słabych stron, a także metod ich likwidacji

• Wdrożenie tychże metod• Symulacja ataku• Zbadanie logów serwerów i firewalli w celu

poszukiwania naruszeń bezpieczeństwa• Ewentualne poprawki do regulaminu

DROGA ‘MIĘKKA’Według K. Mitnick „Sztuka podstępu”

Analiza obecnej sytuacji i ryzyka

• Jakie obecnie w firmie są standardy bezpieczeństwa informacji i sieci?

• Jakie zasoby muszą podlegać ochronie?• Jakie konkretne zagrożenia istnieją wobec tych

zasobów?• Jaką szkodę mogłoby

spowodować urzeczywistnienie się potencjalnych zagrożeń?

• Klasyfikacja danych• Procedury weryfikacyjne i autoryzacyjne• Instrukcje klasyfikacji danych• Procedury udostępniania informacji• Zarządzanie rozmowami telefonicznymi• Procedury korzystania z poczty elektronicznej• A nawet instrukcje dotyczące bezpieczeństwa

fizycznego