Почему мы нуждаемся в ПРД и СРД?
Для большинства организаций интерес к защите АС пропорционален наличию риска и существованию угроз.
Мир средств вычислительной техники (СВТ) сильно изменился за последние двадцать пять лет. Двадцать пять лет назад большинство СВТ были централизованными и управлялись центрами данных. СВТ располагались в закрытых комнатах, кроме того специально назначенные люди гарантировали, что СВТ корректно управляются и являются физически защищенными. Соединения сетей организации с сетями других организаций были редкими. Угрозы СВТ или отсутствовали, или в основном были связаны со своими сотрудниками: неправильной регистрацией санкционированных пользователей , вандализмом и т.д. Эти угрозы были хорошо известны, и боролись с ними стандартными способами: СВТ размещались в закрытых помещениях, а все ресурсы регистрировались.
В 90-е годы ситуация радикально изменилась. Большое количество СВТ находится в частных ведомствах и лабораториях, и часто управляется людьми, не работавшими в компьютерных центрах. Многие СВТ присоединены к Internetу, а через Internet связаны со всем миром: Соединенными Штатами, Европой, Азией, и Австралией.
Современные угрозы безопасности отличаются от прежних. Правило, проверенное временем, гласит: "Не записывайте ваш пароль и не держите его на вашем столе" , чтобы кто-нибудь его не нашел. Через Internet кто-нибудь может попасть в ваше СВТ с другой стороны мира и узнать ваш пароль посреди ночи, когда ваше здание закрыто. Вирусы и компьютерные штормы могут распространяться по сети. Internet сделал возможным существование электронного эквивалента вора, ищущего незапертые окна и двери; теперь человек может проверить сотни СВТ на незащищенность за несколько часов.
Системные администраторы и ЛПР должны знать существующие угрозы безопасности, знать, каковы риск и стоимость решения проблемы, и что надо сделать, если они хотят защититься от угрозы безопасности.
В качестве иллюстрации некоторых проблем, которые нужно учитывать при обеспечении защиты, рассмотрим следующие сценарии (пpиносим благодаpности Расселу Бpанду [2,BRAND] за них]):
- Системный программист принимает звонок, сообщающий, что главный подпольный хэккерский журнал распространяется из административной ЭВМ в его центре по пяти тысячам абонентам в США и Западной Европе.
Восемь недель спустя власти сообщают вам, что одно из сообщений этого журнала было использовано, чтобы отключить службу неотложной помощи "911" в большом городе на пять часов.
- Пользователь сообщает, что он не смог войти в АС под своим именем в 3 часа утра в субботу. Системный оператор также не смог войти в нее. После перезагрузки в однопользовательском режиме, он обнаружил, что файл паролей пуст. К утру понедельника ваш персонал установил, что имел место ряд пересылок привилегированных файлов между этой ЭВМ и местным университетом.
Во вторник утром копия удаленного файла паролей была обнаружена на университетской ЭВМ наряду с файлами паролей из дюжины других ЭВМ.
Неделей позже вы обнаруживаете, что ваши файлы инициализации АС были злонамеренно изменены.
- Вы получаете сообщение о том, что проникновение в правительственную лабораторию произошло с одной из ЭВМ вашего центра. Вас просят показать учетные файлы, чтобы помочь отыскать нарушителя защиты.
Неделю спустя вы получаете список ЭВМ в вашей организации, в которые было осуществлено проникновение.
- Репортер начинает задавать вам вопросы относительно проникновения в ваш центр. Вы не слышали ни о каком проникновении.
Три дня спустя вы узнаете о том, что такое проникновение имело место. Руководитель центра использовал в качестве пароля имя своей жены.
- Обнаружено изменение в загрузочных модулях АС.
После того, как они были исправлены, они снова изменились. И так продолжалось несколько недель.- Если в вашей АС был обнаружен злоумышленник, следует ли вам оставить ее открытой для наблюдения за ситуацией или закрыть бреши в защите и открыть их несколько позже.
- Если злоумышленник использует ЭВМ вашей организации, должны ли вы вызывать полицию? Кто принимает такое решение? Если полиция попросит вас оставить ЭВМ открытыми для наблюдения, кто будет принимать решение по этому вопросу ?
- Какие шаги должны быть предприняты, если другая организация сообщит вам, что они обнаружили задачи в своих ЭВМ, запущенные под регистрационным именем пользователя из вашей организации? Что делать, если это имя принадлежит вашему администратору?