Делегирование доступа к данным и защита информации вот уже несколько лет является одним из важнейших глобальных вопросов для инженеров по безопасности во всем мире и таковым останется еще на долгие годы.
Интернет раскрыл широкие возможности для усовершенствования процессов передачи данных и одновременно создал угрозы, которым нужно правильно противостоять. Конечно, вопрос ИТ безопасности очень широк. Это оборудование, операционные системы, сети, программы-антивирусы, основы социального инжиниринга и многое другое. Мы, к сожалению, в полной мере не можем охватить целиком данную тему, но делимся практическими наработками, которые помогли нам и возможно помогут вам.
Чтобы лучше представить ситуацию давайте рассмотрим ситуацию близкую к реальной в контексте работы некой компании «Наша Фирма» состоящей из 30 сотрудников, у каждого из которых есть доступ на удаленный рабочий стол сервера взятого в аренду в неком «Дата центре».
СИСТЕМНАЯ БЕЗОПАСНОСТЬ
Брандмауэр
Использование стандартного Windows (брандмауэр) или друго файрвола для отражения атак из сети. Не рекомендуется отключение активного режима файрвола. Исключение – временное отключение для установки или тестирования работоспособности программ, которые могут блокироваться брандмауэром.
Антивирус
Установка и использование в режиме защиты реального времени антивирусного программного обеспечения, например встроенного в ОС Windows Server (Microsoft Security Essentials / Microsoft Defender), либо другого коммерческого: Eset NOD, Avira, McAfee, Comodo. Помните, обеспечить надежную защиту могут только платные коммерческие продукты, которые регулярно выпускают обновления и осуществляют поддержку своих продуктов. К вопросу торможения компьютера из-за работы антивируса нужно относится как к неизбежному, потому что программа защищающая ваш компьютер выполняет свою работу. Не хватает производительности – увеличьте ОЗУ, добавьте процессорной мощности.
Порт для входа на RDP
Установка нестандартного порта для входа на удаленный рабочий стол. По умолчанию у сервера установлен стандартный порт для входа 3386, который даже не обязательно прописывать в адресе подключения к серверу. Это может быть хорошей лазейкой для злоумышленников. Поэтому рекомендуется сменить стандартный порт на не стандартный, например 41521 с помощью редактора реестра. Этот же порт нужно установить доступным для входящих подключений в брандмауэре Windows.
Защита от подбора пароля
Установка блокировки пользователя на 10 минут в случае многократного ввода неверного пароля. В противном случае специальные программы злоумышленников через перебор возможных комбинаций (brute force) могут подобрать пароль для входа на сервер. Для того чтобы исключить взлом сервера через подбор пароля рекомендуем установить в локальной политике безопасности соответствующие параметры блокировки в случае ввода несколько раз подряд неверного пароля. Также используя другую уязвимость операционной системы злоумышленники могут зайти на сервер через консольный вход с пустым паролем. Рекомендуем закрыть и эту лазейку (актуально для Windows Server 2008, а возможно и для следующих поколений).
- установка пользователям сложных паролей для входа с обязательными параметрами:
- один спецсимвол (!@%&;/)
- одна или несколько заглавных букв (QWerty)
- минимум 8 символов
- не использовать для паролей простые слова, имена и т.д.
Надежный пароль должен выглядеть примерно так: gc5ETVC9i6k5@
Естественно такой пароль пользователю сложно запомнить, поэтому с большой долей вероятности сработает человеческий фактор и этот пароль будет записан на листик и положен под монитор, сохранен в текстовый файл и помещен на рабочий стол с именем файла «пароли», который открывается без пароля и т.д. Поэтому чтобы избежать таких «людских ошибок» рекомендуется выдавать пользователям запоминаемые словесные пароли, например, Корабль2525 / Rjhf,km2525. Слово понятное, есть спецсимвол и заглавная буква. Т.е. вводится слово на русском языке, но с англоязычной раскладкой клавиатуры.
VPN
Установка доступа по ограниченному списку IP адресов, либо через VPN. Список разрешенных IP адресов можно настроить через брандмауэр и для этого не потребуется специальных знаний в области построения сетей. Настройка же VPN (virtual private network) доступа требует технических навыков настройки. Но оно того стоит, потому что VPN обеспечивает надежную защиту от проникновения по сети как злоумышленников так и просто пользователей, которым нужно закрыть доступ.
Права пользователей
Правильное делегирование и раздача прав пользователей. Наличие на сервере не более одного-двух пользователей с правами администратора, будет правильным решением. Чем у большего числа пользователей полные права, тем более велика вероятность, что через них на сервере может быть установлено какое-либо вредоносное ПО или совершены умышленные вредительские действия, например: удаление файлов, удаление программы, кража коммерческой информации и т.д. Кроме того пользователям без прав администратора можно ограничить доступ к рабочим папкам других пользователей через настройку безопасности.
Пользовательские инструкции
Не самый важный пункт, но не спешите делать выводы, потому что человеческая глупость часто недооцененный фактор, который в итоге может сыграть злую шутку и наделать дел. В любой самой защищенной системе всегда остается узкое место – человек. Поэтому рекомендуем составить пользовательские инструкции, которые могут предотвратить потенциально опасные и неприятные ситуации. В каждой компании пункты инструкций могут быть свои, но из типовых мы бы выделили:
- запрет на передачу паролей третьим лицам;
- запрет на хранение паролей в незащищенном от просмотра виде;
- обязательная блокировка сеанса при уходе с рабочего места более чем на 10 минут;
- не сохранять из почты файлы, пришедшие от незнакомых отправителей;
- не скачивать с интернета файлы, программы, документы из непроверенных и подозрительных источников;
- запрет установки любого программного обеспечения без согласования с системным администратором либо другим ответственным лицом за информационную систему;
- корректно завершать работу в конце рабочего дня.
Резервное копирование данных
К сожалению, К СОЖАЛЕНИЮ!, ни один из вышеперечисленных пунктов не гарантирует компании 100 % сохранности данных и полной защиты системы. А что гарантирует? Архивные копии и еще раз архивные копии данных (backup). Какая оптимальная программа копирования данных для виртуального сервера на наш взгляд? На наш взгляд четырех разнопотоковых архиваций данных достаточно для гарантии в 99% сохранения данных. Что это за программы:
1. Полная копия всего сервера со всеми программами, системой, данными. Периодичность – один раз в неделю. Можно проводить копирование и чаще, если существует такая возможность на хостинге. Данное копирование позволят полностью заместить текущую систему архивной копией на дату. Длительность восстановления – от 3 до 24 часов. Данное копирование решает проблему восстановления работы операционной системы в случае глобального сбоя в следствие аппаратного отказа, либо порчи всех данных вирусом-шифровальщиком.
2. Полная ежесуточная локальная копия критических данных. К критическим данных относятся, например, файлы баз данных 1С. Локальные копии нужны на случай, если потребуется создать параллельную копию для анализа или «откатиться» до версии файла (базы данных) до внесения каких-либо действий. Также данные файлы могут быть использованы в случае краха базы данных. В этом случае распаковка локальной копии файла базы данных займет от 10 минут до нескольких часов в зависимости от объема.
3. Инкрементное копирование данных на Google диск. Этот вид копирования дублирует локальное копирование из пункта 2, с тем отличием, что данные хранятся в облаке. Этот вид копирования хорош для хранения в облаке больших объемов данных. Поскольку сервис облачного хранения от Google имеет низкую стоимость, то позволяет хранить много данных за малые средства. Единственный недостаток Google облака в том, что данные в хранилище обновляются каждый раз при синхронизации, которая производится при фиксации изменения объекта на компьютере. Чем это плохо? Тем что с точки зрения приложения Google-диск зашифрованные вирусом файлы тоже являются измененными, таким образом будет дана команда перезаписи их на Google диск. И перезапишутся все файлы. А чтобы избежать потери данных в облачном хранилище нужно использовать не инкрементное, а полное копирование, т.е. то копирование когда каждая следующая копия не смотрит на предыдущую и является отдельным объектом хранения. Добиться полного копирования в облако со 100% гарантией сохранности поможет копирование на FTP сервер.
4. Полное копирование на FTP сервер. Этот вид копирования является самым надежным видом файлового копирования, потому что данные с одного сервера передаются на другой сервер. Связь между серверами устанавливается только на время передачи данных. Таким образом обеспечивается высокий уровень безопасности и сохранности переданных данных. Полное копирование необходимо проводить каждый день. Копии старше 10 дней можно удалять, так как при нормальных обстоятельствах есть локальные копии. Копии на FTP сервер независимые. Это значит, что даже если последняя копия на север будет уже с испорченным или поврежденным файлом, то это никак не повлияет на предыдущие копии.
ИТОГИ
Разделив угрозы на категории можно выработать комплекс мер по решению задач безопасности. Конечно, мы не претендуем на исчерпывающий перечень мер, а лишь даем некоторые рекомендации исходя из информационной архитектуры вымышленной компании. Однако данную информацию вы можете использовать как базис для решения собственных задач по информационной безопасности и борьбе с киберугрозами. Исходите из того, что защита от угроз должна соответствовать виду угроз и если меняется угроза, должна меняться и защита.
Самые читаемые:
- Презентации, описание и интерфейсы ERP-программ: 1С, Парус, Галактика, SAP, Oracle и Microsoft Dynamics
- Аналоги программы 1С для учета в Украине
- Новый бланк ТТН от Excel 2021, 2025
- 1С или SAP
- Первичная настройка 1С Предприятие 8.2
- Является ли «1С» ERP системой?
- 1C 8.3 на Линукс + Postgre SQL. Плюсы и минусы
- Терминал сбора данных - автоматизация склада (проект)
- ТОП программ для автоматизации бизнеса в Украине
- Техническое задание для программы
Разделы:
Звоните нам:
(050)978-88-74
Пишите нам:
info@erp-project.com.ua
Чат Viber, Telegram:
(Мы в мобильном)