Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 7:

Жизненный цикл управления безопасностью

Аннотация: От знаний о методах взлома и способах устранения угроз безопасности веб-сайта IIS зависит его надежная работа. При этом следует обращать внимание буквально на все, чтобы не упустить какую-нибудь важную деталь. Постоянная бдительность поможет обнаруживать инциденты, связанные с нарушением безопасности, и предпринимать соответствующие меры.

Контроль безопасности сайта представляет собой очень сложный процесс. Для успешного реагирования на нарушения безопасности необходим достаточно большой объем знаний. С помощью структурного подхода можно сделать этот процесс намного проще, что увеличит шансы на успех. В этой лекции мы расскажем о некоторых хорошо зарекомендовавших себя подходах к управлению безопасностью.

Методология жизненного цикла

Жизненный цикл управления использует стандартизированный повторяемый набор процедур для обновления, переоценки и защиты сайта. Стандартизация обеспечивает правильную конфигурацию программного обеспечения, последовательное и предсказуемое выполнение задач. При помощи точно разработанных концепций политики обеспечивается эффективное реагирование. Схема жизненного цикла управления приведена на рис. 7.1.

Это очень важный подход, поскольку в динамической и изменяющейся среде интернета требуется процесс управления, постоянно адаптирующийся к возникающим ситуациям. Процесс укрепления системы основан только на фактах, о которых уже многое известно. Реализация жизненного цикла обеспечит переоценку подхода и знание тех изменений в технологиях, которые оказывают влияние на сайт.

Схема жизненного цикла управления

увеличить изображение
Рис. 7.1. Схема жизненного цикла управления

Переоценка угроз и предупредительное отслеживание

Предупредительное отслеживание ограничивает попытки вторжений посредством периодической переоценки угроз. С точки зрения управления этот процесс выполняется на веб-сайте с целью своевременного обнаружения попыток вторжения и немедленного реагирования на возникшие угрозы. Отслеживание системы включает в себя регулярно проводимые обзоры журналов, а также более динамичные формы мониторинга с выводом уведомлений о потенциальных проблемах.

Переоценка угроз

Переоценка угроз представляет собой критический процесс, определяющий степень защищенности любой системы; этот процесс необходимо планировать как обычную процедуру управления безопасностью, так как в программно-аппаратных продуктах постоянно обнаруживаются все новые и новые слабые места. Программные продукты должны проверяться на стойкость к новым угрозам, выявляемым организациями типа института SANS после последних обновлений Microsoft.

Каждую систему нужно исследовать с помощью структурированного процесса, проверяющего текущее состояние защиты. Периодическая переоценка включает в себя мероприятия, описываемые в сводных перечнях этой книги и в других источниках информации о безопасности. Необходимо запускать новейшие средства безопасности, выпущенные Microsoft, для обработки всех возможных обстоятельств, связанных с безопасностью. Разумеется, средства, которые изначально использовались для повышения уровня безопасности (см. "Подготовка и укрепление веб-сервера" ), обновляются Microsoft по мере обнаружения новые слабых мест.

Структурированный подход является ключом к успешной защите веб-сайта. Легко не выполнить какой-либо шаг или не завершить задачу, но вероятность таких ошибок уменьшится, если следовать упорядоченной схеме выполнения процесса. Ниже приведено краткое описание процесса переоценки.

  • Примените последние исправления и процедуры по укреплению системы, имеющиеся в разделе безопасности веб-сайта Microsoft TechNet (http://www.microsoft.com/technet/security). Так как эти исправления часто меняются, то здесь не указан конкретный адрес URL.
  • Дважды проверьте основу безопасности сайта, запустив новое средство Microsoft Security Baseline Analyzer (MSBA) для проверки политики Windows 2000 и слабых мест в конфигурации, которые не были исправлены при помощи надстроек безопасности. Более подробную информацию об этой программе и инструкции по ее загрузке можно найти в документе Q320454 на сайте TechNet.
  • Еще раз выполните IIS Lockdown, чтобы удостовериться в корректности конфигурации и политики безопасности IIS (см. "Подготовка и укрепление веб-сервера" ).
  • Проведите тестирование безопасности системы, настраивая основные параметры безопасности и применяя рекомендации в качестве превентивных мер защиты.
  • Повторите этот цикл в соответствии с политикой безопасности организации.
Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989