Делегування доступу до даних та захист інформації вже кілька років є одним з найважливіших глобальних питань для інженерів з безпеки в усьому світі і таким залишиться ще на довгі роки.
Інтернет розкрив широкі можливості для вдосконалення процесів передачі даних та одночасно створив загрози, яким потрібно правильно протистояти. Звичайно, питання ІТ безпеки дуже широке. Це обладнання, операційні системи, мережі, програми-антивіруси, основи соціального інжинірингу та багато іншого. Ми, на жаль, повною мірою не можемо охопити цю тему, але ділимося практичними напрацюваннями, які допомогли нам і можливо допоможуть вам.
Щоб краще уявити ситуацію, давайте розглянемо ситуацію, близьку до реальної в контексті роботи якоїсь компанії «Наша Фірма», що складається з 30 співробітників, у кожного з яких є доступ на віддалений робочий стіл сервера взятого в оренду в даному центрі.
СИСТЕМНА БЕЗПЕКА
Брандмауер
Використання стандартного Windows (брандмауер) або іншого файрвола для відображення атак з мережі. Не рекомендується вимкнути активний режим файрволу. Виняток – тимчасове відключення для встановлення або тестування працездатності програм, які можуть бути блоковані брандмауером.
Антивірус
Встановлення та використання в режимі захисту реального часу антивірусного програмного забезпечення, наприклад, вбудованого в ОС Windows Server (Microsoft Security Essentials / Microsoft Defender) або іншого комерційного: Eset NOD, Avira, McAfee, Comodo. Пам'ятайте, що забезпечити надійний захист можуть лише платні комерційні продукти, які регулярно випускають оновлення та здійснюють підтримку своїх продуктів. До питання гальмування комп'ютера через роботу антивірусу потрібно ставитися як до неминучого, тому що програма, що захищає ваш комп'ютер, виконує свою роботу. Не вистачає продуктивності – збільште ОЗП, додайте процесорну потужність.
Порт для входу на RDP
Встановлює нестандартний порт для входу на віддалений робочий стіл. За замовчуванням сервер має стандартний порт для входу 3386, який навіть не обов'язково прописувати в адресі підключення до сервера. Це може бути гарною лазівкою для зловмисників. Тому рекомендується змінити стандартний порт на стандартний, наприклад 41521 за допомогою редактора реєстру. Цей порт потрібно встановити доступним для вхідних підключень у брандмауері Windows.
Захист від підбору пароля
Встановлення блокування користувача на 10 хвилин у разі багаторазового введення неправильного пароля. Інакше спеціальні програми зловмисників через перебір можливих комбінацій (brute force) можуть підібрати пароль входу на сервер. Для того щоб виключити злом сервера через підбір пароля, рекомендуємо встановити в локальній безпековій політиці відповідні параметри блокування у разі введення кілька разів поспіль невірного пароля. Також використовуючи іншу вразливість операційної системи, зловмисники можуть зайти на сервер через консольний вхід з порожнім паролем. Рекомендуємо закрити цю лазівку (актуально для Windows Server 2008, а можливо і для наступних поколінь).
- встановлення користувачам складних паролів для входу з обов'язковими параметрами:
- один спецсимвол (!@%&;/)
- одна або кілька великих літер (QWerty)
- мінімум 8 символів
- не використовувати для паролів прості слова, імена тощо.
Надійний пароль має виглядати приблизно так: gc5ETVC9i6k5@
Природно такий пароль користувачеві складно запам'ятати, тому з великою ймовірністю спрацює людський фактор і цей пароль буде записаний на листок і покладений під монітор, збережений в текстовий файл і поміщений на робочий стіл з ім'ям «паролі», який відкривається без пароля і т.д. буд. Тому щоб уникнути таких «людських помилок» рекомендується видавати користувачам словесні паролі, що запам'ятовуються, наприклад, Корабель2525 / Rjhf,km2525. Слово зрозуміле, є спецсимвол і велика літера. Тобто. вводиться слово російською, але з англомовною розкладкою клавіатури.
VPN
Встановлення доступу до обмеженого списку IP адрес або через VPN. Список дозволених IP адрес можна налаштувати через брандмауер і для цього не знадобиться спеціальних знань в області побудови мереж. Налаштування ж VPN (virtual private network) доступу потребує технічних навичок налаштування. Але воно того варте, тому що VPN забезпечує надійний захист від проникнення по мережі як зловмисників, так і просто користувачів, яким потрібно закрити доступ.
Права користувачів
Правильне делегування та роздача прав користувачів. Наявність на сервері не більше одного-двох користувачів з правами адміністратора буде правильним рішенням. Чим більша кількість користувачів повні права, тим більша ймовірність, що через них на сервері може бути встановлено якесь шкідливе ПЗ або скоєно навмисні шкідницькі дії, наприклад: видалення файлів, видалення програми, крадіжка комерційної інформації і т.д. Крім того, користувачам без прав адміністратора можна обмежити доступ до робочих папок інших користувачів через налаштування безпеки.
Інструкції користувача
Не найважливіший пункт, але не поспішайте робити висновки, тому що людська дурість часто недооцінений фактор, який може зіграти злий жарт і наробити справ. У будь-якій захищеній системі завжди залишається вузьке місце – людина. Тому рекомендуємо скласти інструкції користувача, які можуть запобігти потенційно небезпечні та неприємні ситуації. У кожній компанії пункти інструкцій можуть бути свої, але з типових ми виділили б:
- заборона передачі паролів третім особам;
- заборона на зберігання паролів у незахищеному від перегляду вигляді;
- обов'язкове блокування сеансу при виході з робочого місця більш ніж на 10 хвилин;
- не зберігати з пошти файли, які надійдуть від незнайомих відправників;
- не завантажувати з інтернету файли, програми, документи з неперевірених та підозрілих джерел;
- заборона встановлення будь-якого програмного забезпечення без узгодження із системним адміністратором чи іншою відповідальною особою за інформаційну систему;
- коректно завершувати роботу наприкінці робочого дня.
Резервне копіювання даних
На жаль, на жаль!, жоден з вищеперелічених пунктів не гарантує компанії 100% безпеки даних та повного захисту системи. А що гарантує? Архівні копії та ще раз архівні копії даних (backup). Якою є оптимальна програма копіювання даних для віртуального сервера на наш погляд? На наш погляд чотирьох різнопотокових архівацій даних достатньо для гарантії 99% збереження даних. Що це за програми:
1. Повна копія всього сервера з усіма програмами, системою, даними. Періодичність – один раз на тиждень. Можна проводити копіювання і частіше, якщо є така можливість на хостингу. Це копіювання дозволить повністю замістити поточну систему архівною копією на дату. Тривалість відновлення – від 3 до 24 години. Дане копіювання вирішує проблему відновлення роботи операційної системи у разі глобального збою внаслідок апаратної відмови або псування всіх даних вірусом-шифрувальником.
2. Повна щодобова локальна копія критичних даних. До критичних даних належать, наприклад, файли баз даних 1С. Локальні копії потрібні на випадок, якщо потрібно створити паралельну копію для аналізу або "відкотитися" до версії файлу (бази даних) до внесення будь-яких дій. Також дані файли можуть бути використані у разі краху бази даних. У цьому випадку розпакування локальної копії файлу бази даних займе від 10 хвилин до кількох годин залежно від обсягу.
3. Інкрементне копіювання даних на диск Google. Цей вид копіювання дублює локальне копіювання з пункту 2 з тією відмінністю, що дані зберігаються в хмарі. Цей вид копіювання хороший для зберігання у хмарі великих обсягів даних. Оскільки сервіс хмарного зберігання від Google має низьку вартість, дозволяє зберігати багато даних за малі кошти. Єдиний недолік Google хмари в тому, що дані в сховищі оновлюються щоразу під час синхронізації, яка здійснюється при фіксації зміни об'єкта на комп'ютері. Чим це погано? Тим, що з точки зору програми Google-диск зашифровані вірусом файли теж є зміненими, таким чином буде дана команда перезапису їх на диск Google. І перезапишуться усі файли. Щоб уникнути втрати даних у хмарному сховищі потрібно використовувати не інкрементне, а повне копіювання, тобто. то копіювання, коли кожна наступна копія не дивиться на попередню і є окремим об'єктом зберігання. Домогтися повного копіювання на хмару зі 100% гарантією безпеки допоможе копіювання на FTP сервер.
4. Повне копіювання на сервер FTP. Цей вид копіювання є найнадійнішим видом файлового копіювання, тому що дані з одного сервера передаються іншому серверу. Зв'язок між серверами встановлюється лише на час передачі даних. Таким чином забезпечується високий рівень безпеки та збереження переданих даних. Повне копіювання необхідно проводити щодня. Копії старше 10 днів можна видаляти, оскільки за нормальних обставин є локальні копії. Копії на сервер FTP незалежні. Це означає, що навіть якщо остання копія на північ буде вже зі зіпсованим або пошкодженим файлом, це ніяк не вплине на попередні копії.
ПІДСУМКИ
Розділивши погрози на категорії, можна виробити комплекс заходів щодо вирішення завдань безпеки. Звичайно, ми не претендуємо на вичерпний перелік заходів, а лише даємо деякі рекомендації, виходячи з інформаційної архітектури вигаданої компанії. Однак цю інформацію ви можете використовувати як базис для вирішення власних завдань з інформаційної безпеки та боротьби з кіберзагрозами. Виходьте з того, що захист від загроз повинен відповідати виду загроз і якщо змінюється загроза, повинен змінюватись і захист.
Схожі статті:
- Презентація, опис та інтерфейси ERP-програм: 1С, Парус, Галактика, SAP, Microsoft Dynamics і Oracle
- Технічне завдання для програми
- Первинне налаштування 1С Підприємство 8.2
- 1С або SAP
- ТОП програм автоматизації бізнесу в Україні
- Що таке 1С? Чому люди її обирають?
- Оренда програм - економно, зручно, законно
- Термінал збору даних - автоматизація складу (проект)
- Система управління електронною чергою
- Розробка проектів і технічних завдань для програм
Наші рубрики:
Телефонуйте нам:
(050)978-88-74
Пишіть нам:
info@erp-project.com.ua
Чат Viber, Telegram:
(Ми у мобільному)