Siła koncepcji

Bezpieczeństwo jest sprawą zbyt skomplikowaną, by można je rozpatrywać jedynie w kontekście produktów. Wybór konkretnych rozwiązań powinien wynikać nie tyle z zakresu ich funkcji, ile z dopasowania do całościowej koncepcji systemu bezpieczeństwa.

Bezpieczeństwo jest sprawą zbyt skomplikowaną, by można je rozpatrywać jedynie w kontekście produktów. Wybór konkretnych rozwiązań powinien wynikać nie tyle z zakresu ich funkcji, ile z dopasowania do całościowej koncepcji systemu bezpieczeństwa.

Rys.1 Zarządzanie bezpieczeństwem systemu informatycznego wg metodyki SKiPSystemy informatyczne - tak jak ich otoczenie - nieustannie się zmieniają. Dotrzymanie kroku tym zmianom to z punktu widzenia bezpieczeństwa nie lada wyzwanie. Nowe funkcje wymagają nierzadko nowych zabezpieczeń. Wprowadzanie jakichkolwiek zmian w oprogramowaniu stwarza kolejne zagrożenie dla bezpieczeństwa. Do tego dochodzi problem użytkowników systemów jako - z reguły - najsłabszego ogniwa zabezpieczeń. Oddzielnym wyzwaniem jest nieustające doskonalenie metod i narzędzi służących do łamania zabezpieczeń i podejmowania działań niepożądanych z punktu widzenia posiadaczy systemów. W tych warunkach trudno byłoby sądzić, że utrzymanie zadowalającego poziomu bezpieczeństwa jest jedynie kwestią wdrożenia jednego czy nawet kilku rozwiązań, np. firewall czy IDS. Bezpieczeństwo wymaga przede wszystkim klarownej i spójnej koncepcji.

Dwie koncepcje

Do planowania ochrony systemów informatycznych można podejść na dwa sposoby. Pierwsza metoda opiera się na analizie ryzyka. Zgodnie z nią jakość zabezpieczeń powinna zależeć od potencjalnego stopnia zagrożenia oraz znaczenia zabezpieczanego systemu dla funkcjonowania organizacji.

Podejście to z góry zakłada, że w sytuacji zagrożenia nie warto chronić wszystkie, lecz tylko najważniejsze zasoby. Podstawowym dokumentem opisującym praktyczne wskazówki w tym zakresie jest wydany przez IETF zbiór zaleceń RFC 2196 pt. Site Security Handbook.

Druga koncepcja zapewnienia bezpieczeństwa, określana jako SKiP (Security Knowledge in Practice), odzwierciedla bardziej pragmatyczne podejście do zagadnień bezpieczeństwa. Metodyka powyższa, opracowana pod egidą CERT, wychodzi z założenia, że nadużycia bezpieczeństwa w systemach informatycznych są nieuniknione i w związku z tym należy być przygotowanym do stawienia im czoła. Opisana przez SKiP metodyka zarządzania bezpieczeństwem opiera się głównie na wzmocnieniu zabezpieczeń już istniejących w systemach informatycznych - zwłaszcza w systemach operacyjnych i aplikacjach, które najczęściej są obiektem ataków. Następnie należy przygotować się na konkretne zdarzenia: analizować zagrożenia, egzekwować przestrzeganie polityki bezpieczeństwa oraz na bieżąco eliminować ujawniające się słabości systemów w taki sposób, aby ich przy ponownym wykorzystaniu nie powielać (rys. 1).

Liczy się architektura

Oprócz ogólnej koncepcji zabezpieczeń, podstawową kwestią jest stworzenie spójnej architektury systemów bezpieczeństwa.

Zabezpieczenia techniczne można umownie podzielić na cztery grupy: zabezpieczenia systemu operacyjnego, zabezpieczenia baz danych i aplikacji oraz zabezpieczenia sieciowe. Każda z nich jest istotna - w poprawnie zaprojektowanym systemie bezpieczeństwa nie powinno zabraknąć żadnej.

Rys.2 Separowanie i monitorowanie stref bezpieczeństwaZabezpieczenia działające w każdym z wymienionych obszarów powinny wzajemnie się uzupełniać i ubezpieczać. W razie wystąpienia niepoprawnego działania jednej z warstw (np. błąd konfiguracji oprogramowania, wstrzymanie działania zabezpieczeń) pozostałe nie powinny pozwolić na łatwe zaatakowanie chronionych zasobów oraz umożliwiać szybkie zidentyfikowanie nieprawidłowości. Dla przykładu, podatność serwera WWW na określony atak może zostać ukryta przed intruzem za pomocą odpowiednio skonfigurowanego systemu zaporowego - firewall zablokuje wszystkie nadchodzące z Internetu zapytania HTTP, zawierające wzorzec tego ataku.

Nieprzestrzeganie zasady wzajemnego ubezpieczania się systemów zabezpieczeń jest niestety często popełnianym błędem. Ochrona wartościowych zasobów systemu informatycznego nie może opierać się wyłącznie na jednym mechanizmie zabezpieczenia, nawet jeżeli zastosowana technologia jest uznawana za wysoce zaawansowaną i niezawodną. Jego "złamanie" lub awaria pozostawia bowiem środowisko informatyczne bez jakiejkolwiek ochrony.

Liczenie na to, że jeden system wykryje, a tym bardziej przeciwstawi się wszelkim atakom jest igraniem z ogniem. Zwielokrotnienie zabezpieczeń jest zatem realną koniecznością. Przykładowo, skuteczny system kontroli zawartości mający na celu wykrywanie wirusów, robaków, koni trojańskich itp. powinien opierać się na co najmniej dwóch warstwach ochrony: po stronie sieci i na stacjach roboczych. W sieciach o krytycznym znaczeniu tę samą zasadę stosuje się często przy rozwiązaniach zaporowych. Dla zmniejszenia ryzyka najlepiej byłoby, gdyby każdy z tych systemów pochodził od innego producenta.