|
Bezpečnost softwarových systémů
Dne 27. ledna 2004 se v Praze konala konference Microsoft Security Summit, věnovaná bezpečnosti softwarových systémů. Konference se zúčastnilo 3 100 návštěvníků – odborníků na informatiku a vývojářů softwaru založeného na produktech firmy Microsoft.
|
Tab. 1 Pravidla pro zabezpečení (podle prezentace L. Šolce, © Microsoft Corp.) |
|
| Jak zabezpečit server |
| 1. aplikovat poslední Service Pack |
| 2. aplikovat všechny potřebné opravy |
| 3. odinstalovat nepotřebné komponenty |
| 4. zakázat nepotřebné služby |
| 5. aplikovat bezpečná pravidla hesel |
| 6. vyřadit anonymní přístup |
| 7. k citlivým serverům zabezpečit i přístup po síti |
| 8. zabezpečit síťové komponenty na serverech dostupných z internetu |
| 9. porovnat zabezpečení s doporučením Microsoft Security Guides |
| 10. zakázat LAN Manager a ověřování MTLMv1 |
| Jak zabezpečit klienty |
| 1. použít Windows XP a poslední Service Pack |
| 2. odinstalovat nepotřebné komponenty |
| 3. nainstalovat antivirový software |
| 4. vyřadit nepotřebné služby |
| 5. implementovat Software Restriction Policies |
| 6. zabezpečit aplikace |
| 7. centralizovat audit |
| 8. poučit uživatele |
| 9. zabezpečit nastavení prohlížeče Microsoft Internet Explorer |
| 10. zkontrolovat zabezpečení podle Windows XP Security Guide |
| Jak zabezpečit Internet Information Server |
| 1. zabezpečit operační systém |
| 2. aplikovat všechny potřebné bezpečnostní opravy |
| 3. odinstalovat všechny nepotřebné komponenty |
| 4. spustit IIS Lockdown Tool (IIS 5.0) |
| 5. používat URLScan (IIS 5.0) |
| 6. zabezpečit webové aplikace |
| 7. uložit obsah do zvláštní oblasti |
| 8. zabezpečit soubory použitím minimálních práv |
| 9. použít bezpečný ověřovací mechanismus |
| 10. vyžadovat šifrování pro citlivé informace předávané do webu |
| Co musí dělat pro zabezpečení uživatel |
| 1. volit bezpečná hesla |
| 2. bezpečně uchovávat hesla |
| 3. zamykat desktop při odchodu z kanceláře |
| 4. nepřihlašovat se privilegovaným účtem |
| 5. spouštět jen důvěryhodné programy |
| 6. neotevírat podezřelé přílohy |
| 7. nestát se obětí klamavých informací |
| 8. dodržovat firemní pravidla informační bezpečnosti |
| 9. nepokoušet se obejít bezpečnostní nastavení |
| 10. hlásit podezřelé události |
|
V průmyslové automatizaci patří otázky bezpečnosti a ochrany systémů k naprostým samozřejmostem, o kterých je třeba uvažovat při tvorbě jakéhokoliv technického projektu. V každém řešení je nutné určit bezpečnostní pravidla, v nichž je stanoveno, kdo a jak smí, popř. má povinnost měnit konfiguraci systému, editovat programy, monitorovat činnost systémů, auditovat a validovat je. Stanoveny musejí být také provozní procedury a pravidla. Bez vytvoření těchto bezpečnostních pravidel, někdy nazývaných bezpečnostní politika, by těžko mohl být nějaký projekt předán do užívání.
V úvodní prezentaci hovořil přednášející Ladislav Šolc z firmy Microsoft o základních principech šifrování, zabezpečené komunikace, autentizace, funkce firewallů a auditování.
Další přednáška Ladislava Šolce a Petra Salavy byla věnována zabezpečení pro servery a klienty Windows. Zabezpečení se provádí ve vrstvách: data se zabezpečují šifrováním, aplikace zabezpečením aplikací a antivirovými programy, systém zabezpečením systému, správou oprav a ověřováním přístupu, interní síť její segmentací a aplikací protokolů IPSec a hranice interní sítě firewallem. V tab. 1 jsou uvedeny soubory pravidel pro zabezpečení serverů, klientů a pro uživatele.
Jan Dryml poté hovořil o metodách pro správu aktualizací. U produktů firmy Microsoft je tento problém řešen pomocí Microsoft Baseline Security Analyser, nástroje pro detekci nainstalovaných a nenainstalovaných oprav, a nástrojů pro distribuci oprav – Windows Update a Software Update Services. Pro rozsáhlejší sítě lze využít také System Management Server 2003 Software Update Services (zatímco první dva produkty jsou zdarma, třetí, s komplexními službami, je nutné zakoupit).
Pozornost byla na konferenci věnována také správě přístupových práv v Microsoft Windows pomocí Right Management Services (přednášející: Tomáš Kutěj a Jan Kališ). Ani tato oblast není pro průmyslovou automatizaci neznámá. Zvláště v aplikacích, kde se využívají internetové technologie a hrozí možnost přístupu neoprávněných osob do řídicího systému, je zabezpečení souborů velmi důležité.
Na konferenci vystoupil také Bill Gates, zakladatel a hlavní softwarový architekt firmy Microsoft. Ve svém projevu hovořil mj. o tom, že otázky bezpečnosti softwaru představují pro firmu Microsoft jednu z hlavních položek nákladů na výzkum a vývoj. Připomenul připravovaný operační systém Longhorn, který by měl být uveden na trh v roce 2005, a hovořil o možnostech obrany proti e-mailovému spamu.
Otázky bezpečnosti softwaru jsou úhelným bodem diskusí o tom, zda vůbec používat produkty firmy Microsoft v jiných než kancelářských aplikacích. Když v srpnu loňského roku napadl počítačový virus síť bankomatů dvou amerických bank, prohlásili analytici, že bylo zásadní chybou použít v tak citlivé aplikaci operační systém Microsoft XP Embedded. Ale bylo tomu tak skutečně? Problém nakonec vyřešil softwarový firewall, který v původní verzi chyběl.
Metody zabezpečení softwarových systémů existují. Mnohé jsou zcela prosté – odinstalovat všechny nepotřebné komponenty, vyřadit nepotřebné služby, nepoužívat oprávnění, která nejsou nezbytně nutná. Jiné metody vyžadují trochu námahy – to je např. vytvoření a dodržování systému přístupových hesel. Pro další jsou třeba specializované programy – např. nástroje pro centralizovaný audit, pro šifrování komunikace, ochranu rozhraní sítě (firewall) nebo pro ochranu proti virům. Důkladnou analýzou rizik a důsledně uplatňovanou bezpečnostní politikou lze riziko selhání bez problémů omezit na přijatelnou úroveň, běžnou u jiných řídicích prostředků. Je-li bezpečnostní politika nesprávně stanovena nebo nedůsledně dodržována, je chyba svalovat vinu na „nespolehlivý„ software.
Další informace o řešení bezpečnosti počítačových sítí a počítačů pracujících pod operačními systémy Windows najdou zájemci na těchto webových adresách:
(Bk)
|