28. Технические решения по защите от НСД компьютерных ресурсов на уровне серверов и рабочих станций ЛВС

Ответ:

---

Тема 3.4. Технические решения по защите от НСД компьютерных ресурсов на уровне серверов и рабочих станций ЛВС и реализации подсистемы аутентификации и идентификации

3.4.1. Технические решения по защите от НСД компьютерных ресурсов на уровне серверов HP-UX

1. Обеспечить невозможность неконтролируемого полного администрирования системы аудита ОС администратором ОС для чего:

• 
  создать учетные записи администратора ОС (не root) и администратора информационной безопасности;
  
• 
  после установки ОС произвести разделение паролей пользователя root имеющего неограниченные права в ОС, на 2 части, одна из которых передается в административную группу ИКС а, другая – в группу АИБ. Первоначальное разделение паролей и их изменения производится их совместным набором администратором ИКС и администратором ИБ согласно принятой политике парольной защиты;
  
• 
  включить и настроить аудит ОС HP-UX.
  
• 
  перевести ОС HPUX в режим Trusted с целью включения возможности аудита и усиленного управления учетными записями и паролями пользователей.
  
• 
  для оперативного контроля аудиторской информации необходимо настроить syslogd и параметры аудита таким образом, чтобы аудиторская информация дублировалась на сервер аудита ИБ. С помощью syslogd HPUX автоматически аудирует такие события, как подбор паролей пользователя, вход с правами администратора, критичные события и предупреждения системного и прикладного уровней ОС.
  
• 
  включить аудит всех команд, исполняемых администратором ОС HPUX, а также аудит операций удаления/записи в файлы системных настроек OC HPUX и СУБД Oracle.
  
• 
  обеспечить наделение администратора ОС и АИБ полномочиями, необходимыми и достаточными для выполнения ими своих функциональных обязанностей, запретив при этом АИБ производить любые изменения настроек ОС, а администратору ОС возможность искажения журналов аудита, для чего реализовать запись журналов аудита ОС на сервер аудита в режиме реального времени, обеспечив невозможность их искажения на сервере аудита;
  
• 
  поскольку аудит работы пользователя root системой HP-UX не предусмотрен, необходимо использовать этот идентификатор только в случае невозможности произведения необходимых операций с помощью идентификатора администратора HP-UX;
  
• 
  с помощью штатных средств HP-UX обеспечить невозможность управления журналами аудита ОС администратору ОС (запретить ему доступ к командам audsys, audusr, audevent audisp, audomon), а также право записи в каталог аудита. Администратору безопасности необходимо запретить менять настройки HP-UX, сохранив при этом возможность управления аудитом (право на исполнение команд аудита и право на чтение и запись в файлы аудита).
  

---

1. 
   2. Обеспечить оперативный анализ и периодическое архивирование аудиторской информации, а также определить порядок взаимодействия подразделений по результатам анализа аудиторской информации.
   
2. 
   3. Обеспечить усиленную аутентификацию пользователей ОС.
   

Для усиленной аутентификации в ОС HP-UX необходимо использовать режим Trusted HP-UX, который позволяет реализовать следующие дополнительные функции управления учетными записями пользователей и паролями:

• 
  зашифрованный файл паролей (shadowed passwd file);
  
• 
  ограничение пользователей по времени работы, по числу попыток входа в систему, по сроку действия пароля и учетной записи;
  
• 
  требование пароля пользователя при входе в систему в режиме single-mode.
  
• 
  автоматическое отключение долго неиспользуемых учетных записей.
  

1. 
   4. Оптимизировать набор сервисов и системного программного обеспечения на серверах.
   

Необходимо ограничить набор сервисов, загружаемых в ОС HP-UX, только сервисами необходимыми для работы и администрирования ИКС и систем резервного копирования. Также необходимо ограничить набор установленного системного ПО только необходимыми для функционирования ИКС программными пакетами, в частности не устанавливать компиляторы. Для минимизации угрозы безопасности серверов HP-UX необходимо ограничить набор сервисов HP-UX, загружаемых ОС, только необходимыми для работы ИКС сервисами, а именно: 

Номер сервиса	Вид сервиса	Название сервиса
23	Tcp	telnet
53	Tcp	Domain
111	Tcp	Sunrpc
113	Tcp	authentication
135	Tcp/Udp	Unknown
177	Udp	Unknown
382	Tcp	Pvserver
512	Udp	Syslog
515	Tcp	Printer
543	Tcp	Klogin
544	Tcp	Kshell
806	Udp	Unknown
808	Tcp	Unknown
812	Tcp	Unknown
816	Tcp/Udp	Unknown
821	Tcp	Unknown
824	Tcp	Unknown
825	Tcp	Unknown
826	Udp	Unknown
827	Udp	Unknown
891	Udp	Unknown
1023	Udp	Unknown
2049	Udp	nfs
6112	Tcp	Dtsps

---

1. Контролировать целостность программных компонент и конфигурационных файлов ОС

• 
  файлы системных настроек (каталог /etc);
  
• 
  все исполняемые файлы и библиотеки ОС;
  
• 
  ядро операционной системы;
  
• 
  файлы драйверов устройств (каталог /dev).
  

2. Обеспечить своевременную установку обновлений ОС (patches).

Администратор ОС должен своевременно получать информацию об имеющихся обновлениях ОС в части обеспечения защиты и оперативно получать от поставщиков ОС «заплаты» к ОС. Сведения об имеющихся в ОС HP-UX недостатках в области обеспечения защиты должны поступать к администратору ОС от администратора информационной безопасности.

3.4.2. Технические решения по защите от НСД компьютерных ресурсов на уровне СУБД Oracle

1. Обеспечить невозможность неконтролируемого полного администрирования подсистемы аудита СУБД администратором баз данных для чего:

• 
  создать учетные записи администратора СУБД и администратора информационной безопасности. Поскольку в СУБД Oracle технически невозможно обеспечить эффективный контроль безопасности с помощью разделения на 2 половины административных паролей SYS и INTERNAL (например, пользователь-владелец данных uid:oracle автоматически имеет привилегии INTERNAL, роль SYSDBA имеет привилегии SYS), разделение паролей не производится и контроль осуществляется с помощью средств аудита СУБД, паролями SYS и INTERNAL владеет администратор СУБД;
  
• 
  включить аудит с помощью параметра AUDIT_TRAIL=OS. При этом данные аудита будут записываться в файл аудита ОС HPUX. Для обеспечения немедленной записи аудиторской информации на сервер аудита службы безопасности местоположение файла аудита назначается на сервере аудита службы безопасности, который предоставляет свои файловые ресурсы по NFS. Местоположение файла аудита назначается с помощью установки переменной конфигурации Oracle AUDIT_FILE_DEST;
  
• 
  произвести настройку аудита следующих событий в СУБД Oracle:
  

а) всех неудачных SQL- команд; (AUDIT [команды SQL] BY SESSION WHENEVER NOT SUCCESSFUL) – одна протокольная запись для каждого пользователя и объекта БД в каждом сеансе, независимо от количества событий.

---

б) операций администратора БД (AUDIT DBA BY SESSION). Это опция включает следующие операции аудита:

• 
  SYSTEM AUDIT – аудит команд NOAUDIT (отключение аудита)
  
• 
  PUBLIC DATABASE LINK – создание и удаление публичных ссылок на объекты удаленных баз данных
  
• 
  PUBLIC SYNONYM – создание и удаление публичных синонимов (альтернативных имен) объектов БД
  
• 
  ROLE – создание, изменение, установку, удаление ролей БД
  
• 
  SYSTEM GRANT – присвоение и удаление системных привилегий или ролей пользователям, или ролям БД
  
• 
  USER – создание, изменение, удаление пользователей БД
  

в) операций по изменению прав на процедуры БД (AUDIT GRANT PROCEDURE BY SESSION)

• 
  с помощью механизма редактирования ролей обеспечить наделение администратора баз данных и АИБ полномочиями, необходимыми и достаточными для выполнения ими своих функциональных обязанностей, запретив при этом АИБ производить любые изменения настроек СУБД, а администратору баз данных возможность искажения журналов аудита, для чего реализовать запись журналов аудита СУБД на сервер аудита обеспечив невозможность их искажения на сервере аудита;
  
• 
  у администратора БД необходимо исключить привилегию DELETE ANY TABLE и AUDIT SYSTEM. Привилегия AUDIT ANY должна быть выдана только администратору безопасности БД;
  
• 
  поскольку аудит работы пользователей SYS и INTERNAL системой Oracle не предусмотрен, необходимо использовать эти идентификаторы только в случае невозможности произведения необходимых операций с помощью идентификатора администратора баз данных. 
  

2. Обеспечить оперативный анализ и периодическое архивирование аудиторской информации, а также определить порядок взаимодействия подразделений по результатам анализа аудиторской информации

• 
  для оперативного анализа и выработки отчетов по результатам аудирования СУБД необходимо разработать инструмент импорта информации аудита в SQL-базу данных и программное обеспечение выборки из этой базы данных интересующих сведение аудита и формирования отчетов по результатам выполнения политики безопасности. До завершения разработки ПО анализ текущего аудита производится администратором ИБ вручную.
  
• 
  по результатам оперативного ежедневного аудита администратор ИБ может получать необходимые сведения, касающиеся функционирования СУБД Oracle от администратора СУБД, который, в свою очередь, обязан предоставить такие сведения и обосновать произведенные в СУБД операции, отражаемые в файлах аудита.
  

---

Смотрите также файлы

• Внешняя политика Это деятельность на международной арене, регулирующая взаимоотношения с другими государствами и народами.docx

• Жасспірімдерді нашаорлыа атынасы сауалнамасы.docx

• Программа среднего профессионального образования 39. 02. 01 Социальная работа (базовая подготовка).rtf

• азастан республикасы білім жне ылым министрлігі м.Уезов атындаы ОТстік азастан университеті филология факультеті.docx

• Методические приемы обучения решению задач в начальной школе.pptx