Александр Астахов
мации и активного сетевого оборудования суще ствующим рискам. Перечисленные компоненты АС имеют сотни параметров, значения которых оказывают влияние на защищенности системы, что делает их ручной анализ трудновыполнимой задачей. Поэтому в современных АС для анализа конфигурационных параметров системного и прикладного ПО, технических средств и средств защиты информации зачастую используются спе циализированные программные средства. Анализ параметров защиты осуществляется по шаблонам, содержащим списки параметров и их значений, которые должны быть установлены для обеспечения необходимого уровня защищенности. Различные шаблоны определяют конфигурации для различных программно технических средств. Относительно коммерческих корпоратив ных сетей, подключенных к сети Интернет, мож но говорить о некотором базовом уровне защи щенности, который в большинстве случаев можно признать достаточным. Разработка спецификаций (шаблонов) для конфигурации наиболее распрост раненных системных программных средств, поз воляющих обеспечить базовый уровень защищен ности, в настоящее время осуществляется пред ставителями международного сообщества в лице организаций и частных лиц, профессионально за нимающихся вопросами информационной безо пасности и аудита АС, под эгидой международной организации Центр Безопасности Интернет (Center of Internet Security). На данный момент за кончены, либо находятся в разработке следующие спецификации (Security Benchmarks): • Solaris (Level 1) • Windows 2000 (Level 1) • CISCO IOS Router (Level 1/Level 2)
Перечисленные спецификации являются результатом обобщения мирового опыта обеспе чения информационной безопасности. Для анализа конфигурации компонентов АС на соответствие этим спецификациям исполь зуются специализированные тестовые программ ные средства (CIS certified scoring tools). В качестве примера рассмотрим специфи кацию базового уровня защиты для ОС MS Windows 2000 и соответствующий программный инструментарий для анализа конфигурации ОС. Windows 2000 Security Benchmark CIS Windows 2000 Security Benchmark является программой, позволяющей осуществлять провер ку соответствия настроек ОС MS Windows 2000 минимальному набору требований безопасности, определяющих базовый уровень защищенности, который в общем случае является достаточным для коммерческих систем. Требования к базовому уровню защищенности ОСWindows 2000 были вы работаны в результате обобщения практического опыта. Свой вклад в разработку этих специфика ций внесли такие организации, как SANS Institute, Center for Internet Security, US NSA и US DoD. В состав инструментария CIS Windows 2000 Security Benchmark входит шаблон политики безо пасности (cis.inf), позволяющий осуществлять срав нение текущих настроек ОС c эталонными и произ водить автоматическую переконфигурациюОС для обеспечения соответствия базовому уровню защи щенности, задаваемому данным шаблоном. CIS Windows 2000 Security Benchmark поз воляет осуществлять количественную оценку те кущего уровня защищенности анализируемой ОС по 10 бальной шкале. Уровень 0 соответствует минимальному уровню защищенности (после ус тановки ОС ее уровень защищенности как раз и будет равен 0). Уровень 10 является максималь ным и означает полное соответствие анализируе мой системы требованиям базового уровня защи щенности для коммерческих систем. Все проверки, выполняемые при анализе системы, делятся на 3 категории: 1. Service Packs and Hotfixes (Пакеты обновле ний и программные коррекции); 2. Account and Audit Policies (Политика управле ния пользовательскими бюджетами и полити ка аудита безопасности); 3. Security Options (Опции безопасности). Первая категория включает проверку установ ки последних пакетов обновлений (Service Packs) и текущих программных коррекций (Hotfixes) от Microsoft.