523

Transcript

Zakład Sieci Konwergentnych (Z-4) Ośrodek Informatyki (OI) Centralne Laboratorium Badawcze (CLB) Praca statutowa Bezpieczeństwo teleinformatyczne oraz model bezpiecznego systemu telepracy Numer Pracy: 04300025 07300015 09300035 Warszawa, grudzień 2005 Bezpieczeństwo teleinformatyczne oraz model bezpiecznego systemu telepracy Praca numer: 04300025 07300015 09300035 Słowa kluczowe: polityka bezpieczeństwa teleinformatycznego, standardy bezpieczeństwa,VoIP, QoS, telepraca, Extranet Kierownik pracy: mgr inż. Konrad Sienkiewicz Wykonawcy: mgr inż. Konrad Sienkiewicz mgr inż. Mariusz Gajewski mgr inż. Wojciech Michalski inż. Waldemar Latoszek inż. Urszula Cackowska mgr inż. Grzegorz Wójcik mgr inż. Piotr Jankowski mgr inż. Dominik Łoniewski mgr inż. Robert Bućko mgr Alicja Baran mgr inż. Wojciech Pietron dr inż. Maria Trzaskowska inż. Wiesław Zadrożny © Copyright by Instytut Łączności, Warszawa 2005 Z-4 Z-4 Z-4 Z-4 Z-4 OI OI OI OI OI (oddział Wrocław) OI CLB CLB SPIS TREŚCI : 1. Wprowadzenie 1 2. Sposób rozwiazania zadania 1 3. Wyniki pracy 3 4. Podsumowanie 3 1 1. Wprowadzenie Praca statutowa „Bezpieczeństwo teleinformatyczne oraz model bezpiecznego systemu telepracy” realizowana w roku 2005 wpisuje się w nurt prac „dużych” realizowanych przez zespoły interdyscyplinarne. Jest ona więc zgodna z preferencjami IŁ w zakresie formułowania tematów badawczych. Również zakres tematyczny pracy w pełni odpowiada strategicznym kierunkom badawczym IŁ tj. bezpieczeństwo teleinformatyczne, przygotowanie do wykonywania audytów bezpieczeństwa, VoIP, QoS w sieciach VoIP, telepracy. Praca związana jest z technologiami rozwijającymi się bardzo dynamicznie, dlatego należy zakładać, że zdobyte umiejętności pozyskane w ramach pracy, pozwolą by IŁ w niedalekiej przyszłości czerpał wymierne korzyści świadcząc usługi. Zespół wykonawców wywodzi się z różnych jednostek IŁ. Przyczyniło się to do wymiany poglądów i doświadczeń. Można też zakładać, że dzięki temu praca jest kompletna, gdyż uwzględnia „ różne punkty widzenia”. Trzeba też podkreślić, że praca w większości zadań łączyła działania koncepcyjne i działania praktyczne. A więc można było praktycznie zweryfikować rozwiązania proponowane na podstawie przeprowadzonych analiz. W kilku przypadkach w wyniku praktycznej weryfikacji proponowanych założeń dokonano zmiany założeń, gdyż przyjętych założeń nie można było zrealizować w rzeczywistości. Zatem umiejętności nabyte podczas wdrożenia testowego systemu telepracy stanowią cenne źródło informacji, pozwalają bowiem wypracować własny pogląd na sprawę. 2. Sposób rozwiązania zadania W projekcie zdefiniowane zostały trzy zadania: • • • Zarządzanie bezpieczeństwem teleinformatycznym w administracji publicznej Voice over IP, wybór optymalnego rozwiązania w zakresie bezpieczeństwa transmisji i jakości głosu Modelowy system telepracy na przykładzie Instytutu Łączności 2.1. Zarządzanie bezpieczeństwem teleinformatycznym w administracji publicznej W ramach tego zadania na wstępie dokonano analizy literatury przedmiotu. Kolejnym krokiem było opracowanie dokumentu, który w sposób kompleksowy ujmuje zagadnienie bezpieczeństwa informacyjnego instytucji, analizy zagrożeń i metodyki tworzenia polityki bezpieczeństwa instytucji. Zapisy opracowania bazują na dokumentach normatywnych (standardy międzynarodowe, uwarunkowania prawne) oraz wskazówkach instytucji i organizacji związanych z bezpieczeństwem informacji m.in. ABW, CERT, NSA. Końcowym etapem zadania było opracowanie dla IŁ: • Jakościowej analizy ryzyka Instytutu; • Polityki bezpieczeństwa informacji Instytutu; • Weryfikacji systemu zabezpieczeń Instytutu (Warszawa i o/Wrocław). Opracowanie powyższych dokumentów pozwoliło praktycznie zweryfikować proponowane w pracy zalecenia w zakresie tworzenia polityk bezpieczeństwa. 2.2. Voice over IP, wybór optymalnego rozwiązania w zakresie bezpieczeństwa transmisji i jakości głosu Zgodnie z przyjętymi założeniami pierwszy etap polegał na przeglądzie i porównaniu dostępnych rozwiązań IP-PBX dostępnych w ramach licencji „open source”. Po analizie 1 dokumentacji wybrano aplikacje 3 serwerów VoIP do testów. Po fazie pierwszych testów zdecydowano, że do zastosowania w IŁ najlepszy będzie IP-PBX Asterisk. Następnie przeprowadzono szereg testów funkcjonalnych wytypowanej platformy: • Współpraca z protokołem SIP, • Współpraca z protokołem MGCP, • Współpraca z protokołem IAX2, • Realizację połączeń do/od użytkowników Internetu, • Współpracy z bramami VoIP, • Współpracy z telefonami VoIP. Następnie zrealizowano połączenie platformy VoIP i centrali DGT 3450, mieszczącej się w laboratorium Z-4, za pośrednictwem łącza E1 z sygnalizacją DSS1. Z wykorzystaniem generatora wywołań Anritsu EF111A przeprowadzono testy skuteczności i stabilności platformy. Wykonano też oceny jakości głosu dla połączeń z/do Internetu. Ocena jakości głosu dokonana była zarówno metodą subiektywną bazującą na ocenie 12 osób biorących udział w badaniu, jak również metodą obiektywną wykorzystującą specjalistyczną aparaturę pomiarową. 2.3. Modelowy system telepracy na przykładzie Instytutu Łączności Stworzenie modelowego systemu telepracy w Instytucie Łączności było końcowym etapem pracy. Wykorzystano w nim wyniki prac w zakresie bezpieczeństwa i VoIP. Zakłada się, że system telepracy ma na celu: • Poprawę przepływu informacji pomiędzy oddziałami IŁ przy jednoczesnym zmniejszeniu jej kosztów; • Stworzenie warunków technicznych do pracy zdalnej w IŁ. Pracownicy mogliby wówczas realizować pracę w domu za pośrednictwem Internetu. Przyjęto, że proponowane rozwiązanie w zakresie systemu telepracy będzie się składać z następujących elementów: • komunikacji głosowej opartej na telefonii VoIP, realizowanej przy pomocy IP -PBX Asterisk; • komunikacji typu Instant Messaging (IM), w oparciu o serwer XMPP Jive Messenger; • dostępu do poczty korporacyjnej, poprzez protokół HTTPS; • dostępu do zasobów sieci wewnętrznej IŁ, z wykorzystaniem tuneli VPN. W ramach niniejszej pracy dokonano wdrożenia testowej platformy IP-PBX Asterisk oraz dołączono ją do centrali IŁ w Warszawie łączem ISDN PRI, wdrożenia testowego serwera XMPP Jive Messenger. Pozwoliło to osiągnąć zakładaną funkcjonalność testowego systemu telepracy. Ostatnim etapem w ramach tego zadania było praktyczne testowanie systemu telepracy realizowane przez zespół projektowy, który przez okres dwóch miesięcy korzystał z systemu testowego. 2 3. Wyniki pracy Rezultatem prac są: • Opracowanie, składające się z trzech części: o „Zarządzanie bezpieczeństwem teleinformatycznym w administracji publicznej” o „Modelowy system telepracy” o „Metodyka testowania jakości transmisji głosu w sieciach pakietowych” • Polityka bezpieczeństwa informacji w Instytucie; • Testowa platforma VoIP dołączona do centrali telefonicznej IŁ w Warszawie; • Testowa platforma IM w IŁ oparta o standard XMPP; W najbliższym czasie planowane są również następujące publikacje: • „Platforma VoIP w IŁ” • „Sieć Instant Messaging - XMPP w IŁ” • „Bezpieczeństwo systemów VoIP” 4. Podsumowanie Praca została wykonana zgodnie z założeniami. Dzięki połączeniu teorii i praktyki zespół realizatorów zdobył bardzo cenne umiejętności. Umiejętności te powinny przyczynić się do pozyskania przez IŁ nowych klientów. Wyniki pracy można będzie wykorzystać również w pracach Programu Wieloletniego, np.: przy projektowaniu systemu telefonii VoIP dla sieci STAP. Z drugiej strony bezpośrednim beneficjentem pracy będzie IŁ. Opracowane polityki bezpieczeństwa, analiza zabezpieczeń sieci informatycznej IŁ przyczynią się wprost do zwiększenia bezpieczeństwa wewnętrznej sieci informatycznej IŁ. Natomiast wdrożenie w IŁ docelowej platformy telepracy pozwoli: • Znacznie zredukować koszty połączeń pomiędzy IŁ i jego oddziałami (w praktyce wszystkie połączenia w obrębie IŁ będą bezpłatne) • Wydajniejszy obieg informacji w IŁ, realizowaną poprzez uruchomienie platformy IM Jabber/XMPP; • Ograniczenie kosztów wynikające z realizacji części prac w trybie pracy zdalnej (mniejsze zużycie energii, zwolnienie powierzchni biurowych). W wyniku przeprowadzonych prac stwierdzono, że można w IŁ zbudować system telepracy z wykorzystaniem Internetu obejmujący: • komunikację głosową opartą na telefonii VoIP, • komunikację typu Instant Messaging (IM), • dostęp do poczty korporacyjnej, • dostęp do zasobów sieci wewnętrznej IŁ. Oczywiście, pomimo tego, że wszystkie proponowane elementy systemu telepracy w IŁ były testowane w ramach pracy, pożądane jest by wdrożenie systemu odbywało się etapami. Proponowana platforma systemu telepracy wymaga by w IŁ: • zakupiony został serwer, na którym zainstalowany zostanie Asterisk (VoIP); • centrale telefoniczne w Gdańsku i Wrocławiu dołączone zostały do sieci VoIP; • rozszerzono uprawnienia wynikające z licencji w zakresie liczby użytkowników VPN; 3 dokonano zmian w regulaminie organizacyjnym umożliwiających realizację prac poza IŁ (telepracę); • powierzono Ośrodkowi Informatyki administrację systemem telepracy w IŁ. Również opracowana w ramach pracy „Polityka bezpieczeństwa informacji Instytutu” powinna w najbliższym czasie zostać zatwierdzona przez Dyrektora IŁ i rozpowszechniona wśród pracowników IŁ. Realizacja niniejszej pracy doprowadziła do jeszcze jednego wniosku. Można z całą stanowczością stwierdzić, że część oprogramowania typu „open source” jest bardzo rozbudowana i z powodzeniem zastępuje „wersje płatne”, niekiedy oferując nawet większą funkcjonalność. Do takiego oprogramowania należą platforma VoIP „Asterisk” i serwer XMPP „Jive Messenger”. Platforma VoIP oparta o Asteriska jest jedynym softswich-em, jaki obecnie posiada Instytut Łączności. Wydaje się, że może być ona z powodzeniem zastosowana do budowy środowiska testowego VoIP. Z wykorzystaniem testowej platformy VoIP przeprowadzone zostały między innymi testy „Multimedialnego Terminala Dostępowego” w zakresie protokołu SIP. 4 Bezpieczeństwo teleinformatyczne oraz model bezpiecznego systemu telepracy Część 1 Zarządzanie bezpieczeństwem teleinformatycznym w administracji publicznej Warszawa, grudzień 2005 Spis treści Zarządzenie bezpieczeństwem informacji..............................................................................3 1.1. Cele i strategie bezpieczeństwa .......................................................................................3 1.2. Analiza ryzyka .................................................................................................................4 1.3. Polityka bezpieczeństwa instytucji ..................................................................................6 1.4. Uświadamianie bezpieczeństwa ....................................................................................10 1.5. Czynności powdrożeniowe............................................................................................11 Analiza ryzyka informatycznego...........................................................................................15 2.1 Cel...................................................................................................................................15 2.2 Analiza ryzyka ................................................................................................................15 2.2.1 Określenie zakresu przeglądu oraz zidentyfikowanie własności aktywów instytucji ..........................................................................................................................................16 2.2.2 Oszacowanie zagrożeń ............................................................................................18 2.2.3 Oszacowanie podatności..........................................................................................18 2.2.4 Analiza zabezpieczeń...............................................................................................19 2.2.5 Określenie prawdopodobieństwa wystąpienia podatności i zagrożeń.....................20 2.2.6 Analiza wpływu (następstwa zagrożeń) ..................................................................20 2.2.7 Określenie ryzyka ....................................................................................................23 2.2.8 Wybór zabezpieczeń................................................................................................25 2.2.9 Łagodzenie/wyeliminowanie/akceptacja ryzyka .....................................................26 2.2.10 Dokumentacja procesu i wyników końcowych .....................................................26 2.3 Uwagi końcowe ..............................................................................................................27 Polityka bezpieczeństwa informacji – polityka pierwszego poziomu ................................28 3.1 Cel i zakres .....................................................................................................................28 3.2 Zakres .............................................................................................................................29 3.3 Strategia ..........................................................................................................................29 3.4 Zgodność polityki bezpieczeństwa informacji z wymogami prawa...............................29 3.5 Podstawowe wymagania w zakresie ochrony informacji...............................................30 3.6 Zasady polityki bezpieczeństwa .....................................................................................31 3.6.1 Postanowienia ogólne ..............................................................................................31 3.6.2. Zasady wykorzystania informacji...........................................................................33 3.6.3. Zasady udostępniania i przekazywania informacji chronionych............................33 3.6.4. Zasady użytkowania nośników informacji chronionych ........................................34 3.6.5. Zasady użytkowania systemu komputerowego oraz Internetu...............................36 3.6.6. Zasady odpowiedzialności za postępowanie sprzeczne z postanowieniami polityki bezpieczeństwa informacji ...............................................................................................55 Polityka bezpieczeństwa systemów – polityka drugiego poziomu......................................56 4.1 Cel...................................................................................................................................56 4.2 Zakres .............................................................................................................................56 4.3 Schemat systemu ............................................................................................................56 4.4 Bezpieczeństwo systemu ................................................................................................57 4.4.1 Kontrola dostępu...............................................................................................58 4.4.2 Integralność systemu ........................................................................................59 4.4.3 Jednoznaczność oraz rozliczalność operacji.....................................................60 4.4.4 Zarządzanie bezpieczeństwem .........................................................................60 4.4.5 Zarządzenie informacją ....................................................................................61 4.5 Administrator systemu i administrator bezpieczeństwa .................................................62 4.6 Audyt bezpieczeństwa ....................................................................................................63 4.7 Archiwizacja informacji w systemie ..............................................................................63 4.8 Sytuacje kryzysowe ........................................................................................................63 1 Instrukcje, standardy oraz zasady bezpiecznego korzystania z systemów i usług instytucji – polityka trzeciego poziomu. ...............................................................................65 5.1 Cel i zakres .....................................................................................................................65 5.2 Schemat oraz relacje podsieci instytucji.........................................................................66 5.3 Usługi instytucji..............................................................................................................66 5.4 Systemy i zabezpieczenia dostępne instytucji ................................................................67 5.5 Warunki oraz zasady dostępu do systemów i usług instytucji .......................................69 5.6 Wskazówki oraz instrukcje postępowania użytkowników instytucji .............................71 5.7 Złośliwe oprogramowanie ..............................................................................................82 5.8 Uwagi końcowe ..............................................................................................................83 Zespół dobrych praktyk bezpieczeństwa teleinformatycznego – zasady tworzenia zabezpieczeń, weryfikacja zabezpieczeń...............................................................................84 6.1 Wybór zabezpieczeń.......................................................................................................84 6.2 Definicja zabezpieczeń ...................................................................................................85 6.3 Charakterystyki zabezpieczeń ........................................................................................86 6.4 Cechy dobrego systemu bezpieczeństwa (reguły przy tworzeniu zabezpieczeń) ..........87 6.5 Rodzaje zabezpieczeń.....................................................................................................88 6.6 Przyczyny nieskuteczności zabezpieczeń.......................................................................93 6.7 Wstęp do oceny bezpieczeństwa oraz audytu bezpieczeństwa.......................................95 6.8 Audyt bezpieczeństwa ....................................................................................................95 6.9 Przykładowy proces audytu bezpieczeństwa..................................................................98 6.10 Zakończenie................................................................................................................100 Przykładowa lista zagrożeń .................................................................................................101 Lista podatności oraz odpowiadające im zagrożenia ........................................................102 Jakościowa analizy ryzyka Instytutu..................................................................................104 Polityka bezpieczeństwa informacji w Instytucie ..............................................................108 Weryfikacja systemu zabezpieczeń Instytutu ....................................................................122 Zalecenia w zakresie organizacji infrastruktury teleinformatycznej dla jednostek administracji .........................................................................................................................141 Definicje.................................................................................................................................149 Bibliografia............................................................................................................................150 2 Rozdział 1 Zarządzenie bezpieczeństwem informacji Era społeczeństwa informatycznego wprowadza nowe zasady prowadzenia biznesu oraz sposobu funkcjonowania instytucji. Organizacje są coraz bardziej uzależnione od szybkiego, niezawodnego, a przede wszystkim bezpiecznego przetwarzania informacji oraz nieustannego korzystania z Internetu. Posiadanie wartościowych informacji oraz rozwój technologii informatycznych powoduje wzrost liczby oraz ewentualnych skutków zagrożeń. W celu zapewnienia odpowiedniego poziomu bezpieczeństwa posiadanych informacji oraz ciągłości działania dla krytycznych urządzeń i usług instytucje zwracają coraz większą uwagę na aspekty skutecznej ochrony ich aktywów. Systemy ochronne oraz zabezpieczenia coraz bardziej skutecznie zabezpieczają systemy informatyczne. Jednak w celu osiągnięcia maksymalnej efektywności i skuteczności zaleca się wprowadzenie procesu zarządzania bezpieczeństwem informacji. Zarządzenie bezpieczeństwem to ciągły, złożony proces umożliwiający instytucji bezpieczne i stabilne prowadzenie swojej działalności. Proces ten ma za zadanie neutralizować niebezpieczne zmiany w środowisku (tzn. identyfikować i zabezpieczać systemy przed pojawianiem się coraz to nowszych zagrożeń), określać zasady polityki bezpieczeństwa, dokonywać wyboru zabezpieczeń, monitorować stan bezpieczeństwa oraz koordynować systemami ochronnymi. Proces ochrony bezpieczeństwa nie jest aktem jednorazowym, lecz ciągłym, dynamicznym procesem uwzględniającym nieustanne zmiany otoczenia. Skuteczna ochrona informacji wymaga wiedzy z zakresu zarządzania, informatyki oraz prawa, dlatego przy jej tworzeniu konieczne jest wsparcie zarządu, kierowników oraz specjalistów IT. Praca dotyczy bezpieczeństwa informacji, zapewnienia i utrzymania poufności, integralności, dostępności, metod rozliczania, autentyczności i niezawodności zasobów i usług instytucji. 1.1. Cele i strategie bezpieczeństwa Pierwszą czynnością w procesie zapewnienia bezpieczeństwa jest określenie celów i opracowanie strategii bezpieczeństwa informatycznego dla instytucji. Proces ten obejmuje analizę wymagań bezpieczeństwa, stworzenie oraz wdrożenie planu realizującego te wymagania. W tej fazie instytucja powinna określić właściwy poziom bezpieczeństwa dla swojej organizacji oraz zdefiniować cele bezpieczeństwa, które powinny być tworzone w oparciu o znaczenie systemów informatycznych w działalności organizacji, posiadane aktywa oraz ich wartość. Instytucja powinna określić stopień uzależnienia swoich systemów informatycznych od działalności biznesowej. Poniżej zostały przedstawione przykładowe pytania pomagające określić poziom i skalę wymagań bezpieczeństwa: • Jakich ważnych dziedzin działalności biznesowej nie da się prowadzić bez wsparcia ze strony systemów informatycznych? • Jakie zadania da się wykonać tylko za pomocą systemów informatycznych? • Jakie zasadnicze decyzje zależą od dokładności, integralności, dostępności informacji przetwarzanej przez systemy informatyczne lub od aktualności tych informacji? • Jakie informacje o charakterze poufnym, przetwarzane są za pomocą systemów informatycznych i wymagają ochrony? 3 Jakie komplikacje dla instytucji wynikają z niepożądanego incydentu związanego z bezpieczeństwem? Kolejnym etapem w tym procesie jest ustalenie strategii określającej w jaki sposób można osiągnąć wcześniej zdefiniowane cele. Realizacja strategii powinna być uzależniona od znaczenia, liczby oraz wagi celów. • 1.2. Analiza ryzyka Poziom bezpieczeństwa instytucji jest uzależniony od poziomu ryzyka. Pierwszą czynnością w procesie szacowania ryzyka jest wybór metody analizy. Strategia analizy ryzyka powinna zapewnić, że wybrany sposób podejścia będzie odpowiedni w danym środowisku. Spowoduje on skoncentrowanie działań związanych z bezpieczeństwem tam, gdzie są one najbardziej potrzebne. Wyróżnia się cztery sposoby analizowania ryzyka. Główna różnica między nimi polega na stopniu szczegółowości analizy, który może wiązać się z dużymi kosztami w przypadku szczegółowej analizy lub z powierzchownym oraz nieskutecznym oszacowaniem w przypadku minimalizowania nakładów. Instytucje powinny wybrać najbardziej opowiadającą im analizę ryzyka. Rodzaje metod analizy ryzyka to: 1. Podejście podstawowego poziomu bezpieczeństwa (ang. baseline). W tej metodzie instytucje stosują podstawowy poziom bezpieczeństwa we wszystkich systemach informatycznych, wybierając standardowe zabezpieczenia. Informacje o standardowych zabezpieczeniach można uzyskać z dokumentów zawierających propozycje zabezpieczeń oraz zbiory praktycznych zasad. Zalety metody: • Szacowanie wymaga minimalnego zaangażowania, przez co wybór wymaga mniej czasu, nakładów finansowych i wysiłku. • Zabezpieczenia podstawowe mogą być rozwiązaniami efektywnymi pod względem kosztów, ponieważ dla wielu systemów można bez większego wysiłku zastosować te same lub podobne zabezpieczenia. Wady metody: • Nieefektywność zabezpieczeń, tj. jeśli podstawowy poziom zostanie określony zbyt wysoko, to w niektórych systemach informatycznych wystąpi nadmiar zabezpieczeń i odpowiednio, jeśli poziom zostanie określony zbyt nisko, to zabezpieczenia mogą okazać się niewystarczające. • Mogą wystąpić trudności w zarządzaniu zmianami mającymi związek z bezpieczeństwem. Przykładowo, jeśli następuje wymiana wersji systemu na nowszą, to mogą powstać trudności przy ocenie, czy aktualne zabezpieczenia podstawowego poziomu są wciąż wystarczające. Metoda tej strategii może być najbardziej efektywna pod względem kosztów w przypadku, gdy wszystkie systemy informatyczne instytucji charakteryzują się niskim poziomem wymagań bezpieczeństwa. Zaleca się wybranie takiego poziomu, który będzie odzwierciedlać stopień ochrony wymagany przez większość systemów informatycznych. Większość instytucji zawsze będzie musiała spełniać pewne minimalne standardy, aby chronić informacje wrażliwe oraz przestrzegać przepisów prawa (np. ochrona danych osobowych). W przypadku gdy systemy instytucji różnią się znaczeniem dla działalności biznesowej, wielkością i stopniem skomplikowania, zastosowanie wspólnego standardu dla wszystkich systemów może nie spełniać swoich funkcji oraz nie stanowić rozwiązania efektywnego kosztowo. 4 2. Podejście nieformalne. Metoda takiego szacowania służy do przeprowadzenia nieformalnych, pragmatycznych analiz ryzyka. Nieformalna analiza nie opiera się na metodach strukturalnych, lecz wykorzystuje wiedzę i doświadczenie osób przeprowadzających analizę ryzyka. Zalety metody: • Nie wymaga angażowania wielu zasobów oraz czasu. Wykonuje się ją szybciej niż szczegółową analizę ryzyka. Wady metody: • Bez podejścia formalnego lub wyczerpujących list kontrolnych może zwiększyć się prawdopodobieństwo pominięcia ważnych szczegółów. • Trudność w uzasadnieniu wyboru zabezpieczeń przy tym szacowaniu ryzyka. • Osoby posiadające małe doświadczenie w analizowaniu ryzyka mogą mieć zbyt mało wskazówek, aby poprawnie wykonać to zadanie. • Subiektywna analiza, w szczególności uprzedzenia osoby dokonującej analizy, może wpłynąć na jej wynik. • Możliwość zaistnienia problemów ze zrozumieniem słuszności analizy, po odejściu osoby przeprowadzającej ją metodą nieformalną. 3. Szczegółowa analiza ryzyka. Metoda ta polega na przeprowadzeniu szczegółowych przeglądów analizy ryzyka dla wszystkich systemów informatycznych w instytucji. Szczegółowa analiza ryzyka wymaga dogłębnej identyfikacji i wyceny aktywów, oszacowania zagrożeń, na które są one narażone oraz szacowania podatności. Wyniki szacowania są pomocne przy wyborze zabezpieczeń. Szczegółowe informacje na temat zasad przeprowadzania oraz szablonu postępowania zostały zawarte w rozdziale poświęconemu analizie ryzyka informatycznego. Zalety metody: • Duże prawdopodobieństwo określenia właściwych zabezpieczeń dla każdego systemu. • Wyniki szczegółowej analizy można wykorzystać w zarządzaniu zmianami związanymi z bezpieczeństwem. Wady: • Duże zaangażowanie czasu i wysiłku oraz potrzeba wiedzy eksperckiej w celu uzyskania właściwych rezultatów. 4. Podejście mieszane. Ostatnia metoda polega na przeprowadzeniu na początku szacowania ogólnej analizy ryzyka dla wszystkich systemów informatycznych. Następnie dla systemów informatycznych, które zostały określone jako ważne dla działalności instytucji lub narażone na wysokie ryzyko, jest przeprowadzana szczegółowa analiza ryzyka. Dla reszty systemów informatycznych, nie zakwalifikowanych jako ważne, jest przeprowadzana analiza podstawowego poziomu bezpieczeństwa. Wariant ten jest w istocie połączeniem największych zalet wyżej wymienionych metod. Zapewnia właściwą równowagę między optymalizacją poświęconego czasu oraz wysiłkami koniecznymi do zidentyfikowania zabezpieczeń, z jednoczesnym zapewnieniem odpowiedniej ochrony dla systemów o największym ryzyku. Zalety: • Wprowadzenie na początku szybkiej i prostej metody może ułatwić uzyskanie akceptacji dla programu analizy ryzyka. • Możliwość szybkiego uformowania strategicznego obrazu programu bezpieczeństwa instytucji (wariant pomocny przy planowaniu). 5 • Zasoby i środki pieniężne mogą być użyte w miejscach, które przyniosą największe korzyści, a systemy najbardziej zagrożone mogą uzyskać odpowiednią ochronę w pierwszej kolejności. Wada: • Niektóre systemy, które wymagają szczegółowej analizy ryzyka, mogą zostać pominięte, ponieważ nie zostaną prawidłowo zidentyfikowane w początkowej analizie ryzyka przeprowadzanej na wysokim poziomie ogólności. Analiza ryzyka powinna ustalać miejsca w instytucji, najbardziej narażone na zagrożenia oraz wymagające dodatkowej ochrony. Efektem końcowym powinna być lista zabezpieczeń, które powinny skutecznie neutralizować zidentyfikowane zagrożenia i podatności. Zaproponowane zabezpieczenia powinny oddziaływać na zagrożenia zmniejszając ich efektywność oraz prawdopodobieństwa występowania. Wyniki analizy ryzyka powinny stanowić punkt wyjściowy do zdefiniowania polityki bezpieczeństwa instytucji, w szczególności polityki drugiego poziomu tj. polityki bezpieczeństwa systemów informatycznych. 1.3. Polityka bezpieczeństwa instytucji Polityka bezpieczeństwa jest formalnym wyrażeniem zasad, którym muszą podporządkować się osoby posiadające dostęp do technologii oraz zasobów informatycznych. Polityka bezpieczeństwa określa sposoby działania w celu ochrony krytycznych aktywów instytucji. Jej głównym celem jest zdefiniowanie zasad i wytycznych dla użytkowników określających pożądane postępowanie, obchodzenie się z aktywami instytucji. Polityka, powinna również określić niedozwolone działania, których użytkownicy nie mogą wykonywać i jeśli nie podporządkują się regułom to spotkają ich odpowiednie konsekwencje. Zaproponowana polityka bezpieczeństwa wykorzystuje elementy metodyki TISM opracowanej przez firmę ENSI [11]. Zaleca się stworzenie polityki bezpieczeństwa jako zbioru kilku powiązanych ze sobą dokumentów. Poniżej zostały przedstawione korzyści z wielopoziomowej polityki bezpieczeństwa: • Łatwość w rozpowszechnieniu tych dokumentów, ponieważ każdy z nich dotyczy innych dziedzin (procedur, instrukcji, bezpieczeństwa informacji, systemów). • Łatwość w zachowaniu poufności informacji zawartych na różnych poziomach dokumentów (informacji w polityce bezpieczeństwa systemów nie należy ujawniać zwykłym pracownikom lub procedury dotyczące tworzenia hasła nie powinny być znane współpracownikom bądź osobom niezaufanym). • Łatwość w aktualizacji oraz utrzymaniu polityki bezpieczeństwa. • Przejrzystość dokumentacji, łatwość wyszukiwania informacji przez zainteresowanych. Na poniższym rysunku został przedstawiony trzypoziomowy model polityki bezpieczeństwa instytucji. 6 Rysunek 1 Polityka bezpieczeństwa instytucji. Poziomy polityki bezpieczeństwa: • Pierwszy poziom. Na pierwszym poziomie definiuje się wymagania dla bezpieczeństwa informacji w instytucji. Na tym poziomie występują dwa typy dokumentów: polityka bezpieczeństwa informacji oraz szczegółowe polityki bezpieczeństwa informacji. Dokument z polityką bezpieczeństwa informacji powinien zostać zatwierdzony przez kierownictwo oraz zostać opublikowany i udostępniony dla wszystkich pracowników. Zaleca się przedstawienie go w formie zrozumiałej dla każdego, niezależnie od pełnionych funkcji i wykonywanej pracy. Poziom szczegółowości polityki najwyższego poziomu powinien być jak najniższy i zawierać małą ilość detali, tak, aby dokument taki pozostawał aktualny, niezależnie od zmian technologicznych. Polityka bezpieczeństwa informacji powinna zawierać: o Definicję bezpieczeństwa informacji, jej ogólne cele, wymagania, zakres oraz znaczenie bezpieczeństwa. o Oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji. o Zdefiniowanie i określenie informacji chronionych w instytucji. o Przedstawienie zasad bezpieczeństwa informacji. o Krótkie wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań zgodności mających szczególne znaczenie dla instytucji:
Zgodność z prawem i wymaganiami wynikającymi z umów.
Wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa.
Zarządzanie ciągłością działania biznesowego. 7
Konsekwencje naruszenia polityki bezpieczeństwa. o Definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa. o Odsyłacze do dokumentacji mogącej uzupełnić politykę, np. bardziej szczegółowych polityk bezpieczeństwa, procedur, instrukcji oraz wskazówek dotyczących poszczególnych systemów informatycznych lub zalecanych do przestrzegania przez użytkowników zasad bezpieczeństwa. Zaleca się, aby każda grupa informacji chronionych posiadała własną, szczegółową politykę bezpieczeństwa (polityka bezpieczeństwa grup informacji), która zawierałaby dodatkowe wymagania, co do ochrony tej grupy. Taki dokument powinien zawierać zakres informacji pozwalający na zidentyfikowanie informacji należących do tej grupy. Szczegółowa polityka grupy informacji powinna jasno definiować administratora oraz administratora bezpieczeństwa tych informacji. Takie dokumenty powinny zawierać kryteria dopuszczania osób do informacji z grupy oraz listę ról wraz z zakresem uprawnień do przetwarzania tych informacji. Przykładowy schemat szczegółowej polityki bezpieczeństwa: o Zakres dokumentu. o Cel i zakres polityki bezpieczeństwa danej grupy informacji. o Dostęp do informacji – role dostępu. o Struktura zarządzania informacjami z grupy. o Przetwarzanie informacji – wykaz systemów oraz wymagania bezpieczeństwa dla systemów przetwarzania danej grupy informacji. o Zasady archiwizowania informacji z grupy. o Zasady udostępniania informacji z grupy. o Postępowanie w sytuacjach kryzysowych. • Drugi poziom. Polityka bezpieczeństwa systemów opisuje spełnienie wymagań nałożonych na systemy przez politykę bezpieczeństwa informacji i szczegółową politykę grup informacji, jeśli systemy przetwarzają informacje z tych grup. Polityka bezpieczeństwa systemu informatycznego powinna zawierać szczegóły dotyczące wymaganych zabezpieczeń oraz uzasadnić konieczność ich wprowadzenia. Zaleca się, aby polityka bezpieczeństwa systemu informatycznego zawierała: o Definicję danego systemu informatycznego, opis jego komponentów i zakresu, o Definicję celów biznesowych dla systemu – może mieć to następstwa dla polityki bezpieczeństwa dla danego systemu, wybraną metodę analizy ryzyka oraz wybór i priorytety wdrażania zabezpieczeń, o Identyfikację celów bezpieczeństwa systemu, o Ogólny stopień uzależnienia od systemu informatycznego określony na podstawie tego, jak bardzo działalność instytucji byłaby narażona w wyniku utraty lub poważnego incydentu związanego z bezpieczeństwem tego systemu. o Aktywa systemu informatycznego, które instytucja zamierza chronić. Bardzo wskazane jest umieszczenie wyceny tych aktywów dokonanych na podstawie analizy ryzyka. o Zagrożenia oraz podatności dla tego systemu zidentyfikowane na podstawie analizy ryzyka. o Listę zabezpieczeń wybranych do ochrony tego systemu oraz przybliżone ich koszty. Ważnym elementem polityki bezpieczeństwa systemu informatycznego jest ustalenie planu bezpieczeństwa. Plan jest dokumentem koordynującym działania, które należy podjąć w celu wdrożenia wymaganych zabezpieczeń w systemie informatycznym. 8 Plan ten powinien opisywać działania, które mają zostać podjęte w perspektywie krótko-, średnio- i długookresowej w celu osiągnięcia właściwego poziomu bezpieczeństwa, kosztów oraz harmonogramu wdrażania. Zaleca się podział polityki bezpieczeństwa systemów na podsystemy. Zaleca się tworzenie polityk szczegółowych w dużych i złożonych systemach oraz w systemach przeprowadzających unikalne, krytyczne działania, niewystępujące w innych systemach instytucji. Przykładem może być szczegółowa polityka bezpieczeństwa firewall-a lub polityka bezpieczeństwa systemu przetwarzania informacji z grupy chronionych (np. kadrowo-płacowe). Uszczegółowianie wiąże się również z odpowiedzialnością i tajnością pewnych informacji np. o systemach dostępnych wyłącznie dla pracowników IT. Polityka bezpieczeństwa systemu informatycznego powinna być zgodna z politykami najwyższego poziomu tj. polityką bezpieczeństwa informacji i odnosić się do kwestii w sposób bardziej szczegółowy niż opisanych w tym dokumencie. Polityki szczegółowe powinny opierać się na przeglądach analizy ryzyka, tj. zabezpieczenia systemów powinny być wybrane na podstawie oszacowanego ryzyka. • Trzeci poziom. Na tym poziomie powinny zostać przedstawione wskazówki, instrukcje, procedury, standardy systemów dla pracowników i administratorów IT. Dokument opisuje instrukcje, wskazówki, procedury postępowania użytkowników z zasobami oraz usługami sieci instytucji. Dokument taki powinien szczegółowo opisywać postępowanie użytkownika (instrukcje krok po kroku), aby w sposób bezpieczny mógł on korzystać z aktywów instytucji. Powinien przedstawić listę aktualnych usług oraz wyjaśnić zasady dostępu do nich. Wyjaśnić ewentualne ograniczenia dostępu do tych usług tj. ograniczenia komputerów klientów (lokalizacja, adresacja), ograniczenia czasowe, listy dostępu. Dokument powinien być napisany językiem zrozumiałym dla użytkowników. Taki dokument (skierowany dla pracowników) z racji tego, że powinien on zostać udostępniony dla każdego (pracownicy, współpracownicy, goście) nie powinien przedstawiać zbyt dużej ilości informacji o sieci, ponieważ mógłby dostarczyć cennych danych dla intruza. Zaleca się ograniczyć ilość informacji do poziomu, który jest niezbędny do prawidłowego wykonywania pracy użytkownika (zgodne z metodą wiedzy uzasadnionej). Podsumowując polityka bezpieczeństwa informacji powinna poruszyć dwa główne aspekty działalności instytucji: 1. Aspekt prawny • Ochrona informacji prawnie chronionych (danych osobowych klientów i pracowników, informacji niejawnych i tajemnic zawodowych). • Realizacja zobowiązań z mocy prawa administracyjnego i prawa lokalnego. 2. Aspekt biznesowy • Dbałość o interesy instytucji. • Ochrona tajemnicy przedsiębiorstwa. • Ochrona tajemnic powierzonych. • Zgodność z wymogami kontraktowymi. • Zgodność z normami krajowymi i międzynarodowymi. Do najczęstszych błędów polityki bezpieczeństwa należy: • Brak zasad dotyczących informacji w instytucji. • Brak założeń bezpieczeństwa dla systemów. • Brak zasad stałego monitorowania systemów i usuwania błędów. 9 • • • • • Brak zasad bezpieczeństwa korzystania z Internetu. Brak przeprowadzenia analizy zagrożeń i ryzyka dla systemów. Brak zdefiniowanych sytuacji kryzysowych. Brak procedur postępowania w sytuacjach kryzysowych. Brak szkoleń pracowników – niska kultura ochrony informacji. Szablony polityk bezpieczeństwa dla każdego poziomu zostały przedstawione w kolejnych rozdziałach. 1.4. Uświadamianie bezpieczeństwa Zaleca się wdrożenie programu uświadamiania o bezpieczeństwie. Głównym celem takiego programu jest podniesienie w instytucji poziomu świadomości bezpieczeństwa informatycznego. Program powinien dotyczyć, wyjaśniać następujące zagadnienia: • Omówienia polityki bezpieczeństwa instytucji. • Wyjaśnienie znaczenia bezpieczeństwa dla instytucji i pojedynczej osoby. • Potrzeby w dziedzinie bezpieczeństwa, cele dla systemów informatycznych wyrażone jako zachowanie poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. • Skutki incydentów związanych z bezpieczeństwem dla instytucji i pojedynczych osób. • Poprawne używanie systemów informatycznych, w tym sprzętu i oprogramowania. • Niezbędna ochrona systemów informatycznych przed ryzykiem, na które są one narażone. • Ograniczenia dostępu do obszarów, gdzie znajdują się systemy informatyczne (uprawniony personel, zamki w drzwiach, identyfikatory, zapisy wejść) i do informacji (logiczna kontrola dostępu, uprawnienia do odczytu/aktualizacji) oraz dlaczego ograniczenia te są niezbędne. • Potrzeba zgłaszania naruszeń bezpieczeństwa lub ich prób. • Procedury, instrukcje, zakresy odpowiedzialności i opisy stanowisk. • Wszelkie zakazy obowiązujące personel informatyczny i użytkowników związane z elementami bezpieczeństwa. • Konsekwencje w przypadku, gdy personel naruszy zasady bezpieczeństwa. • Plany bezpieczeństwa systemów informatycznych dotyczące wdrożenia i sprawdzenia zabezpieczeń. • Jakie środki są niezbędne i w jaki sposób prawidłowo je stosować • Procedury związane ze sprawdzaniem zgodności z zasadami bezpieczeństwa. • Zarządzanie zmianami i konfiguracją. Zaleca się, aby program uświadamiania bezpieczeństwa wywodził się z przeglądu strategii, celów i polityki bezpieczeństwa. Program powinien być szeroko rozpowszechniony w różnych formach np. wydawnictwach periodycznych, biuletynach oraz poczcie wewnętrznej. Szkolenia powinny odbywać się na wewnętrznych kursach oraz w postaci rozmów z użytkownikami instytucji. Pomyślne przygotowanie programu uświadamiania bezpieczeństwa, powinno obejmować następujące zagadnienia: • Analizę potrzeb. Analiza ma za zadanie określić istniejący poziom świadomości w określonych grupach pracowników (dyrektorów, kierownictwa i pracowników) oraz najbardziej odpowiednie metody przekazania im nowych informacji. Analiza powinna 10 obejmować politykę, procedury, instrukcje, sposób myślenia, wiedzę dotycząca zabezpieczeń i pożądaną wydajność w porównaniu z rzeczywistymi wynikami. • Wykonanie programu. Program powinien obejmować zarówno techniki interaktywne, jak i przekazy w formie prezentacji. Ta część programu powinna koncentrować się na brakach, które zostały zidentyfikowane podczas analizy potrzeb. Należy uświadomić pracownikom wartość aktywów oraz realne niebezpieczeństwa dla tych aktywów. Zaleca się szczególnie przedstawiać program w formie spotkań, kursów itp., ponieważ umożliwiają one dwukierunkową komunikację, która pozwala uczestnikom i wykładowcom zweryfikować koncepcje i wymagania wynikające z analizy potrzeb. • Monitorowanie efektywności programu. Monitorowanie dokonuje się poprzez: o Okresowe oceny wyników, które określają efektywność programu uświadamiania przez monitorowanie zachowań związanych z bezpieczeństwem i wskazywać miejsca, gdzie mogą być konieczne zmiany. o Zarządzanie zmianami w środowisku. Związane jest z występowaniem zmian w ogólnym programie bezpieczeństwa (zmiany w polityce lub strategii), istnieć będzie potrzeba dokonania zmian w programie uświadamiania bezpieczeństwa, tak aby uwzględnić te zmiany, aktualizując poziom wiedzy i umiejętności. Świadomość użytkowników dotycząca konsekwencji za naruszenia bezpieczeństwa przez ich czyny jest zwykle niewysoka. Użytkownicy sieci komputerowych, dla których sieć stanowi narzędzie efektywnej pracy, często lekceważą środki bezpieczeństwa, traktując je jako utrudnienie, a nie pomoc. Ważną, często lekceważoną kwestią w instytucjach jest zapewnienie pracownikom właściwego treningu, mającego na celu uświadomienie im wielu problemów oraz aspektów związanych z bezpieczeństwem. Powszechnie uważane jest, że człowiek stanowi najsłabsze ogniowo w łańcu bezpieczeństwa. Wiąże się to z niedostatecznym wyszkoleniem oraz niewystarczającą wiedzą nt. bezpieczeństwa ze strony użytkowników. 1.5. Czynności powdrożeniowe Wdrożone zabezpieczenia mogą działać efektywnie tylko wówczas, gdy działanie ich jest sprawdzane w warunkach rzeczywistej działalności biznesowej. Procesy powdrożeniowe mają na celu zapewnienie prawidłowości używania zabezpieczeń, obsługiwania zmian oraz że incydenty związane z bezpieczeństwem są wykrywane i odpowiednio obsługiwane. Podstawowym celem czynności powdrożeniowych jest zapewnienie zgodności oraz efektywności działania zabezpieczeń przez cały czas zgodnie z ustalonymi wcześniej wymaganiami. Zazwyczaj systemy informatyczne systematyczne obniżają swoją efektywność. Celem tego procesu jest wykrywanie obniżenia efektywności oraz inicjowania działań korygujących. Należy podkreślić, że zarządzanie bezpieczeństwem systemów informatycznych jest procesem ciągłym nie kończącym się w momencie zakończenia wdrażania planu bezpieczeństwa systemów informatycznych. Wyróżnia się następujące elementy powdrożeniowe: • Konserwacja. Wsparcie administracyjne i konserwacja jest niezbędna do zapewnienia prawidłowego i właściwego działania zabezpieczeń. Czynności takie jak konserwacja powinny być planowane i wykonywane regularnie, zgodnie z harmonogramem. Takie postępowanie minimalizuje koszty oraz utrzymuje wartość zabezpieczeń. Okresowe inspekcje zabezpieczeń są niezbędne do wykrywania nieprawidłowości w ich działaniu. Niekontrolowane zabezpieczenie posiada małą wartość, ponieważ nie można zweryfikować stopnia jego skuteczności. Do czynności związanych z konserwacją należą: 11 o sprawdzanie rejestrów zdarzeń, o modyfikacja parametrów odzwierciedlająca zmiany i uzupełnienia, o zerowanie wartości początkowych lub liczników, o aktualizacje oprogramowania do nowych wersji. • Zarządzanie zmianami. W systemach informatycznych są dokonywane nieustanne zmiany. Zmiany powstają na skutek dostępności nowych funkcji oraz usług lub odkrycia nowych zagrożeń i podatności. Zmiany w systemach informatycznych obejmują: o nowe procedury lub funkcje, o aktualizacje oprogramowania, o modyfikacje sprzętu, o nowych użytkowników, o dodatkowe sieci i wzajemne połączenia Zaistnienie lub planowanie zmiany w środowisku IT powinno wiązać się z określeniem ewentualnych następstw tych zmian na bezpieczeństwo systemu. Zaleca się wyznaczenie osoby, która będzie ustalała, czy zmiany będą miały następstwa dla bezpieczeństwa oraz jeśli tak to, jakiego rodzaju. W przypadku dużych zmian, które wymagają zakupu nowego sprzętu, oprogramowania lub usługi, niezbędna będzie analiza określająca nowe wymagania bezpieczeństwa. • Zarządzanie konfiguracją. Zarządzenie konfiguracją jest procesem śledzenia zmian w konfiguracji systemu, aby nie obniżyły one efektywności zabezpieczeń i wymaganego poziomu bezpieczeństwa. • Kontrola systemu oraz zgodności z zasadami bezpieczeństwa. Kontrola dotyczy przeglądu oraz analizy wdrożonych zabezpieczeń, systemów i usług informatycznych oraz sprawdzenie spełniania przez nie wymagań bezpieczeństwa zdefiniowanych w polityce oraz planie wdrażania bezpieczeństwa w systemach informatycznych. Sprawdzenie to dotyczy: o nowych systemów i usług po wdrożeniu, o istniejących systemów i usług informatycznych, dla których upłynął czas przeglądu, o istniejących systemów i usług informatycznych, po dokonaniu zmian w polityce bezpieczeństwa systemów informatycznych, aby ocenić jakie modyfikacje są niezbędne do utrzymania wymaganego poziomu bezpieczeństwa. Kontrola zgodności może być wykonana przez personel zewnętrzny oraz wewnętrzny i opiera się głównie na korzystaniu z list kontrolnych powiązanych z polityką bezpieczeństwa systemu informatycznego. Listy kontrolne powinny dotyczyć ogólnych informacji identyfikacyjnych, na przykład, szczegółów konfiguracji, zakresów odpowiedzialności związanej z bezpieczeństwem, dokumentów polityki, otoczenia. Bezpieczeństwo powinno odnosić się do elementów zewnętrznych (np. zabudowania zewnętrzne, dostęp do włazów) oraz wewnętrznych (np. zamki, solidność konstrukcji, wykrywanie wycieków, awarii zasilania). Uzyskanie pewności co do skuteczności działania zabezpieczeń można uzyskać poprzez dwie metody kontroli: o Audyt systemu, tj. jednorazowy lub okresowo powtarzający się przegląd wraz z całościowym szacowaniem poziomu bezpieczeństwa. Audyt jest procesem, w którym niezależna jednostka dokonuje przeglądu systemów informatycznych w celu zgodności oceny z ustaloną polityką, przyjętymi wytycznymi oraz standardami. Wyniki audytu powinny być podstawą do działań prewencyjnych, zapobiegawczych lub wdrożenia stosownych mechanizmów zabezpieczeń. Audyt kontroluje efektywność istniejących zabezpieczeń, zapobiega spadkowi ustalonego poziomu bezpieczeństwa. 12 Audyt można realizować:
Zautomatyzowane narzędzia wyszukiwania słabości systemu (np. skanery bezpieczeństwa, narzędzia weryfikacji integralności plików, wyszukiwania słabych haseł, kontroli aktualności modyfikacji w systemach i aplikacjach).
Wewnętrzne mechanizmy audytu (np. badania, ankiety, obserwacje, testy zabezpieczeń).
Testy penetracyjne mające na celu symulować włamanie do systemu przy użyciu różnych metod, w tym nielegalne uzyskanie informacji od użytkowników). o Monitorowanie systemu, tj. działania o charakterze ciągłym, mające na celu nadzór nad zmieniającym się systemem, jego użytkownikami i środowiskiem. Czynność ta ma charakter działań stałych, które pozwalają sprawdzić, czy elementy te utrzymują odpowiedni poziom bezpieczeństwa przewidziany w planie bezpieczeństwa informatycznego. Monitorowanie jest ważną częścią w utrzymaniu bezpieczeństwa systemów informatycznych, między innymi dlatego, że może wykryć zmiany mające związek z bezpieczeństwem. Monitorowanymi elementami są:
aktywa i ich wartość,
zagrożenia i podatności w stosunku do tych aktywów,
zabezpieczenia chroniące te aktywa. Aktywa monitoruje się w celu wykrywania zmian ich wartości oraz zmian celów bezpieczeństwa systemu informatycznego. Zagrożenia i podatności są monitorowane w celu wykrycia zmian ich efektywności, prawdopodobieństwa występowania oraz identyfikacji powstawania nowych na wczesnym etapie. Monitorowanie zabezpieczeń ma na celu skontrolowanie ich efektywności i skuteczności. Więcej informacji na temat audytu, zasad jego przeprowadzenia znajduje się w części rozdziału szóstego (patrz str.95) dotyczącego weryfikacji zabezpieczeń. • Postępowanie w przypadku incydentów. Obsługa incydentów stanowi ważny element w zapewnieniu odpowiedniego poziomu bezpieczeństwa instytucji. Informacje dotyczące incydentów związanych z bezpieczeństwem są bardzo istotne dla analizy ryzyka, ponieważ wpływają na dokładniejsze wyniki szacowania. Niezbędne jest, aby instytucja zbierała oraz analizowała wszystkie informacje o incydentach. Zaleca się stworzenie specjalnej organizacji specjalizującej się w analizowaniu incydentów informatycznych (IAS ang. incydent analysis scheme). IAS powinien być skonstruowany w oparciu o wymagania użytkowników. Procedura zgłaszania incydentu, zakres działalności oraz cele i korzyści istnienia IAS powinny być szeroko omówione w programie uświadamiania wymagań bezpieczeństwa. Obsługa incydentów oraz istnienie organizacji IAS wpływa na: o poprawę przeglądów analizy i zarządzania ryzykiem, o ułatwienie ochrony przed incydentami, o podniesienie poziomu uświadamiania problemów związanych z systemami informatycznymi, o dostarczenie informacji alarmowych do wykorzystania, na przykład przez zespoły szybkiego reagowania na awarie komputerowe CERT. Działalność organizacji IAS powinna dotyczyć: o Wcześniejszego opracowania planów postępowania w przypadku niepożądanych incydentów, spowodowanych zarówno zewnętrznym lub wewnętrznym atakiem logicznym lub fizycznym, jak i przypadków losowych, z powodu niewłaściwego działania sprzętu lub błędu ludzkiego. 13 o Szkolenie wyznaczonych osób w zakresie postępowania wyjaśniającego awarie, na przykład w celu utworzenia zespołów reagowania na awarie systemów komputerowych. Zespół szybkiego reagowania na awarie ma za zadanie wyjaśnienie przyczyn incydentów informatycznych, badanie możliwości ich ponownego wystąpienia lub przeprowadzenie okresowych badań oraz analiz z wcześniej uzyskanymi danymi. Wnioski z tych badań mogą spowodować podjęcie działań zaradczych. Poniżej zostały przedstawione korzyści z posiadania planów oraz przeszkolonego personelu: o unikanięcie pośpiesznych i nieprzemyślanych decyzji w czasie obsługiwania incydentu, o zachowanie dowodów, które mogą być wykorzystane w śledzeniu i identyfikacji źródła incydentu, o szybkość ochrony wartościowych aktywów podczas obsługi incydentu, o obniżenie kosztów incydentu oraz kosztów reakcji, o zminimalizowanie negatywnego efektu nadania rozgłosu incydentowi. Obsługa oraz analiza incydentu może dostarczyć informacji na temat pojawienia się nowych lub lepszego oszacowania efektywności już znanych zagrożeń i podatności oraz sposobu wykorzystania podatności przez zagrożenie. 14 Rozdział 2 Analiza ryzyka informatycznego Wzrost znaczenia Internetu oraz nieustanny rozwój technologii informatycznych, w szczególności sieci komputerowych, ułatwia i rozpowszechnia dostęp do informacji. Instytucje posiadające różne aktywa, w szczególności informacje chronione oraz urządzenia, podłączone do sieci komputerowych, których stabilność i ciągłość działania jest niezbędna do prowadzenia działalności, są bardziej niż kiedykolwiek narażone na różnego typu zagrożenia. Rozwój techniki ułatwia pojawianie się coraz nowszych niebezpieczeństw jak również neutralizujących je, choć coraz droższych, zabezpieczeń. Wzrost kosztów ochrony oraz metod zabezpieczeń zmusza instytucje do zastosowania coraz bardziej skutecznych i efektywnych metod zarządzania systemami. Analiza ryzyka zapewnia optymalizację zabezpieczeń w celu osiągnięcia odpowiedniego poziomu bezpieczeństwa w stosunku do dostępnych środków finansowych (budżetu) instytucji. Zarządzanie ryzykiem stanowi metodę, która pomaga instytucjom racjonalnie oraz efektywnie chronić swoje aktywa. Zarządzanie ryzykiem jest procesem identyfikacji, kontrolowania oraz eliminowania lub ograniczania prawdopodobieństwa zaistnienia niebezpiecznych zdarzeń, które mogą mieć negatywny wpływ na zasoby systemu informatycznego. Dodatkowo zarządzanie ryzykiem określa skalę zagrożeń i jako wynik końcowy przedstawia sposoby ograniczenia niebezpieczeństw (zalecane działania) oraz nieuniknione koszty, a także określa ich efektywność (zestawienie kosztów do korzyści). Poniższy dokument przedstawia proces zarządzania ryzykiem, w szczególności wskazówki i praktyczne metody szacowania ryzyka oraz wskazuje kryteria wyboru odpowiednich zabezpieczeń (ograniczenie lub wyeliminowanie ryzyka). Przedstawiony poniżej proces zarządzania ryzykiem zawiera pewne elementy analizy ryzyka znajdujące się w normie ISO/IEC/TR 13335-3, w szczególności metod dotyczących jakościowego podejścia [10]. Wynikami procesu zarządzania powinno być: • Przedstawienie skutecznych metod i zabezpieczeń środowiska IT. • Zaproponowanie efektywnego budżetu oraz wydatków adekwatnych do potrzeb. • Stworzenie dokumentacji i raportów z prac nad procesem zarządzania ryzykiem. Korzyści analizy ryzyka: • Możliwość wyboru zabezpieczeń uzasadnionych przez faktyczne przeciwdziałanie zagrożeniom oraz czynniki ekonomiczne (analiza kosztów do korzyści). • Możliwość wpływu na decyzje dotyczące zakupów oprogramowania oraz sprzętu i podzespołów. • Pomoc instytucjom w określaniu miejsc, które powinny być szczególnie chronione. 2.1 Cel Dostarczenie kierownictwu, w szczególności działów IT, informacji o możliwościach zrównoważenia kosztów oraz osiągnięcia maksymalnej efektywności w procesie zabezpieczenia aktywów instytucji. 2.2 Analiza ryzyka Szacowanie ryzyka jest pierwszym elementem w procesie zarządzania ryzykiem. Kadra kierownicza zleca oszacowanie ryzyka w celu identyfikacji zagrożeń, podatności systemów na te zagrożenia oraz skutków i rozmiarów wpływu na środowiska i zasoby IT. Wyniki 15 tego procesu są pomocne w wyborze odpowiednich systemów lub sposobów zabezpieczeń, pomagają zminimalizować lub wyeliminować zidentyfikowane ryzyko. Proces szacowania ryzyka składa się z następujących faz: 1. Określenie własności aktywów instytucji (stworzenie charakterystyki zasobów). 2. Identyfikacja zagrożeń. 3. Identyfikacja podatności. 4. Analiza zabezpieczeń. 5. Określenie prawdopodobieństwa występowania. 6. Analiza wpływu. 7. Określenie ryzyka. 8. Wybór zabezpieczeń (opis zalecanych zabezpieczeń). 9. Łagodzenie ryzyka. 10. Dokumentacja procesu i wyników końcowych. 2.2.1 Określenie zakresu przeglądu oraz zidentyfikowanie własności aktywów instytucji Pierwszym elementem w procesie szacowania ryzyka jest określenie zakresu przeglądu. Dokładne zdefiniowanie granic pozwoli uniknąć niepotrzebnej pracy i poprawić jakość analizy ryzyka. Opis zakresu powinien definiować, który z poniższych punktów ma być brany pod uwagę: • aktywa informatyczne (np. sprzęt, oprogramowanie, informacja), • osoby (np. personel, podwykonawcy, inni pracownicy spoza instytucji), • środowisko (np. budynki, instalacje), • działania (wykonywane czynności). Należy określić zakresy oddziaływania systemów informatycznych na procesy biznesowe oraz zasoby i informacje znajdujące się w systemie. Po wykonaniu powyższych czynności należy przystąpić do identyfikacji aktywów, dla jakich zostanie przeprowadzana analiza ryzyka. Przykładami aktywów są: • informacje (dane instytucji), • sprzęt i urządzenia informatyczne, • oprogramowania, • środki pieniężne, • produkty gotowe, • usługi (np. usługi informatyczne, zasoby komputerowe), • zaufanie do usług (np. usługi płatnicze), • wyposażenie środowiska, • personel, • wizerunek instytucji. Po identyfikacji aktywów, tj. stworzeniu listy aktywów systemu informatycznego instytucji, które mają zostać objęte przeglądem, należy przypisać każdemu z nich wartość. Wartość ta przedstawia znaczenie aktywów dla działalności biznesowej instytucji. Można je wyrazić w kategoriach problemów związanych z bezpieczeństwem, takich jak np. potencjalne negatywne następstwo dla działalności biznesowej wynikające z ujawnienia, modyfikacji, braku dostępności lub zniszczenia informacji oraz innych aktywów systemu informatycznego. Ocena aktywów powinna być dokonywana dzięki informacjom uzyskanym od użytkowników, zarządców, administratorów, w szczególności osób zaangażowanych w planowanie działalności biznesowej, finanse, systemy informatyczne. Przypisana wartość powinna być 16 związana z kosztem uzyskania i utrzymania zasobu oraz potencjalnego negatywnego następstwa dla działalności biznesowej. Konieczne jest również ustalenie wartości dla aktywu w sensie pozafinansowym, tj. jakościowym (ustalenie ważności aktywów w skali: nieistotny/niski/średni/wysoki/bardzo wysoki). Potencjalne straty mogą być spowodowane przez: • naruszenie przepisów prawnych, • pogorszenie wyników biznesowych, • utratę reputacji, negatywny wpływ na reputację, • naruszenie poufności związanej z danymi osobowymi, • naruszenie bezpieczeństwa osobistego, • negatywny wpływ na egzekwowanie prawa, • naruszenie tajemnicy handlowej, • naruszenie porządku publicznego, • straty finansowe, • zakłócenie działalności biznesowej, • narażenie bezpieczeństwa środowiska. Powodzenie tego procesu zależy od jakości i ilości informacji, dlatego należy zdobyć jak najwięcej informacji o systemie, w jaki sposób działa, kto nim zarządza oraz w jaki sposób są przesyłane dane. Identyfikacja ryzyka w systemach IT wymaga głębokiego zrozumienia procesów, jakie zachodzą w środowisku IT. W sytuacji przeprowadzania analizy ryzyka dla systemów niewdrożonych, niezbędną informację należy pozyskać z dokumentacji wymagań dla tych systemów. Dla systemów istniejących i działających dane powinny być zbierane ze środowiska produkcyjnego (m.in. spotkania z administratorami, istniejąca dokumentacja, rozmowy z użytkownikami) . Techniki pozyskiwania informacji: • Kwestionariusz. W celu zebrania istotnych informacji osoby przeprowadzające analizę mogą przygotować kwestionariusze dotyczące środowiska IT. Taki kwestionariusz powinien być rozprowadzony wśród technicznych oraz nietechnicznych pracowników instytucji, w szczególności osób pełniących funkcje kierownicze. • Spotkanie. Rozmowy z osobami, odpowiedzialnymi za zarządzanie oraz wsparcie systemów informatycznych mogą być wielce pomocne przy zbieraniu użytecznych informacji o systemach. Takie spotkania pozwalają zaobserwować i uzyskać informacje o fizycznych i logicznych zabezpieczeniach środowiska IT. • Przegląd dokumentów. Dokumenty polityki bezpieczeństwa informacji oraz systemów, instrukcje, procedury oraz aktualna dokumentacja systemów informatycznych mogą dostarczyć użytecznych informacji dotyczących zasad, reguł przestrzegania bezpieczeństwa w instytucji oraz informacji o aktualnie wykorzystywanych systemach i ich zabezpieczeniach. Na podstawie ww. dokumentów można określić elementy krytyczne dla instytucji oraz zidentyfikować wykorzystywane informacje, w szczególności chronione (prawnie chronione, stanowiące tajemnicę przedsiębiorstwa). • Użycie automatycznych narzędzi skanujących. Narzędzia skanujące stanowią dobrą praktykę do zbadania środowiska IT oraz uzyskania informacji o działających systemach. Skanery mogą np. wykryć usługi uruchomione na komputerach oraz określić ich stopień zabezpieczania. Skanowania potrafią szybko zidentyfikować środowisko IT. Należy być świadomym, że nieumiejętnie zastosowanie tej metody może być szkodliwe dla środowiska IT. 17 Wynikiem końcowym tego etapu powinna być lista aktywów z ich wyceną w relacji do ich ujawnienia, modyfikacji, niedostępności i zniszczenia oraz kosztów odtworzenia. 2.2.2 Oszacowanie zagrożeń Zagrożenie jest to zaistnienie pewnej sytuacji, która może potencjalnie uszkodzić system informatyczny oraz jego aktywa. Wystąpienie zagrożenia ma negatywny wpływ na systemy informatyczne powodując niepożądane następstwa. Zagrożenia pojawiają się z przyczyn naturalnych (np. zalania, trzęsienia ziemi, lawiny), na skutek nieumyślnych lub zamierzonych działań człowieka (usunięcie danych, nieautoryzowany dostęp) lub z przyczyn środowiskowych (brak prądu elektrycznego, zanieczyszczenia). Zagrożenie mogą być spowodowane przez rozczarowanego pracownika oraz przez zaniedbania, błędy, itp. Źródła zagrożeń, zarówno przypadkowych jak i umyślnych, należy zidentyfikować oraz oszacować prawdopodobieństwo ich wystąpienia (szczegółowy opis w punkcie 5). Identyfikacja zagrożeń należy do jednych z głównych procesów w szacowaniu ryzyka. Przeoczenie zagrożenia może spowodować awarię lub lukę w bezpieczeństwie systemu informatycznego. Dane do szacowania zagrożeń można uzyskiwać z różnych źródeł, np. od użytkowników oraz administratorów aktywów, od osób odpowiedzialnych za bezpieczeństwo instytucji, z list dyskusyjnych (m.in. http://securityfocus,com, http://sans.org) lub z raportów organizacji zajmujących się tworzeniem list zagrożeń. Należy jednak brać pod uwagę czynnik czasowy, który powoduje modyfikacje zagrożeń lub powstawanie nowych. Przy tworzeniu kompletnej listy zagrożeń należy uwzględnić profil własnej instytucji, tzn. przeanalizować specyficzne dla niej zagrożenia oraz rodzaj prowadzonej przez instytucję działalności. Instytucje powinny posiadać kompletną listę zagrożeń, które mogą się wydarzyć w ich systemie. Najczęstsze zagrożenia zostały przedstawione w załączniku A (patrz str. 101). Przy szacowaniu potencjalnych zagrożeń warto uwzględnić motywację osób, które potencjalnie mogą spowodować zagrożenie oraz mieć na uwadze wartość i atrakcyjność aktywów. Należy również uwzględnić takie czynniki, jak zysk finansowy, posiadanie informacji niejawnych lub mających wpływ na konkurencyjność instytucji lub organizacji. 2.2.3 Oszacowanie podatności Podatność można opisać jako słabość zasobów lub systemów, które mogą być wykorzystane przez zagrożenia oraz atrakcyjność aktywów informacji. Prawidłowe określenie podatności systemów wymaga intuicji, doświadczenia, zdolności uczenia się na błędach i regularnej oceny obecnych zabezpieczeń. Podatność jest ściśle związana z zagrożeniem, które aby zaistnieć wykorzystuje podatność, czyli słabość systemu. Podproces szacowania podatności obejmuje rozpoznanie słabości w środowisku informatycznym, procedurach, personelu, zarządzaniu, administracji, sprzęcie lub oprogramowaniu. Podatność niepowiązana z zagrożeniem, nie stanowi niebezpieczeństwa dla instytucji. Takie zagrożenie może nie posiadać wdrożonego zabezpieczenia, jednak zaleca się nieustanne monitorowanie podatności w celu wykrycia zmian. Źródłem podatności może stać się źle skonfigurowany lub źle działający system lub zabezpieczenie. Podatności można powiązać z właściwościami lub atrybutami aktywów, które mogą być wykorzystane w innym celu niż tym, w jakim zostały stworzone. Oszacowanie podatności, oprócz wskazania słabości, które są wykorzystywane przez zagrożenia, powinno ocenić ich poziom, tj. łatwość ich wykorzystania. Podatność należy oszacować w powiązaniu z każdym zagrożeniem, które może tę słabość wykorzystać w konkretnej sytuacji. 18 Źródła podatności można pozyskiwać z takich samych miejsc, z jakich pozyskuje się opisy zagrożeń, czyli: od użytkowników, administratorów, osób do spraw bezpieczeństwa, ze stron internetowych, tj. stron producentów lub sprzedawców, zajmujących się tematyką bezpieczeństwa, itp. Informacje o źródłach podatności można czerpać również z aktualnej dokumentacji systemów, poprzednich raportów analizy ryzyka oraz audytu IT. Systemy testowania bezpieczeństwa mogą zostać użyte do identyfikacji podatności systemów informatycznych. Wyróżnia się następujące metody testujące: • Skanowanie podatności przez skanery oraz oprogramowanie skanujące. Metoda ta polega na wykrywaniu podatności przez skanowanie pojedynczych komputerów lub sieci w poszukiwaniu uruchomionych usług, które potencjalnie mogą stanowić słabość systemu informatycznego. • Testy bezpieczeństwa oraz oceny (ST&E ang. Security Test and Evaluation). Metoda ta polega na przetestowaniu procedur, skryptów, konfiguracji i działania zabezpieczeń oraz sprawdzeniu wyników testów pod kątem zgodności z specyfikacjami, polityką bezpieczeństwa. Celem takiego testowania bezpieczeństwa systemów jest zbadanie efektywności zabezpieczeń dla systemów IT. • Testy penetracyjne. Metoda ta może być używana jako uzupełnienie przeglądu istniejących zabezpieczeń oraz do uzyskania potwierdzenia prawidłowego działania systemów bezpieczeństwa oraz braku ukrytych w nich słabości. Testy penetracyjne mogą zostać wykorzystane do oszacowania potencjalnych możliwości obejścia zabezpieczeń systemu IT. Przykłady typowych podatności oraz odpowiadające im zagrożenia zostały zawarte w załączniku B (patrz str. 102). Proces szacowania podatności powinien się zakończyć stworzeniem listy wszystkich podatności systemów (zgodnych z specyfiką oraz profilem prowadzenia działalności instytucji) i odpowiadających im zagrożeń oraz poziomu łatwości wykorzystania tych słabości. 2.2.4 Analiza zabezpieczeń Zabezpieczenia można zdefiniować jako praktyki, procedury lub mechanizmy, chroniące przed zagrożeniami, redukujące podatności, ograniczające negatywne następstwa. Efektywna ochrona wymaga zazwyczaj kombinacji różnych zabezpieczeń w celu skutecznej ochrony zasobów. Zabezpieczenia mogą spełniać następujące funkcje: wykrywanie, odstraszanie, zapobieganie, ograniczanie, poprawianie, odtwarzanie, monitorowanie i uświadamianie. Zabezpieczenia dotyczą poniższych obszarów: • środowisko fizyczne, • środowisko techniczne (sprzęt komputerowy, oprogramowanie, urządzenia komunikacyjne), • personel oraz administracja. Proces identyfikacji zagrożeń ma na celu określenie zabezpieczeń aktualnych oraz planowanych. Zabezpieczenia wskazane po przeglądzie analizy ryzyka powinny być określone jako dodatkowe, w stosunku do wszystkich zabezpieczeń już istniejących i planowanych. Proces identyfikacji zabezpieczeń ma na celu określenie zabezpieczeń aktualnych, w celu uniknięcia niepotrzebnej pracy i kosztów. Proces ten również ma za zadanie potwierdzenie słuszności stosowanych obecnie zabezpieczeń (uzasadnienie w stosunku do zagrożeń i podatności). Jeśli zaistnieje podejrzenie niesłuszności wykorzystania zabezpieczenia, należy sprawdzić, czy powinno ono zostać usunięte, zamienione na inne bardziej odpowiednie, czy pozostawione (np. ze względu na koszty). Po ukończeniu analizy i przygotowaniu zalecanych zabezpieczeń 19 należy sprawdzić, czy wybrane zabezpieczenia są zgodne z już istniejącymi i/lub planowymi, tj. czy zabezpieczenia będą mogły współpracować. Kolejnym ważnym elementem w procesie identyfikacji zabezpieczeń jest przeprowadzenie kontroli w celu zbadania prawidłowości działania istniejących zabezpieczeń, zgodnych ze specyfikacją i wymaganiami. Źle działające zabezpieczenia mogą być źródłem potencjalnej podatności. Zabezpieczeniami mogą być: • mechanizmy kontroli dostępu, • oprogramowanie antywirusowe, • szyfrowanie w celu uzyskania poufności, • podpisy cyfrowe, • sieciowe zapory ogniowe, • narzędzia monitoringu i analizy sieci, • zasilanie rezerwowe, • kopie zapasowe. Wynikiem końcowym tego etapu jest lista wszystkich istniejących i planowanych zabezpieczeń oraz stanu ich wdrożenia i wykorzystania. 2.2.5 Określenie prawdopodobieństwa wystąpienia podatności i zagrożeń Prawdopodobieństwo wystąpienia podatności stanowi ważny element w szacowaniu analizy ryzyka. W celu określenia prawdopodobieństwa i częstotliwości wystąpień należy rozważyć następujące czynniki: • motywacje oraz potencjał źródeł zagrożeń, • własność podatności (łatwość wykorzystania słabości), • istnienie oraz efektywność mechanizmów zabezpieczających. Poziom prawdopodobieństwa Wysoki Średni Niski Opis poziomu prawdopodobieństwa Motywacja do zaistnienia zagrożenia jest bardzo wysoka, zastosowane zabezpieczenia są całkowicie nieefektywne. Motywacja do zaistnienia zagrożeń jest średnia lub zastosowane zabezpieczenia mogą utrudnić powodzenie wykorzystania podatności. Brak motywacji lub zdolności do zaistnienia zagrożenia lub zastosowane mechanizmy zabezpieczające, co najmniej mogą znacząco utrudnić wykorzystanie podatności. Tabela 1 Prawdopodobieństwo wystąpień podatności. 2.2.6 Analiza wpływu (następstwa zagrożeń) Konsekwencją niepożądanego incydentu (tzn. wystąpienia zagrożenia) jest powstanie negatywnego wpływu na zasoby i aktywa instytucji. Negatywny wpływ może oznaczać zniszczenie pewnych zasobów, zniszczenie części lub całości systemu informatycznego, utratę poufności, integralności, dostępności, rozliczalności, autentyczności lub niezawodności. Przed przeprowadzeniem analizy wpływu warto rozważyć czynniki takie jak: • Profil działania instytucji (jakie są główne zadania biznesowe instytucji, jakie usługi i zasoby są wykorzystywane w instytucji). • Stopień krytyczności danych oraz systemów (wartość systemów). • Posiadanie informacji chronionych (np. prawnie chronionych, tajemnic przedsiębiorstwa). Powyższe informacje można uzyskać z dokumentacji istniejącej w instytucji (raporty z procesów działających w systemie, zadań jakie system powinien wykonywać, analizy kry20 tyczności zasobów). Analiza wpływu jest powiązana z analizą biznesową (ang. business impact analysis). Analiza biznesowa określa i klasyfikuje poziomy wpływów na zasoby informacji instytucji, przez jakościowe oraz ilościowe oszacowanie wrażliwości i krytyczności tych zasobów. Analiza jakościowa polega na oszacowaniu zagrożeń i potencjalnych strat za pomocą wartości niemierzalnych. W tej metodzie wartości są podawane nie w walutach, lecz przedstawiane za pomocą przymiotników np. ‘mały’, ‘niski’, ‘wielki’. Analiza jest przeprowadzana w celu pokazania wyników w postaci rankingów. Umożliwia to tworzenie przejrzystych raportów. Przykładowa tabela kradzieży danych przez Internet (włamanie do systemu). Wartości pochodzą z zakresu 1 (waga zagrożenia b. niska) do 10 (waga zagrożenia b. wysoka). Źródło Programiści Kierownicy IT Kierownicy operacyjni Administratorzy systemowi Ostrość – wartość szkód 3 7 9 9 Prawdopodobieństwo 5 6 8 9 Mechanizm zabezpieczający Honeypot Firewall Firewall IDS Efektywność metody 8 9 7 8 Tabela 2 Przykładowe zagrożenia i ich ocena - analiza jakościowa. Analiza ilościowa polega na liczbowym oszacowaniu wpływu zagrożeń oraz potencjalnych strat. Wartości zazwyczaj są przedstawiane w walucie, przez co łatwiejsze staje się uzmysłowienie szkód. Wyliczenie analizy jakościowej dokonuje się przez: • EF (ang. Explosure Factor). EF jest czynnikiem określającym procentową utratę aktywów pod wpływem pewnego zagrożenia. Ta wartość jest niezbędna do wyliczenia SLE (ang. Single Loss Expectancy), wykorzystywanego do wyliczenia ALE (ang. Annualized Loss Expentancy). EF może być wyrażony niskimi wartościami dla zdarzeń typu utrata sprzętu lub podzespołów komputerowych. Duże wartości EF (duża wartość procentów) dotyczy zdarzeń np. utrata poufności zasobów. • SLE (ang. Single Loss Expectancy). Wartość SLE jest określana jako wartość liczbowa (waluta), przypisywana do pojedynczego zdarzenia. Wartość ta reprezentuje straty organizacji wynikłe z zaistnienia zagrożenia i jest określana jako iloczyn wartości aktywu oraz zmiennej EF. ( ‘Wartość aktywu’ X ‘Exposure Factor’ = SLE). Przykład: Wartość aktywu wynosi 10 000 PLN, procentowa strata tego aktywu dla pewnego zagrożenia wynosi 30 %. SLE wynosi 3000 PLN. • ARO (ang. Annualized Rate of Occurrance). ARO jest to liczba określająca częstotliwość, z jaką zagrożenie może występować w okresie 1 roku. Zakres tej liczby występuje od wartości 0,0 (nigdy) do dużych wartości. Prawidłowe określenie tej wartości może być skomplikowane. Liczbę tą zazwyczaj tworzy się bazując na prawdopodobieństwie wystąpienia zdarzenia oraz liczbie pracowników, którzy mogą spowodować wystąpienie błędu (wystąpienia zagrożenia). Przykład: Zniszczenie bazy danych przez meteoryt szacunkowo może wydarzyć się raz na 100 000 lat, więc współczynnik ARO może wynieść 0,00001 (liczba zdarzeń w okresie 1 roku). Innym przykładem może być nieautoryzowany dostęp do zasobów, który może wydarzyć się 6 razy w ciągu roku u stu użytkowników, więc współczynnik ARO może wynieść 600. • ALE (ang. Annualized Loss Expectancy). Współczynnik ALE jest przedstawiany jako wartość pieniężna i jest iloczynem współczynnika SLE oraz ARO. ALE jest roczną spodziewaną stratą finansową dla instytucji spowodowaną przez występowanie zagrożenia. Przykład: Zagrożenie jest oszacowane na wartość 10 000 PLN (SLE), spodzie- 21 wane wystąpienie tego zagrożenia jest oszacowane raz na tysiąc lat (ARO 0.001), stąd ALE wynosi 100 PLN. Aktywa Zagrożenie Budynek Ogień Wartość aktywu (tys.)*strata (%) 700 (tys.)*50% Serwer plików Wrażliwe dane Awaria dysku Kradzież 50 (tys.)*50% 200 (tys.)*90% Połączenie z Internetem Utrata połączenia 40 (tys.)*100% SLE (tys.)*ARO (liczba na rok) 350 (tys.)*0.25(raz na 4 lata) 25 (tys.)*0.25 180 (tys.)*0.70 (siedem razy na 10 lat) 40 (tys.)*0.80 (4 razy na 5 lat) ALE (tys.) 87,5 (tys.) 6,25 (tys.) 126 (tys.) 32 (tys.) Tabela 3 Przykład analizy ilościowej. W celu przeprowadzenia skutecznej analizy wpływu należy rozważyć zalety oraz wady obydwu analiz (jakościowej oraz ilościowej). Główną zaletą analizy jakościowej jest przedstawienie wpływu zagrożeń na zasoby w postaci przyjaznej dla czytelnika. Analiza ta określa priorytety ryzyka oraz identyfikuje obszary najpilniejsze, które wymagają natychmiastowej uwagi. Wadą analizy jakościowej jest brak raportów przedstawiających wartości liczbowe, które w przypadku ilościowej są podawane w walucie. Dlatego trudne jest stworzenie zestawienia analizy kosztów do korzyści (nie są podawane ceny zabezpieczeń oraz wartości wpływu zagrożenia) i tym samym stworzenie efektywnego budżetu. Główną zaletą analizy ilościowej jest określanie wartości wpływu, która może zostać wykorzystana podczas analizy kosztów do korzyści. Wadą może okazać się niejasność w określeniu wartości aktywów oraz wpływu zagrożeń (ustalenie wartości może być subiektywne). Własność Analiza kosztów do korzyści Finansowe Koszty (przedstawione w walucie) Możliwość automatyzacji Spekucje/domysły zawiłość Złożoność liczenia Objętość wymaganych informacji do badania Wymagania czasowe do przeprowadzenia analizy Łatwość komunikacji/przedstawienia Metoda ilościowa Tak Tak Metoda jakościowa Nie Nie Tak Niska Tak Wysoka Nie Wysoka Nie Niska Wysokie Niskie Wysoka Niska Tabela 4 Zestawienie metody ilościowej i jakościowej. Wyliczenie stosunku kosztów do korzyści można uzyskać w następujący sposób (korzystając z wzoru): (ALE wyliczony przed wdrożeniem zabezpieczeń) – (ALE wyliczone po wdrożeniu zabezpieczeń) – (roczny koszt zabezpieczeń) = (wartość zabezpieczeń w organizacji). Przykład: Jeśli współczynnik ALE dla zagrożeń wynosi 10 000 PLN, po wdrożeniu zabezpieczeń współczynnik ALE dla zagrożeń wynosi 1 000 PLN, coroczny koszt zabezpieczeń wynosi 500 PLN, wtedy wartość zabezpieczeń wynosi 8500 PLN. Ta wartość pieniężna jest porównywana do kosztów początkowych. Wynik porównania wskazuje czy zabezpieczenia są korzystne czy nie. Wynik końcowy powinien zawierać: • oszacowanie prawdopodobieństwa wystąpień (częstotliwości) zagrożeń podanej w jednostce czasu, • przybliżone koszty dla każdego wystąpienia zagrożenia, 22 • waga wpływu wystąpienia zagrożenia dla określonej podatności (łatwości wykorzystania podatności przez zagrożenie). 2.2.7 Określenie ryzyka Celem tego etapu w procesie szacowania ryzyka jest rozpoznanie i określenie ryzyka, na które jest narażony system informatyczny i jego aktywa. Ryzyko jest funkcją wartości zagrożonych aktywów, prawdopodobieństwa wystąpienia zagrożenia (potencjalnie powodującego negatywne następstwa), łatwości wykorzystania podatności przez rozpoznanie zagrożenia oraz wszystkich istniejących i planowanych zabezpieczeń mogących zredukować ryzyko. Identyfikacja ryzyka może być dokonana na wiele sposobów, np. wartości przypisane aktywom, podatności i zagrożenia są łączone ze sobą, gdzie wynikiem jest pomiar ryzyka. Poniżej zostały przedstawione czetry metody analizy ryzyka: 1. Macierz ze zdefiniowanymi wcześniej wartościami. Metoda polega na wycenie według kosztów wymiany oraz odtworzenia (pomiary ilościowe) aktywów instytucji. Następnie koszty te są przekształcane na skalę jakościową. Rzeczywiste lub proponowane aktywa w postaci oprogramowania są wyceniane w ten sam sposób, co aktywa fizyczne, z określeniem kosztów zakupu lub odtworzenia, a następnie przekształcane na skalę jakościową, tę samą, która została użyta dla aktywów składających się z danych. Wartości aktywów składających się z danych zostały określone zgodnie z punktem pierwszym w procesie szacowania ryzyka. Wartość poszczególnych aktywów oraz poziomy zagrożeń i podatności, odnoszące się do każdego rodzaju następstwa łączone są w macierz, w celu określenia odpowiedniego poziomu ryzyka w skali od 1 do 8 dla każdej kombinacji. Wartość aktywu Poziomy zagrożenia Poziomy podatności 0 1 2 3 4 Niski Niski Niski Średni Średni Średni Wysoki Wysoki Wysoki N Ś W N Ś W N Ś W 0 1 2 3 4 1 2 3 4 5 2 3 4 5 6 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 Tabela 5 Macierz poziomu ryzyka. Dla każdego aktywu należy rozważyć odpowiednie podatności i odpowiadające im zagrożenia. W przypadku, gdy zagrożenie nie ma swojego odpowiednika w postaci podatności (i odwrotnie) zakłada się, że takie ryzyko nie istnieje. Analiza polega na odnalezieniu odpowiedniego wiersza w macierzy – na podstawie aktywu i odpowiednią kolumnę – na podstawie siły zagrożenia i podatności. Przykład: Jeśli aktyw posiada wartość równą 3, zagrożenie jest wysokie, a podatność niska, wówczas poziom ryzyka wynosi 5. 2. Uszeregowanie zagrożeń za pomocą stopni ryzyka. W tej metodzie pierwszą czynnością, jaką należy przeprowadzić, jest oszacowanie następstwa dla aktywów według ustalonej skali (wartości z zakresu 1 do 5), dla każdego zagrożonego aktywu. Następnie dokonuje się oszacowania prawdopodobieństwa wystąpienia zagrożenia według ustalonej skali (wartości z zakresu 1 do 5), dla każdego z zagrożeń. Kolejno przez iloczyn poprzednich wartości (tj. wartości aktywów – pierwsza kolumna oraz prawdopodobieństwo wystąpienia – druga kolumna) oblicza się stopnie ryzy- 23 ka. Ostatnią czynnością jest uszeregowanie zagrożeń według czynnika ‘narażenia’ (wyniki są zapisywane w ostatniej kolumnie). Powyższa procedura pozwala porównać różne zagrożenia o różnych wartościach następstw i prawdopodobieństwa wystąpienia, a następnie uszeregować je zgodnie z hierarchią priorytetów. W niektórych przypadkach zaleca się powiązanie wartości jakościowych z ich odpowiednikami ilościowymi, wyrażonymi w wartości pieniężnej. Opis zagrożenia Wartość następstw [WN] (dla aktywów) Prawdopodobieństwo wystąpienia zagrożenia [P] Miara ryzyka [MR = WN*P] Zagrożenie Zagrożenie Zagrożenie Zagrożenie Zagrożenie Zagrożenie 5 2 3 1 4 2 2 4 5 3 1 4 10 8 15 3 4 8 A B C D E F Miara zagrożenia (pozycja na liście uszeregowanych wartości MR) 2 3 1 5 4 3 Tabela 6 Szeregowanie zagrożeń. 3. Oszacowanie wartości częstotliwości i ewentualnych szkód powodowanych przez ryzyko. Metoda ta kładzie nacisk na następstwa niepożądanych incydentów i na wskazanie, którym systemom należy dać pierwszeństwo. Dokonuje się tego przez oszacowanie dwóch wartości dla każdego aktywu i ryzyka, których kombinacja określi wynik dla każdego z aktywów. Określenie miary ryzyka, na które narażony jest system, dokonuje się przez podsumowanie wszystkich wyników aktywów dla danego systemu. Pierwszą czynnością w tej metodzie jest przypisanie wartości dla każdego z aktywów. Przypisana wartość oznacza potencjalne straty, które mogą powstać na skutek zagrożeń dla danego aktywu. Wartość ta powinna być określona dla każdego zagrożenia, na które dane aktywa mogą być narażone. Następną czynnością jest szacowanie wartości częstotliwości, która wyrażona jest jako kombinacja prawdopodobieństwa wystąpienia oraz łatwości wykorzystania tej podatności. Poziom zagrożenia Poziom podatności Wartość częstotliwości Niski N 0 Niski Ś Niski W Średni N Średni Ś Średni W Wysoki N Wysoki Ś Wysoki W 1 2 1 2 3 2 3 4 Tabela 7 Wyznaczanie poziomu podatności i częstotliwości dla zagrożeń. Kolejną czynnością w tej metodzie jest określenie wyniku kombinacji aktywu i zagrożenia, poprzez odnalezienie w Tabela 8 punktu przecięcia się wartości aktywu i wartości częstotliwości. W celu uzyskania całkowitego wyniku dla aktywu wyniki dla kombinacji aktywów i zagrożeń są sumowane. Wartość aktywu Wartość częstotliwości 0 1 2 3 4 0 1 2 3 4 0 1 2 3 4 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 Tabela 8 Wyznaczanie ryzyka dla aktywu. Ostatnią czynnością jest zsumowanie wszystkich pośrednich sum wyników dla aktywu systemu, otrzymując wynik dla całego systemu. Można użyć go do rozróżnienia po24 szczególnych systemów i do określenia, dla którego z nich ochrona powinna mieć pierwszeństwo. Przykład: System S posiada trzy aktywa: A1, A2, A3 o wartości odpowiednio 3,2,4. System jest zagrożony dwoma zagrożeniami: Z1 oraz Z2. Jeżeli dla A1 i Z1 prawdopodobieństwo wystąpienia zagrożenia jest niskie, łatwość wykorzystania podatności jest średnia, to wartość częstotliwości wynosi 1 (Tabela 7). Wynik kombinacji A1/Z1 znajduje się w Tabela 8, w miejscu przecięcia się wartości aktywu 3 i wartości częstotliwości 1 i wynosi on 4. Podobnie dla A1/Z2, gdzie prawdopodobieństwo wystąpienia zagrożenia jest średnie a łatwość wykorzystania podatności jest wysoka, więc wartość częstotliwości jest równa 3 (Tabela 7), a zatem kombinacja A1(wartość aktywu 3)/Z2(wartość 3) wynosi 6 (Tabela 8). Ogólny wynik dla aktywu A1Z wynosi 10 (suma kombinacji zagrożeń dla aktywu A1). Całkowity wynik dla systemu powstaje z sumy wszystkich zagrożeń dla każdego aktywu w systemie i wyrażony jest w postaci A1Z+A2Z+A3Z. 4. Różnica między ryzykiem możliwym i niemożliwym do zaakceptowania. Ostatnią metodą pomiaru ryzyka jest rozróżnienie ryzyka możliwego oraz niemożliwego do zaakceptowania. Metoda polega na uszeregowaniu miar ryzyka, wskazując w ten sposób miejsca, gdzie należy najpilniej rozpocząć działania. Dokonanie tego może być wykonane przy znacznie mniejszym wysiłku. Macierz użyta w tej metodzie nie zawiera liczb, tylko symbole T i N oznaczające, czy ryzyko jest akceptowalne, czy nie. Wartość szkód Wartość częstotliwości 0 1 2 3 4 0 1 2 3 4 T T T T N T T T N N T T N N N T N N N N N N N N N Tabela 9 Akceptowalny poziom ryzyka. Wynikiem tego etapu powinna być lista oszacowanych rodzajów ryzyka dla każdego następstwa (negatywnego wpływu) dla danego systemu informatycznego. Przy wyborze zabezpieczeń, miary ryzyka pomagają określić, jakimi rodzajami ryzyka należy zająć się wcześniej. 2.2.8 Wybór zabezpieczeń Kolejnym etapem w procesie szacowania ryzyka jest identyfikacja oraz wybór właściwych oraz uzasadnionych zabezpieczeń. Właściwy ich wybór jest możliwy przy uwzględnieniu istniejących oraz planowanych zabezpieczeniach. W celu dokonania wyboru efektywnych zabezpieczeń, należy rozważyć wyniki analizy ryzyka (dokładnie opisane w poprzednim punkcie). Zidentyfikowane podatności i powiązane z nimi zagrożenia pokazują miejsca, gdzie należy zastosować ochronę i jak powinna ona funkcjonować. W tym podprocesie istniejące i planowane zabezpieczenia powinny ponownie zostać przebadane pod kątem porównania kosztów, w tym kosztów utrzymania. Należy zastanowić się, czy nie istnieją bardziej efektywne zabezpieczenia, czy można poprawić ich efektywność oraz czy ma sens dodanie nowego, jeśli zamiana jest bardzo kosztowana. Kolejnym ważnym aspektem wyboru zabezpieczeń jest czynnik kosztowy. Wdrożenie zabezpieczenia, którego koszt instalacji i utrzymania przewyższa wartość aktywów instytucji 25 jest ekonomicznie nieefektywny. Wysokość budżetu może doprowadzić do zaakceptowania wyższego poziomu ryzyka niż wcześniej planowano, gdy jego wielkość wpływa na ograniczenie liczby lub jakości zabezpieczeń, które mają zostać wdrożone. W przypadku niedowartościowania budżetu, ten fakt należy podkreślić w raportach końcowych. Dokonując wyboru zabezpieczeń, zaleca się rozważanie czynników takich jak: • łatwość użycia zabezpieczeń, • przezroczystość dla użytkownika, • pomoc dla użytkowników, w realizacji ich funkcji, • względna siła zabezpieczeń, • rodzaje wykonywanych funkcji: zapobieganie, odstraszanie, wykrywanie, odtwarzanie, poprawianie, monitorowanie i uświadamianie. 2.2.9 Łagodzenie/wyeliminowanie/akceptacja ryzyka Łagodzenie ryzyka jest końcowym etapem w procesie analizy ryzyka. Całkowite wyeliminowanie ryzyka jest niemożliwe, zawsze pozostaje ryzyko szczątkowe, które wiąże się z brakiem możliwości stworzenia systemu całkowicie bezpiecznego. Ryzyko szczątkowe można podzielić na akceptowalne oraz nieakceptowalne dla instytucji. Podział ryzyka dokonuje się na podstawie analizy potencjalnie negatywnych następstw dla działalności biznesowej w powiązaniu z tym ryzykiem. Ryzyko nieakceptowalne nie może być tolerowane przez instytucje i wymaga jego ponownego rozpatrzenia. Kierownictwo może podjąć decyzję o zaakceptowania ryzyka ze względu na inne ograniczenia takie jak koszty lub niemożność zapobiegania mu. Zaleca się ograniczenie ryzyka nieakceptowalnego nawet wtedy, gdy ta operacja jest kosztowna. Zmniejszenie ryzyka może być dokonane przez: • Akceptacja/Przyjęcie ryzyka. Zaakceptowanie potencjalnego ryzyka oraz kontynuowanie dotychczasowego działania systemów IT lub zaimplementowanie mechanizmów kontrolujących bezpieczeństwo do niższego akceptowalnego poziomu. • Unikanie ryzyka. Unikanie ryzyka jest związane z wyeliminowaniem powodów ryzyka (zrezygnowanie z pewnych funkcji, np. wyłącznie systemu, który jest powodem ryzyka). • Ograniczanie ryzyka. Ograniczanie ryzyka dokonuje się poprzez zaimplementowanie mechanizmów zabezpieczających, które minimalizują niekorzystny wpływ zagrożeń. • Planowanie ryzyka. Stworzenie planu minimalizowania ryzyka, który ustala priorytety, harmonogram wprowadzania oraz zarządzania zabezpieczeniami. • Przeniesienie ryzyka. Zrekompensowanie strat, będących konsekwencją zagrożeń, przez użycie innych mechanizmów np. zakup ubezpieczenia. • Ograniczanie zagrożeń, podatności. 2.2.10 Dokumentacja procesu i wyników końcowych W celu zakończenia procesu szacowania ryzyka należy stworzyć raporty oraz dokumenty opisujące przebieg i wyniki końcowe z przeprowadzanego procesu. Dokumenty, w szczególności wyniki oszacowanych miar ryzyka oraz zalecane działania, będą potrzebne osobom zajmującym się bezpieczeństwem oraz zarządzaniem systemów. Dokumenty te mogą zostać wykorzystane do następnych analiz ryzyka. 26 Celem tej dokumentacji jest pomoc przy podejmowaniu decyzji o polityce bezpieczeństwa, procedurach, budżecie oraz skuteczności aktualnych zabezpieczeń i możliwych ich zmianach. 2.3 Uwagi końcowe Pomyślne przeprowadzenie programu zarządzania ryzykiem zależy od: • zaangażowania zarządu, • pełnego wsparcia oraz udziału pracowników kluczowych działów, • kompetencji osób przeprowadzających analizę ryzyka, które powinny posiadać wiedzę w stosowaniu metodyki zarządzania ryzykiem dla określonych sieci oraz systemów, identyfikowania ryzyka profilu działalności organizacji oraz dostarczenia raportów do przedstawienia zabezpieczeń (dla konkretnej organizacji) z uzasadnieniem analizy kosztów do ich efektywności, • świadomości oraz współpracy pracowników organizacji, którzy muszą postępować zgodnie z procedurami oraz stosować się do istniejących mechanizmów zabezpieczeń w organizacji, • okresowej oceny ryzyka w celu identyfikacji zmian, np. w środowisku IT. W większości organizacji sieć komputerowa ciągle się rozwija oraz unowocześnia, zmieniają się jej elementy, oprogramowanie jest zastępowane lub uaktualniane do nowszych wersji. W szczególności częste są zmiany personelu oraz aktualizacje polityki bezpieczeństwa. Takie zmiany mogą oznaczać powstawanie nowego ryzyka oraz dezaktualizację poprzednio wyliczonego oraz zredukowanego ryzyka, co może zniekształcać rzeczywisty wizerunek poziomu zagrożeń. Dlatego proces zarządzania ryzykiem powinien być okresowo powtarzany i modyfikowany. 27 Rozdział 3 Polityka bezpieczeństwa informacji – polityka pierwszego poziomu Rozwój nowych technologii informatycznych, przekazu i dostępu do informacji wymusił wprowadzenie bardziej skutecznych metod, mechanizmów oraz procedur zarządzania bezpieczeństwem informacji. Ochrona informacji i niezakłóconego dostępu do nich wymaga zaangażowania się całego przedsiębiorstwa. Każda osoba niezależnie, czy jest to pracownik, czy osoba współpracująca z instytucją powinna uczestniczyć w globalnej ochronie informacji. Polityka bezpieczeństwa informacji stanowi zbiór dokumentów informacyjnych, regulaminów i zasad określających szczegółowe postępowanie, zapewniające bezpieczny sposób uzyskania dostępu do danych instytucji, sposób obchodzenia się z tymi danymi oraz zakończenia swojego dostępu do nich. Polityka bezpieczeństwa informacji informuje jak dane są zarządzane oraz zabezpieczane. Określa, które informacje podlegają ochronie ze względu na dobro instytucji jak i wymogi prawa. Niezakłócone funkcjonowanie procesów przetwarzania informacji w instytucji jest strategicznym czynnikiem działalności. Zapewnienie ciągłości działania instytucji i jej rozwoju zależy przede wszystkim od bezpieczeństwa informacji oraz systemów, w których informacja jest przechowywana. Bezpieczeństwo informacji dotyczy danych przechowywanych na papierze, elektronicznych nośnikach, w systemach informatycznych, przesyłanych pocztą elektroniczną lub za pomocą urządzeń elektronicznych oraz wypowiadanych w rozmowie. Do tworzenia i rozwijania zasad polityki bezpieczeństwa informacji w instytucji wykorzystywane są obowiązujące w tym zakresie normy i standardy oraz doświadczenie płynące ze sprawdzonych rozwiązań praktycznych. Zasady te są zgodne z obowiązującymi przepisami prawa nakładającymi obowiązek ochrony określonych kategorii informacji w szczególności: tajemnicy przedsiębiorstwa, danych osobowych, tajemnicy państwowej oraz tajemnicy służbowej. 3.1 Cel i zakres Głównym celem polityki bezpieczeństwa jest osiągnięcie odpowiedniego poziomu organizacyjnego i technicznego, który umożliwi: • zachowanie poufności w stosunku do informacji chronionych, • zachowanie integralności, dostępności do informacji jawnych oraz chronionych, • zagwarantowanie odpowiedniego poziomu bezpieczeństwa informacji na wszystkich możliwych nośnikach informacji, • analizę zagrożeń dla bezpieczeństwa informacji oraz maksymalne ograniczenie ich wystąpienia, • zapewnienie poprawnego i bezpiecznego działania wszystkich systemów informatycznych, • identyfikację nadużyć oraz podjęcie odpowiednich działań w sytuacjach kryzysowych. 28 3.2 Zakres Przedstawiona polityka bezpieczeństwa informacji ma zastosowanie do wszystkich pracowników i współpracowników instytucji. Opracowanie to stanowi pewną wzorcową politykę mogącą stanowić szablon dla wszystkich zainteresowanych instytucji. 3.3 Strategia W celu osiągnięcia sukcesu w procesie wdrażania polityki bezpieczeństwa informacji w instytucji należy zastosować poniższe kroki: • określić oraz sklasyfikować aktywa instytucji, pod względem ich ważności (między innymi wprowadzić podział na informacje jawne i chronione), • określić informacje stanowiące tajemnicę przedsiębiorstwa, tj. dane szczególnie ważne dla instytucji mające wpływ na jego dobro, interes i pozycję na rynku, • określić informacje chronione ze względu na wymogi prawne, • pogrupować informacje chronione w celu ułatwienia sposobu ich zarządzania, • zastanowić się nad dalszym pogrupowaniem informacji chronionych polegającym na nadawaniu określonych klauzuli tajności, • określić organizacyjne i techniczne wymogi bezpieczeństwa przetwarzania grup informacji chronionych, • utworzyć struktury organizacyjne odpowiedzialne za zarządzanie bezpieczeństwem i przetwarzaniem informacji, • dokonać analizy ryzyka i obszarów jego oddziaływania dla poszczególnych grup informacji chronionych w celu zapewniania ciągłości i bezpieczeństwa, • wdrożyć rozwiązania techniczne zapewniające wymagany poziom bezpieczeństwa przetwarzanych informacji, tj. zabezpieczenia fizyczne oraz systemy zabezpieczające sieci i systemy informatyczne, • stworzyć dokumentację, procedury oraz instrukcje postępowania oraz plany awaryjne dla systemów oraz informacji w nich przetwarzanych, • organizować cykliczne szkolenia pracowników w zakresie bezpieczeństwa informacji, • przeprowadzać okresowy audyt bezpieczeństwa oraz analizę ryzyka informatycznego w celu identyfikacji nowych zagrożeń dla bezpieczeństwa informatycznego. Polityka bezpieczeństwa informacji i związana z nią strategia ochrony muszą być na bieżąco aktualizowane w celu dostosowania do zmian prawnych i uwzględnienia szybko postępującego rozwoju technologii i usług informatycznych. 3.4 Zgodność polityki bezpieczeństwa informacji z wymogami prawa Informacje w instytucji są chronione zgodnie z wymogami prawa w zakresie ochrony informacji, w tym: • ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późniejszymi zmianami), • ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. Nr 88, poz. 553 z późniejszymi zmianami), 29 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity: Dz. U. z 1998 r. Nr 21, poz. 94 z późniejszymi zmianami), • ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 Nr 101, poz. 926 z późniejszymi zmianami), • ustawy z dnia 29 sierpnia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami), • ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. Nr 47, poz. 211 z późniejszymi zmianami), • ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. Nr 114, poz. 740 z późniejszymi zmianami), • ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr 121, poz. 591 z późniejszymi zamianami), • ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. Nr 24, poz. 83 z późniejszymi zmianami), • ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznych (Dz. U. Nr 112, poz. 1198 z późniejszymi zmianami). Dodatkowe informacje znajdują się w części „Akty prawne”, zawierające teksty wybranych ustaw. • 3.5 Podstawowe wymagania w zakresie ochrony informacji 1. Wszyscy pracownicy instytucji, stosownie do swoich obowiązków i zajmowanych stanowisk, są odpowiedzialni za przestrzeganie zasad zawartych w niniejszej polityce bezpieczeństwa informacji oraz zasad ujętych w regulaminie sieci komputerowej (o ile taki regulamin istnieje) rozwiniętych w dokumentach towarzyszących, przedstawiających szczegółowe instrukcje, co potwierdzają własnoręcznym podpisem. 2. Polityka bezpieczeństwa jest wprowadzona w życie zarządzeniem dyrektora lub uchwałą zarządu instytucji. 3. Dyrektor/zarząd instytucji mają obowiązek określenia zakresów informacji stanowiących tajemnicę przedsiębiorstwa. 4. Pracownicy, którzy mają dostęp do danych osobowych powinni być dopuszczeni do nich na zasadach określonych w przepisach o ochronie danych osobowych (ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [Dz. U. Nr 11, poz. 95 z późn. zm.]). 5. Pracownicy, którzy mają dostęp do informacji niejawnych powinni być dopuszczeni do nich na zasadach określonych w przepisach o ochronie informacji niejawnych (ustawa z dania 22 stycznia 1999 r. o ochronie informacji niejawnych [Dz. U. Nr. 11, poz. 95 z późn zm.]). 6. Ochrona informacji bazuje na restrykcyjnej kontroli dostępu do odczytu i przetwarzania danych. W odniesieniu do informacji sklasyfikowanych jako chronione w instytucji obowiązuje zasada „wiedzy uzasadnionej”, zgodnie z którą dostęp do tej kategorii informacji powinien być uzasadniony realizacją powierzonych zadań. W przypadku braku takiego uzasadnienia odmawia się dostępu do danych chronionych i usług systemu. 7. Wszyscy pracownicy instytucji mający dostęp do informacji chronionych powinni być okresowo szkoleni z zasad ich ochrony. 30 8. Osoby nie będące pracownikami instytucji składają pisemne zobowiązania o zachowaniu poufności informacji chronionych, z którymi zapoznali się w związku z wykonaniem pracy na rzecz instytucji. 9. Podmioty zewnętrzne świadczące usługi na rzecz instytucji podpisują umowę o zachowaniu w poufności informacji chronionych, które zostały im przekazane lub udostępnione w związku z realizacją określonych usług na rzecz instytucji. 10. Pomieszczenia, w których przetwarzane będą informacje chronione powinny być zabezpieczone przed nieautoryzowanym dostępem, wpływami środowiska zgodnie z zapisami ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia [Dz. U. Nr. 114, poz. 740 z późn zm.]. 11. Urządzenia, na których są przechowywane i przetwarzane informacje chronione powinny być zabezpieczone przed niepowołanym dostępem, kradzieżą, wpływami środowiska. 12. Prawa autorskie oraz licencje zarówno pracowników, jak i osób trzecich powinny być chronione zgodnie z zapisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych [Dz. U. Nr 24m poz. 83 z późn. zm.]. 3.6 Zasady polityki bezpieczeństwa 3.6.1 Postanowienia ogólne 1. Dokument obowiązuje pracowników instytucji oraz jej kooperantów. Komentarz: w celu zapewnienia odpowiedniego poziomu bezpieczeństwa należy zapewnić, przestrzeganie zasad oraz reguł polityki bezpieczeństwa informacji przez każdą osobę mającą dostęp do informacji lub urządzeń przechowujących informacje. Wyłączenie jakieś grupy osób z przestrzegania polityki może oznaczać zagrożenie dla zapewnienia odpowiedniego poziomu bezpieczeństwa. 2. Wszystkie informacje stanowiące tajemnicą przedsiębiorstwa są jednym z najważniejszych elementów w funkcjonowaniu placówki oraz podlegają ochronie. Komentarz: Obecnie szybki dostęp do informacji odgrywa dużą rolę w działaniu biznesu oraz administracji państwowych. Globalizacja, Internet stwarza przed instytucjami ogromne szanse rozwoju. W celu zapewnienia stałego rozwoju placówek dyrektorzy/zarządy chronią swoje aktywa, w szczególności informacje dotyczące sposobów działalności, organizacji, badań i rozwoju ich instytucji. Także prawo państwowe jasno określa zasady ochrony tego typu informacji definiując reguły przekazywania i udostępniania tego typu informacji poprzez zapisy ustawy o nieuczciwej konkurencji. 3. Wszystkie informacje zawarte na wszystkich rodzajach komputerowych nośników informacji w instytucji oraz wszelkie dokumenty papierowe adresowane do lub od instytucji są jego własnością. Wyjątek stanowią informacje objęte odrębnymi umowami zawartymi z osobami trzecimi. 4. Programy, aplikacje, dokumenty, wyniki i analizy stworzone przez pracowników instytucji stanowią własność placówki, chyba, że co innego wynika z odrębnych umów. 31 5. Informacje w instytucji dzieli się na: informacje jawne i informacje chronione. Komentarz: Zaleca się klasyfikowanie informacji na jawne i chronione oraz chronione bardziej szczegółowo, ponieważ jasne zdefiniowanie ułatwi ich identyfikację i własności przez użytkowników. 6. Informacje chronione w instytucji dzieli się na informacje stanowiące tajemnicę przedsiębiorstwa oraz informacje prawnie chronione. 7. Wszystkie informacje w instytucji uznaje się za jawne, jeżeli nie zostały oznaczone jako chronione. 8. Klasyfikację informacji jako „tajemnica przedsiębiorstwa” w instytucji nadaje lub odbiera dyrektor/zarząd/kierownicy poszczególnych działów instytucji. 9. Informacje chronione w instytucji to: • informacje finansowo-księgowe, • informacje kadrowo-płacowe, • informacje o klientach (tj. tajemnice przedsiębiorstwa, dane osobowe), • informacje niejawne (tj. tajemnica służbowa i państwowa), • informacje stanowiące tajemnicę przedsiębiorstwa (m. innymi informacje badawcze, techniczne, technologiczne, dot. ochrony informacji oraz systemów informatycznych w instytucji). Komentarz: Podział informacji chronionych jest uzależniony od struktury oraz działalności instytucji. Jednak można wyszczególnić takie obszary, które będą wspólne dla wszystkich przedsiębiorstw. Do nich można zaliczyć dane prawnie chronione takie jak: dane osobowe, dane finansowe, dane stanowiące tajemnicę przedsiębiorstwa. Dla przykładu danymi osobowymi mogą być informacje o pracownikach znajdujące się w systemie kadrowo-płacowym, danymi finansowymi mogą być informacje o przelewach, fakturach, płatnościach, sposobach rozliczania przeważnie zlokalizowane w systemach finansowo-księgowych. Dane stanowiące tajemnicę przedsiębiorstwa posiadają rozległą definicję (pełna definicja znajduje się w załączniku 1). Do nich można zaliczyć informacje np. o strukturze, pracach, badaniach, zasadach organizacji instytucji. Zakres tych informacji jest wyznaczany przez ustawę o nieuczciwej konkurencji. Pracodawca, co najmniej powinien określić zakres tych danych i powziąć środki ochrony. Instytucje mogą posiadać informacje niejawne. Ich ochrona jest zdefiniowana w ustawie o ochronie informacji niejawnych. 10. Grupy informacji chronionych posiadają swoich administratorów odpowiedzialnych za zarządzanie tymi aktywami oraz nadawanie odpowiednich uprawnień dostępu użytkownikom do tych informacji. Użytkownicy powinni należycie dbać i obchodzić się z tymi informacjami oraz być świadomi swojej odpowiedzialności za przetwarzanie wyżej opisanych danych. Komentarz: Bezpieczeństwo informacji w głównej mierze powinno zależeć od użytkowników rutynowo pracujących z tymi informacjami oraz zarządców/administratorów tych informacji. Użytkownicy powinni być świadomi odpowiedzialności przy obchodzeniu się z informacjami. Powinni charakteryzować się pilnością i ostrożnością podczas pracy z danymi chronionymi. Administratorzy są odpowiedzialni za przydzielanie użytkownikom odpowiednich uprawnień do tych informacji. 32 11. Instytucja zastrzega sobie prawo do okresowego audytu elementów systemów informatycznych zleconego przez dyrektora/zarząd w celu skontrolowania przestrzegania zasad opisanych w niniejszym dokumencie. Komentarz: Należy wprowadzić mechanizmy weryfikacji oraz kontroli przestrzegania zasad Polityki bezpieczeństwa informacji przez pracowników instytucji. Powyższy zapis informuje pracowników, że mogą być poddawani kontroli podczas pracy w instytucji w celu określenia stopnia przestrzegania polityki. 3.6.2. Zasady wykorzystania informacji 1. Dostęp do informacji chronionych mają jedynie osoby upoważnione do takiego dostępu przez dyrektora/zarząd instytucji lub kierowników jednostek organizacyjnych zarządzających tymi informacjami. ISO 17799.2.4 Przegląd praw dostępu użytkowników. 2. Nieuprawnione ujawnienie, przekazanie lub pozyskiwanie informacji chronionych jest ciężkim naruszeniem obowiązków pracowniczych w rozumieniu Art. 52 Kodeksu Pracy oraz powoduje pociągnięcie do odpowiedzialności karnej i cywilnej sprawcy szkody zarówno w reżimie odpowiedzialności kontraktowej, jak i deliktowej. ISO 17799.2.4 Przegląd praw dostępu użytkowników. 3.6.3. Zasady udostępniania i przekazywania informacji chronionych Komentarz: Poniżej zostały przedstawione zasady i reguły określające, w jaki sposób informacja może być przekazywana oraz udostępniana innym osobom. 1. Udostępnianie informacji prawnie chronionych możliwe jest jedynie wówczas, gdy odbiorcami są podmioty uprawnione do ich otrzymania na podstawie przepisów prawa oraz upoważnione na podstawie umów zawartych z instytucją w sposób w nich określony. 2. Udostępnianie informacji stanowiących tajemnicę przedsiębiorstwa możliwe jest jedynie wówczas, gdy odbiorcami są uprawnieni pracownicy, współpracownicy upoważnieni przez dyrektora/zarząd instytucji lub kierownika jednostki organizacyjnej, podmioty uprawnione do ich otrzymywania na podstawie przepisów prawa oraz podmioty upoważnione na podstawie umów zawartych z instytucją w sposób w nich określony. 3. W przypadku, gdy udostępnienie dotyczy danych osobowych ze zbioru przetwarzanego w instytucji, wniosek ten musi być zgodny z wzorem formularza określonego z załączniku nr. 1 do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz innego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. Nr 80, poz. 522 ze zm.). 4. Informacje chronione są przekazywane uprawnionym podmiotom lub osobom za potwierdzeniem odbioru w następujący sposób: 33 • • • • listem poleconym, teletransmisją danych zgodnie z procedurami ochrony danych podczas transmisji, kopiowaniem na inny nośnik (zaleca się zaszyfrowanie tych danych, inny sposób określony konkretnym wymogiem prawnym lub umową. 5. Podmioty lub osoby, którym zostaną udostępnione informacje chronione instytucji zobowiązane są podpisać stosowne oświadczenia o zachowaniu poufności. Komentarz: Podpis pracownika lub podmiotu współpracującego z instytucją stanowi dowód dla pracodawcy na wypadek niedopilnowania obowiązku przez podwykonawcę lub pracownika. Takie oświadczenie jest szczególnie ważne dla współpracowników oraz podwykonawców. Takie oświadczenie powinno nałożyć obowiązek niewyjawiania określonych informacji sklasyfikowanych jako chronione i stanowić dowód na wypadek wszczęcia postępowania. 6. Zawsze wymagane jest potwierdzenie tożsamości osoby chcącej uzyskać informacje chronione w sposób opisany w instrukcji dotyczącej kontroli tożsamości osób uprawnionych do otrzymania takich informacji. Instrukcja znajduje się w dokumencie „Instrukcje oraz zasady dla użytkowników instytucji”. 7. Osoby posiadające dostęp do informacji chronionych powinny zostać przeszkolone z zasad przeciwdziałania socjotechnice szczegółowo opisanej w instrukcjach zawartych w dokumencie „Instrukcje oraz zasady dla użytkowników instytucji”. Komentarz: Socjotechnika (ang. socjal enginering) to działania, które mają na celu zdobycie/wyłudzenie drogą nietechniczną chronionych informacji. Umieszczenie powyższego zapisu w polityce bezpieczeństwa informacji powinno być rozważane w dużych instytucjach, w których występuje duża rotacja pracowników. 8. Zaleca się ochronę punktów wysyłania i odbierania poczty oraz urządzeń faksowych pozostawionych bez nadzoru. Komentarz: Powyższe miejsca powinny być szczególnie chronione. Może zdarzyć się sytuacja błędnego wyboru drukarki, czy błędnego zaadresowania korespondencji. Taka sytuacja może sprzyjać ujawnieniu informacji chronionych. Inną sytuacją jest wysłanie dokumentu chronionego do wydruku i chwilowa nieobecność przy drukarce. Jeśli drukarka znajduje się w miejscu niestrzeżonym to wydrukowane informacje chronione mogą zostać ujawnione. 3.6.4. Zasady użytkowania nośników informacji chronionych 1. Termin nośniki oznacza nośniki magnetyczne, optyczne oraz papierowe. 2. Należy chronić nośniki z informacjami, w szczególności przed ich fizycznym uszkodzeniem lub zniszczeniem, co uniemożliwiłoby odczytanie lub odzyskanie z nich danych. Nośniki również powinny być chronione przed zagrożeniami ze strony otoczenia takimi jak kurz, promieniowanie elektromagnetyczne (dot. nośników magnetycznych), ogień, wyciek wody itp. Komentarz: Zła polityka dotycząca archiwizacji danych, w szczególności wyboru nośnika oraz miejsca przechowywania nośników może doprowadzić do problemów z prawem, utratą klien- 34 tów lub spadku prestiżu. Niemożność odzyskania danych z informacjami np. finansowymi dla organu podatkowego jest naruszeniem prawa. Polityka dotycząca backupu danych powinna stanowić ważny aspekt w zapewnieniu bezpieczeństwa informacji, w szczególności w jej dziedzinie określanej jako dostępność (ang. availability). 3. Nośniki z informacjami chronionymi powinny być fizycznie chronione przed kradzieżą, zniszczeniem lub niewłaściwym używaniem. ISO 17799: 7.1.3 Zabezpieczenie biur, pomieszczeń i urządzeń. Komentarz: Kradzież nośników informacji stanowi realne, stosunkowe łatwe do urzeczywistnienia (jeśli nie stosuje się odpowiednich mechanizmów ochronnych) zagrożenie dla instytucji. Informacje na nośnikach backupu zawierają różne dane, włącznie z konfiguracją systemów i urządzeń zabezpieczających. Zdobycie takich nośników przez osobę nieupoważnioną może doprowadzić do złamania zabezpieczeń instytucji, czyli utraty poufności i integralności systemów informatycznych oraz informacji. Przykładem może być utrata (kradzież) nośnika zawierającą jedyną kopię backup-u danych, co może doprowadzić do problemów z dalszym funkcjonowaniem instytucji. 4. Nośniki z informacjami chronionymi pod koniec dnia pracy powinny być zamknięte w odpowiednich szafach lub sejfach. ISO 17799: 7.3.1 Polityka czystego biurka i czystego ekranu. Komentarz: Powyższa reguła powinna dotyczyć szczególnie miejsc pracy, w których występuje duża rotacja osób lub pokoje nie są chronione dodatkowymi fizycznymi systemami np. systemem kontroli dostępu oparty na kartach i czytnikach. 5. Wszystkie nośniki z informacjami chronionymi muszą być oznaczone dla ich identyfikacji. Inwentaryzacji i oznaczenia nośników dokonuje kierownik jednostki organizacyjnej lub wyznaczona przez niego osoba. Komentarz: Identyfikacja każdego nośnika z informacjami chronionymi jest zalecana w przypadku instytucji, które są narażone na duży stopień zagrożeń (tzn. wysoki poziom ryzyka bezpieczeństwa). Zastosowanie zarządzania nośnikami informacji zmniejsza prawdopodobieństwo utraty poufności danych, lecz wiąże się z większym nakładem pracy administratorów. 6. Na terenie instytucji zabrania się kopiowania jakichkolwiek informacji chronionych z nośników magnetycznych i optycznych oraz zawartych na dokumentach papierowych bez zgody kierownika jednostki organizacyjnej. 7. Nośniki z informacjami chronionymi nie mogą być wynoszone z terenu instytucji bez wcześniejszej zgody kierownika jednostki organizacyjnej (tj. administratora) tych informacji. 8. Nośniki magnetyczne i optyczne wywożone do serwisu, przesyłane na zewnątrz w innym uzasadnionym celu są przygotowywane przed dział informatyki i wywożone przez uprawnione osoby. 9. Zniszczenie nośnika z informacjami chronionymi powinno odbywać się zgodnie z instrukcjami określającymi zasady usunięcia takiego nośnika oraz poprzedzone pozwoleniem kierownika jednostki organizacyjnej. 35 10. Utrata lub kradzież nośnika magnetycznego, optycznego lub papierowego z informacjami chronionymi powinna być niezwłocznie zgłaszania do kierownika jednostki organizacyjnej. 11. Wersje robocze dokumentów zapisane na nośnikach magnetycznych, optycznych lub papierowych zawierające informacje chronione powinny być tak samo chronione, jak nośniki zawierające ich pełne wersje. 12. Należy niezwłocznie zabierać z drukarki wydruki zawierające informacje chronione. 3.6.5. Zasady użytkowania systemu komputerowego oraz Internetu A. Podstawowa instrukcja bezpieczeństwa 1. Incydenty lub podejrzenia nadużyć systemów informatycznych powinny być niezwłocznie zgłaszane do swojego przełożonego lub pracowników działu informatyki. ISO 17799: 6.3.1 Zgłaszanie przypadków naruszenia bezpieczeństwa. Komentarz: Obsługa incydentu należy do jednych z najważniejszych elementów polityki bezpieczeństwa informacji. Identyfikacja incydentu może być dokonana przez analizę raportów systemów informatycznych lub przez użytkowników tych systemów. Użytkownicy powinni natychmiast poinformować swoich przełożonych lub pracowników działu informatyki, o zauważalnych nieprawidłowościach w funkcjonowaniu swojego komputera. 2. Wykryte słabości systemów informatycznych powinny być zgłaszane dla pracowników działu informatyki. ISO 17799: 6.3.2 Zgłaszanie słabości systemu informatycznego. Komentarz: Ważną kwestią w zapewnieniu bezpieczeństwa jest wczesne wykrywanie słabości systemów. Systemy informatyczne przed wdrożeniem do eksploatowanego środowiska powinny przejść kompleksowe testy. Niestety testy nie zawsze mogą wykryć wszystkie słabości systemów informatycznych. Końcowy użytkownik podczas swojej pracy często znajduje podatności systemów, które nie zostały odkryte podczas fazy testowania oprogramowania. Fakt identyfikacji słabości systemu informatycznego powinien zostać natychmiast zgłoszony do działu informatyki, który przekazuje te informacje do producenta oprogramowania, w celu poprawy go tak, aby zapobiec wykorzystaniu słabości systemu przez osoby niepowołane. 3. Pracownicy działu informatyki maja możliwość pełnej kontroli i monitorowania użytkowników, sprzętu, podzespołów w instytucji. Komentarz: Skuteczne zarządzanie bezpieczeństwem informacji powinno zawierać mechanizmy pełnej kontroli w celu określenia stopnia przestrzegania zasad i reguł polityki bezpieczeństwa informacji. Użytkownicy powinni być świadomi, że ich praca, dane, sprzęt i podzespoły mogą być poddawane okresowej kontroli. Zastrzegając, że poczta użytkownika jest wyłącznie wykorzystywana do pracy służbowej pracodawca może mieć wgląd do zawartości wiadomości pocztowych użytkowników. Także zawartość danych gromadzonych na dysku twardym może być okresowo sprawdzana w celu wykrycia nielegalnej zawartości. Podzespoły użytkownika także mogą być sprawdzane w celu wykrycia niezgodności podzespołów z ich stanem faktycznym znajdującym się w dokumentacji. 4. Użytkownikom korzystających z danych obowiązuje prawa autorskiego, w szczególności zabrania się kopiowania, nagrywania, skanowania oraz rozprowadza36 nia danych lub nośników z danymi tzn. fotografii, książek, muzyki, oprogramowania, filmów i innych materiałów. ISO 17799: 12.1 Zgodność z przepisami prawnymi. 5. Należy wprowadzić mechanizmy kontrolujące dostęp osób trzecich na teren, do budynku oraz do sieci informatycznej instytucji. Powyższe mechanizmy oraz wymogi bezpieczeństwa powinny być uzgodnione i określone w umowach z osobami trzecimi. ISO 17799: 4.2 Bezpieczeństwo dostępu osób trzecich. 6. Uprawnienia dostępu użytkowników do systemów komputerowych powinny być przydzielane w myśl zasady ‘uzasadnionego dostępu’, która określa uprawnienia dla użytkowników zgodnie z zajmowanymi funkcjami oraz zapotrzebowaniem w niezakłóconej pracy. Komentarz: Uzasadniony dostęp określa minimalne przywileje, jakie są niezbędne do prawidłowego wykonywania pracy (dostęp do danych i aplikacji) użytkowników. Ta zasada wynika ze znanej reguły dotyczącej bezpieczeństwa: ‘wszystko, co nie jest jednoznacznie dozwolone jest zabronione’. Zaleca się stosowanie tej reguły, ponieważ domyślnie reguluje ona odpowiednie poziomy przywilejów. Administratorzy często lekceważą takie podejście, bo wiąże się ono ze sprzeciwem użytkowników lub z czasochłonnym rozwiązywaniem ewentualnych problemów konfiguracyjnych,. B. Zasady bezpieczeństwa dla urządzeń, okablowania, jednostek, serwerów, sprzętu komputerowego oraz sieciowego 1. Należy wprowadzić mechanizmy zapewniające, że sprzęt komputerowy będzie fizycznie chroniony przez kradzieżą, zniszczeniem lub niewłaściwym użytkowaniem. Powinny zostać wprowadzone mechanizmy fizycznej i logicznej kontroli dostępu, tak aby zapewnić dostęp do systemów informatycznych tylko uprawnionym użytkownikom, stosując mechanizmy kontroli i raportowania dostępu. ISO 17799: 9.1.1 Polityka kontroli dostępu, 7.1.2 Fizyczne zabezpieczenia wejścia. 2. Zakup sprzętu lub podzespołów komputerowych powinien być konsultowany z osobą kompetentną z działu informatyki w celu sprawdzenia jego zgodności ze środowiskiem IT. Instalacja nowego sprzętu lub podzespołów odbywa się przez pracownika działu informatyki. Komentarz: Sprzęt lub podzespoły komputerowe nie zawsze poprawnie współpracują z istniejącym sprzętem komputerowym instytucji. Administratorzy działu IT powinni sprawdzić opinie oraz zalecenia producenta, dotyczące sprzętu, żeby ograniczyć prawdopodobieństwo zaistnienia problemów i błędów podczas instalacji oraz wdrażania nowego sprzętu komputerowego. Polityka bezpieczeństwa informacji powinna ograniczać niebezpieczeństwa związane z spadkiem wydajności i stabilności sieci i systemów informatycznych. 3. Zaleca się, aby główne podzespoły sprzętu komputerowego oraz jednostki komputerowe były oznaczone, zidentyfikowane oraz opisane. Inwentaryzacji i dokumentacji sprzętu dokonuje osoba z działu informatyki lub z innego działu odpowiedzialnego za inwentaryzację sprzętu komputerowego, która okresowo kontroluje stan poszczególnych stanowisk komputerowych. ISO 17799: 5.1.1 Inwentaryzacja aktywów, 8.6.4 Bezpieczeństwo dokumentacji systemu. Komentarz: Zaleca się wprowadzenie inwentaryzacji i dokumentacji sprzętu oraz podzespołów komputerowych. Działanie takie może skutecznie przeciwdziałać nieautoryzowanym czynno- 37 ściom jak np. wymianę lub podmianę podzespołów przez nieupoważnione osoby. Przykładem zagrożenia tego typu może być wyniesienie twardego dysku z instytucji z informacjami chronionymi. 4. Za brak komponentów w powierzonym sprzęcie i za powiązany z nim sprzęt komputerowy odpowiada pracownik odpowiedzialny za stanowisko robocze. 5. Zabrania się, aby użytkownicy sami dokonywali jakichkolwiek zmian komponentów sprzętu komputerowego. Zaleca się nie podłączania własnych komponentów do jednostek komputerowych instytucji. Wyjątek stanowią użytkownicy, którzy w porozumieniu z kierownikiem działu informatyki mogą uzyskać specjalne zezwolenie na dokonywanie ww. zmian. Powyższemu działaniu powinna towarzyszyć aktualizacja stosownej dokumentacji. 6. Zabrania się, podłączania do sieci komputerowej instytucji jakichkolwiek prywatnych urządzeń, w szczególności komputerów bez zgody kierownika działu informatyki i swojego kierownika jednostki organizacyjnej lub przełożonego. Komentarz: Wniesienie prywatnego urządzenia, w szczególności komputera przenośnego może doprowadzić do przedostania się wirusa, robaka lub konia trojańskiego do sieci wewnętrznej Instytutu. Poziom bezpieczeństwa komputerów prywatnych jest trudny do oszacowania, zaleca się zabronić wnoszenia i podłączania prywatnych urządzeń przez użytkowników. 7. Podłączenie do sieci komputerowej instytucji sprzętu komputerowego będącego własnością innych podmiotów współpracujących z instytucją, powinno zostać zaakceptowane (wystawione pozwolenie) przez dział informatyki. Komentarz: Jakakolwiek ingerencja dotycząca podłączania urządzeń komputerowych do sieci wewnętrznej powinna być dokonywana po uzyskaniu pozwoleniu i za wiedzą działu informatyki. Zaniedbanie tej reguły może doprowadzić do zagrożenia bezpieczeństwa informacji instytucji przez działanie wirusa, robaka lub konia trojańskiego, albo do ujawnienia danych instytucji. 8. Sprzęt komputerowy nie może być wynoszony z instytucji. Informacja o zmianie miejsca podłączenia sprzętu komputerowego do sieci instytucji musi być przekazana do działu informatyki. 9. Pracownicy działu informatyki powinni zweryfikować przygotowanie sprzętu, który jest wywożony do naprawy, na prezentacje, szkolenia i konferencje. Wywóz sprzętu powinien odbyć się z udziałem uprawnionych osób. 10. Jakikolwiek sprzęt komputerowy pożyczany przez inne firmy współpracujące może być wydany po wcześniejszej zgodzie działu informatyki oraz podpisaniu specjalnego dokumentu na wypożyczenie sprzętu. 11. Każdy sprzęt przeznaczony do usunięcia (złomowania) z biura musi zostać sprawdzony i przygotowany do usunięcia przez osobę odpowiedzialną z działu informatyki. ISO 17799: 7.2.6 Bezpieczne zbywanie sprzętu lub przekazanie do ponownego użycia. 12. Wszystkie informacje o awariach sprzętu komputerowego, potencjalnie zagrażających bezpieczeństwu informacji, muszą zostać raportowane i udokumentowane. ISO 38 17799: 7.2.4 Konserwacja sprzętu, 8.4.3 Zapisywanie w dziennikach informacji o błędach. 13. Utrata i kradzież sprzętu powinna być niezwłocznie zgłaszana do kierownika jednostki organizacyjnej lub działu informatyki. 14. Sprzęt komputerowy musi zostać przetestowany i zaakceptowany zanim będzie wdrożony/zainstalowany w produkcyjnym środowisku. Instalacja powinna odbywać się w czasie dogodnym dla użytkownika. 15. Strategiczne jednostki komputerowe powinny posiadać zabezpieczenia przed utratą lub przerwami zasilania. Strategiczne serwery i urządzenia sieciowe powinny posiadać urządzenia chronione przed przerwami i zmianami napięcia prądu elektrycznego. 16. Serwery oraz urządzenia sieciowe przesyłające ruch sieciowy powinny zostać umieszczone w specjalnych pomieszczeniach takich jak serwerownie lub węzły. Pomieszczenia te powinny być chronione przed nieupoważnionym dostępem przez dodatkowe zabezpieczenia takie jak wzmocnienie drzwi, dodatkowa autoryzacja, okratowane lub wzmacniane okna. 17. Pomieszczenia typu serwerownia lub węzeł powinny być odporne przeciwko zagrożeniom naturalnym takim jak pożar, zalanie wodą. Zaleca się, aby temperatura w tych pomieszczeniach była kontrolowana oraz spełniała wytyczne zgodnie z normami dla znajdującego się w niej sprzętu informatycznego. 18. Sprzęt lub podzespoły komputerowe instalowane w serwerach lub urządzeniach sieciowych powinny być zainstalowane w czasie dogodnym dla użytkowników. Operację instalacji należy przeprowadzić, w określonych wcześniej godzinach oraz z wcześniejszym poinformowaniem o tym użytkowników. Wyjątek stanowi sytuacja dotycząca awarii, podczas której administratorzy w jak najkrótszym czasie przywracają system lub sieć komputerową do prawidłowego działania. 19. Okablowanie sieciowe powinno być zarządzane przez pracownika działu informatyki. Wskazane jest kontrolować integralność gniazdek, powinna istnieć aktualna dokumentacja o wykorzystaniu poszczególnych gniazdek oraz okresowa ich kontrola. ISO 17799: 7.2.3 Bezpieczeństwo okablowania. Komentarz: Okablowanie strukturalne odgrywa ważną rolę w bezpieczeństwie informatycznym. Zaleca się stworzenie dokumentacji dotyczącej rozkładu okablowania sieci komputerowej oraz gniazdek sieciowych. Stworzenie dokumentacji ma za zadanie ułatwienie i usprawnienie pracy administratorów sieciowych oraz zapewnienie łatwiejszej identyfikacji nieprawidłowości, w szczególności wykrywanie snifferów oraz nieautoryzowanych podłączeń urządzeń sieciowych. 20. Wszelkie zauważone przez użytkowników nieprawidłowości dotyczące okablowania oraz gniazd sieciowych powinny być zgłaszane do pracowników działu informatyki. ISO 17799: 7.2.3 Bezpieczeństwo okablowania. Komentarz: Zaleca się, uświadomić użytkowników o znaczeniu wykrywania nieprawidłowości w okablowaniu strukturalnym. Użytkownicy są bardzo pomocni przy identyfikacji nieprawidłowości, w szczególności podłączeń nieupoważnionych urządzeń sieciowych. 39 21. Zaleca się, aby użytkownicy posiadający dostęp do informacji chronionych ze swoich komputerów zamykali aktywne sesje po zakończeniu pracy, chyba że są one zabezpieczone odpowiednimi mechanizmami blokującymi, np. wygaszasz ekranu chroniony hasłem. ISO 17799: 7.1 Obszary bezpieczne, 9.3.2 Pozostawienie sprzętu użytkownika bez opieki. 22. Zaleca się, aby użytkownicy posiadający dostęp do informacji chronionych ze swoich komputerów logowali się wcześniej do serwera usług terminalowych i z tego serwera otrzymywali dostęp do informacji chronionych. „ISO 17799: 9.3.2 Pozostawienie sprzętu użytkownika bez opieki”. 23. Zabrania się pożyczenia kart identyfikacyjno-dostępowych. Takie karty do systemu kontroli dostępu powinny zawsze znajdować się przy pracowniku. 24. Zaleca się, aby karta identyfikacyjno-dostępowa była widoczna u każdego pracownika znajdującego na terenie instytucji, w szczególności w obszarach o zaostrzonym bezpieczeństwie. Na karcie powinny być umieszczone podstawowe dane pracownika oraz jego zdjęcie. Komentarz: Widoczny identyfikator użytkownika ułatwia rozpoznanie osoby przez innych pracowników. Zdjęcie służy do potwierdzenia tożsamości osoby. Zaleca się umieszczenie tej reguły w dokumencie polityki bezpieczeństwa, ponieważ reguluje ona kwestie związane z danymi osobowymi tzn. umieszczeniem ich w widocznym miejscu. Brak powyższej reguły może prowadzić do złamania ustawy o ochronie danych osobowych. 25. Zgubienie karty identyfikacyjno-dostępowej powinno być niezwłocznie zgłoszone do administratora systemu kontroli odstępu. C. Zasady bezpieczeństwa dla oprogramowania i systemów operacyjnych 1. Zakup nowego oprogramowania powinien być konsultowany z pracownikiem działu informatyki w celu sprawdzenia jego bezpieczeństwa, funkcjonalności oraz wpływu na efektywność i stabilność sieci oraz systemu operacyjnego. Zakup nowego oprogramowania powinien być zgodny z aktualnymi procedurami w instytucji dotyczącymi zasad zakupu sprzętu komputerowego i oprogramowania. Komentarz: Dziedzina dostępności (ang. availability) w polityce bezpieczeństwa informacji stanowi ważny aspekt dla prawidłowego i stabilnego funkcjonowania instytucji. Nowe nie testowane oprogramowanie może doprowadzić do spadku wydajności systemów i sieci informatycznych. Administratorzy przed zakupem nowego oprogramowania powinni sprawdzić zgodność z posiadanymi systemami operacyjnymi oraz aplikacjami w celu wykrycia błędnego oraz niepoprawnego działania w środowisku IT. Po zakupie oprogramowanie powinno zostać przetestowane w środowisku testowym, dopiero po pomyślnych testach być wdrożone do eksploatowanego środowiska. 2. Aktualizacje oprogramowania powinny zostać przeprowadzone zgodnie z odpowiednimi instrukcjami tak, aby ograniczyć do minimum ryzyko spadku wydajności i stabilności systemów. Po aktualizacji system powinien zostać przetestowany w celu wykrycia nieprawidłowości w szczególności jego negatywnego wpływu na inne oprogramowania. Każda powyższa zmiana musi wiązać się z aktualizacją 40 w dokumentacji oprogramowania. ISO 17799: 10.1 Wymagania bezpieczeństwa systemów, 10.5.1 Procedury kontroli zmian. Komentarz: Aktualizacje oprogramowania mogą wpłynąć negatywnie na wydajność i stabilność systemów informatycznych instytucji. Zaleca się wykonanie aktualizacji na jednostkach testowych. Wyłącznie po pomyślnym przeprowadzeniu takiej aktualizacji, można ją przeprowadzić na jednostkach produkcyjnych. 3. Aktualizacje krytyczne powinny być zainstalowane na serwerach i urządzeniach dostępnych z Internetu niezwłocznie od chwili ukazania się poprawek. Aktualizacje krytyczne dotyczące serwerów i urządzeń, nieosiągalnych z Internetu powinny być instalowane w drugiej kolejności z szczególnym uwzględnieniem stabilności i ciągłości działania aktualizowanego oprogramowania. ISO 17799: 10.1 Wymagania bezpieczeństwa systemów, 10.5.1 Procedury kontroli zmian. Komentarz: Dokonywanie aktualizacji stanowi ważny element w zapewnieniu bezpieczeństwa systemów i sieci informatycznych. Zaleca się, niezwłoczne przeprowadzenie aktualizacji oprogramowania, w szczególności, gdy dotyczy krytycznych poprawek. Czasami aktualizacje mogą negatywnie wpłynąć na stabilność systemów informatycznych. Dlatego należy rozważyć, w jaki sposób przeprowadzić aktualizację oraz określić priorytety, co w danej chwili jest ważniejsze bezpieczeństwo czy stabilność. Zaleca się szybką instalację aktualizacji na serwerach, które są dostępne z Internetu. Zazwyczaj są to serwery znajdujące się w DMZ, które w większości posiadają funkcję typu host bastion, proxy. Są one najbardziej narażone na ataki, więc czynnik bezpieczeństwa odgrywa tu szczególną rolę. Serwery w środku sieci specjalizujące się w dostarczaniu usług dla użytkowników powinny być aktualizowane w drugiej kolejności. Serwery z środka sieci powinny charakteryzować się maksymalna wydajnością i stabilnością. Aktualizacja na tych serwerach powinna być przeprowadzona najpierw w środowiskach testowych. 4. Zaleca się, aby przy procesie aktualizacji oprogramowania zawsze zachowywać poprzednie wersje oprogramowania oraz pliki konfiguracyjne, jako środek utrzymania ciągłości działania. ISO 17799: 10.4.1 Kontrola eksploatowanego oprogramowania. Komentarz: Zaleca się wykonywanie przed aktualizacją kopii bezpieczeństwa oprogramowania oraz plików konfiguracyjnych. Przy nieudanej próbie aktualizacji można powrócić do poprzednich ustawień i wersji aplikacji. 5. Wdrażanie nowego oprogramowania powinno być poprzedzone szkoleniami użytkowników z zakresu funkcjonalności i bezpieczeństwa. 6. Wykryte błędy oprogramowania powinny być zgłaszane do pracownika działu informatyki, który powinien dokumentować zaistniałe nieprawidłowości. ISO 17799: 8.4.3 Zapisywanie w dzienniku informacji o błędach. 7. Zaleca się wykorzystywanie wyłącznie oprogramowania dopuszczonego do eksploatacji przez pracownika działu informatyki. Chęć zainstalowania nowego oprogramowania powinna być skonsultowana i zaakceptowana przez pracownika działu informatyki. Komentarz: Oprogramowanie może negatywnie wpłynąć na wydajność i bezpieczeństwo sieci i systemów informatycznych. Zainstalowane oprogramowanie może okazać się spywarem lub 41 inną niebezpieczną aplikacją (np. koń trojański). Zaleca się sprawdzenie oraz przetestowanie takiego oprogramowania przez pracowników działu informatyki. 8. Oprogramowanie wykorzystywane w instytucji musi być używane zgodnie z prawami licencji. 9. Oprogramowanie posiadane przez instytucję jest przeznaczone wyłączone do użytku wewnętrznego. Wyjątkiem jest oprogramowanie, którego zasady licencji pozwalają na użytkowanie w innych celach. 10. Kopiowanie oprogramowania przez użytkowników musi być zgodne z zasadami licencji danego oprogramowania. 11. W przypadku zauważenia nieprawidłowości w działaniu stacji roboczej, a w szczególności, gdy zachodzi podejrzenie o działaniu wirusa komputerowego, należy ten fakt jak najszybciej zgłosić do pracowników działu informatyki. 12. Administrator z działu informatyki odpowiedzialny za usuwanie złośliwego oprogramowania (np. wirusa) powinien postępować zgodnie z odpowiednią instrukcją. 13. Wszystkie pochodzące z zewnątrz dyskietki lub inne media z danymi nie mogą być użyte bez wcześniejszego sprawdzania ich przy pomocy odpowiedniego oprogramowania antywirusowego. 14. Użytkownicy instytucji muszą posiadać ograniczone uprawnienia do instalacji oprogramowania. Wyjątkami są osoby, którym uprawnienia administracyjne są niezbędne do codziennej pracy. Komentarz: Zalecane jest, aby użytkownicy nie posiadali przywilejów administratora. Posiadanie zbyt dużych uprawnień może doprowadzić do nieświadomej instalacji oprogramowania. 15. Dzienniki zdarzeń systemów operacyjnych i aplikacji powinny być regularnie monitorowane w celu identyfikacji ich błędnego działania, wykrywania nieprawidłowości, nadużyć oraz prób nieuprawnionego dostępu. D. Zasady bezpieczeństwa dotyczące korzystania z Internetu, intranetu, sieci telefonicznej oraz użytkowania komputerów 1. Instalacja oprogramowania przez użytkownika powinna być konsultowana z pracownikiem działu informatyki. Administrator powinien sprawdzić nowe oprogramowanie pod kątem legalności, bezpieczeństwa i stabilności. Szczegółowe informacje o oprogramowaniu dozwolonym dla użytkownika są zawarte w dokumencie Instrukcje oraz zasady dla użytkowników instytucji. 2. Zabrania się instalować oprogramowanie pochodzące z nieznanych źródeł. Należy pobierać oprogramowanie z stron producenta dodatkowo sprawdzając integralność funkcjami skrótu. Szczegółowe informacje o miejscu pobrania takiego oprogramowania można znaleźć w dokumencie Instrukcje oraz zasady dla użytkowników instytucji. 3. Użytkownik powinien zachować szczególną ostrożność podczas ściągania plików z Internetu. Proces pobierania powinien być zgodny z zaleceniami opisanymi 42 w instrukcjach opisujących wskazówki korzystania ze stron internetowych w celu ochrony przed złośliwym kodem oraz niebezpiecznym oprogramowaniem. ISO 17799: 8.3.1 Zabezpieczenie przed szkodliwym oprogramowaniem. 4. Poczta elektroniczna powinna być wykorzystywana wyłącznie w celach służbowych. Kopie bezpieczeństwa wiadomości pocztowych powinny być zachowane przez określony okres w celu spełnienia wymagań biznesowych. ISO 17799: 12.1.3 Zabezpieczenie dokumentów instytucji. 5. Zabrania się użytkownikom otwierania załączników poczty elektronicznej oraz odpowiadania na takie wiadomości, jeśli pochodzą one z niewiadomego źródła. Zaistnienie takiego faktu powinno zostać zgłoszone do administratorów działu informatyki. ISO 17799: 8.7.4 Bezpieczeństwo poczty elektronicznej. 6. Użytkownicy powinni uważnie wysyłać lub przesyłać dalej wiadomości pocztowe szczególnie, gdy zawierają one informacje chronione. Adresat powinien być dokładnie sprawdzony tak, aby wiadomość dotarła do oczekiwanej osoby. ISO 17799: 8.7.4 Bezpieczeństwo poczty elektronicznej. 7. Użytkownicy powinni zwrócić szczególną uwagę podczas odpowiadania na wiadomości pocztowe. Należy sprawdzić dokładnie adres odbiorcy lub stworzyć od początku nową wiadomość. ISO 17799: 8.7.4 Bezpieczeństwo poczty elektronicznej. 8. Zabrania się otwierania załączników z plikami samorozpakowującymi się lub typu „exe, js, vbs, bat, com, bin, prg, class, ini, dpl, pif, dll, lbk, scr, spl, cpl”, jeśli pochodzą one z wiadomego źródła wówczas, gdy nie spodziewamy się otrzymać takiej wiadomości. Wystąpienie takiej sytuacji należy zgłosić do pracownika działu informatyki, który wyda zgodę otwarcie pliku. 9. Zabrania się otwierania stron internetowych poprzez linki umieszczone w treści wiadomości pocztowych, jeśli pochodzą z wiadomego źródła wówczas, gdy nie spodziewamy się otrzymać takiej wiadomości. Wystąpienie takiej sytuacji należy zgłosić do pracownika działu informatyki, który wyda zgodę otwarcia pliku. Komentarz: Zaleca się nie otwierać linków znajdujących się w treściach wiadomości pocztowych. Linki mogą wskazywać na niebezpieczne strony (zawierające złośliwy kod), które mogą nieświadomie zainstalować złośliwe oprogramowanie. 10. Zabrania się rozpakowywania załączników chronionych hasłem, jeśli pochodzą z wiadomego źródła wówczas, gdy nie spodziewamy się otrzymać takiej wiadomości. Wystąpienie takiej sytuacji należy zgłosić do pracownika działu informatyki, który wyda zgodę otwarcia pliku. Komentarz: Załączniki chronione hasłem mogą zawierać wirusy. Systemy antywirusowe zlokalizowane na urządzeniach brzegowych nie skanują takich wiadomość, ponieważ musiałyby zastosować łamanie hasła, co zajęłoby bardzo dużą ilość czasu procesora. 11. Pracownikom zabrania się brania udziału w listach dyskusyjnych z konta firmowego, jeśli listy dyskusyjne nie mają związku z pracą w instytucji. 43 12. Wysyłając pocztę z konta firmowego, która zawiera prywatne opinie, należy zaznaczyć, że wypowiedzi nie są oficjalnym stanowiskiem instytucji. ISO 17799: 12.1.1 Określenie odpowiednich przepisów prawnych. 13. Zabrania się używania poczty w sposób, który mógłby źle wpłynąć na wizerunek instytucji, na przykład wysyłania obraźliwych wiadomości pocztowych. 14. Przesyłanie informacji chronionych przez Internet za pomocą poczty, stron internetowych lub w inny sposób powinno odbywać w bezpiecznym kanale z uwierzytelnieniem nadawcy i odbiorcy. W sytuacjach, gdy nie jest możliwe utworzenie bezpiecznego kanału należy zaszyfrować same dane korzystając z zewnętrznych programów. ISO 17799: 10.3 Zabezpieczenia kryptograficzne. 15. Użytkownicy wykorzystujący szyfrowanie i podpis cyfrowy powinni zastosować się do instrukcji określającej sposób wykorzystywania kryptografii. Operacje te muszą być zgodne z wymogami prawa. ISO 17799: 12.1.6 Regulacje dotyczące zabezpieczeń kryptograficznych, 10.3.2 Szyfrowanie, 10.3.3 Podpisy cyfrowe 16. Zaleca się, aby użytkownicy szczególnie staranie chronili poufność i integralności swojego klucza prywatnego wykorzystywanego w podpisie elektronicznym. Szczegółowe informacje znajduję się w instrukcjach opisujących sposób wykorzystywania kryptografii. ISO 17799: 12.1.6 Regulacje dotyczące zabezpieczeń kryptograficznych, 10.3.2 Szyfrowanie, 10.3.3 Podpisy cyfrowe. 17. Zaleca się, aby zdefiniować typ, jakość i minimalną długość używanych kluczy. Zaleca się, aby używać dwóch kluczy kryptograficznych do podpisu oraz do szyfrowania. Szczegółowe informacje znajduję się w instrukcjach opisujących sposób wykorzystywania kryptografii. ISO 17799: 12.1.6 Regulacje dotyczące zabezpieczeń kryptograficznych, 10.3.2 Szyfrowanie, 10.3.3 Podpisy cyfrowe. Komentarz: Zastosowanie dwóch par kluczy (do szyfrowania i podpisywania) jest konieczne, jeśli instytucja chciałaby wykonywać kopie bezpieczeństwa swoich kluczy prywatnych wykorzystywanych do szyfrowania. Obecne prawo polskie nie pozwala na backup kluczy służących do podpisu, dlatego należy posiadać dwa klucze (jeden klucz do szyfrowania drugi do podpisu). 18. Należy wprowadzić system zarządzania kluczami cyfrowymi. Zdefiniować miejsce generowania certyfikatów, sposoby rozsyłania kluczy, miejsca gdzie należy przechowywać klucze, postępowanie z kluczami (utrata bezpieczeństwa kluczy), unieważnienie kluczy, odtwarzanie kluczy (w przypadku utraty), archiwizowanie kluczy oraz niszczenie kluczy. Szczegółowe wyjaśnienie zagadnień dot. zarządzania kluczami znajduję się w instrukcjach opisujących sposób wykorzystywania kryptografii opisanymi w dokumencie Instrukcje oraz zasady dla użytkowników instytucji. ISO 17799: 2.1.6 Regulacje dotyczące zabezpieczeń kryptograficznych, 10.3.5.2 Standardy, procedury, metody. 19. W czasie swojej pracy użytkownicy powinni stosować się do instrukcji określających zasady bezpiecznej pracy (dobre zwyczaje, praktyki) na przykład określające sposoby logowania, wylogowania się, zachowywania się z danymi oraz programami, które te dane przetwarzają. ISO 17799: 9.2 Zarządzanie dostępem użytkowników. 44 20. Wybór hasła przez użytkowników powinien być ściśle określony przez instrukcje określające złożoność, długość, okres ważności takiego hasła oraz zarządzanie nimi tak, aby były one przez cały czas ważności poufne. Szczegółowe informacje zostały zawarte w dokumencie „Instrukcje oraz zasady dla użytkowników instytucji”. ISO 17799: 9.3.1 Użytkowanie haseł, 9.5.4 System zarządzania hasłami. 21. Każde hasło użytkownika powinno być okresowo wymieniane, w szczególności hasła dotyczące kont administratorów i użytkowników uprzywilejowanych. Okres wymiany powinien zostać zdefiniowany w instrukcjach dotyczących bezpieczeństwa haseł. Szczegółowe informacje zostały zawarte w dokumencie „Instrukcje oraz zasady dla użytkowników instytucji”. 22. Zabrania się ujawniania haseł lub innych informacji dotyczących swojego konta lub informacji dotyczących pracy. Szczegółowe informacje o sposobach zachowania poufności haseł zawarte są w instrukcjach dotyczących bezpieczeństwa haseł w dokumencie „Instrukcje oraz zasady dla użytkowników instytucji”. 23. Wymagana jest zmiana hasła początkowego przy pierwszym logowaniu się użytkownika do systemu. Otrzymane hasło jest dostarczone przez pracowników działu informatyki i pochodzi z procesu zakładania konta użytkownika. Proces uzyskiwania hasła początkowego musi być zgodny z instrukcją zakładania konta. 24. Powinny zostać przeprowadzane szkolenia pracowników w celu profilaktyki, unikania zagrożeń, w szczególności uświadomienia użytkownikom ich wpływu na bezpieczeństwo całej placówki. Użytkownicy powinny przejść stosowne szkolenia w zależności od pełnionej funkcji, dostępu do informacji lub systemów. ISO 17799: 6.2.1 Szkolenie i kształcenie w zakresie bezpieczeństwa informacji. 25. Zabrania się przeprowadzania działań, które mogą mieć negatywny wpływ na całą sieć lub jej elementy informatyczne. Czynnością taką może być: skanowanie, monitorowanie sieci, próby uzyskania większych uprawnień, omijanie zabezpieczeń, wykorzystanie słabości, czy nieautoryzowana zmiana konfiguracji sprzętu lub oprogramowania. Wyjątkami są działania administratorów lub działania związane ze zleconym przed dyrektora/zarządu instytucji audytem informatycznym. 26. Zabrania się wysyłania wiadomości pocztowych będących spamem (tzn. zawierających informacje handlowe, reklamy lub inne materiały do osób nie zainteresowanych otrzymywaniem takich informacji). 27. Wiadomości pocztowe zawierające informacje handlowe oraz reklamy mogą być wysyłane, jeśli odbiorca może w każdej chwili zrezygnować (wypisać się) z otrzymywania takich wiadomości. Zaleca się, aby informacje o możliwości wypisania się z listy były umieszczone na końcu wiadomości pocztowej. Użytkownicy rozsyłający takie wiadomości, powinni zwracać uwagę na źródła pozyskiwania adresów, w szczególności zgody osoby na posiadanie jej adresu do takiej korespondencji. 28. Zabrania się korzystać z programów umożliwiających fałszowanie lub wymazywanie informacji znajdujących się w nagłówkach wiadomości pocztowych. 45 29. Zabrania się korzystania z komunikatorów internetowych, innych niż te, które zostały dopuszczone przez administratorów działu informatyki. Szczegółowe informacje powinny zostać ustalone w instrukcjach dotyczących standardów komunikowania się w Internecie przez użytkowników. Komentarz: Zaleca się nie stosowanie komunikatorów internetowych, ponieważ mogą one stanowić osłabienie obrony sieci i systemów informatycznych. Przez takie komunikatory mogą przedostawać się wirusy, konie trojańskie lub robaki, a także komunikator może dostarczyć pewne informacje, które mogą być wykorzystywane przez hakerów. E. Zasady bezpieczeństwa dotyczące pracy zdalnej 1. Komputery przenośne podlegają takim samych ograniczeniom, jak jednostki stacjonarne znajdujące się w instytucji. Ograniczeniami są uprawnienia, prawa do instalacji i legalności oprogramowania, zgłaszanie podejrzeń o wystąpieniach nieprawidłowości. 2. Użytkownicy posiadający komputery przenośne powinni zostać uświadomieni, jak zapewnić bezpieczeństwo tym urządzeniom oraz informacjom na nich przechowywanym. Użytkownicy powinni korzystać z instrukcji dotyczących bezpieczeństwa podczas pracy zdalnej. Szczegółowe informacje zostały zawarte w dokumencie Instrukcje oraz zasady dla użytkowników instytucji. ISO 17799: 9.8.1 Komputery przenośne, 7.2.5 Zabezpieczenie sprzętu poza siedzibą. 3. Za instalację, konfigurację komputerów przenośnych są odpowiedzialni pracownicy działu informatyki. W sytuacjach wyjątkowych pracownik może przejąć odpowiedzialność za swój komputer, jednak uzyska on mniejsze uprawnienia dostępu do zasobów i usług sieci instytucji. W celu uzyskania takiej możliwości należy uzyskać pozwolenie kierownika działu informatyki. ISO 17799: 9.8.1 Komputery przenośne, 7.2.5 Zabezpieczenie sprzętu poza siedzibą. Komentarz: Zaleca się, aby konfiguracje oraz instalacje były dokonywane przez pracowników działu informatyki. Delegowanie odpowiedzialności na użytkownika za wykonywanie ww. prac może zagrozić zmniejszeniem poziomu bezpieczeństwa sieci i systemów informatycznych. Przykładem może być użytkownik, który zaniedbując obowiązków wnosi do sieci wewnętrznej niebezpieczne oprogramowanie. 4. Pracownik odpowiada za ochronę fizyczną komputerów przenośnych. Wskazówki dotyczące postępowania w celu unikania zagrożeń fizycznych znajdują się w instrukcjach dotyczących bezpieczeństwa podczas pracy zdalnej. Szczegółowe informacje zostały zawarte w dokumencie Instrukcje oraz zasady dla użytkowników instytucji. ISO 17799: 9.8.1 Komputery przenośne, 7.2.5 Zabezpieczenie sprzętu poza siedzibą. 5. Komputery przenośne powinny być okresowo kontrolowane przez administratorów sieci komputerowej w celu sprawdzenia bezpieczeństwa tych jednostek. 6. Użytkownicy pracujący z komputerów domowych lub z innych lokalizacji powinni uzyskać ograniczony dostęp uzależniony od ryzyka, jaki wiąże się z ich lokalizacją oraz dostępem do tych komputerów osób trzecich. 46 Komentarz: Praca zdalna zmniejsza poziom bezpieczeństwa systemów oraz sieci instytucji. Nawet najnowsze rozwiązania techniczne nie są w stanie w stu procentach ochronić sieć wewnętrzną przy połączeniu komputera zdalnego. Dlatego zaleca się stosować ograniczony dostęp do usług i zasobów. Zaleca się udostępnić tylko te zasoby, które są niezbędne dla użytkownika oraz pozwalają zachować odpowiedni poziom bezpieczeństwa. Zdalny dostęp użytkowników powinien być sklasyfikowany według lokalizacji i miejsc, z jakich użytkownicy się łączą, aby wyeliminować zagrożenia takich miejsc np. kafejka internetowa. 7. Zabrania się komputerom znajdującym się poza siecią komputerową instytucji korzystać z Internetu podczas zdalnego łączenia się z usługami i zasobami instytucji. Komentarz: Podczas łączenia się z siecią instytucji należy pozamykać wszystkie otwarte sesje z innym komputerami. Otwarte sesje z innymi sieciami mogą być aplikacjami routującymi dane wysyłane z sieci wewnętrznej do innych maszyn w Internecie. 8. Dostęp zdalny do środka sieci może być możliwy tylko dla połączeń szyfrowanych. Komentarz: Połączenia VPN,IPSEC, SSL oraz SSL VPN. 9. Użytkownicy komputerów przenośnych lub domowych powinni zachować szczególną ostrożność odnośnie zagrożeń typu nieupoważniony dostęp przez osoby znajdujące się w pobliżu (np. rodzina, przyjaciele). F. Zasady bezpieczeństwa przy konfigurowaniu, administrowaniu i zarządzaniu systemami oraz sieciami informatycznymi Komentarz: Poniższy punkt przedstawia zasady i reguły określające wymagania dla systemów informatycznych zapewniające odpowiedni poziom bezpieczeństwa systemom oraz sieciom informatycznym, w szczególności informacjom w nich przechowywanym. Oprócz wymagań zostały przedstawione reguły polityki bezpieczeństwa pokazujące, w jaki sposób można poprawić bezpieczeństwo. 1. Przy zakupie systemów informatycznych powinien być brany pod uwagę aspekt bezpieczeństwa tych systemów. Należy przeprowadzić analizę słabości technologicznej systemów informatycznych. Komentarz: w większości przypadków głównym priorytetem przy tworzeniu oprogramowania jest zapewnieniu jego maksymalnej funkcjonalności i efektywności. Często aspekt bezpieczeństwa jest mniej ważny i nie przywiązuje się do niego szerszej uwagi. Przy zakupie oprogramowania administratorzy sieci i systemów informatycznych powinni zwracać uwagę na zagadnienia związane z jego bezpieczeństwem. 2. Przy tworzeniu i wdrażaniu własnych projektów informatycznych należy zadbać o zgodność z bezpieczeństwem informatycznym. Przed wdrożeniem własnego oprogramowania powinno ono spełniać określony poziom bezpieczeństwa oraz zapewniać mechanizmy wspierające bezpieczeństwo. Komentarz: Własne lub zamawianie u współpracowników oprogramowanie powinno być wyposażone w mechanizmy wspierające bezpieczeństwo. Aspekty bezpieczeństwa powinny zostać wyróżnione na początku procesu powstawania oprogramowania tzn. w fazie określania wymagań oraz tworzenia specyfikacji. 47 3. Sieć komputerowa powinna być rozdzielona na mniejsze sieci w celu zwiększenia efektywności przepustowości sieci oraz ułatwień w kontrolowaniu i filtrowaniu dostępu do chronionych zasobów. Komentarz: Rozdzielenie sieci informatycznych tzn. tworzenie domen wpływa na poprawę wydajności oraz efektywności systemów i sieci informatycznych. Podzielenie sieci zwiększa przepustowość przez umożliwienie filtracji pakietów rozgłoszeń (broadcast) i innych powodujących niepotrzebny ruch sieciowy. Kolejna zaletą jest tworzenie możliwość kontroli ruchu pomiędzy sieciami. 4. Serwery z usługami powinny być umieszczane w najbardziej optymalnych oraz bezpiecznych miejscach sieci informatycznej. Wybór miejsca powinien być uzależniony od usług dostępnych na serwerach, przepustowości, możliwych opóźnień od komputerów użytkowników oraz od bezpieczeństwa zasobów i usług znajdujących się na serwerach. Serwery z usługami publicznymi (osiągalne z Internetu) powinny znajdować się w strefie zdemilitaryzowanej. Komentarz: Serwery z usługami powinny być umieszczane w lokalizacjach najbardziej dla nich korzystnych, blisko stacji klientów (optymalizacja przepływu danych tzn. ograniczenie do minimum przesyłania przez urządzenia sieciowe, które powodują opóźnienie). Usługi powinny być wystawiane do Internetu za pośrednictwem tzw. jednostek typu host bastion (proxy). Ewentualny atak z Internetu na te serwery musi w pierwszej kolejności złamać zabezpieczenia pośredników. Przy projektowaniu sieci należy uwzględnić czynniki bezpieczeństwa w architekturze sieci, lokalizacji serwerów z usługami oraz jednostek klientów. 5. Zaleca się, aby usługi publicznie instytucji, które są dostępne z Internetu posiadały mechanizmy uwierzytelniające, a o ile jest to możliwe zaleca się, aby ten mechanizm był dostarczony przez specjalistyczne urządzenie lub oprogramowanie. Komentarz: Wprowadzenie zewnętrznych mechanizmów uwierzytelniających (np. protokół Radius) wpływa na poprawę poziomu bezpieczeństwa sieci informatycznych. Protokoły uwierzytelniające zapewniają rozbudowane i niezależne funkcje rozliczalności połączeń użytkowników. Przy wdrożeniu dodatkowych autoryzacji należy brać pod uwagę niezadowolenie użytkowników z powodu dodatkowego hasła i loginu. Zalecane jest jednak przekonanie zarządu i wdrożenie takich mechanizmów. Przy przeprowadzaniu szkoleń dla pracowników należy podkreślić konieczność dodatkowego uwierzytelniania w procesie kontroli bezpieczeństwa usług i sieci informatycznych. 6. Urządzenia brzegowe (firewalle, routery) chroniące sieci wewnętrzne instytucji przed dostępem z Internetu powinny posiadać skonfigurowaną, przetestowaną zaporę sieciową zgodnie z polityką kontroli dostępu ruchu sieciowego. Dla urządzeń brzegowych pełniących funkcję routera należy zdefiniować politykę tras routingu. 7. Zaleca się wprowadzenie na serwerach z usługami, lokalnej kontroli ruchu sieciowego w postaci zapory sieciowej, zgodnie z polityką określającą uprawniony dostęp do usług znajdujących się na tych serwerach. Komentarz: o ile jest to możliwe i nie powoduje spadku wydajności pracy serwerów z usługami zaleca się skonfigurowanie i uruchomienie personalnej zapory sieciowej. Wdrożenie personalnych firewalli ma sens w przypadku sieci charakteryzujących się wysokiem współczynnikiem ryzyka bezpieczeństwa. 48 8. Zaleca się wprowadzenie na urządzeniach rozdzielających wewnętrzne sieci informatyczne kontroli ruchu sieciowego w postaci filtracji ruchu sieciowego zgodnie ze zdefiniowaną polityką określającą zasady komunikacji pomiędzy sieciami. Komentarz: Zalecane jest uruchomienie filtracji ruchu sieciowego na elementach rozdzielających sieci w instytucjach charakteryzujących się wysokim poziomem ryzyka bezpieczeństwa. Przy uwzględnieniu tego punktu należy brać pod uwagę złożoność sieci oraz wykorzystywane w niej protokoły. Przy konfiguracji mogą pojawić się problemy z określeniem prawidłowych portów biorących udział w komunikacji, co może spowodować przerwy pracy urządzeń sieciowych oraz zwiększone nakłady pracy administratorów sieciowych. 9. Zaleca się wprowadzenie mechanizmów głębokiej inspekcji ruchu sieciowego poprzez systemy wykrywania włamań w kluczowych punktach przepływu ruchu sieciowego. Komentarz: Systemy wykrywania włamań IDS oraz IPS mogą zidentyfikować wiele zagrożeń dotyczących bezpieczeństwa informatycznego. Systemy tego typu są bardzo drogie, dlatego zaleca się stosowanie ich w przypadku instytucji, które charakteryzują się wysokim poziomem ryzyka informatycznego. 10. Systemy informatyczne powinny zostać skonfigurowane tak, aby ograniczać możliwość ataku z wykorzystaniem słabości konfiguracji. Administratorzy działu informatyki powinni przygotować dokumentację określającą standardy konfiguracji usług, systemów operacyjnych i urządzeń sieciowych. Dokument ten powinien stanowić wzór dla każdej następnej instalacji i konfiguracji. 11. Systemy informatyczne powinny być poddawane okresowej zleconej przez dyrektora/zarządu kontroli i audytowi w celu wykrycia ewentualnych słabości konfiguracji oraz błędów oprogramowania. Komentarz: Audyt bezpieczeństwa stanowi ważny element w kontrolowaniu efektywności oraz poziomu bezpieczeństwa sieci i systemów informatycznych. Audyt powinien być przeprowadzony za zgodą zarządu/dyrektora instytucji. Audyt bezpieczeństwa stanowi bardzo rozległą dziedzinę, która szczegółowo zostanie opisana w załączniku dotyczącym audytu bezpieczeństwa. 12. Administratorzy działu informatyki zarządzający systemami informatycznymi są odpowiedzialni za monitorowanie wydajności i bezpieczeństwa działających usług i systemów operacyjnych. ISO 17799: 4.1.3. Podział odpowiedzialności w zakresie bezpieczeństwa. 13. Administratorzy powinni aktualizować dokumentację zarządzanych przez nich systemów informatycznych. ISO 17799: 8.6.4 Bezpieczeństwo dokumentacji systemów, 10.5.1 Procedury kontroli zmian. 14. Testowanie i sprawdzanie nowych aplikacji powinno odbywać się na specjalnie do tego przygotowanych komputerach i środowiskach. Tylko sprawdzone aplikacje powinny być wdrożone do produkcyjnego środowiska IT. ISO 17799: 8.1.2 Kontrola zmian w eksploatacji. 15. Wszystkie urządzenia w sieci informatycznej powinny mieć zsynchronizowany czas. ISO 17799: 9.7.3 Synchronizacja czasu. 49 16. Zaleca się wprowadzenie systemu badającego integralność oprogramowania, plików systemów operacyjnych oraz plików konfiguracyjnych. ISO 17799: 10.2 Bezpieczeństwo systemów aplikacji, 12.1.3 Zabezpieczenie dokumentów instytucji. Komentarz: Badanie integralności oprogramowania, plików systemowych i konfiguracyjnych zapewnia skuteczny mechanizm wykrywania incydentów. Atak wirusa, robaka, konia trojańskiego, hakera musi zostawić swój ślad w systemie informatycznym (np. podmiana pliku, dopisanie do pliku, zmiana konfiguracji). Systemy badające integralność danych mogą stanowić jedno z głównych źródeł identyfikacji ataków. Zaleca się je stosować na wszystkich serwerach, w szczególności na serwerach znajdujących się w sieci DMZ. 17. Dostęp do struktury katalogów w systemach informatycznych dla użytkowników powinien być tak skonfigurowany, aby ograniczać dostęp tylko do zasobów wymaganych do prawidłowej pracy. ISO 17799: 9.1.1 Polityka kontroli dostępu. 18. Zaleca się regularne usuwanie plików tymczasowych z systemów informatycznych. ISO 17799: 8.4 Procedury wewnętrzne. 19. Powinny zostać stworzone plany przeciwdziałania awarii w celu zapewnienia ciągłości działania sieci informatycznej. Plany powinny być regularnie testowane, audytowane w celu zidentyfikowania zmian środowiska. ISO 17799: 11.1.2 Ciągłość działania i analiza skutków dla działalności biznesowej. Komentarz: Plany awaryjne stanowią ważny aspekt w polityce bezpieczeństwa informacji dotyczącej dziedziny bezpieczeństwa określanej jako dostępność (ang. availability). Stworzenie skutecznych planów awaryjnych może zabezpieczyć instytucję przed przerwami w pracy sieci informatycznej. Wysoki poziom dostępności jest zalecany w instytucjach, w których ważnym czynnikiem prowadzenia działalności jest ciągłość działania. Tworzenie planów awaryjnych musi odbyć się przy wsparciu zarządu/dyrektora instytucji. Do realizacji planów awaryjnych często są potrzebne kopie systemów informatycznych, które współdziałają ze sobą poprzez tzw. HA (high avability). Kopie urządzeń wymagają dużego budżetu. W celu oszacowania kosztów, jakie należy przeznaczyć na tworzenie planów awaryjnych, zaleca się wykonanie analizy ryzyka bezpieczeństwa. 20. Antywirusowe oprogramowanie z aktualnymi definicjami musi być zainstalowane i skonfigurowane na wszystkich komputerach i serwerach. ISO 17799: 8.3.1 Zabezpieczenie przed szkodliwym oprogramowaniem. 21. Dowody o zaistniałych incydentach dotyczących bezpieczeństwa informacji i systemów informatycznych powinny zostać gromadzone i dokumentowane, przez upoważnioną osobę. Powyższe dowody mogą zostać wykorzystane do badania korelacji z innymi incydentami albo stanowić dowód podczas ewentualnych spraw sądowych. ISO 17799: 6.3.1 Zgłaszanie przypadków naruszenia bezpieczeństwa, 12.1.7 Gromadzenie materiału dowodowego. 22. Administratorzy systemów informatycznych powinni śledzić informacje na temat wykrywania słabości ich systemów oraz o ukazujących się do nich poprawkach w celu szybkiego wprowadzenia aktualizacji. 23. Systemy informatyczne powinny posiadać aktualną dokumentację stanu systemu, za którą odpowiadają administratorzy tych systemów. 50 24. Zaleca się wyłączenie niewykorzystywanych usług oraz aplikacji na serwerach i urządzeniach sieciowych. 25. Dostęp do zasobów informatycznych oraz usług systemowych powinien być uwierzytelniany. Uwierzytelnienie powinno dotyczyć użytkownika, komputera użytkownika oraz miejsca, z którego nadchodzi prośba o dostęp. ISO 17799: 9.5 Kontrola dostępu do systemów operacyjnych. Komentarz: Zaleca się wprowadzenie dodatkowej autoryzacji bazującej na wielu parametrach niż tylko na samej nazwie użytkownika. Przykładem takiej usługi jest domena active directory, która oprócz autoryzacji nazwy użytkownika sprawdza nazwę komputera i tzw. SID. Wykorzystywanie takich systemów informatycznych zapewnia dodatkowe potwierdzenie tożsamości, tworząc przez to bezpieczniejszą sieć komputerową. 26. O ile jest to możliwe zaleca się, aby dostęp do zasobów oraz usług instytucji był ograniczany przez ramy czasowe, kiedy użytkownicy mogą łączyć się z systemem. ISO 17799: 9.5 Kontrola dostępu do systemów operacyjnych. 27. O ile jest to możliwe zaleca się stosować systemy operacyjne posiadające mechanizmy hierarchizujące uprawnienia dla użytkowników w systemie (administrator, użytkownik). 28. Użytkownicy uprzywilejowani nie powinni pracować na uprawnieniach administracyjnych podczas normalnej pracy w systemie. Zalogowanie się z prawami administratora powinno mieć miejsce wyłącznie, gdy występuje taka konieczność. 29. Zaleca się, aby zdalny dostęp do terminali odbywał się przez połączenia szyfrowane. 30. Zaleca się wprowadzenie dedykowanego serwera specjalizującego się w przechowywaniu kopii dzienników zdarzeń z innych serwerów lub urządzeń sieciowych. Komentarz: Dedykowany serwer przechowuje kopie dzienników zdarzeń z innych systemów informatycznych. Dzienniki zdarzeń stanowią główne informacje o działalności użytkowników, administratorów oraz o pracy systemów operacyjnych i zainstalowanych na nich aplikacjach. Dzięki dziennikom zdarzeń możliwy jest audyt systemów i użytkowników oraz zapewnienie rozliczalności. W przypadku ataku hakera dzienniki odnotowują takie zajście i przy obsłudze incydentu można określić rodzaj ataku oraz jego źródło. Po przejęciu systemu informatycznego hakerzy kasują całą zawartość logów, przez co odtworzenie ataku jest niemożliwe. Stworzenie dedykowanej jednostki z wyłączonymi usługami zapewnia ochronę kopii dzienników zdarzeń. 31. Backup danych oraz plików konfiguracyjnych powinien być wykonywany regularnie. Należy wdrożyć mechanizmy okresowo weryfikujące poprawność zarchiwizowanych danych (należy przeprowadzić proces odzyskiwania backup danych). 32. Usługi na serwerach oraz urządzeniach sieciowych powinny posiadać mechanizmy kontrolujące stan otwartych sesji, a w przypadku wykrycia zbyt dużej liczby połączeń lub przekroczenia zdefiniowanego okresu czasu połączenia automatycznie sesje zamykać. 51 Komentarz: Otwarte sesje mogą zabierać zasoby urządzenia sieciowego lub serwera z usługami doprowadzając do ataku typu odmowa usługi (ang. denial of service). Otwarte sesję mogą zostać przejęte przez hakera (ang. session hijacking). 33. Zaleca się o ile jest to możliwe wyłączenie lub zmienienie nazw standardowych kont systemowych. Ma to szczególne znaczenie przy kontach typu gość. Komentarz: Standardowe konta lub hasła są wykorzystywane przez różnego typu skanery w celu odkrycia dodatkowych informacji o systemie oraz wykrycia słabości systemów. 34. Nie należy używać standardowej konfiguracji systemów operacyjnych oraz aplikacji dostępnych w systemach. Instalację z tzw. pudełka może stanowić potencjalne niebezpieczeństwo dla bezpieczeństwa. 35. Przed wdrożeniem, systemu informatycznego do eksploatowanego środowiska powinien on przejść kompleksowy audyt bezpieczeństwa. 36. Na serwerach eksploatowanych z działającymi usługami należy ograniczyć do minimum ilość dostępnego oprogramowania. Zaleca się usunięcie kompilatorów oraz interpretatorów skryptów. ISO 17799: 10.4.3 Kontrola dostępu do bibliotek źródłowych. 37. Na systemach eksploatowanych z działającymi usługami o ile jest to możliwe zaleca się nie przechowywać kodów źródłowych aplikacji. ISO 17799: 10.4.3 Kontrola dostępu do bibliotek źródłowych. 38. Zainstalowane aplikacje i usługi w systemach informatycznych powinny posiadać jak najmniejsze uprawnienia, niezbędne do prawidłowej pracy. 39. Zaleca się rejestrować próby logowania i wylogowania się użytkowników w systemie. Zaleca się wdrożenie mechanizmów do wykrycia działań użytkowników mających na celu zwiększenie ich uprawnień. 40. Przy łączeniach się do usług lub zdalnych terminali, o ile jest to możliwe, zaleca się usunięcie standardowych powitalnych komunikatów. Jeśli występuje możliwość edycji pojawiającego się tekstu należy go zmienić na tekst informujący o zakazie nieuprawnionego dostępu do usługi oraz o ewentualnych konsekwencjach jego złamania. 41. Zaleca się, aby przy połączeniu do usług lub zdalnych terminali zablokować wyświetlanie informacji o systemach lub aplikacjach, aż do chwili pomyślnego zakończenia procesu rejestrowania w systemie. 42. Zaleca się, o ile jest to możliwe, zmienić wyświetlane informacje przy połączeniach do zdalnych terminali tak, aby przy porażce logowania nie wyświetlać informacji, która część wprowadzonych danych była niepoprawna. 43. Zaleca się wprowadzić ograniczenie, co do liczby nieudanych prób logowania przy połączeniach do zdalnych terminali. 44. O ile jest to możliwe zaleca się wykorzystywanie dynamicznej translacji adresów dla połączeń z komputerów pracowników do Internetu. 52 45. Zaleca się konfigurację usługi WWW tak, aby zabezpieczyć ją przed nieautoryzowany dostępem i modyfikacją jej katalogów przechowujących strony). 46. Należy wprowadzić bezpieczne odpowiedniki protokołów do pobierania poczty elektronicznej (POP+SSL, IMAP+SSL). 47. Zaleca się, aby system poczty elektronicznej mógł filtrować wiadomości zawierające wirusy, spam, nieprawidłowe konstrukcje oraz załącznikami o niebezpiecznych rozszerzeniach. 48. Zaleca się wprowadzenie ograniczeń, co do wielkości przesyłanych wiadomości pocztowych. Komentarz: Brak tej zasady może zablokować systemy przez atak typu odmowa usługi. 49. Wymaga się, aby wysyłanie poczty elektronicznej z Internetu, było tylko możliwe po wcześniejszym uwierzytelnieniu użytkownika. Komentarz: Jeśłi systemy pocztowe nie będą posaidały autoryzacji mogą stać się open relay, czyli miejscami wysyłania ogromnych ilości maili (spamu). Takie działanie może doprowadzić do umieszczenia serwera poczty instytucji na czarnych listach. 50. Zaleca się blokowanie wiadomości pocztowych pochodzących od adresatów znajdujących się na tzw. czarnych listach. 51. Zalecane jest stworzenie awaryjnych planów krytycznych dla ważnych elementów w systemie informatycznym, jak na przykład serwery z usługami, routery, urządzenia zabezpieczające w celu zapewnienia ciągłości działania procesów biznesowych. 52. Zaleca się użytkowanie tylko takich przeglądarek internetowych, które zostały wymienione w instrukcjach określające standardy przeglądania stron internetowych. 53. Zaleca się, aby przeglądarka internetowa była skonfigurowana zgodnie z zalecanymi standardami, opisanymi w instrukcjach dotyczących przeglądania stron internetowch. 54. Zabrania się przeglądania stron zawierającymi craki, gry losowe, oprogramowanie pirackie oraz treści erotyczne ze względu na wysoki stopień zagrożenia bezpieczeństwa komputera. 55. Zaleca się, aby administratorzy prowadzili dzienniki wykonywanych przez siebie czynności. Rejestrowane czynności powinny dotyczyć pracy administratorów, obsługi incydentów, obsługi awarii. W dzienniku powinny znajdować się informacje takie jak: czas rozpoczęcia i zakończenia sesji, błędy systemowe, działania naprawcze oraz nazwisko osoby wykonującej wpis do dziennika. 56. Zaleca się okresową kontrolę uprawnień kont użytkowników w systemach informatycznych. Kontrolę powinno wykonywać się poprzez porównanie aktualnych uprawnień użytkowników do uprawnień zawartych w dokumencie, określającym uprawnienia, jakie użytkownik powinien posiadać i jakie zostały mu przydzielone. 53 57. Wymaga się, by chronić bazy danych przed atakami typu sql injection. Zaleca się, aby wykorzystywane oprogramowanie było testowane pod kątem poprawności parametrów przekazywanych do baz danych przez użytkowników. G. Zasady dotyczące zarządzania systemem wykonywania kopii bezpieczeństwa danych 1. Kopie bezpieczeństwa danych muszą zawierać aktualne dane w sposób umożliwiający ich odczytanie przez upoważnionych użytkowników. Backup danych powinien być zabezpieczony przed kradzieżą lub zniszczeniem. ISO 17799: 8.6.3 Procedury postępowania z informacją. 2. Archiwizowanie i przechowywanie kopii dokumentów powinno być w zgodzie z wymogami prawa oraz z zapewnieniem interesów/dobra instytucji. ISO 17799: 12.1.3 Zabezpieczenie dokumentów instytutu. 3. Użytkownik jest współodpowiedzialny za powodzenie wykonania kopii bezpieczeństwa danych, na których pracuje. Użytkownik powinien postępować zgodnie z instrukcjami zawierającymi wskazówki jak wykonać, chronić oraz odzyskiwać backup. ISO 17799: 8.4.1 Zapasowe kopie informacji. 4. Administratorzy serwerów, na których są przechowywane informacje są odpowiedzialni za wykonywanie kopii bezpieczeństwa danych oraz za udostępnianie ich właścicielom zgodnie z wskazówkami opisującymi zasady przeprowadzania backupu. ISO 17799: 8.4.1 Zapasowe kopie informacji. 5. Media wykorzystywane do archiwizacji danych powinny być dobierane pod kątem ich niezawodności i długiego okresu życia. Zaleca się, aby format zapisywanych danych był pomocny przy przechowywaniu, zabezpieczaniu przez nieupoważnionym dostępem. ISO 17799: 8.4.1 Zapasowe kopie informacji. 6. Kopie bezpieczeństwa zawierające dane chronione powinny być zabezpieczone przed utratą poufności. ISO 17799: 12.1.3 Zabezpieczenie dokumentów instytucji. 7. Zaleca się tworzenie, co najmniej dwóch kopii bezpieczeństwa istotnych danych i umieszczanie ich w różnych miejscach. 8. Miejsce przechowywania kopii bezpieczeństwa powinno być starannie dobrane tak, aby zapewnić maksymalne bezpieczeństwo przechowywanych w nim nośników z informacjami. H. Zasady dotyczące bezpieczeństwa osobowego (rekrutacja, rozwiązywania umów) 1. Warunki zatrudnienia w instytucji powinny być w zgodzie z wymaganiami dotyczącymi zgodności z polityką bezpieczeństwa. ISO 17799: 6.1.1 Uwzględnienie aspektu bezpieczeństwa w zakresie obowiązków przepisanych do stanowisk. 54 2. Nowo zatrudnieni pracownicy muszą podjąć się zobowiązania w przestrzeganiu polityki bezpieczeństwa. ISO 17799: 6.1.2 Sprawdzanie podczas naboru. 3. Nowo zatrudnieni pracownicy powinni przejść krótki kurs, instruktaż wprowadzający w tematykę bezpieczeństwa Instytutu Łączności. ISO 17799: 6.2.1 Szkolenie i kształcenie w zakresie bezpieczeństwa informacji. 4. Goście instytucji oraz kandydaci udający się na rozmowę kwalifikacyjną powinni być eskortowani w obydwie strony do miejsca spotkania przez osobę będącą pracownikiem. Osoby te powinni posiadać przy sobie dokument stwierdzający tożsamość. ISO 17799: 6.1.2 Sprawdzanie podczas naboru. 5. Przed planowanym rozwiązaniem umowy o pracę z pracownikiem należy maksymalnie ograniczyć jego uprawnienia w systemie i zabezpieczyć przechowywane na nim dane, w szczególności, gdy pracownik nie jest zadowolony z faktu rozwiązania umowy. 6. Konta byłych pracowników należy usunąć z systemów zgodnie z stosowną procedurą opisującą mechanizmy zarządzania kont użytkowników. Dane byłych pracowników powinny zostać zarchiwizowane. 3.6.6. Zasady odpowiedzialności za postępowanie sprzeczne z postanowieniami polityki bezpieczeństwa informacji 1. Niezastosowanie do postanowień niniejszej polityki bezpieczeństwa oraz regulaminu sieci komputerowej stanowi naruszenie obowiązków pracowniczych oraz powoduje odpowiedzialność cywilno prawną i karną. 2. Dyrektor/zarząd instytucji może upoważnić wybrane osoby do kontrolowania postanowień niniejszej polityki bezpieczeństwa. 3. Polecenia osób wyznaczonych przez dyrektora/zarząd instytucji do działań w zakresie ochrony informacji, traktowane jako polecenia służbowe w rozumieniu Kodeksu Pracy, muszą być bezwzględnie wykonywane przez wszystkich pracowników. 55 Rozdział 4 Polityka bezpieczeństwa systemów – polityka drugiego poziomu 4.1 Cel Celem poniższej polityki bezpieczeństwa jest spełnienie założeń opisanych w polityce bezpieczeństwa informacji instytucji oraz politykach bezpieczeństwa grup informacji. Dokument zawiera opis zabezpieczeń oraz mechanizmów kontroli systemów informatycznych przechowujących i przetwarzających wszystkie informacje, z szczególnym uwzględnieniem informacji chronionych przez instytucję tzn. finansowo-księgowych, kadrowo-płacowych, niejawnych, informacji od klientów oraz informacji stanowiących tajemnicę przedsiębiorstwa1. 4.2 Zakres Przedstawiona polityka ma zastosowanie w stosunku do wszystkich elementów i osób uczestniczących we wszystkich systemach informatycznych instytucji. Dostęp do zawartości tej polityki posiadają wszystkie osoby z działu informatyki odpowiedzialne za te systemy. 4.3 Schemat systemu Komentarz: Poniższy punkt powinien szczegółowo opisywać schemat systemów i sieci zastosowanych w instytucji. Dokument ten jest skierowany dla administratorów działu informatyki, kierowników, audytorów i osób zarządzających systemami. Systemy zastosowane w instytucji można sklasyfikować pod względem: • przechowywania i przetwarzanie pewnych grup informacji, • architektury sieci komputerowych, • usług, serwerów i urządzeń sieciowych. Zaleca się szczegółowo opisać każdy z poniższych systemów. Poniższej została przedstawiona lista przykładowych systemów oraz zasady opisu systemu. Przykładowe systemy: • finansowo-księgowy, • kadrowo-płacowy, • niejawny, • klientów, • homebanking, • stanowiący tajemnicę przedsiębiorstwa, 1 Grupy informacji chronionych są uzależnione od profilu instytucji. Powyższe grupy zostały podane dla przykładu. 56 • • • główny informatyczny system instytucji; w skład głównego system informatycznego wchodzi kilka sieci informatycznych: o główna sieć wewnętrzna, o sieci oddziałowe, o sieć telepraca, system zdemilitaryzowany, system zapór sieciowych. Przykładowy opis systemów: • System finansowo-księgowy. System dotyczy przechowywania i przetwarzania informacji chronionych. Składa się z wydzielonej podsieci informatycznej, w której znajduje się serwer z głównym oprogramowaniem do obsługi finansów oraz księgowości instytucji. Aplikacja przechowuje informacje w bazie danych umieszczonej na tym samym serwerze, na którym znajduje się główna usługa. Pracownicy łączą się z główną aplikacją w ramach wydzielonej podsieci informatycznej ze swoich jednostek komputerowych, na których uruchomione jest oprogramowanie klienckie. Na serwerze znajdują się narzędzia do wykonywania kopii bezpieczeństwa. Nośniki z kopiami zapasowymi są przechowywane w bezpiecznej (innej niż serwer!) lokalizacji. Informacje z systemu są przenoszone za pomocą dyskietek do systemu homebanking, który jest odpowiedzialny za wysyłanie do banku instytucji zleceń przelewów bankowych. • System kadrowo-płacowy. System dotyczy przechowywania i przetwarzania informacji chronionych. Składa się z elementów znajdujących się w wydzielonej podsieci informatycznej, w której znajduje się serwer z aplikacją kadrowo-płacową. Oprogramowanie przechowuje swoje dane w bazie danych umieszczonej na tym samym komputerze. Pracownicy łączą się z aplikacją serwera ze swoich jednostek roboczych, za pomocą oprogramowania typu klient. Stacje robocze klientów znajdują się również w wydzielonej dla systemu podsieci. Na serwerze znajdują się narzędzia do wykonywania kopii bezpieczeństwa. Nośniki z kopiami zapasowymi są przechowywane w bezpiecznej lokalizacji. Elementy sieci informatycznej mogą, spełniając określone warunki zdefiniowane w polityce dostępu, łączyć się z innymi sieciami instytucji. Szczegółowe informacje znajdują się w punkcie niżej przy opisie kontroli dostępu. Informacje z tego systemu są przenoszone za pomocą dyskietek do systemu homebanking, odpowiedzialnego za wykonywanie przelewów bankowych. 4.4 Bezpieczeństwo systemu Komentarz: Poniższy punkt szczegółowo powinien opisywać mechanizmy ochronne instytucji. W tym punkcie zostały opisane mechanizmy oraz zabezpieczenia wpływające na bezpieczeństwo systemów instytucji. Wyróżnia się pięć głównych kryteriów oceny bezpieczeństwa: • kontrola dostępu, • badanie integralności, • sprawdzanie jednoznaczności operacji, • zarządzenie bezpieczeństwem, • zarządzanie informacją. Do każdego z powyższych punktów należy się ustosunkować i określić, w jaki sposób jest realizowane bezpieczeństwo w systemach instytucji. Poniżej dla przykładu zostały przedstawione takie opisy me- 57 chanizmów zabezpieczeń dla powyższych punktów. Wybór zabezpieczeń powinien być ściśle związany z wynikami analizy ryzyka tzn. zabezpieczenia i zastosowane mechanizmy ochronne powinny być dopasowane do specyfiki działalności instytucji i jej systemów. Bezpieczeństwo systemów zostało podzielone na następujące obszary: 4.4.1 Kontrola dostępu Kontrola dostępu jest jednym z głównym mechanizmów zwiększenia bezpieczeństwa systemów. Kontrolę dostępu można podzielić na podobszary: A. Ochrona fizyczna: • Bezpieczeństwo budynku instytucji jest zapewniane przez strażników. Ochrona jest zlokalizowana przy wszystkich bramach prowadzących na teren instytucji. • Każdy upoważniony użytkownik uzyskuje specjalną kartę-identyfikator pozwalającą na dostęp do pomieszczeń, niezbędnych do prawidłowego wykonywania swoich obowiązków pracowniczych. W instytucji występują obszary o szczególnym znaczeniu dla bezpieczeństwa organizacji. Do tych obszarów zalicza się pomieszczenia przechowujące informacje chronione, urządzenia ważne ze względu na prawidłowe funkcjonowanie usług i sieci informatycznych. Dostęp do stref chronionych mogą uzyskać jedynie administratorzy tych informacji i systemów oraz użytkownicy na podstawie ról, jakie pełnią w systemie, opisanych w dokumentach polityki bezpieczeństwa grup informacji. • Dostęp do nośników z informacjami chronionymi tj. finansowoksięgowymi, kadrowo-płacowymi, niejawnymi, klientów oraz stanowiących tajemnicę przedsiębiorstwa jest regulowany przez zasady i reguły dot. bezpieczeństwa informacji chronionych, szczegółowo opisane w poszczególnych politykach bezpieczeństwa grup informacji2. • Usuwanie dokumentów i nośników z informacjami chronionymi tj. finansowo-księgowymi, kadrowo-płacowymi, niejawnymi, klientów oraz stanowiących tajemnicę przedsiębiorstwa odbywa się zgodnie z zasadami dot. bezpieczeństwa informacji chronionych oraz instrukcjami określającymi sposób ich usuwania. • Użytkownicy wszystkich systemów zobowiązani są do przestrzegania zasad dotyczących kontroli dostępu określonych w dokumencie polityki bezpieczeństwa oraz regulaminie sieci informatycznej (np. uruchomienie wygaszaczy ekranu z blokadą, wylogowywanie się z systemu podczas dłuższej nieaktywności, zamykanie drzwi, itp). • Użytkownicy komputerów stacjonarnych i przenośnych są odpowiedzialni za zapewnienie im bezpieczeństwa fizycznego przez przestrzeganie zasad określonych w dokumencie polityki bezpieczeństwa informacji. B. Ochrona logiczna: • Dopuszczenie użytkowników do systemów informatycznych w instytucji następuje po potwierdzeniu ich tożsamości. Każdy użytkownik otrzymuje login i hasło służące do ich identyfikacji w systemie. Rozpoczęcie pracy odbywa się poprzez zalogowanie użytkownika do systemu. Wpisanie poprawnego hasła umożliwia dostęp do systemu na 2 Grupy informacji są ściśle związane ze specyfiką oraz działalnością instytucji. 58 odpowiednich uprawnieniach uzyskanych przez pracownika. Dostęp taki upoważnia tylko do pracy na dokumentach, do których użytkownik został dopuszczony. Użytkownicy mogą uzyskać następujące rodzaje kont:
Konto w systemie kadrowo-płacowym (dla użytkowników z tego systemu, opisanych w załączniku ról dostępu w polityce tej grupy informacji).
Konto w systemie finansowo-księgowym (dla użytkowników tego systemu opisanego w załączniku o rolach w systemie w polityce grup informacji).
Konto domenowe (serwer poczty, plików, terminali) dostępne dla wszystkich pracowników.
Konto shell w systemie typu Unix dostępne dla wszystkich pracowników.
Konto intranetowe dostępne dla wszystkich pracowników. Użytkownicy są zobowiązani do przestrzegania zasad bezpieczeństwa dotyczących reguł posługiwania się hasłem, jego poufności oraz okresowej zmiany. • Konta i hasła użytkownika są nadawane przez administratora systemu zgodnie z procedurą określającą zasady tworzenia kont użytkownika, w szczególności z uwzględnieniem zasad dla kont systemów przechowujących informacje chronione. • Wszystkie konta w systemie mają określony czas ważności ustalany podczas procedury tworzenia konta użytkownika w systemie z uwzględnieniem zasad określonych dla poszczególnych systemów przechowujących informacje chronione. • Konfiguracja systemów kontroli dostępu została przeprowadzona zgodnie ze standardami określającymi prawidłową konfigurację i zabezpieczenie serwerów i usług. Konfiguracja wymusza zwiększenie poziomu bezpieczeństwa podczas logowania oraz okresowej kontroli tożsamości w systemie. Przykładami takich konfiguracji jest korzystanie z SSH zamiast telnetu podczas logowania się na powłokę Unix, zastosowanie domeny Windows dla komputerów użytkowników (szczegółowe informacje są zawarte w odpowiednich standardach konfiguracji). • Dostęp do systemów informatycznych jest możliwy zgodnie z polityką dostępową urządzeń brzegowych sieci. Elementami kontrolującymi dostęp są firewalle brzegowe i personalne umieszone na serwerach z usługami, przełączniki oraz filtry na routerze. Oddzielanie sieci (systemów) informatycznych od siebie jest realizowane przez przełączniki i odbywa się przez wirtualne sieci LAN (VLAN). Szczegółowa polityka poszczególnych zapór personalnych i sieciowych znajduje się w Szczegółowej polityce bezpieczeństwa firewalli i routingu. Wszyscy użytkownicy systemu finasowo-księgowego zapoznali się i podpisali regulamin ochrony informacji i regulamin sieci komputerowej. 4.4.2 Integralność systemu Integralność wszystkich systemów instytucji można podzielić na obszary: A. Integralność podzespołów. 59 Wszystkie elementy sprzętowe i podzespoły z poszczególnych systemów informatycznych przed dopuszczeniem ich do eksploatacji zostały oznaczone i opisane zgodnie z zasadami opisanymi w polityce bezpieczeństwa i regulaminie sieci komputerowej. Każda wymiana podzespołów dokonywana jest przez wyznaczoną osobę, odpowiedzialną za udokumentowanie takiego faktu oraz aktualizowanie dokumentów opisujących zmiany stanów w poszczególnych systemach. Zapewnienie integralności podzespołów zapobiega nieautoryzowanej wymianie sprzętu, kradzieży podzespołów oraz nielegalnej instalacji nowych urządzeń. B. Integralność oprogramowania, systemów operacyjnych oraz plików konfiguracyjnych. Przed wdrożeniem nowego serwera do systemu informatycznego została wykonana kontrola systemu operacyjnego, stanu usług, oprogramowania oraz plików konfiguracyjnych uruchomionych w działającym systemie. Wyniki sum kontrolnych programów, systemów operacyjnych i plików konfiguracyjnych zostały bezpiecznie zarchiwizowane. Każda aktualizacja wersji, uruchomienie nowego programu lub zmiana ustawień konfiguracyjnych wymusza równoczesne zaktualizowanie informacji dotyczących stanu systemu. W celu kontroli integralności oprogramowania oraz konfiguracji zostały wdrożone systemy wspomagające. Są nimi oprogramowania badające integralność danych oraz system antywirusowy. Każdy system, a w szczególności serwery z usługami, przed dopuszczeniem ich do eksploatacji przeszły pomyślne audyty bezpieczeństwa zgodnie z instrukcją audyt bezpieczeństwa systemu, a zgodność ich konfiguracji została potwierdzona ze standardami konfiguracji serwerów i usług informatycznych. W celu kontroli bezpieczeństwa systemu informatycznego zostaną przeprowadzone okresowe kontrole i audyty bezpieczeństwa. Administratorzy i użytkownicy muszą stosować się do obowiązującej polityki dotyczącej oprogramowania opisanej w dokumentach polityki bezpieczeństwa i regulaminie sieci komputerowej. 4.4.3 Jednoznaczność oraz rozliczalność operacji Użytkownik w systemach informatycznych jest identyfikowany na podstawie nazwy konta logowania do systemu i hasła. Informacje te w jednoznaczny sposób umożliwiają identyfikację osób, które dokonały zmian w trakcie pracy w systemie. Informacje o dokonanych przez użytkownika zmianach uzyskuje się z logów systemów operacyjnych, aplikacji finansowo-księgowej, kadrowo-płacowej, usług serwera plików oraz Intranetu3. Dokumentacje i raporty dotyczące systemu i jego późniejszych zmian określają jednoznaczność operacji administratorów. Administratorzy i użytkownicy korzystający z systemów informatycznych muszą stosować się do obowiązującej polityki dotyczącej zachowania w poufności danych identyfikujących oraz haseł opisanych w dokumentach polityki. 4.4.4 Zarządzanie bezpieczeństwem Przed każdym wdrożeniem systemu informatycznego w instytucji powinna zostać przeprowadzona analiza ryzyka systemu, która określa rodzaje potencjalnych zagrożeń, ich skali, obszarów oddziaływania oraz ewentualnych skutków ich działania. 3 Informacje na temat systemów operacyjnych oraz użytkowanych aplikacji ściśle wiążą się z rodzajem działalności instytucji. Powyższe dane zostały przedstawione w sposób poglądowy. 60 Wyniki takiej analizy pomagają w identyfikacji krytycznych miejsc w sieci, które powinny zostać szczególnie zabezpieczone (nieautoryzowany dostęp, awaria, kradzież, zniszczenie, odmowa usługi itp.). W celu zachowania ciągłości działania procesów biznesowych zachodzących w instytucji pracownicy działu informatyki powinni opracować plany awaryjne. W instytucji za zarządzanie bezpieczeństwem systemów odpowiadają administratorzy działu informatyki. Przed ostatecznym wdrożeniem systemy powinny zostać zabezpieczone przez administratorów zgodnie z standardami określającymi wymagania dotyczące instalacji oraz zabezpieczenia serwerów oraz ich usług. Systemy instytucji posiadają mechanizmy pozwalające wykryć nieautoryzowane próby dostępu do informacji oraz nieuprawnione operacje na systemach poprzez: • kontrolę dzienników zdarzeń systemu operacyjnego, aplikacji serwerów oraz usług: aplikacji serwera finansowo-księgowego, kadrowo-płacowego4, • oprogramowanie badające integralność danych, • codzienną kontrolę pracy systemów przez ich administratorów, • wykonywanie kopii dzienników zdarzeń na zewnętrznym serwerze w celu zabezpieczenia przed ich nieautoryzowanym skasowaniem lub zniszczeniem. Użytkownicy są zobowiązani informować administratorów o podejrzanych sytuacjach występujących w ich środowisku pracy. Szkolenia użytkowników dotyczą zagadnień z zakresu: ochrona danych, bezpieczeństwo pracy, podwyższenie świadomość o zagrożeniach i sposobów ich unikania, informacje o bezpieczeństwie pracy zdalnej. Administratorzy systemowi są odpowiedzialni za obsługę incydentów mających miejsce w systemach informatycznych. Przy obsłudze takiego zdarzenia administratorzy kierują się wskazówkami i instrukcjami opisanymi w odpowiednich procedurach i instrukcjach. Administratorzy systemowi są odpowiedzialni za obsługę awarii systemów w instytucji. W przypadku zaistnienia sytuacji awarii administratorzy powinni ją jak najszybciej obsłużyć i przywrócić system do normalnej pracy. W tym celu stosują się do odpowiednich instrukcji oraz procedur. Pracownicy działu informatyki stosują się do obowiązującej polityki dotyczącej zasad i instrukcji ich pracy opisanych w dokumentach polityki bezpieczeństwa oraz regulaminie sieci komputerowej5. 4.4.5 Zarządzenie informacją Instytucja jest właścicielem wszystkich informacji przechowywanych i przetwarzanych w systemach organizacji. Wyjątkami są informacje posiadające odrębne umowy własności. Instytucja jest zobowiązana do ochrony wszystkich posiadanych aktywów, zarówno własnych informacji, jak i informacji objętych odrębnymi umowami. Instytucja w celu ochrony tych aktywów musi powziąć odpowiednie mechanizmy ochraniające posiadane informacje. Instytucja ściśle reguluje zasady dostępu oraz przetwarzania informacji chronionych. Role dostępu oraz przywileje do danych zostały zdefiniowane w dokumentach opi- 4 Systemy oraz aplikacje są ściśle związane z działalnością instytucji. Instytucja powinna wpisać własne rozwiązania. 5 Jeśli organizacja nie posiada regulaminu sieci komputerowej, należy taki regulamin stworzyć lub usunąć ten zapis. 61 sujących polityki bezpieczeństwa poszczególnych grup informacji. W systemach instytucja wyróżnia trzy rodzaje użytkowników informacji: • Administrator systemu przechowywania informacji. Osoba ta jest odpowiedzialna za zakładanie i zarządzanie kontami w systemie na podstawie ról opisanych w dokumentach polityki, za wykonywanie kopii danych oraz odzyskiwanie informacji znajdujących się na serwerach. • Administrator informacji. Osoba odpowiedzialna za zarządzanie informacjami, za przydzielanie i kontrolowanie dostępu do informacji. W instytucji taką rolę pełnią kierownicy działów, którzy definiują rolę i odpowiedzialność za informacje u swoich pracowników. • Użytkownicy. Posiadają oni uprawnienia w stopniu umożliwiającym im wykonywanie swoich obowiązków pracowniczych. Role i prawa dostępu zostają im przydzielone zgodnie z polityką bezpieczeństwa danej grupy informacji, w której użytkownik jest pracownikiem. Użytkownicy są zobowiązani do przestrzegania zasad dostępu, pracy z informacjami opisanymi w zasadach oraz instrukcjach zawartych w polityce bezpieczeństwa informacji i postępowania według zaleceń zdefiniowanych w stosownych instrukcjach. Użytkownicy są zobowiązani do należytej ostrożności podczas pracy z informacjami. Użytkownicy są odpowiedzialni za wykonywanie kopii bezpieczeństwa danych zawartych na ich stacjach roboczych zgodnie z instrukcją opisującą zasady backupu danych użytkowników. Systemy informatyczne w instytucji zapewniają integralność danych przez cały czas przechowywania i przetwarzani tych informacji poprzez: • mechanizmy kontroli spójności danych dostępne w systemie operacyjnym, • mechanizmy kontroli spójności baz danych, • kontrolę pracy aplikacji z informacji zawartymi w dziennikach zdarzeń, • zarządzanie aktualizacjami oprogramowania zgodnie z instrukcją zarządzanie zmianami tj. aktualizacjami oprogramowania, • systemy antywirusowe. Usuwanie informacji z systemów informatycznych odbywa się zgodnie z instrukcją określającą mechanizmy trwałego usunięcia danych chronionych opisaną w instrukcjach w punkcie usuwanie danych chronionych. Użytkownicy w celu zapewnienia poufności informacji chronionych przy przesyłaniu ich przez Internet powinni zastosować się do instrukcji określającej zasady bezpiecznego przesyłanie wiadomości. 4.5 Administrator systemu i administrator bezpieczeństwa Komentarz: Określenie odpowiedzialności jest bardzo ważne w prawidłowym działaniu systemów instytucji. Osoby zarządzające systemami powinny mieć jasno zdefiniowane zakresy ich obowiązków oraz odpowiedzialności za niedopełnienie lub niedbalstwo swojej pracy. Zaleca się, aby poniższy punkt określił stanowiska oraz przypisał do nich osoby. Poniżej zostały przedstawione przykłady ogólnego przypisania odpowiedzialności za systemy. Zaleca się jednak zdecydowanie dopisanie do stanowisk osób odpowiedzialnych ich imion i nazwisk. Administratorem wszystkich wyżej zdefiniowanych systemów systemu są pracownicy działu informatyki. Administratorem bezpieczeństwa wszystkich wyżej zdefiniowanych systemów są pracownicy działu informatyki. Administratorem bezpieczeństwa danych wszystkich wyżej zdefiniowanych systemach jest jednostka w postaci instytucji. 62 4.6 Audyt bezpieczeństwa Komentarz: Audyt bezpieczeństwa stanowi ważny element w kontroli poziomu bezpieczeństwa w systemach instytucji. Szczegółowe informacje na ten temat zostały umieszczone w rozdziale 6.8 Audyt bezpieczeństwa. Poniżej został przedstawiony przykład, co powinno znaleźć się w tym punkcie. Wszystkie systemy informatyczne, a w szczególności serwery przechowujące i przetwarzające informacje oraz krytyczne urządzenia sieciowe, przechodzą okresowe audyty bezpieczeństwa zlecane przez dyrektora/zarząd instytucji nie rzadziej niż raz na 6 miesięcy. Audytu dokonuje informatyk na podstawie instrukcji oraz procedur określających zasady okresowego audytu bezpieczeństwa systemów instytucji. Dokumenty z okresowych audytów są dołączane do dokumentu opisującego politykę bezpieczeństwa systemów. 4.7 Archiwizacja informacji w systemie Komentarz: Archiwizacja danych jest bardzo ważna z punktu widzenia bezpieczeństwa. W poniższym opisie należy określić zasady przeprowadzania backupu danych, osobę odpowiedzialną za wykonywanie i zarządzania tym procesem. Należy jasno zdefiniować, w jaki sposób jest dokonywany backup, tzn. jakie urządzenia biorą w nim udział, jakie nośniki są wykorzystywane, jak często wykonuje się kopie oraz gdzie są przechowywane nośniki backupu. Poniżej został przedstawiony przykładowy opis. Systemy informatyczne w instytucji dokonują archiwizacji danych przez urządzenia nagrywające. Kopie bezpieczeństwa informacji są wykonywane codziennie. Kopie bezpieczeństwa informacji z dzienników zdarzeń wykonywane są raz na miesiąc. Szczegółowy proces archiwizowania informacji określa procedura Archiwizacja informacji w instytucji. 4.8 Sytuacje kryzysowe Komentarz: Obsługa sytuacji kryzysowych w działaniu instytucji stanowi ważny element w zapewnieniu odpowiedniego poziomu bezpieczeństwa. Odpowiednie zachowanie w sytuacjach kryzysowych może minimalizować skutki takiej sytuacji, pomóc przy prawidłowej identyfikacji pary zagrożenia i podatności (i uwzględnienie w następnej analizie ryzyka), wyborze odpowiedniego zabezpieczenia, które wykluczy powstanie takiej sytuacji w przyszłości. Poniżej został przedstawiony przykładowy opis. W przypadku wystąpienia sytuacji kryzysowej jest powoływany sztab kryzysowy i są podejmowane działania zgodnie z następującymi priorytetami: • zachowanie ciągłości działania, • zabezpieczenie informacji przed utratą, • zabezpieczenie informacji przed nieautoryzowanym dostępem, • analiza i rozpoznanie przyczyny incydentu oraz jego źródła (identyfikacja zagrożenia i podatności), 63 próba identyfikacji sprawców, planowanie i wprowadzenie środków zaradczych w celu zapobiegania powtórzeniu, jeśli jest to potrzebne. Sztab kryzysowy w celu obsługi sytuacji kryzysowej powinien postępować zgodnie z instrukcją dotyczącą obsługi sytuacji kryzysowej. • • 64 Rozdział 5 Instrukcje, standardy oraz zasady bezpiecznego korzystania z systemów i usług instytucji – polityka trzeciego poziomu. Gwałtowny rozwój Internetu i technologii informatycznych zmienił zasady dostępu i przepływu informacji. Organizacje, firmy i instytucje zaczęły przyłączać się do globalnej sieci, udostępniając usługi oraz zasoby dla swoich pracowników oraz użytku publicznego. Zaczęły tworzyć własne sieci informatyczne, które zostały następnie dołączone do jednej wielkiej sieci – Internet. Globalna sieć informatyczna, z równymi przywilejami dla wszystkich, z czasem zaczęła stanowić olbrzymie zagrożenie dla prawidłowego funkcjonowania sieci wewnętrznych oraz wymiany informacji między nimi. Zdefiniowanie bezpieczeństwa informatycznego i informacji stało się koniecznością. Administratorzy systemów i sieci komputerowych zaczęli wprowadzać mechanizmy wymuszające uzyskanie odpowiedniego poziomu bezpieczeństwa. Zastosowanie szyfrowania danych, VPN (wirtualne sieci prywatne tworzone przy pomocy różnych technik), zapór sieciowych, systemów wykrywania włamań i innych zabezpieczeń wpłynęły na znaczny wzrost bezpieczeństwa sieci. Niestety, nie likwidują one zagrożeń całkowicie i na zawsze. Urządzenia sieciowe zaczęły klasyfikować i filtrować ruch wprowadzając zaufane obszary dostępu dla swoich pracowników. Osoby chcące uzyskać nieautoryzowany dostęp, zaczęły baczniej przyglądać się jednostkom klienckim, posiadającym większe przywileje dostępu do zasobów znajdujących się na serwerach niż niezaufane komputery. Jednostki klientów z reguły posiadają mniejsze zabezpieczenia niż serwery usług, a użytkownicy pracujący na nich często charakteryzują się mniejszą wiedzą i świadomością z zakresu bezpieczeństwa informacji niż administratorzy systemów lub sieci. Pełny model bezpieczeństwa informacji powinien dotyczyć zatem wszystkich pracowników (użytkowników) mających do czynienia z sieciami informatycznymi. Zdefiniowanie dokumentu polityki bezpieczeństwa, może wprowadzić pełnowartościowy system zapewniający przeciwdziałanie zagrożeniom, jakie sieci niosą ze sobą i kradzieży informacji. 5.1 Cel i zakres Komentarz: Celem poniższego dokumentu jest przedstawienie użytkownikom zasad korzystania z usług i zasobów instytucji, zapewniających wyższy stopień bezpieczeństwa tym zasobom i użytkownikom. Dokument dostarcza instrukcji, wskazówek i procedur, jak prawidłowo obchodzić się z zasobami i usługami instytucji oraz jest najniższym poziomem opisującym politykę bezpieczeństwa informacji. Celem poniższego dokumentu jest przedstawienie: • instrukcji jak należy postępować przy dostępie do zasobów oraz jak korzystać z usług instytucji, • standardów oprogramowania używanych w instytucji, • systemów bezpieczeństwa i usług dostępnych w instytucji, • zasad bezpiecznego korzystania z systemów i zasobów instytucji, • znaczenia bezpieczeństwa sieciowego dla instytucji i roli użytkowników w utrzymywaniu bezpieczeństwa, 65 • możliwych zagrożeń pochodzących z Internetu oraz wskazówek, jak ich unikać. Poniższy dokument jest skierowany do wszystkich pracowników instytucji. 5.2 Schemat oraz relacje podsieci instytucji Komentarz: Podział na podsieci stanowi ważny element w poprawie efektywności i bezpieczeństwa sieci instytucji. Należy poinformować użytkowników o głównych sieciach instytucji, o zasadach dostępu do tych sieci i Internetu oraz ich ograniczeniach. Poniżej został przedstawiony poglądowy opis wykorzystywanych sieci informatycznych. Warto zwrócić uwagę, że zostały przedstawione wyłącznie sieci zauważane przez użytkownika, np. brak niewidocznej dla użytkownika sieci DMZ. Poniżej został przedstawiony przykładowy podział sieci komputerowych. Instytucja składa się z następujących sieci komputerowych: • Główna sieć. Do sieci głównej jest podłączona większość użytkowników oraz główne serwery z usługami6. Ta sieć umożliwia użytkownikom dostęp do Internetu, Intranetu oraz za pomocą domeny Windows do serwera poczty, udziałów (dysków) sieciowych, systemu antywirusowego. • Sieć dla systemu kadrowo – płacowego i/lub finansowo-księgowego. Ta sieć umożliwia użytkownikom dostęp Intranetu oraz do niektórych stron Internetu, systemu kadrowego i/lub systemu finansowo-księgowego, systemu antywirusowego oraz przez usługi terminalowe Windows 2003 dostęp do poczty, udziałów sieciowych. • Sieci oddziałowe. Są to sieci filii instytucji zlokalizowane w innych miastach. Kanały wirtualnych sieci prywatnych (VPN) za pomocą szyfrowanych połączeń umożliwiają wzajemne łączenie się sieci głównej i sieci oddziałowych. Użytkownicy sieci oddziałowych mają możliwość dostępu do Internetu, Intranetu (serwer w sieci głównej), poczty oraz plików (serwery lokalne w sieciach oddziałowych i w sieci głównej). 5.3 Usługi instytucji Komentarz: Rodzaje usług oraz zasobów dostępnych w instytucji są uzależnione od profilu działalności organizacji. Pomimo iż niektóre z usług i zasobów wydają się być koniecznością w obecnych czasach (tj. poczta elektroniczna oraz Internet), technika ich realizacji może być wykonany na wiele sposobów. Przykład stanowi system poczty, który może składać się z usługi lub usług (POP, IMAP, SMTP) uruchomionej na serwerze lub serwerach Linux/Windows/Unix. Dlatego opisanie ww. usług jest ściśle związane z zastosowanym przez instytucję rozwiązaniem. Poniżej została przedstawiona lista możliwych usług oraz kilka przykładów sposobów opisu takiej usługi. 6 Serwery z usługami mogą znajdować się w różnych miejscach w zależności od architektury sieci instytucji. Ze względów wydajności nie zaleca się umieszczać ich w oddzielnych sieciach (vlan) komputerowych. Jednak w celu dodatkowej ochrony przed użytkownikami z sieci wewnętrznej, zaleca się umieszczanie ich w wydzielonych sieciach ograniczonych zaporą sieciową. z punktu widzenia użytkownika takie wydzielenie jest całkowicie transparentne i niezauważalne, dlatego można uprościć prezentację sieci(informując, że znajdują się w tej samej sieci, pomimo rozdzielenia ich przez administratorów). Takie podejście posiada dodatkowe znaczenie, ponieważ nie ujawnia zabezpieczeń oraz topologii sieci informatycznej. 66 Lista usług: • poczta elektroniczna, • Intranet, • zewnętrzny serwer WWW, • usługa terminalowa Unix, • domena(y) Windows (autoryzacja użytkownika): o dyski sieciowe, o system kadrowo-płacowy, o system finanse-księgowość. Przykłady opisów usług: • Usługa terminalowa Unix. Pracownicy instytucji mogą korzystać z serwera pracującego pod kontrolą systemu typu UNIX poprzez terminal linii komend lub środowisko X Window. Dostępne na serwerze narzędzia to np. kompilatory systemu Unix, narzędzia poczty elektronicznej, narzędzia diagnozowania sieci, itp. Dostęp do terminala jest możliwy za pomocą protokołu Telnet lub jego bezpiecznego odpowiednika SSH (komunikacja szyfrowana). Dostęp z Internetu jest możliwy wyłącznie przez szyfrowany protokół SSH. • Logowanie do domeny (autoryzacja użytkownika). Logowanie do domeny jest usługą dostarczaną przez Windows 2003 Serwer. Usługa ta jest dostępna dla komputerów: o Windows 2000/XP, znajdujących się w sieciach wewnętrznych (sieć główna i sieci oddziałów), o Windows 95/98 raz komputerów znajdujących się w podsieci Payroll poprzez logowanie do serwera usług terminalowych Windows 2003. Po wprowadzeniu poprawnego hasła i loginu użytkownicy otrzymują dostęp do zasobów serwerów/domeny Windows 2000/2003. Udane zalogowanie do domeny umożliwia korzystanie z wielu usług (Exchange 2003 (Microsoft Outlook), MS Project, system anty-wirusowy) bez potrzeby kolejnej autoryzacji. Domena zapewnia scentralizowany model bezpieczeństwa w sieci informatycznej. • Poczta. System pocztowy instytucji składa się z dwóch serwerów pocztowych (zewnętrznego oraz wewnętrznego). Każdy z systemów posiada własne mechanizmy antywirusowe oraz antyspamowe. Dostęp do serwera jest możliwy z sieci wewnętrznej, poprzez VPN (zdalni użytkownicy) z poziomu programu klienta pocztowego, za pomocą interfejsu WWW poprzez szyfrowane połączenie SSL z Internetu. 5.4 Systemy i zabezpieczenia dostępne instytucji Komentarz: Pomimo, iż wiedza z zakresu zabezpieczeń jest niezbędna głównie dla administratorów i pracowników działu informatyki, zaleca się poinformowanie użytkowników o istniejących zabezpieczeniach, które są wdrożone w sieci instytucji. Jak wiadomo zwiększanie poziomu bezpieczeństwa ma wpływ na ograniczenia możliwości pracy użytkowników. Sytuacją idealną jest osiągnięcie kompromisu pomiędzy wysokim poziomem bezpieczeństwa a maksymalnymi możliwościami pracowników podczas ich normalnej pracy Przedstawienie ważności oraz zastosowanych zabezpieczeń może mieć pozytywny wpływ na zrozumienie potrzeby stosowanej ochrony. Wiedza z tego zakresu może być pomocna dla użytkowników w pogłębieniu świadomości o bezpieczeństwie, dostarczeniu informacji o działaniu tych zabezpieczeń ( sposób w jaki ograniczają pracę użytkowników), w zrozumieniu i akceptacji procesu wdrożenia polityki bezpieczeństwa oraz systemów zabezpieczających, przy wyrobieniu zdania o skuteczności zabezpieczeń w stosunku do ograniczeń użytkowników oraz przy identyfikacji błędów w omijaniu procedur bezpieczeństwa. Wybór zabezpieczeń powinien być ściśle związany z rodzajem 67 oraz specyfiką działalności instytucji, w szczególności z wynikami analizy ryzyka przeprowadzonej dla tej instytucji. Poniżej zostaną przedstawione podstawowe mechanizmy zabezpieczeń. Przykładowe zabezpieczenia: • Zapory sieciowe. Są to urządzenia lub aplikacje monitorujące „wchodzące” i „wychodzące” połączenia sieciowe. Ich głównym zadaniem jest blokowanie dostępu połączeniom uznanym za niebezpieczne lub zbędne, czyli niezgodne z przyjętymi przez IŁ regułami. Polityka zapór sieciowych dotyczy: o brzegowych urządzeń zlokalizowanych przy punktach wyjściowych lub wejściowych, z lub do sieci wewnętrznych. Głównym zadaniem tych urządzeń jest monitorowanie i filtrowanie tych połączeń jak również kontrola połączeń między sieciami wewnętrznymi, np. sieć ogólna i podsieć systemu kadrowego, podsieć DMZ, o serwerów z usługami; zapory sieciowe określone są w tym przypadku jako personalne. Ich głównym zadaniem jest monitorowanie i filtrowanie ruchu przychodzącego do serwerów i dopuszczanie połączeń tylko do akceptowalnych usług, z akceptowanych sieci, o jednostek klienckich posiadających zainstalowane oprogramowanie VPN. Aplikacje, oprócz zestawiania szyfrowanego połączenia, posiadają personalny firewall. Za politykę ruchu odpowiadają reguły dostępu, znajdujące się na zaporach sieciowych oraz na komputerach zdalnych (aplikacja kliencka posiada personalną zaporę, którą konfiguruje administrator zapory sieciowej). • Wirtualne sieci prywatne (VPN). Wirtualne sieci prywatne tworzą w sieci internetowej bezpieczne kanały transmisji, które łączą zdalne oddziały z główną siedzibą instytucji oraz zdalnych użytkowników z siecią główną instytucji. W tej komunikacji biorą udział następujące urządzenia (posiadają mechanizm umożliwiający ustabilizowanie bezpiecznego połączenia VPN): o zapory sieciowe (posiadają mechanizm zestawiający połączenia), o komputery zdalnych użytkowników posiadające oprogramowanie klienckie, umożliwiające zestawienie połączenia VPN. Komunikacja pomiędzy zdalnymi stronami jest szyfrowana, uwierzytelniana. Proces ten odbywa się w sposób niezauważalny dla użytkownika w przypadku połączeń sieci oddziału z siecią główną. Ruch w kanałach wirtualnych podlega również regułom ograniczającym dostęp do poszczególnych zasobów w sieci. • Systemy antywirusowe, antyspamowe. Instytucja posiada kilka systemów antywirusowych w celu skutecznego przeciwdziałania atakom wirusów oraz innemu złośliwemu oprogramowaniu. Kontrola antywirusowa występuje w kilku miejscach: o na serwerach poczty elektronicznej (oraz na urządzeniach typu brama) . Działanie ich jest niezauważalne dla użytkownika, o na jednostkach roboczych użytkowników. Aplikacja znajdująca się na komputerach pracowników, działa w postaci rezydentnego programu skanującego. Ze względu na cogodzinną aktualizację definicji wirusów, ta aplikacja powinna mieć zawsze aktualne bazy danych wirusów. Rezydentny program skanuje wszystkie programy uruchamiane przez użytkownika w trakcie pracy komputera. • VLAN. Mechanizm wykorzystywany do logicznego rozdzielania sieci na podsieci, ograniczając tym samym komunikację między nimi. Polityka dostępu między podsieciami jest dokonywana na przełącznikach rutujących. Podsieć księgowość-finanse jest 68 • całkowicie zablokowana, podsieć kadrowo-płacowa i główna mają ograniczoną komunikację pomiędzy sobą. PKI. Dane chronione w instytucji o szczególnym znaczeniu należy wysyłać przez pocztę elektroniczną używając infrastruktury klucza publicznego. Użytkownicy, w szczególności administratorzy informacji uprawnieni do przesyłania informacji chronionych, uzyskują parę kluczy prywatnych do podpisu cyfrowego oraz szyfrowania. 5.5 Warunki oraz zasady dostępu do systemów i usług instytucji Komentarz: polityka bezpieczeństwa powinna jasno definiować zasady postępowania użytkowników podczas dostępu do zasobów i usług instytucji. Użytkownik powinien mieć świadomość o zastosowanych ograniczeniach oraz warunkach, na jakich może on uzyskać dostęp. Zasady dostępu do zasobów i usług są uzależnione od profilu instytucji, tzn. organizacje muszą już wcześniej przeprowadzić analizę ryzyka i na podstawie szacowania określić stopień niebezpieczeństwa dla ich zasobów. Warunki dostępu użytkowników są uzależnione od środowiska, do jakiego się łączą (informacje chronione, krytyczność zasobów i urządzeń) oraz z miejsca, z jakiego nawiązują połączenie (zaufane, niezaufane). Bardziej restrykcyjne warunki dotyczą środowiska, które jest najmniej znane, tzn. nie ma informacji na temat zabezpieczeń, osób odpowiedzialnych oraz zainstalowanego oprogramowania, np. kawiarnie internetowe. Zaleca się opisanie wszystkich wykorzystywanych środowisk. Poniżej zostały przedstawione przykładowe miejsca. Możliwość korzystania z zasobów systemów i usług instytucji jest uzależniona od lokalizacji użytkownika: • Sieci wewnętrzne instytucji, czyli komputery znajdujące się w sieciach (sieci oddziałów, podsieć systemu kadrowego, główna sieć). Dostęp do zasobów sieciowych znajdujących się w sieci odbywa się za pośrednictwem domeny Windows. Po poprawnym zalogowaniu się użytkownicy uzyskują dostęp do zasobów i usług sieciowych: o Poczty elektronicznej oraz do książki adresowej (Exchange) przez uruchomienie Microsoft Outlook 2000/XP/2003. o Udziałów sieciowych przez otoczenie sieciowe. o Uaktualnień systemu antywirusowego. o Internetu oraz Intranetu przez uruchomienie przeglądarki internetowej. Intranet wymaga początkowego uwierzytelnienia użytkowników a komunikacja serwera z użytkownikami zawsze odbywa się przez bezpieczny protokół https. Korzystanie z Internetu jest możliwe na pewnych warunkach zdefiniowanych w polityce dostępu brzegowej zapory sieciowej. Dozwolone jest łączenie się z dowolnymi serwerami zewnętrznymi przez:
protokół zdalnego dostępu Telnet,
protokół terminalu SSH,
protokół FTP działającego w trybie pasywnym,
protokóły POP3, POP3-SSL, IMAP, IMAP-SSL (pobieranie poczty z zewnętrznych serwerów),
protokoły HTTP, HTTPS - dostęp do stron Internetowych jest możliwy przez standardową komunikację (standardowe porty), o Usługi terminalowej Unix, linia komend (shell) systemu Unix. Usługa wymaga uwierzytelniania. W celu uzyskania dostępu do tej usługi, należy połączyć się 69 • • za pomocą protokołu Telnet lub bezpieczniej SSH (połączenie szyfrowane z dodatkową autoryzacją maszyn). Zasady bezpieczeństwa. Połączenie w sieci lokalnej oznacza mniejsze ryzyko, ponieważ sieć znajduje się w zaufanej strefie zarządzanej przez administratorów instytucji. Bezpieczeństwo w sieci lokalnej wspierają: domena Windows, vlany, zapory sieciowe (personalne na serwerach usług, zapory brzegowe). Dostęp zdalny. Dotyczy komunikacji komputerów znajdujących się poza sieciami instytucji. Komputery te są podłączone do różnych sieci i dostęp do instytucji odbywa się przez Internet, który powinien być uważany za strefę niebezpieczną lub o ograniczonym zaufaniu. Transmisja danych w Internecie odbywa się przez elementy łączące (tzw. routery). Podczas przesyłania danych routery podejmują decyzję, którędy przesyłać dane transmisji tak, aby najszybciej dotarły do punktu docelowego. Jeśli transmisja danych zostanie skierowana do niebezpiecznego komputera, to dane mogą zostać zmodyfikowane, odczytane lub zniszczone. Niebezpieczeństwa mogą być minimalizowane przez systemy wspierające bezpieczeństwo lub przez poprawne zachowanie użytkowników. Dodatkowo użytkownik jest odpowiedzialny za administrację i zarządzanie osobistym komputerem. Zagadnienia związane z system antywirusowym, aktualizacją aplikacji, zabezpieczeniem komputera całkowicie są uzależnione od wiedzy i umiejętności użytkownika. Wszelkie modyfikacje wynikające z aktualnych praw dostępu nie mogą jednak zmniejszać stopnia zabezpieczeń komputera ustalonego przez administratorów instytucji. Występuje klika sposobów zdalnego łączenia się z instytucją: o VPN. Użytkownicy korzystający z połączeń wirtualnej sieci prywatnej uzyskują szyfrowane połączenie do sieci instytucji. Połączenie uzyskane za pośrednictwem szyfrowania całej transmisji nie jest tak niebezpieczne jak przypadki opisane poniżej. Dlatego użytkownik ma większe prawa dostępu do zasobów sieci wewnętrznej instytucji. Użytkownik może korzystać z poczty (dostęp do własnej skrzynki pocztowej) Windows Exchange 2003 przez przeglądarkę internetową (WebAccess) lub klienta protokołu IMAP. Użytkownicy mogą łączyć się z wewnętrznym serwerem intranetowym oraz z usługą terminalową Unix. Bezpieczeństwo: Komunikacja pomiędzy zdalnymi użytkownikami a siecią główną jest szyfrowana, dane są wymieniane z zachowaniem poufności i integralności (mechanizmy kontrolujące modyfikacje danych podczas przesyłania). W trakcie zestawiania VPN aplikacja kliencka aktywuje zaporę sieciową (zgodnie z regułami zdefiniowanymi przez administratora). Dopuszczony jest ruch wyłącznie pomiędzy klientem zdalnym a bramą VPN. Zdalny dostęp niesie ze sobą większe ryzyko naruszeń bezpieczeństwa. Pomimo szyfrowanej komunikacji, po ustabilizowaniu się połączenia VPN, należy zachować świadomość, że przed uzyskaniem połączenia komputer łączył się z Internetem. Atakujący mógł już wcześniej zainstalować oprogramowanie, które uaktywniając się w chwili zestawiania połączenia, może dostać się do sieci wewnętrznej. Użytkownik mógł również pobrać ważny dokument i nagrać go na dysku, po czym skasować. Atakujący za pomocą specjalnego oprogramowania mógłby odzyskać ten plik. Kolejnym problemem jest zarażenie robakami internetowymi. Jeśli komputer użytkownika jest zarażony, po zestawieniu połączenia internetowy robak będzie próbował zarazić inne komputery z sieci wewnętrznej. o Zaufany komputer. W tym przypadku rozważani będą zdalni użytkownicy chcący połączyć się ze swojego komputera domowego lub notebooka do sieci instytucji. Ten przypadek dotyczy komputerów nie posiadających oprogramo- 70 wania VPN i administrowanych przez właścicieli. Dostęp do sieci wewnętrznej jest bardzo ograniczony gdyż dozwolony jest jedynie odbiór i wysyłanie poczty elektronicznej. W celu uzyskania dostępu do skrzynki pocztowej użytkownika, należy wpisać odpowiedni adres internetowy Outlook Web Access lub odpowiednio skonfigurować klienta protokołu IMAP z szyfrowaniem SSL/TLS. Bezpieczeństwo: Poziom bezpieczeństwa w tym przypadku zależy od stopnia zabezpieczenia komputera przez jego administratora/właściciela. Osoba powinna być świadoma, jakie mechanizmy bezpieczeństwa posiada komputer. W tym połączeniu nie występuje automatyczne zestawienie kanału VPN pomiędzy komputerem użytkownika (brak zainstalowanej aplikacji) a bramą instytucji. Aby połączenie było bezpieczne należy skorzystać z protokołów aplikacyjnych oferujących połączenie szyfrowane. o Nieznany komputer: Użytkownicy, korzystający z komputerów, o których nie posiadają żadnej wiedzy dotyczącej bezpieczeństwa (jakie są zainstalowane aplikacje, czy komputer nie jest zarażony wirusami, aplikacjami trojańskimi, robakami). W tej sytuacji użytkownik otrzymuje prawa dostępu jak i w przypadku powyższym (dostęp jedynie do poczty elektronicznej, za pomocą przeglądarki internetowej lub klienta pocztowego obsługującego protokół IMAP). Bezpieczeństwo: Poziom bezpieczeństwa na nieznanym komputerze jest trudny do ustalenia. Użytkownik nie jest w stanie ocenić, jakie aplikacje są na nim zainstalowane oraz czy komputer ma wirusy, konie trojańskie lub robaki internetowe. Szczególnym zagrożeniem mogą być aplikacje uruchomione na tym komputerze, np. aplikacje typu sniffer (rejestrujące i zapisujące komunikację), pobierające znaki wprowadzane przez klawiaturę (umożliwiłoby to odkrycie hasła i innych cennych informacji wprowadzanych przez użytkownika), aplikacje typu przeglądarka Internetowa, która ma ukryte dodatkowe funkcje. Wpisanie hasła i loginu na takim komputerze oznacza utratę poufności danych identyfikujących osobę i mogą być wykorzystane do nieautoryzowanego dostępu. Należy unikać korzystania z nieznanych komputerów. 5.6 Wskazówki oraz instrukcje postępowania użytkowników instytucji Instrukcje i zasady bezpieczeństwa, obowiązujące użytkowników będących administratorami oraz użytkowników zdalnych komputerów, łączących się z siecią instytucji. Komentarz: Poniżej zostały przedstawione wskazówki oraz instrukcje opisujące zasady prawidłowego postępowania użytkowników podczas dostępu do zasobów i usług instytucji. Należy być świadomym roli użytkownika w zachowaniu bezpieczeństwa informacji. Niezależnie od tego, jak dobrze przygotowana jest infrastruktura bezpieczeństwa w sieci informatycznej (zapory sieciowe, systemy wykrywania włamań, VPN). Bez odpowiedniej wiedzy użytkowników, taki system jest wciąż źle zabezpieczony oraz podatny na ataki. Użytkownik stanowi ważne ogniowo w systemie bezpieczeństwa. Jego działania wpływają na poziom bezpieczeństwa informatycznego. Poniżej zostały przedstawione zagadnienia, instrukcje oraz wytyczne, w jaki sposób użytkownik bezpiecznie powinien korzystać z aplikacji klienckich 71 dostępnych na swojej stacji roboczej oraz z usług i zasobów znajdujących się na serwerach instytucji: • Bezpiecznie przesyłanie danych. Każdy użytkownik, wysyłając chronione dane przez Internet, powinien się upewnić, że ich zawartość będzie przez cały czas transmisji poufna. Poufność danych zapewniają mechanizmy szyfrowania. Jeśli dane zostaną zaszyfrowane odpowiednimi algorytmami to przyjmuje się, że ich treść nie zostanie ujawniona dla osób postronnych. Ewentualna modyfikacja tych danych zostanie wówczas natychmiast zauważona. Zaufanie poufności danych podczas przesyłania jest możliwe na dwa sposoby. Pierwszym sposobem jest skorzystanie z funkcjonalności aplikacji korzystających z nowszych protokołów wspierających szyfrowanie danych oraz uwierzytelnienie drugiej strony występującej w komunikacji. Przykładem takich aplikacji jest klient pocztowy „Microsoft Outlook” korzystający z protokołu SMIME/POPS/IMAPS, usługi terminalowe korzystające z protokołu SSH czy przeglądarka Internetowa korzystająca z protokołu HTTPS. Drugim sposobem na zachowanie poufności danych jest skorzystanie z zewnętrznych aplikacji (w przypadku, gdy aplikacje nie zachowują poufności). Dane szyfruje się inną aplikacją niż ta, którą wykorzystuje się do ich wysyłania. Poniżej zostały pokazane instrukcje jak korzystać z poszczególnych aplikacji, wspierających szyfrowanie: o S/MIME. Przesyłanie danych chronionych przez pocztę elektroniczną odbywa się przez format kryptograficzny S/MIME. Wspiera on mechanizm szyfrowania (algorytm 3DES) i badania integralności (algorytm SHA1) danych oraz uwierzytelnienie nadawcy i odbiorcy. Bezpieczna poczta w instytucji jest realizowana przy wykorzystaniu dwóch certyfikatów cyfrowych: jednego do szyfrowania danych, drugiego do podpisywania danych. Ważnym aspektem przy tym jest mechanizm zarządzania kluczami. Klucze są identyfikatorami użytkowników. Należy zwrócić szczególną uwagę na miejsce ich przechowywania. Zaleca się przechowywanie kluczy w miejscach trudno dostępnych. Przykład to użycie zewnętrznych urządzeń np. eTokeny, które mogą zagwarantować bezpieczeństwo kluczy przez mechanizm jednokierunkowy tj. klucz zaimportowany nie może z eTokena zostać wyeksportowany. Dodatkowo dostęp do kluczy eTokena jest możliwy tylko przez podanie hasła. Użytkownicy powinni niezwłocznie informować administratorów w przypadku podejrzenia utraty poufności klucza np. zgubienie klucza, możliwość podejrzenia hasła eTokena. o POPS/IMPS. Odbieranie poczty z komputerów znajdujących się poza siecią instytucji powinno odbywać się poprzez szyfrowane połączenia. W tym celu należy użyć bezpiecznych odpowiedników protokołów POP oraz IMAP. W celu skonfigurowania takich protokołów należy skontaktować się z administratorami działu informatyki. Aktualnie zalecane jest przeglądanie poczty przez Outlook Web Access. W tym celu należy skorzystać z przeglądarki internetowej i połączyć się z adresem serwera poczty za pomocą szyfrowanego połączenia HTTPS. o HTTPS. Niektóre strony Internetowe umożliwiają przesyłanie dokumentów za pomocą przeglądarek internetowych do serwera WWW. Użytkownicy chcący skorzystać z takiej usługi powinni być świadomi, że normalny protokół przesyłania dokumentów do serwera WWW wykonuje tę operację nie zachowując poufności danych. W celu zabezpieczenia danych należy skorzystać z jego bezpiecznej wersji, która korzysta z protokołu SSL. Użytkownik może z niej skorzystać wpisując w pasku adresu w przeglądarce internetowej adres rozpoczynający się od „https://”. Jeśli serwer WWW umożliwia taką usługę to prze- 72 syłanie dokumentów za pomocą stron internetowych dokonywane jest całkowicie bezpiecznie, zapewniając szyfrowanie danych oraz uwierzytelnienie, co najmniej serwera WWW. Pracownicy mogą zidentyfikować bezpieczne połączenie sprawdzając ikonę kłódki występującą po prawej-dolnej stronie ekranu przeglądarki internetowej oraz informacje o certyfikacie serwera, z którym są połączeni. o SSH. Dostęp do usług terminalowych systemów Unix powinien odbywać się za pomocą protokołu SSH. Często używany protokół Telnet nie wspiera poufności przesyłanych do serwera danych. Protokół SSH wykorzystuje szyfrowanie oraz mechanizm uwierzytelnienia stron komunikujących maszyn się ze sobą. Przy pierwszym zestawieniu połączenia klucze dwóch stron są wymieniane w bezpiecznym kanale. Mechanizm ten przeciwdziała atakom typu man-in-themiddle. • Przeciwdziałanie inżynierii socjalnej (ang. social engineering). Osoby, które chcą uzyskać nieautoryzowany dostęp do systemów, mogą wykorzystywać nietechniczne metody ataku. Socjotechnika polega na zdobywaniu poufnych informacji, takich jak hasła, informacje, dokumenty drogą nietechniczną, przy wykorzystaniu wiedzy z psychologii oraz podstawowych danych personalnych ludzi zatrudnionych w miejscu będącym obiektem ataku. W przykładowym scenariuszu haker może użyć telefonu lub e-maila i przedstawiając się jako ktoś inny (np. kierownik, administrator systemu), zażądać informacji (danych konta, dokumentów). Użytkownik, opisany w powyższej sytuacji, powinien przestrzegać zasad bezpieczeństwa i nie ujawniać takich informacji (patrz poniższy punkt „bezpieczeństwo haseł”). Dobrym rozwiązaniem jest potwierdzenie takiej prośby drogą nieinformatyczną (np. dzwoniąc do osoby, która zażądała informacji, o ile nie jest to prośba o hasła, które bezwzględnie powinno być chronione). • Bezpieczeństwo haseł. Osoba, która chce uzyskać nieautoryzowany dostęp do systemu, może wykorzystać słabe lub domyśle hasła. W celu odkrycia takiego hasła wykorzystuje ona oprogramowanie, które z listy haseł (np. hasła słownikowe, popularne nazwy) lub poprzez kombinacje ciągów liter, cyfr (atak brutalny) zgaduje hasło używane przez użytkownika. Dlatego ważną kwestią jest tworzenie trudnych haseł. Trudne hasło: o powinno być dłuższe niż 7 znaków (im dłuższe hasło, tym większa liczba kombinacji do odgadnięcia), o powinno zawierać małe i duże litery, cyfry i znaki specjalne, o nie powinno składać się wyłącznie z wyrazów, np. nazw przedmiotów, imion, filmów, piosenek itp. (takie słowa są b. łatwe do odgadnięcia), o nie powinno być słowem, które może znajdować się w słownikach lub jego anagramem, o nie powinno zawierać informacji o właścicielu np. data urodzenia, imiona osób bliskich (atakujący może je wykorzystać). Użytkownicy nie powinni tworzyć zbyt trudnych haseł, których nie są w stanie zapamiętać. Hasło powinno zawierać powyższe wskazówki, ale jednocześnie być logiczne i łatwe do przypomnienia. Zasady użytkowania haseł: o Bezwzględnie wymaga się nie ujawniania haseł i loginów dla innych osób. Hasło jest ściśle związane z osobą i służy do identyfikacji takiej osoby np. w systemie informatycznym. Hasła nie należy ujawniać nikomu, nawet gdyby taka prośba została zgłoszona przez administratora czy przełożonego. Próba 73 wyłudzenia hasła przez inną osobę często powiązana jest z zagadnieniami socjotechniki. Szczegółowe informacje na temat inżynierii zawarte są w punkcie D. o Zabrania się korzystać z programów zarządzających hasłami, chyba że takie programy zostaną sprawdzone przez administratorów. o Zabrania się także przesyłania haseł drogą pocztową lub elektroniczną, chyba że zostało one zaszyfrowane i mechanizm wymiany jest bezpieczny. o Zaleca się tworzenie różnych haseł do każdego systemu, z którego korzysta użytkownik. o Zabrania się wykorzystywania haseł z systemów instytucji poza nią. o Zabrania się używania tych samych haseł przez różne osoby. Zasady wymiany haseł: o Hasła użytkowników powinny być wymieniane raz na 6 miesięcy. o Hasła do kont administratorów i użytkowników uprzywilejowanych należy wymieniać raz na 2 miesiące. • Bezpieczeństwo e-mail. Poczta elektroniczna stała się jednym z głównych mechanizmów wymiany danych w Internecie. Poniżej zostały przedstawione wskazówki zwiększenia bezpieczeństwa pracy przy korzystaniu z tej drogi komunikacji. Pełna lista reguł znajduje się w głównym dokumencie polityki bezpieczeństwa, poniżej zostają przedstawione najważniejsze z nich z objaśnieniami: o należy pamiętać o tym, że zawarte w wiadomościach dane mogą być zmienione przez osoby trzecie. Osoby takie, np.spamerzy posiadają oprogramowanie umożliwiające fałszowanie informacji m.in. o nadawcy, dlatego użytkownik nie może być całkowicie pewien źródła wysyłania wiadomości, o nie zaleca się otwierania linków internetowych, znajdujących się w treściach wiadomości pochodzących z nieznanych źródeł. Kliknięcie na takim linku może np. otworzyć stronę internetową i jeśli strona zawiera złośliwy kod, jego uruchomienie może spowodować np. instalację podejrzanego oprogramowania, o nie należy rozpakowywać załączników chronionych hasłem w wiadomościach od nieznanych osób lub znanych, jeżeli nie spodziewaliśmy się otrzymać takiego załącznika. Załączniki chronione hasłem nie są skanowane przez systemy antywirusowe i najczęściej zawierają wirusy komputerowe. o nie należy otwierać załączników w wiadomościach z podejrzanych lub nieznanych źródeł. Załączniki są często wykorzystywane do przenoszenia wirusów lub robaków internetowych, o wykonywalne pliki (programy) w załącznikach wiadomości pocztowych mogą być niebezpieczne. Zaleca się unikania otwierania plików z rozszerzeniem exe, js, vbs, bat, com, pif, scr, spl, cpl, ponieważ mogą zawierać wirusy lub inne szkodliwe oprogramowania, o załączniki w wiadomościach pocztowych mogą specjalnie dawać mylne skojarzenia, co do typu załącznika. Należy zwracać uwagę na pełne nazwy tych plików. Przykładowymi naruszeniami są pliki ‘zdjecie.jpg.exe’, ‘zdjecie.jpg___________________.exe’, itp., o wiadomości pocztowe zawierające zwroty takie jak np. kliknij tutaj, moje zdjęcie, żądany plik, gry, wyświetlacze ekranu, zdjęcia, filmy mogą zawierać wirusy i należy zachowywać ostrożność przy ich otwieraniu, o zaleca się wyłączenie okienka podglądu. Wirusy makr mogą zostać uruchomione nawet, jeśli użytkownik nie otworzy zainfekowanego pliku. Wirusy te wykorzystują własność okienka podglądu poczty w programach Microsoft 74 • • • Outlook lub Express (umożliwia podgląd wiadomości pocztowej bez podwójnego klikania w wiadomość), o należy zwrócić uwagę na konfigurację wyświetlania treści wiadomości pocztowej w programie do odbioru/wysyłania poczty. Opcją bezpieczną jest wyświetlanie każdej wiadomości jako plik tekstowy. Wyświetlanie treści wiadomości jako strony html może doprowadzić do niechcianej instalacji złośliwego oprogramowania lub wirusa (Patrz punkt ‘Przeglądarka Internetowa’), o zachowanie wiedzy, że wirusy w celu powielania się wykorzystują pocztę elektroniczną. Jeśli użytkownik zauważy dużą ilość wysłanej poczty w folderze wiadomości wysłanych, widoczne spowolnienie pracy komputera z nieznanych powodów, oznacza to, że prawdopodobnie jego komputer jest zainfekowany. Użytkownik powinien zgłosić taki incydent do administratora w celu stwierdzenia przyczyny takiego działania. Backup. Zagadnienia związane z kopiami bezpieczeństwa danych mają duży wpływ na bezpieczeństwo informacji. Użytkownik często lekceważy profilaktykę związaną z archiwizacją oraz tworzeniem systematycznych kopii bezpieczeństwa. Utrata danych stanowi realne zagrożenie i dotyczy zarówno ataku wirusa, awarii dysku, niepoprawnego działania programu, jak i przypadkowego usunięcia z dysku przez użytkownika. Administratorzy sieci nie są w stanie tworzyć backupu każdej stacji klienckiej, ich rola ogranicza się do pełnego backupu serwerów, na których przechowywane są informacje o poczcie oraz o danych znajdujących się na dyskach sieciowych. Proces tworzenia kopii bezpieczeństwa powinien być wykonywany systematycznie. Komunikatory internetowe. Są to programy, które umożliwiają komunikację pomiędzy dwoma użytkownikami znajdującymi się na różnych komputerach. Oprogramowanie tego typu stanowi zmniejszenie poziomu bezpieczeństwa w sieci informatycznej. Zabrania się używania komunikatorów do wymiany ważnych danych. W szczególności zaś do wysyłania ważnych dokumentów instytucji. Nie ma komunikatorów oficjalnie wspieranych przez dział informatyki. Generalnie należy pamiętać, że używanie komunikatorów może stanowić niebezpieczeństwo, gdyż: o użytkownik nie może być całkowicie pewien, kto znajduje się po drugiej stronie. Druga strona komunikacji może stosować różne formy techniki ataku jak socjotechnika (próba wyłudzenia informacji), przesyłanie plików (na przykład zdjęcia), które mogłyby zawierać szkodliwe oprogramowanie (wirusy, konie trojańskie, itp.), o niektóre typy komunikatorów mogą zmniejszyć poziom bezpieczeństwa naszego komputera, instalując lokalną usługę sieciową, która może być wykorzystana do nieautoryzowanego dostępu, o współczesne komunikatory oprócz rozmowy posiadają dodatkową funkcjonalność, jak możliwość przesyłania plików. Przez komunikator mogą być przesyłane pliki zawierające wirusy, konie trojańskie i inne złośliwe oprogramowania, o komunikatory są programami, które mogą zawierać błędy programistyczne. Powyższe dziury w oprogramowaniu mogłyby być wykorzystane przez hakerów (na przykład starsze wersje ICQ posiadały błąd umożliwiający nieautoryzowany dostęp do każdego pliku na komputerze), o komunikacja w komunikatorach internetowych odbywa się przez Internet. Transmisja danych przy takim połączeniu nie jest poufna, może zostać podsłuchana, a zdobyte informacje wykorzystane do nieautoryzowanego dostępu. Przeglądarka Internetowa. Strony internetowe stały się głównym mechanizmem szybkiego wyszukiwania informacji w Internecie. W celu ułatwienia dostępu do in- 75 formacji oraz zwiększenia funkcjonalności przeglądania, autorzy stron internetowych wprowadzili tzw. aktywną zawartość stron (Active-X, aplety Java, języki skryptowe VBScript oraz JavaScript), które mogą poważnie zagrozić bezpieczeństwu komputerów oraz sieci informatycznych. Najgroźniejszymi z powyższych jest technologia firmy Microsoft - Active-X. Kontrolka Active-X po ściągnięciu przez przeglądarkę internetową, instaluje się i uzyskuje od systemu operacyjnego pełną kontrolę (może zmienić hasła, usunąć dane, wysłać dane przez e-mail, skanować sieć, pobrać z Internetu i zainstalować dodatkowe oprogramowanie itp.). Microsoft ograniczając skalę zagrożenia wprowadził cyfrowo podpisane kontrolki Active-X informujące, że pochodzą z zaufanego źródła. Należy zachować świadomość, że certyfikaty mogą zostać skradzione, nazwy firm podpisujących łudząco podobne do znanych wystawców certyfikatów, a niebezpieczne kontrolki podpisane nimi są uważane przez komputery osobiste jako niegroźne. Kolejnym niebezpiecznym mechanizmem aplety java. Aplety są bezpieczniejsze od Active-X, ponieważ wprowadzają strukturę bezpieczeństwa tzw.sandbox. Aplety zaklasyfikowane przez użytkownika jako nieznane, są uruchamiane w obiekcie sandbox, w którym posiadają ograniczone możliwości naruszania bezpieczeństwa systemu. Niestety bezpieczeństwo obiektu sandbox nie jest gwarantowane i ściągnięty kod może wydostać się z obiektu lub naruszyć model bezpieczeństwa powodując realne zagrożenia. Niebezpieczeństwa pochodzące ze stron internetowych można ograniczać stosując poniższe wskazówki i zalecenia: o Użytkownik powinien zachować świadomość, że przeglądarki mogą pobierać i instalować programy bez jego wiedzy. W opcjach internetowych zabezpieczeń Internet Explorer użytkownik może zdefiniować modele bezpieczeństwa, upewnić się, że modele nie posiadają zbyt szerokich uprawnień. Dobrą praktyką jest wpisanie do stref zaufanych wszystkich znanych stron internetowych oraz zastosowanie ograniczeń przy przeglądaniu stron nieznanych. o Korzystając z Internet Explorer użytkownik musi zainstalować niektóre Active-X dla poprawnego działania pewnych stron internetowych. Zaleca się instalację activex dotyczącą strony WindowsUpdate, OfficeUpdate, Maromedia Flash lub innych niezbędnych użytkownikowi (należy zwrócić przy tym uwagę na podpisy cyfrowe instalowanych programów). o Komunikacja pomiędzy przeglądarką internetową i zewnętrzną stroną internetową w większości przypadków odbywa się za pomocą niezaszyfrowanego połączenia. Wysyłanie danych za pomocą formularzy na takich stronach nie zapewnia poufności danych (możliwość podglądu przez osoby postronne). Użytkownik chcąc przesłać dane za pomocą bezpiecznego protokołu powinien skorzystać z protokołu https. Bezpieczną komunikację można rozpoznać w przeglądarce internetowej przez różnego rodzaju oznaczenia (w zależności od producenta przeglądarki internetowej), np. kłódki po prawej stronie na dole okna przeglądarki, oraz przez oznaczenie https:// w pasku nawigacyjnym, o Należy zachować szczególną ostrożność przy wyskakujących okienkach internetowych (ang. pop up). Zaleca się wyłącznie tej opcji (najnowsza wersja Internet Explorer oraz Firefox wpierają opcje umożliwiającą wyłączenie). Okienka mogą spowodować instalację Active-X lub złośliwego oprogramowania, na przykład spyware poprzez zaakceptowaniu pytania pojawiającego się w treści. Zaleca się unikania odpowiedzi na pytania i zamykania takich okienek przez krzyżyk (górny-prawy róg okienka, czasami występują mylne krzyżyki w środku okienka). Autor stron internetowych często w zamyśle tworzy zawiłe pytania, często przekręcając szyk pytania (wybranie ‘nie’ może ozna- 76 czać zgodę). Okienka mogą zawierać linki przekierowujące do niebezpiecznych stron, o użytkownik przeglądający Internet powinien unikać stron z crakami, grami (losowymi), treściami erotycznymi, ponieważ większość z ich jest zbudowana przy wykorzystaniu niebezpiecznych kodów źródłowych, o nie zaleca się klikania linków prowadzącymi do programów antyspyware. Linki takie mogą zawierać strony lub oprogramowania złośliwe, na przykład spyware, o użytkownik powinien zachować szczególna ostrożność przy pobieraniu z Internetu plików z rozszerzeniem exe, js, vbs, bat, com, pif, scr, spl, cpl, ponieważ zawierają one najczęściej wirusy lub inne szkodliwe programy. Jeśli, podczas pracy komputera: o nieustannie wyskakują okienka pop up, o występują przekierowania stron internetowych (otwieranie się innej strony niż ta, które została wpisana), o niespodziewane pojawi się dodatkowy pasku narzędzi na pasku przeglądarki internetowej, o zmieni się strona startowa, o często pokazują się komunikaty o błędach, o nastąpiło zwolnienie pracy komputera w szczególności przy otwieraniu programów lub menadżera procesów, o występuje możliwość zarażenia komputera złośliwym oprogramowaniem, to powyższy fakt należy niezwłocznie zgłosić do administratora sieci. • Kontrola tożsamości. Dostęp do informacji chronionych możliwy jest tylko dla upoważnionych osób. Przekazywanie czy udostępnianie danych chronionych innej osobie powinno być zawsze poprzedzone weryfikacją osoby, która występuje z prośbą o przekazanie jej takich informacji. Przykładem sytuacji jest prośba o wystawienie zaświadczenia o zarobkach lub innego zawierającego dane osobowe. Osoba wydająca takie informacje powinna być świadoma, że informacje takie są ściśle chronione przez ustawę o ochronie danych osobowych, która określa prawną odpowiedzialność za niedopilnowanie swoich obowiązków. Weryfikacja tożsamości zawsze powinna stanowić podstawę do przekazania informacji chronionych. Poniżej są przedstawione instrukcje jak należy weryfikować osobę: o Zaleca się, aby odbiór dokumentów zawierające dane chronione odbywał się osobiście przez osobę, której te dane dotyczą. Odbiór powinien być potwierdzony przez dokument tożsamości np. dowód osobisty, lub poprzez sprawdzenie zdjęcia na karcie-identyfikatorze systemu kontroli dostępu. o Udostępnienie danych osobowych powinno być poprzedzone złożeniem podania. o Należy zachować szczególną ostrożność przy udostępnianiu danych chronionych przez pocztę elektroniczną. Potwierdzenie osoby przez pocztę elektroniczną jest możliwe przez jej podpis cyfrowy. Jeśli osoba nie posiada takiego podpisu należy zweryfikować najlepiej korzystając z innego kanału transmisyjnego jak na przykład oddzwonienie do takiej osoby przez telefon. Poczta elektroniczna stanowi duże zagrożenie pod względem ataków typu socjotechnika (patrz punkt Przeciwdziałanie socjotechnice), 77 • • o Rozmowa telefoniczna może być wykorzystywana do pozyskiwania pewnych informacji wykorzystując socjotechnikę. Użytkownik z dostępem do informacji chronionych powinien być świadomy, że wyświetlany numer nie może być używany do zweryfikowania osoby (kradzież telefonu przenośnego, lub podszywanie się pod osobę). Trwałe usunięcie danych. Użytkownicy powinni być świadomi, w jaki sposób są usuwane dane z dysków twardych. W uproszczeniu, dyski twarde składają się z dwóch części. Pierwsza do przechowywania wskaźników do danych, w drugiej znajdują się fizycznie dane (pliki z informacjami). Przy wybraniu kasowania plików w systemie operacyjnym usuwany jest tylko wskaźnik, natomiast faktyczny plik z danymi zostaje nadal na dysku. Formatowanie dysków też nie powoduje trwałego usunięcia danych znajdujących się na dyskach twardych. W celu usunięcia takiego pliku należy skorzystać z programów, które nadpisują losowymi danymi miejsce na dysku, gdzie znajduje się plik z danymi. Programy tą czynność nadpisywania wykonują kilkakrotnie losowymi danymi o różnych wielkościach. Jeśli zachodzi potrzeba trwałego usunięcia danych z dysku twardego należy użyć ww. programów7. W przeciwnym przypadku, jeśli dysk zostanie przejęty przez osoby trzecie jego dane mogą zostać odzyskane za pomocą programów typu recovery. Dobre praktyki pracy przy stanowisku. Użytkownicy systemów powinni być świadomi bezpieczeństwa komputerów używanych do pracy. Większość obecnych systemów pracuje na zasadzie klient – serwer. Użytkownik z swojej stacji roboczej ma dostęp do zasobów umieszczonych na serwerach instytucji. Poniżej są przedstawione instrukcje dla użytkowników jak zwiększyć poziom bezpieczeństwa swoich jednostek komputerowych, a przez to serwerów z usługami i zasobami instytucji: o Zaleca się, aby użytkownicy zamykali sesje na swoich komputerach w chwili, gdy zamierzają przerwać pracę na dłuższy okres albo po skończonej pracy całkowicie się wylogować z stanowiska. Otwarte sesje obciążają systemy informatyczne wpływając na ich wydajność. Otwarte sesje mogą być wykorzystane przez inne nieupoważnione osoby, które podszywając się pod prawowitego użytkownika mogą wykonać niedozwolone akcje, wykraść poufne informacje lub zainstalować oprogramowanie. Szczególnie zaleca się, aby ta instrukcja była wypełniana w pomieszczeniach, w których występuje duży ruch osób lub pomieszczenia są niedaleko miejsc gdzie mogą pojawić się nieupoważnione osoby. o Zaleca się, aby zamykać drzwi do swojego pokoju podczas wyjścia na dłuższy czas. Ta instrukcja jest powiązana z poprzednią instrukcją (zamykanie sesji). Jeśli użytkownicy opuszczą swój pokój i zostawią otwarte sesje to postronna osoba ma całkowity dostęp do systemu i może przeprowadzić dowolnie każdą akcję, na jaką był upoważniony prawowity użytkownik. Szczególnie zaleca się, aby ta instrukcja była wypełniana w pomieszczeniach, w których występuje duży ruch osób lub pomieszczenia są niedaleko miejsc gdzie mogą pojawić się nieupoważnione osoby. o Zaleca się nie pozostawianie nośników z informacjami chronionymi w pomieszczeniach, gdy użytkownik planuje dłuższe wyjście lub kończy pracę. Szczególnie zaleca się, aby ta instrukcja była wypełniana w pomieszczeniach, w których występuje duży ruch osób lub pomieszczenia są niedaleko miejsc gdzie mogą pojawić się nieupoważnione osoby. 7 Administratorzy powinni wcześniej ustalić, który z programów będzie używany do tego typu operacji. Dział IT powinien wybrać ten program po przeprowadzeniu kompletnych testów takiego oprogramowania w celu osiągnięcia zamierzonego efektu. 78 • • Zakładanie konta. Użytkownicy chcący uzyskać konto do systemów informatycznych muszą złożyć wniosek z podpisem kierownika swojej komórki organizacyjnej do administratorów. Wniosek powinien zawierać informacje o użytkowniku i jego stanowisku pracy. Dostęp do zasobów powinien być potwierdzony przez kierownika komórki organizacyjnej. Praca zdalna. Rozwój Internetu, w szczególności systematyczne zwiększanie przepustowości połączeń z komputerów domowych do sieci Internet, stwarza nowe możliwości dla rozwoju firm. Jedną z zalet pracy zdalnej jest możliwość stałego kontaktu pracownika z siecią informatyczną firmy w dowolnym miejscu na świecie, która jest podłączona do Internetu. Inną zaletą pracy zdalnej jest możliwość zatrudnienia pracownika poza siedzibą firmy, co znacznie redukuje koszty pracy. Jednak praca zdalna stanowi realne zagrożenia dla bezpieczeństwa informatycznego. Umożliwiając połączenia z Internetu do sieci instytucji dla pracowników, naraża się sieć wewnętrzną na ataki osób podszywających się pod uprawionych użytkowników. Jeszcze trudniejszą dziedziną do ochrony przy tej formie pracy jest zapewnienie bezpieczeństwa fizycznego komputerów, w szczególności komputerów przenośnych. Użytkownik w przypadku „pracy zdalnej” powinien sam zadbać o zapewnienie odpowiedniego poziomu bezpieczeństwa, tak aby ograniczyć możliwość kradzieży jego komputera lub nieautoryzowanego dostęp. Dobrym zwyczajem przy zabezpieczeniu fizycznym jest ocenienie, kto może potencjalnie mieć dostęp do komputera użytkownika. Dla przykładu, jeśli komputer jest w domu to mogą to być znajomi lub rodzina. Należy określić jaki poziom zagrożeń mogą one spowodować poprzez np. pobranie nielegalnego lub złośliwego oprogramowania, przez niczego nie podejrzewające dziecko. Na komputerach łączących się z instytucją, z których korzystają inne osoby niezwiązane z pracą, należy stosować autoryzację kilkuczłonową tzn. wykorzystując jednocześnie certyfikat, klucz, bezpieczny nośnik. Użytkownik komputera przenośnego powinien być świadomy niebezpieczeństwa ujawnienia danych chronionych znajdujących się na jego dysku twardym komputera. Zalecane jest nie kopiowanie na komputery przenośne informacji chronionych, ponieważ są one szczególnie narażone na ujawnienie np. poprzez kradzież. Jeśli występuje konieczność pracy na takich dokumentach to należy je zaszyfrować i tylko w takiej formie przechowywać na dyskach (również CD, PenDrive, inne). Użytkownicy powinni być świadomi, że skopiowanie dokumentu z informacjami chronionymi na dysk komputera oraz późniejsze jego usunięcie (korzystając z polecenia systemu operacyjnego) nie oznacza całkowitego usunięcia takiego dokumentu. Wciąż jest możliwość odzyskania całego lub części takiego dokumentu. W celu trwałego usunięcia należy posłużyć się programami, które kilkakrotnie nadpisują miejsce na dysku gdzie znajdował się ten dokument. Poniżej zostaną przedstawione instrukcje i wskazówki jak zabezpieczać zdalny komputer, którego użytkownik jest administratorem (reguły i zasady zostały przedstawione w głównym dokumencie polityki bezpieczeństwa): o Aktualizacje poprawek krytycznych Posiadanie aktualnego systemu stanowi jedną z kluczowych reguł bezpieczeństwa jednostek komputerowych. z tego powodu jest zalecana stała aktualizacja. W celu przeprowadzenia okresowej aktualizacji użytkownik powinien odwiedzić stronę ‘Windows Update’, zeskanować swój komputer, pobrać i zainstalować potrzebne poprawki istniejących aplikacji. Zaniedbanie wykonywania aktualizacji może prowadzić do uzyskania nieuprawnionego dostępu do komputera lub być wykorzystane przez wirusy i robaki internetowe. Zalecane jest również włączenie automatycznego sprawdzania i pobierania dostępnych uaktualnień. 79 o Instalacja, konfiguracja systemu antywirusowego Jest zalecane zainstalowanie oprogramowania antywirusowego oraz zapewnienie jego poprawnego funkcjonowania. Program antywirusowy powinien posiadać aktualne definicje wirusów, dlatego jest zalecana konfiguracja automatycznego, jak najczęstszego, pobierania definicji wirusów. Program antywirusowy jest w stanie odnaleźć wirusa tylko, jeśli posiada informację o jego istnieniu. Algorytmy heurystyczne zaimplementowane w tego typu oprogramowaniu mają niską wykrywalność nowych wirusów. Informacje na temat instalacji i ochrony antywirusowej:
komputerów stacjonarnych i przenośnych - bezpieczeństwo antywirusowe komputerów w instytucji powinno być realizowane za pomocą oprogramowania firmowego.
komputerów domowych - korzystanie z darmowego oprogramowania może nie przynosić spodziewanego efektu, dlatego najlepiej korzystać z aplikacji znanych firm. Do zeskanowania komputera można również korzystać z darmowych stron dostępnych w Internecie http://www.symantec.com/cgi(http://skaner.mks.com.pl, bin/securitycheck.cgi). W tym celu należy kliknąć na jedną z powyższych stron, zaakceptować okienko Active-X oraz przystąpić do skanowania. Jeśli system antywirusowy nie jest w stanie usunąć zainfekowanego pliku, należy zapisać nazwę wirusa, otworzyć stronę symantec http://securityresponse.symantec.com/avcenter/vinfodb.html oraz odnaleźć informację o usunięciu wirusa. W większości przypadków należy użyć programu usuwającego (ang. removal tool), który można pobrać ze strony oraz uruchomić w trybie awaryjnym. Bardziej szczegółowe informacje o wirusach znajdują się w dalszej części dokumentu. o Instalacja systemu antyspyware Większość aplikacji typu spyware powinna zostać usunięta przez systemy antywirusowe. Istnieją również oprogramowania specjalizujące się wyłącznie w usuwaniu spyware. Jednym z nich jest darmowy program dla domowego użytku Ad-ware, który znajduje się na stronie http://www.lavasoftusa.com/software/adaware/. Bardziej szczegółowe informacje o spyware można znaleźć w dalszej części dokumentu. o Instalacja, konfiguracja personalnej zapory sieciowej O ile jest to możliwe, zalecane jest zainstalowanie oprogramowania typu personalny firewall (zwłaszcza na komputerach domowych). Instalacja takiego oprogramowania wiąże się z większą wiedzą użytkowników, jednak ostatnie wersje znanych programów posiadają prawie automatyczną, domyślną konfigurację, która wystarcza na potrzeby domowe. Zapora sieciowa składa się z dwóch mechanizmów kontroli dostępu do Internetu: reguł bezpieczeństwa oraz kontroli aplikacji, które chcą nawiązać połączenie z Internetem. Użytkownik może nie tylko zdefiniować typy protokołów, przy pomocy których aplikacje mogą komunikować się z Internetem, ale również określić, które aplikacje mogą w tym ruchu uczestniczyć. o Audyt Zalecane jest wprowadzenie mechanizmu audytu, czyli kontroli bezpieczeństwa pod kątem błędów konfiguracyjnych i aktualizacji krytycznych. Aplikacja audytująca jest w stanie wychwycić błędnie zainstalowane poprawki krytyczne, omyłkowe błędy powstałe przy konfiguracji firewalla oraz sprawdzić po- 80 o o o o ziom haseł użytkowników. Firma Microsoft udostępnia w tym celu darmową aplikację MBSA dostępną pod adresem http://www.microsoft.com/technet/security/tools/mbsahome.mspx. Korzystanie z profilu użytkownika podczas normalnej pracy Jest zalecane nie korzystanie z profilu administratora (systemy Windows 2000/XP) podczas standardowej pracy, lecz używanie konta administratora wtedy, gdy istnieje potrzeba zainstalowania lub konfiguracji oprogramowania (korzystanie z opcji: „run as” lub „uruchom jako”). Praca w profilu użytkownika zabezpiecza komputer przed przypadkową instalacją oprogramowania, która może nastąpić podczas korzystania z Internetu. Wirusy, robaki i inne szkodliwe oprogramowania, które mogą w tym czasie dostać się do komputera, nie zostaną zainstalowane w folderach systemowych lub innych wrażliwych miejscach systemu, z których podczas startu komputera uruchamiają się aplikacje. Wyłączenie lub zmiana nazw użytkowników standardowych Zalecane jest wyłączenie lub zmiana nazw użytkowników standardowych (konto gość, administrator). Szkodliwe aplikacje często wykorzystują profile standardowych użytkowników oraz ich domyślne hasła do zdobycia dostępu do komputerów. Konto gość jest używane do udostępniania plików i folderów. Nie należy bez potrzeby włączać mechanizmu udostępniania. Instalacja przeglądarki internetowej. Zalecanie jest korzystanie z dwóch przeglądarek internetowych Internet Explorer oraz Mozilla Firefox. W standardowej dystrybucji Windows występuje Internet Explorer. Mozilla Firefox należy pobrać z strony producenta i zainstalować. Koncepcja architektury Firefixa jest bezpieczniejsza od Internet Explorer, ponieważ nie wykorzystuje on mechanizmu Active-X używanego przy IE (mechanizmu umożliwiającego automatyczną instalację oprogramowania, który może bez wiedzy użytkownika zainstalować niebezpieczne oprogramowanie). Zaletą Internet Explorera jest bardzo dobra współpraca z innymi rozwiązaniami firmy Microsoft jak np. Web Access Exchange. Zalecane jest używanie przy przeglądaniu nieznanych stron Firefoxa, natomiast używanie Internet Explorer do obsługi stron Internetowych Microsoft oraz zaufanych stron Instytutu jak na przykład Outlook Web Access. Instalacja programów, aplikacji i sterowników Zalecana jest instalacja programów, aplikacji i sterowników pochodzących z zaufanych źródeł lub ze stron producentów. Zainstalowanie oprogramowania nieznanego pochodzenia naraża komputer na to, że oprócz żądanej funkcjonalności program może podejmować nieznane działania (aplikacje typu koń trojański, spyware). Większość autorów darmowego oprogramowania udostępnia kody źródłowe swoich programów. Jawność kodów źródłowych może zostać wykorzystana przez inne osoby, które modyfikując i kompilując oryginalny kod tworzą programy z ukrytą funkcjonalnością rozpowszechniając je potem w sieci pod taką samą nazwą jak niemodyfikowany oryginał. Użytkownik powinien dobrze rozważyć konieczność instalacji darmowego oprogramowania lub skonsultować się z administratorami sieci. Instalacja oprogramowania bez licencji jest zabroniona na komputerach będących własnością instytucji oraz komputerach podłączonych do sieci instytucji. Zaleca się, aby pobrane oprogramowanie sprawdzić funkcjami skrótu i porównać wynik z wynikami przedstawionymi na stronie producenta. 81 5.7 Złośliwe oprogramowanie Wirusy. Programy, który posiadają zdolność samoczynnego powielania się i przenoszenia z jednego komputera na drugi bez wiedzy i poza kontrolą użytkownika. W zależności od typu wirusa, mogą być różne sposoby ataku, powielania się oraz działania. Większość wirusów ma destrukcyjne zamiary. Podejmuje działania takie jak uszkodzenie danych, przesyłanie plików. Nawet, jeśli wirus nie ma złośliwych zamiarów, to jego powielanie się i tak stanowi realne straty w postaci spadku wydajności pracy komputera oraz zmniejszenia dostępnego w sieci pasma do transmisji danych. Aby stać się wirusem, program musi spełniać dwa główne kryteria: automatycznie się rozmnażać oraz uruchamiać. Występują cztery główne typy wirusów: o boot rekord viruses – wirusy, które do powielania się wykorzystują początkowe miejsca nośników takich jak dyskietki, dyski twarde, o wirusy plikowe – wirusy, które są przenoszone w plikach wykonywalnych (exe, js, vbs, bat, com, pif, scr, spl, cpl). Jeśli zainfekowany plik zostanie uruchomiony, wirus załaduje się do pamięci i będzie infekować inne pliki wykonywalne, używane w tym czasie przez użytkownika, o wirusy makr – to program wirusa napisany w języku Microsoft Visual Basic for Aplications. Wirus makra do powielania się wykorzystują Microsoft Office oraz pocztę internetową. Wirusy makra uruchamiają się przez otwarciu dokumentu na przykład Microsoft Word, o kombinacyjne wirusy - wirusy infekujące BOOT sektory oraz mogące się powielać się przez pliki. Wirusy mogą dostać się do komputera z kilku źródeł: poprzez przeglądarkę internetową, pocztę oraz nośniki ruchome płyty CD-R, CD-RW, dyskietki, napęd flash). • Spyware. Spyware jest oprogramowaniem, stworzonym do zbierania informacji o użytkowniku, zasobach jego komputera, danych zgromadzonych przez aplikacje działające na komputerze. Działa niezauważalnie dla użytkownika i stara się zbierać informacje w szczególności dotyczące zachowania się użytkownika w Internecie. Najniebezpieczniejsze spyware zostały zaprojektowane do zbierania historii wciskanych klawiszy, umożliwiając tym samym uzyskanie loginu i hasła. Instalacja takiego oprogramowanie powinna odbyć się za zgodą użytkownika, jednak autorzy podstępnie (poprzez zawiłe pytania lub mylące informacje) doprowadzają do zaakceptowania instalacji. Niektóre programy spyware instalują się bez wiedzy użytkownika. Spyware można usunąć z systemu, korzystając z programów antywirusowych lub antyspywareowych. • Worms. Robaki internetowe są niebezpiecznymi programami, które do powielania wykorzystują dziury w oprogramowaniu systemu operacyjnego. Robaki nie posiadają cech takich jak wirusy, czyli automatycznego uruchamiania i powielania. Ich ataki mogą odbywać się zupełnie niezauważalnie dla użytkownika. Robaki atakują bezpośrednio komputery, wykorzystując protokoły sieciowe (komputer włączony do sieci bez zalogowania użytkownika może zostać zarażony robakiem sieciowym). Usunięcie robaka internetowego jest trudniejszym zadaniem. W pierwszej kolejności należy pobrać i zainstalować poprawkę oprogramowania, przez którą robak dostał się do komputera. Kolejną czynnością jest usunięcie zainfekowanych plików. Można to osiągnąć poprzez pobranie specjalnego programu typu ang. remove tool. • 82 5.8 Uwagi końcowe W razie wystąpienia jakikolwiek z wymienionych problemów lub do pogłębienia wiedzy zapraszamy do bezzwłocznego zwrócenia się osób odpowiedzialnych za administrację lub do zarządzającym bezpieczeństwem w instytucji. 83 Rozdział 6 Zespół dobrych praktyk bezpieczeństwa teleinformatycznego – zasady tworzenia zabezpieczeń, weryfikacja zabezpieczeń Obecnie, w dobie społeczeństwa informacyjnego, następują szybkie zmiany w funkcjonowaniu oraz zasadach prowadzenia działalności w instytucjach. W celu poprawy efektywności działania oraz ułatwienia funkcjonowania instytucje wdrożyły lub planują wdrożyć systemy informatyczne, wspomagające ich pracę. Wdrożenie systemów informatycznych, jak również połączenie tych systemów z siecią Intranetową i Internetową powoduje wzrost liczby niebezpieczeństw spowodowanych np. przez nieautoryzowany dostęp do zasobów i usług, celową lub przypadkową modyfikację oraz różnego rodzaju zakłócenia. Niebezpieczeństwa te mogą niwelować korzyści płynące z zastosowania tych systemów. Koniecznością staje się wprowadzenie zarządzania bezpieczeństwem informacji, z precyzyjnym określeniem zabezpieczeń, które będą je efektywnie chronić. Zazwyczaj proces zapewnienia ochrony aktywom instytucji jest traktowany jako proces podrzędny, często pozostający na marginesie. Zastosowanie właściwych zabezpieczeń ma miejsce dopiero po wystąpieniu zagrożenia powodującego utratę poufności, integralności lub dostępności posiadanych aktywów. Wzrost utrudnień oraz wprowadzenie dodatkowych ograniczeń dla pracowników często kojarzy się z systemem zapewniającym bezpieczeństwo instytucji. Niechęć kadry zarządzającej do wdrażania zabezpieczeń skutkuje brakiem lub podjęciem jedynie minimalnych środków zapewniających bezpieczeństwo instytucji. Takie postępowanie wynika z braku zrozumienia i może doprowadzić do poważnych zaniedbań lub narazić aktywa instytucji na niebezpieczeństwa. Wzrost zabezpieczeń nie zawsze powoduje wzrost utrudnień. Można wyróżnić uniwersalne elementy ochrony: identyfikację użytkowników, ochronę (izolowanie) zasobów oraz monitorowanie działań, które w niewielkim stopniu wpływają na wydajność pracowników. Umiejętnie przeprowadzone wdrożenie zabezpieczeń, z uwzględnieniem szkoleń oraz procesu uświadamiania pracowników może przyczynić się do wprowadzenia wysokiego stopnia ochrony, nie powodując znaczącego wzrostu obciążeń lub niechęci ze strony użytkowników. Bezpieczeństwo systemów informatycznych powinno podlegać ocenie, w celu ciągłej weryfikacji poziomu bezpieczeństwa jaki jest potrzebny do ochrony aktywów instytucji. 6.1 Wybór zabezpieczeń Wdrożenie zabezpieczeń powinno uwzględniać specyfikę oraz działalność instytucji. Niezbędne jest przeprowadzenie analizy funkcjonowania oraz identyfikacja procesów zachodzących w organizacji. W trakcie doboru zabezpieczeń ważnym elementem jest zdefiniowanie celów bezpieczeństwa, a sam wybór zabezpieczeń powinien wiązać się z przeprowadzeniem analizy ryzyka. Celem bezpieczeństwa może być, np. zapewnienie ochrony i integralności informacji. Efektem końcowym analizy powinien być raport wskazujący zabezpieczenia, które należy wybrać i wdrożyć. Proces analizy powinien zawierać identyfikację aktywów oraz ich wartość, możliwe zagrożenia i prawdopodobieństwo ich wystąpień, podatności w systemie oraz wielkość wpływu zagrożeń na aktywa instytucji. 84 Do przeprowadzenia analizy ryzyka niezbędna jest doświadczona kadra, posiadanie danych statystycznych (pochodzących zarówno z instytucji, jak i z całego rynku), informacji o przedsiębiorstwie (dane o działaniu, funkcjonowaniu oraz procesach zachodzących). Alternatywą dla analizy ryzyka jest zastosowanie podstawowego poziomu bezpieczeństwa, który definiuje minimalny zestaw zabezpieczeń, służący do ochrony wszystkich lub niektórych systemów informatycznych w instytucji. Poziom podstawowy można uzyskać, stosując się do katalogów zabezpieczeń, zawierających zalecane zbiory środków ochrony, przeciwdziałających większości zagrożeń. Przed zastosowaniem sugerowanych zabezpieczeń należy zidentyfikować aktualnie wykorzystywany poziom ochrony w instytucji. Wiąże się to z porównaniem sugerowanych środków ochrony do zastosowanych. Następnie wdrożeniem tych, które nie zostały jeszcze zastosowane w instytucji. Katalog zabezpieczeń można wdrożyć w podobnych instytucjach, działających w tych samych sektorach gospodarki. Katalogi zabezpieczeń są dostępne w międzynarodowych lub krajowych instytucjach normalizacyjnych, zaleceniach branżowych. Efektem końcowym wyboru środków ochrony powinna być akceptacja zabezpieczeń. Akceptacja jest procesem, w efekcie którego podejmuje się decyzję, czy ryzyko jest dostatecznie małe, aby można było je pominąć. Akceptacji dokonuje kadra zarządzająca, na podstawie świadomej decyzji, co do poziomu ryzyka, akceptowanego przez instytucję. 6.2 Definicja zabezpieczeń Zabezpieczenia są stosowane w celu redukcji potencjalnych strat oraz ograniczenia ryzyka ich wystąpienia do akceptowalnego poziomu. Poziom zastosowanych zabezpieczeń jest uzależniony od decyzji kadry zarządzającej i opiera się na ocenie finansowej, wartości zasobów oraz kosztach strat, poniesionych przy potencjalnym wystąpieniu niebezpieczeństw. Zabezpieczenia mogą być zarówno prewencyjne (ang. preventative), jak również detekcyjne (ang. detective). Grupa zabezpieczeń prewencyjnych ma za zadanie powstrzymanie zagrożeń (szkodliwych zdarzeń lub sytuacji, mających negatywny wpływ na aktywa instytucji) oraz zmniejszenia ich skuteczności w momencie wystąpienia. Zagrożenie (ang. threat) może wystąpić jedynie w instytucjach na to podatnych (ang. vulnerability), posiadających pewną słabość w systemie. Podatność jest pewnym uwarunkowaniem, słabością lub brakiem procedur bezpieczeństwa, błędem programisty, brakiem technicznych zabezpieczeń, fizycznych środków ochrony lub innych mechanizmów. Głównym celem zabezpieczeń jest wyeliminowanie tego typu podatności systemów. Zaleca się, aby procesowi wdrożenia zabezpieczeń prewencyjnych towarzyszył program podnoszenia świadomości użytkowników. Wdrożenie takiego programu może zarówno poprawić efektywność funkcjonowania zabezpieczeń, jak również spowodować wzrost tolerancji do ewentualnych utrudnień. Drugą grupą zabezpieczeń są narzędzia typu detekcyjnego, mające na celu identyfikowanie (wyszukiwanie) wystąpień szkodliwych zdarzeń (inaczej: zagrożeń). Zabezpieczenia powinny: • stanowić ochronę przed nieautoryzowanymi, nieprzewidywalnymi, niezamierzonymi modyfikacjami informacji, • zachowywać spójność danych • chronić poufność informacji, • zapewniać dostęp do informacji • wspierać rozliczalność - zapewniać możliwość rozliczenia osoby, która uzyskała dostęp do informacji na podstawie mechanizmów identyfikacji i uwierzytelnienia. Osoba uzyskująca dostęp do zasobów może w późniejszym czasie ponieść odpowiedzialność 85 za przeprowadzenie określonych działań na informacjach. Rozliczalność realizuje się poprzez śledzenie zdarzeń (ang. audit trails) w systemie lub sieci informatycznej. Stosowanie zabezpieczeń w instytucji musi być zgodne z polityką bezpieczeństwa oraz systemem prawnym państwa, w którym dana instytucja działa. 6.3 Charakterystyki zabezpieczeń Proces wdrożenia zabezpieczeń powinien być zgodny z ich specyfikacją i zostać przeprowadzony zgodnie z instrukcjami producenta. Należy zadbać o ich odpowiednie utrzymanie oraz zarządzanie podczas normalnej pracy. Przy doborze zabezpieczeń ważnym kryterium powinna być łatwość ich użycia, instalacji oraz obsługi. Zabezpieczenia powinny być trudne do przełamania oraz charakteryzować się łatwością integracji z innymi zabezpieczeniami, jak również z oprogramowaniem wykorzystywanym przez instytucję. Przy rozważaniu wyboru konkretnego zabezpieczenia należy uwzględnić wiele czynników. Głównym z nich są koszty zabezpieczeń, które muszą być współmierne do wartości aktywów instytucji. Wartości aktywów są określane przez analizę ryzyka, tj. metody jakościowe oraz ilościowe i mogą dotyczyć takich czynników jak: • koszt wytworzenia, utrzymania, rozszerzenia oraz odtworzenia, • stopień ważności oraz krytyczności informacji, • koszty związane z utratą reputacji, • straty finansowe, które mogłaby ponieść instytucja w przypadku niezastosowania odpowiedniego środka zabezpieczającego. Poniżej zostały przedstawione czynniki, które warto rozważyć przy wyborze konkretnego zabezpieczenia: • Ponadczasowość. Dobór zabezpieczeń powinien uwzględnić ich ponadczasowy charakter. Uwzględnienie tej cechy przy wyborze produktu wymaga od kupującego obszernej wiedzy o rynku zabezpieczeń. Kupujący powinien uwzględniać takie czynniki jak: reputację producenta, perspektywy rozwoju jego produktów (zwłaszcza tych, które są w sferze zainteresowań) oraz czas istnienia na rynku. Zakup niewłaściwego zabezpieczenia lub nawiązanie kontaktów handlowych z niewłaściwą firmą może doprowadzić do sytuacji, w której po roku istnienia firma zbankrutuje lub wstrzyma rozwój bądź wsparcie danego produktu. Ważnym czynnikiem jest możliwość kontaktu z osobami technicznymi, odpowiedzialnymi za dane rozwiązania. Wiedza tych ekspertów może być pomocna przy rozwiązywaniu problemów powstałych w czasie eksploatacji produktu. Uwzględnienie powyższego czynnika może przynieść organizacji redukcję lub nawet wyeliminowanie dodatkowych kosztów finansowych. • Spójność. Cecha oznaczająca możliwość poprawnego współdziałania zabezpieczenia w różnych środowiskach. Przykładem jest zabezpieczenie, które może być uruchomione na różnych systemach operacyjnych (Unix, Windows). Spójność odpowiada za możliwość uruchomienia zabezpieczeń tego typu w różnych miejscach sieci informatycznej. • Kompletność (kompleksowość). Cecha zabezpieczenia, oferująca dużą funkcjonalność produktu, tj. możliwość jednoczesnego wykonywania wielu czynności zabezpieczających. Decydent powinien posiadać dogłębną wiedzę na temat trendów aktualnie obowiązujących w systemach zabezpieczeń dostępnych na rynku. Niebezpieczeństwem może okazać się kupno urządzenia, wspierającego małą liczbę funkcji lub posiadającego wiele funkcji 86 o ograniczonych lub podstawowych możliwościach. Kompletność systemu bezpieczeństwa oznacza osiągnięcie identycznego poziomu ochrony bezpieczeństwa każdego systemu instytucji. Wdrożenie bezpieczeństwa w każdym elemencie systemu często wiąże się z zaangażowaniem osób z różnych szczebli instytucji. Kompleksowość to także efektywne, równoczesne używanie różnych typów zabezpieczeń (technicznych, organizacyjnych, fizycznych). • Elastyczność. Cecha umożliwiająca dostosowanie się do zmieniających się warunków. Elastyczność można rozumieć jako możliwość bezkonfliktowej współpracy z innym oprogramowaniem lub innymi zabezpieczeniami. • Efektywność kosztowa. Oznacza, że nakłady poniesione na ochronę odzwierciedlają wartość informacji, działań powziętych z jej obsługą oraz szacowane koszty utraty poufności, integralności i dostępności. 6.4 Cechy dobrego systemu bezpieczeństwa (reguły przy tworzeniu zabezpieczeń) Główną zasadą, którą powinien kierować się administrator tworzący i konfigurujący zabezpieczenia, jest zapewnienie prostoty. Złożone zabezpieczenia zazwyczaj oznaczają trudności w ich funkcjonowaniu oraz mogą powodować problemy z ich skuteczną oceną. Poniżej zostały przedstawione główne zasady, jakimi powinny się cechować dobrze zaprojektowane i wdrożone systemy zabezpieczeń: • Systemy należy zaprojektować tak, aby architektura sieci oraz dostępne w niej informacje i usługi były maksymalnie niedostępne dla nieupoważnionych użytkowników. Podczas planowania zabezpieczeń założenie to jest szczególne ważne. Zasadę tę można zrealizować poprzez odpowiednie skonfigurowanie firewalli lub list dostępowych, stosując zasadę wszystko, co nie jest jednoznacznie dozwolone, jest zabronione. W praktyce oznacza to zabronienie dostępu dla wszystkich, a następnie tworzenie reguł dopuszczających wybranych użytkowników lub odpowiedni ruch sieciowy. • Zapewnienie jedynie niezbędnego dostępu (do usług i informacji) wyłącznie dla uprawnionych użytkowników. Inna nazwa tej zasady: stosowanie najmniejszych uzasadnionych przywilejów. Oznacza ona zastosowanie takiego dostępu dla użytkowników i administratorów, który rzeczywiście jest im potrzebny do wykonywania pracy. Przydzielenie zbyt dużych, nieuzasadnionych uprawnień prowadzi do wzrostu niepotrzebnego ryzyka dla instytucji. • Ochrona kolejnych warstw, traktując każdą z nich jak ostatnią linię obrony. Zasada definiuje przyjęcie takiej konfiguracji oraz utworzenia takiej architektury zabezpieczeń, która każdemu systemowi ochrony (warstwie) zapewnia maksymalne bezpieczeństwo. Każda warstwa powinna działać z założeniem braku innych środków ochrony. Zastosowanie takiego podejścia może zabezpieczyć instytucje na wypadek awarii lub zdobycia przez agresora pierwszych linii obrony. Przykładem jest zastosowanie personalnych firewalli oraz wyłączenie zbędnych usług serwerów, które mogłyby skutecznie chronić zasoby instytucji na wypadek złego funkcjonowania, przejęcia lub awarii głównej zapory sieciowej zlokalizowanej na styku sieci instytucji i innych sieci np. Internet. 87 • • • Rejestrowanie oraz monitorowanie próby dostępu do informacji (zapewnienie rozliczalności). Zasadę realizuje się poprzez zapewnienie tzw. ścieżki audytu (ang. audit trail) umożliwiającej prześledzenie czynności wykonywanych przez użytkowników oraz aplikacje. W praktyce zasadę tę można zrealizować poprzez przeglądanie oraz analizę dzienników zdarzeń systemów. Przeprowadzenie takiej analizy może pomóc w identyfikowaniu nieprawidłowości, w szczególności wykrycia prób lub skutecznego ataku na system, aplikacje. Zastosowanie najlepszych zabezpieczeń, bez ich monitorowania, nie zapewni odpowiedniego poziomu bezpieczeństwa, ponieważ nie będzie możliwa ocena takiego systemu. Zaleca się utworzenie odpowiedniej reguły w polityce bezpieczeństwa definiującej zasady przechowywania oraz analizowania takich dzienników (miejsce oraz długość czasu przechowywania). Zalecane jest również stworzenie odpowiednich instrukcji dla administratorów określających zasady analizowania dzienników oraz reagowania na wykryte nieprawidłowości. Informacje z dzienników zdarzeń są pomocne podczas przeprowadzania audytu bezpieczeństwa. Rozdzielenie oraz maksymalne odizolowanie zasobów. Zasadę tą można zrealizować poprzez: o Uproszczenie architektury sieciowej. Zarządzanie małymi sieciami (segmentacja sieci) oraz odseparowanie elementów strukturalnych jest w stanie uprościć i ułatwić ich późniejszą administrację. Logiczna, posegmentowana architektura może uprościć drogi komunikacyjne w sieci, wpływając na przejrzystość reguł filtracji, np. dokonywanych przez firewall lub router. Prostota i przejrzystość reguł list kontroli dostępu zmniejsza ryzyko wystąpienia błędów lub przeoczeń ze strony administratorów, jak również ułatwia przeprowadzenie audytu bezpieczeństwa. Stworzenie takiej architektury umożliwia odizolowanie części sieci, w przypadku wystąpienia zagrożenia, np. infekcji wirusowej lub innego ataku. Wąskie przejścia umożliwiają niezależne odłączenie fragmentów sieci, jeśli nastąpi złamanie ich zabezpieczeń lub powstanie zagrożenie. Projektanci powinni również rozważyć stworzenie zastępczych urządzeń, na wypadek awarii głównego urządzenia filtrującego. o Wprowadzenie stref o różnym poziomie zaufania. Bardzo ważną kwestią podczas budowy architektury sieci oraz rozmieszczania zabezpieczeń jest zastosowanie podziału sieci pod względem ważności, tzn. krytyczności dla instytucji. W praktyce realizuje się to poprzez oddzielenie sieci i serwerów, które wymagają odmiennych poziomów zaufania. Przykładem może być stworzenie oddzielnej sieci dla kadr lub księgowości zawierających poufne informacje, lub wyizolowanie serwerów publicznych od intranetowych. Unikanie błędów popełnionych przez innych. Dobrą praktyką przy tworzeniu zabezpieczeń jest prześledzenie błędów u innych instytucji lub osób, które doprowadziły do złamania zabezpieczeń. Dobrą praktyką jest śledzenie list dyskusyjnych, np. securityfocus [2] lub zakup literatury. 6.5 Rodzaje zabezpieczeń Istnieją trzy główne kategorie zabezpieczeń: • Administracyjno - organizacyjne. Do nich są zaliczane środki zabezpieczające, wynikające z odpowiedniego przygotowania organizacyjnego. Jest to odpowiednie zorganizowanie procesów pracy wraz z określeniem kompetencji pracowników oraz ich wzajemnych zależności. Przygoto88 wanie administracyjne określa odpowiednie kierowanie procesami zachodzącymi w przedsiębiorstwie. Przykłady zabezpieczeń administracyjnych to: certyfikacje, odpowiedzialne zarządzanie dostępem do pomieszczeń, odpowiednie zarządzanie procesami pracy, administrowanie systemem informatycznym. Zabezpieczenia administracyjne dotyczą również polityki bezpieczeństwa, procedur bezpieczeństwa, szkoleń w zakresie podwyższania świadomości o bezpieczeństwie, procesu sprawdzania pracowników (np. podczas rekrutacji). • Logiczno - techniczne. Zabezpieczenia dotyczące rozwiązań informatycznych (programowych lub sprzętowych), które ograniczają lub monitorują zdalny dostęp do informacji lub usług znajdujących się w systemach teleinformatycznych Przykład zabezpieczeń to: szyfrowanie, odpowiednie protokoły przesyłania, zapory ogniowe, systemy wykrywania włamań. • Fizyczne. Zabezpieczenia dotyczące ochrony fizycznej oraz bezpieczeństwa budynków. Typowe zabezpieczenia: zamki do drzwi, ochrona serwerów lub laptopów, ochrona kabli, archiwizacja danych. Poniżej zostały szczegółowo przedstawione grupy zabezpieczeń (administracyjne, techniczne, fizyczne) z uwzględnieniem podziału dotyczącego działalności prewencyjnej oraz detekcyjnej. Do zabezpieczeń Prewencyjno – Administracyjnych można zaliczyć: • Szkolenia techniczne oraz podwyższenia świadomości o bezpieczeństwie. Głównym celem szkoleń jest ograniczenie zagrożeń związanych z ludzkim błędem. Szkolenia uczą użytkowników prawidłowego sposobu korzystania z systemów oraz sposobów reagowania na podejrzane sytuacje. Szkolenia ułatwiają użytkownikom zrozumienie korzyści związanych z bezpieczeństwem oraz potrzebę stosowania zabezpieczeń. Rozumiejący powyższe zagadnienia użytkownicy są bardziej skłonni do przestrzegania zasad polityki bezpieczeństwa. W ten sposób użytkownicy podwyższają efektywność zabezpieczeń oraz poziom bezpieczeństwa. • Podział obowiązków (ang. Separation of Duties). Metoda polega na podziale obowiązków kluczowych procesów biznesowych i zaangażowaniu do ważnego projektu więcej niż jednej osoby. Rozsądny podział obowiązków może zapobiec zagrożeniu fałszerstwa, manipulacji lub popełnieniu omyłkowego błędu przez pracownika. Podział obowiązków zapobiega uzyskaniu przez pojedynczą osobę całkowitej kontroli nad procesem biznesowym. • Procedury dot. zatrudnienia oraz zwolnienia pracowników. Metoda polega na opracowaniu i przestrzeganiu odpowiednich procedur dotyczących rekrutacji oraz zwalniania pracownika. Mogą one zapobiec zatrudnieniu nieuczciwych osób, które w późniejszym okresie mogłyby naruszyć bezpieczeństwo instytucji. Procedura powinna zawierać zasady weryfikacji pracowników, np. przez sprawdzenie referencji, wykształcenia oraz historii kandydata. Procedury zwalniania pracowników powinny dotyczyć zasad odebrania im uprawnień do systemów instytucji oraz tworzenia kopii bezpieczeństwa. • Polityka bezpieczeństwa, procedury, wytyczne. Metoda polega na przygotowaniu dla pracowników zasad bezpiecznego sposobu korzystania z informacji oraz usług w instytucji. Odpowiednio przygotowana polityka oraz szczegółowe procedury są kluczem do wdrożenia efektywnego programu zapewnienia bezpieczeństwa informacji. Dokumenty te powinny obejmować zasady korzystania z zasobów komputerowych, określać postępowanie użytkowników podczas procesów wytwarzania i przetwarzania 89 • • informacji. Określać również zasady alarmowania w przypadku wykrycia podejrzeń zajścia incydentów. Plany awaryjne, plany obsługi incydentów. Metoda polega na przygotowaniu oraz przećwiczeniu planów związanych z przywracaniem systemu po awarii. Plany powinny zawierać procedury postępowania, definiować jakie operacje pomocnicze należy podjąć, aby przywrócić systemowi całkowitą sprawność w jak najkrótszym czasie lub ograniczyć ponoszenie dalszych strat. Kluczową kwestią jest zapewnienie zapasowych urządzeń, ich wcześniejsza konfiguracja oraz przetestowanie. Procedury awaryjne powinny opisywać konkretne zagrożenia. Rejestracja użytkownika w systemie. Metoda polega na przygotowaniu i wykonywaniu procedury formalnego rejestrowania użytkownika w systemie. Proces rejestracji ma na celu przydzielenie uprawnień oraz określenie zasad uwierzytelnienia użytkownika. W trakcie rejestracji użytkownik jest informowany o odpowiedzialności za bezpieczeństwo zasobów komputerowych oraz przechodzi krótki instruktaż dotyczący zasad polityki bezpieczeństwa. Zabezpieczenia Detekcyjno - Administracyjne służą do określenia stopnia przestrzegania polityki i procedur bezpieczeństwa oraz wykrywania nieprawidłowości. Do zabezpieczeń z tej grupy należą: • Przeglądy oraz audyty bezpieczeństwa. Metoda polega na przeprowadzeniu działań oraz czynności mających na celu identyfikację procedur, które nie są należycie przestrzegane lub nie dostarczają zamierzonych korzyści. W celu wykrycia nieprawidłowości, a w szczególności niezgodności w przestrzeganiu polityki z celami bezpieczeństwa w instytucji, audytorzy mogą korzystać z formalnych lub nieformalnych działań. Działaniami administratorów mogą być np. rozmowy, kwestionariusze, użycie skanerów bezpieczeństwa. • Oceny wykonania. Metoda polega na regularnym ocenianiu wykonywania procedur oraz zasad polityki bezpieczeństwa. Regularne ocenianie może być czynnikiem motywującym, zachęcającym do podnoszenia jakości przestrzegania procedur przez pracowników. Wystawianie ocen może uzmysłowić kadrze zarządzającej rzeczywiste przestrzeganie procedur przez pracowników, a w przypadku niewystarczających rezultatów zarząd będzie mógł powziąć działania korygujące lub naprawcze. • Obowiązkowe urlopy. Metoda polega na wysyłaniu pracowników na okresowe urlopy, w celu wykrycia nieprawidłowości na ich stanowiskach pracy. Sprawdzanie stanowiska pracy jest szczególnie ważne w instytucjach finansowych lub u pracowników przeprowadzających kluczowe operacje. Dodatkową zaletą w promowaniu urlopów jest przeciwdziałanie zagrożeniom związanym z błędami ludzkimi, tzn. zmniejszenie prawdopodobieństwa wystąpień omyłkowych błędów popełnianych przez przemęczonych pracowników. • Sprawdzanie lub dochodzenie środowiskowe. Metoda polega na przygotowaniu oraz przeprowadzeniu sprawdzania pracowników, którzy mają być przeniesieni na kluczowe stanowiska (dostęp do informacji chronionych, przeprowadzanie kluczowych operacji). • Rotacja obowiązków, rotacja stanowiska. Metoda polega na przeprowadzaniu okresowej zmiany stanowisk pracy. Takie działanie może być pomocne przy wykrywaniu nielegalnych działań dokonanych przez osoby, które poprzednio zajmowały dane stanowisko pracy. Zabezpieczenie działa odstraszająco i może obniżyć liczbę naruszeń ze strony pracowników. Dodatkową korzyścią takiego zabezpieczenia jest zmniejszenie stopnia uzależnienia procesu biznesowego od pracownika. 90 Wyróżniane są następujące zabezpieczenia Prewencyjno – Fizyczne: • Kopie bezpieczeństwa danych. Metoda polega na tworzeniu kopii informacji na nośniku umożliwiającym ich odzyskanie w przypadku zniszczenia oryginału. Zniszczenie danych może być spowodowane wieloma czynnikami, np. zalaniem wodą, awarią sprzętu lub oprogramowania, przypadkowym lub celowym zniszczeniem. Zaleca się, aby nośniki zawierające kopie informacji były przechowywane wystarczająco daleko od oryginalnych danych. Należy zadbać o bezpieczeństwo takich nośników oraz lokalizacji, w której takie nośniki są gromadzone. Należy zadbać, aby nośnik kopii informacji był odpowiedniej jakości oraz umożliwiał bezpieczne i długotrwałe przechowywanie. • Fizyczne zabezpieczania. Są to płoty, strażnicy, wzmacniane drzwi oraz okna, zamki. • System znacznika (ang. Badge System). Metoda służąca do lokalizacji osób za pomocą plakietek lub naklejek, w szczególności wyposażonych w nadajniki wysyłające sygnały radiowe. Zabezpieczenie te wykorzystuje się do kontrolowania pracowników oraz gości, np. w przypadku dostępu do obszarów o ograniczonym zaufaniu. • Zasilanie awaryjne. Zabezpieczenie ma za zadanie podtrzymywać napięcie oraz przeciwdziałać przepięciom elektrycznym. Zastosowanie takiego zabezpieczenia jest szczególnie istotne w przypadku krytycznych urządzeń instytucji (np. serwerów, przełączników, routerów, firewalli). • Biometryczna kontrola dostępu. Metoda polega na wzmocnieniu kontroli dostępu do urządzeń lub pomieszczeń o szczególnym znaczeniu. Zabezpieczenie wykorzystuje skomplikowane metody rozpoznawania tożsamości, np. odcisk palca, mowę, podpis, skanowanie soczewki. Ten rodzaj zabezpieczenia zapewnia wysoki stopień bezpieczeństwa. • System kontroli dostępu. Metoda służąca potwierdzaniu tożsamość pracowników lub gości za pomocą kart identyfikacyjnych przez zbliżenie takiej karty do czytnika lub wpisaniu odpowiedniego pinu. • Gaśnice przeciwogniowe, hydranty. Zabezpieczenia służą do przeciwdziałania zagrożeniom wywołanym przez pożar. Metoda gaszenia źródeł ognia powinna przebiegać zgodnie z odpowiednią procedurą, opisującą zasady użycia gaśnic lub hydrantów. Zalecane jest przeciwdziałanie pożarom przy użyciu materiałów niezawierających substancji łatwopalnych (ściany pokryte specjalną powłoką). Procedury gaszenia powinny uwzględniać sposoby unikania gaszenia, które mogą spowodować straty związane z nieumiejętnym gaszeniem urządzeń informatycznych. • Wybór lokalizacji. Metoda polega na umiejętnym zaprojektowaniu, stworzeniu odpowiedniej architektury bezpieczeństwa (np. wydzielenie obszarów chronionych, odpowiednie usytuowanie serwerów, routerów, firewalli), która efektywnie przyczyni się do zwiększenia bezpieczeństwa. • Klimatyzacja. Metoda polega na zapewnieniu odpowiednich warunków klimatycznych dla krytycznych urządzeń w instytucji, np. serwerów, routerów. Duża wilgotność (możliwe wyładowania elektrostatyczne) lub nadmierna temperatura mogą spowodować awarie. Nie przestrzeganie zaleceń producenta może spowodować utratę gwarancji lub przyczynić się do awarii podzespołu w sprzęcie komputerowym. W celu utrzymania stałej temperatury i odpowiednich warunków pracy systemów informatycznych są stosowane systemy pełnej klimatyzacji. Do zabezpieczeń Detekcyjno – Fizycznych należą: 91 • • • Detektory ruchu. Zastosowanie tej metody ma za zadanie identyfikować nieautoryzowane osoby, które uzyskały dostęp do wrażliwych miejsc w instytucji. Zastosowanie takich urządzeń ma szczególne znaczenie w przypadku miejsc, w których przebywa ograniczona liczba osób lub dostęp do miejsc jest ograniczony w określonych porach dnia. Czujniki dymu oraz ognia. Zabezpieczenia służące do wykrywania zagrożeń spowodowanych pożarem. Czujki muszą być poddawane okresowemu testowaniu w celu wykrycia nieprawidłowości w ich działaniu. Monitorowanie kamerami. Metoda jest wykorzystywana do monitorowania miejsc o ograniczonym stopniu zaufania w instytucji. Metoda pomaga w identyfikacji podejrzanych sytuacji oraz nielegalnych działań podejmowanych przez pracowników lub osoby trzecie. Zabezpieczenia Prewencyjno – Techniczne i Logiczne to różnego rodzaju zabezpieczenia teleinformatyczne, które mogą być oprogramowaniem lub mogą być wbudowane w system operacyjny Mogą też być rozwiązaniami sprzętowymi. Przykładowe zabezpieczenia to: • Techniczne środki kontroli dostępu. Zabezpieczenia te mogą występować w formie oprogramowania lub urządzeń. Służą do kontrolowania udostępnianych danych, programów lub usług pomiędzy użytkownikami. Dostęp do określonych zasobów (np. sieci informatycznej, informacji) jest możliwy za pomocą tzw. list dostępu, które decydują czy ruch sieciowy lub użytkownik może zostać do nich dopuszczony. Kontrola dostępu jest wykonywana za pomocą identyfikacji (określenia użytkownika lub rodzaju ruchu), uwierzytelniania (potwierdzenia tożsamości użytkownika lub miejsca pochodzenia ruchu) oraz autoryzacji (określenia uprawnienia użytkownika lub miejsca, do którego ruch będzie dopuszczony). • Oprogramowanie antywirusowe. Zabezpieczenia używane w celu identyfikacji oraz neutralizacji złośliwego oprogramowania. System antywirusowy może być zarówno aplikacją umieszczoną na stacji roboczej lub serwerze, jak też rozwiązaniem sprzętowym (ang. appliance). Systemy antywirusowe wykorzystują dwie metody identyfikacji wirusów: heurystykę oraz bazowanie na wzorcach wirusów. Metody heurystyczne identyfikują wirusa na podstawie jego zachowywania w wirtualnym środowisku. Metoda oparta na definicjach wirusów wymaga częstych aktualizacji baz danych zawierających wzorce znanych wirusów. Polega ona na porównywaniu plików w systemie operacyjnym z wzorcami wirusów w celu wykrycia szkodliwego oprogramowania. • Programy do badania integralności. Zabezpieczenia te mają za zadanie identyfikację zmian w środowisku informatycznym. Badanie integralności można stosować np. do plików zawierających konfigurację, zainstalowanego oraz uruchomionego oprogramowania w celu wykrycia nieautoryzowanych zmian w tych plikach. • Hasła. Metoda polega na wykorzystywaniu haseł w celu weryfikowania użytkowników. Proces potwierdzenia tożsamości może być realizowany na wiele sposobów, np. poprzez oprogramowanie lub zewnętrzne urządzenia sprzętowe. • Szyfrowanie. Jest techniką przekształacenia danych z postaci jawnej do postaci zaszyfrowanej, przesłaniu takich danych przez niebezpieczny kanał (np. Internet) oraz deszyfracji ich do postaci jawnej. Zastosowanie takiej metody ma zapobiec utracie poufności informacji. Szyfrowanie może być realizowane przez oprogramowanie lub przez rozwiązania sprzętowe. Rozróżnia się dwie metody szyfrowania: symetryczne (szyfrowanie i deszyfrowanie odbywają się za pomocą takiego samego klucza) oraz niesymetryczne (szyfrowanie i deszyfrowanie odbywają się za pomocą różnych kluczy). 92 • Protokoły. Metoda polega na odpowiednim doborze protokołów w celu ochrony sieci i systemów instytucji. Wybór odpowiednich zabezpieczeń w postaci protokołów może zwiększyć bezpieczeństwo chronionego środowiska. Celem zabezpieczeń Detekcyjno – Technicznych jest wykrywanie naruszeń bezpieczeństwa w systemach teleinformatycznych. Do zabezpieczeń są zaliczane: • Ścieżka audytu (ang. Audit Trails). Metoda polega na odtworzeniu wydarzeń, które miały miejsce w systemie lub w sieci. Może to być np. odtworzenie pracy użytkownika i jego działań podjętych w systemie. Metoda zazwyczaj wykorzystuje specjalistyczne narzędzia analizujące dzienniki zdarzeń systemów, urządzeń oraz aplikacji. Stworzony końcowy raport może posłużyć do zapewniania rozliczalności (odpowiedzialności) konkretnego użytkownika w systemie. • Systemy wykrywania włamań. Zabezpieczenia tego typu mają na celu wykrywanie podejrzanych działań zachodzących w sieci lub w systemach informatycznych. Można wyróżnić dwie główne metody działania tych systemów: na podstawie znanych definicji ataków oraz na podstawie nienormalnego zachowania. W pierwszym przypadku system zauważy zagrożenie w chwili, gdy atak będzie przypominał jeden z już wcześniej rozpoznanych i opisanych zagrożeń. Druga metoda polega na wykrywaniu anomalii, tzn. nienormalnego zachowania. Wykrycie ataku jest możliwe, gdy środowisko będzie zachowywało się odmiennie niż przy jego normalnym zachowaniu. Stan normalny system określa przez monitorowanie środowiska w dłuższym okresie czasu. Zapisuje wówczas wszelkie charakterystyki ruchu, typy używanych aplikacji i protokołów. Systemy wykrywania włamań mogą być zarówno programowe jak i sprzętowe (ang. appliance). 6.6 Przyczyny nieskuteczności zabezpieczeń Wiedza dotycząca zagadnienia związanych z bezpieczeństwem informatycznym powinna być ważna zarówno dla specjalisty tworzącego je (daje to możliwość poprawienia ich, uzyskania lepszej funkcjonalności), jak również audytora (znajomość potencjalnych miejsc, w których mogą wystąpić nieprawidłowości lub podatności). Poniżej zostaną przedstawione obszary, w których może wystąpić potencjalne zagrożenie: • Czynnik ludzki. Najczęstszą przyczyną naruszenia bezpieczeństwa są pracownicy instytucji: użytkownicy, programiści, menadżerowie oraz administratorzy. Mogą oni przyczynić się do naruszenia bezpieczeństwa poprzez tworzenie słabych haseł, niewłaściwe ich używanie, np. powodujące utratę ich poufności. Oprócz haseł ważną kwestią jest nieodpowiednie obchodzenie się użytkownika z urządzeniami lub systemami informatycznymi. Zagadnienia związane z czynnikiem ludzkim dotyczą również bezpieczeństwa fizycznego, np. pozostawienie otwartych drzwi, niezamknięte sesje, brak właściwiej opieki oraz obchodzenie się z laptopem poza siedzibą instytucji. Ważnym zagadnieniem dotyczącym czynnika ludzkiego są zagrożenia związane z użyciem socjotechniki. Socjotechnika wykorzystuje przede wszystkim słabości ludzi, które powodują u nich wzbudzenie zaufania w stosunku do agresora. • Czynnik związany z zasadami. Zasady bezpieczeństwa zebrane w dokumencie polityki bezpieczeństwa stanowią ważny element w zapewnieniu bezpieczeństwa instytucji. Jakość i zupełność tych zasad są ściśle związane z ogólną efektywnością zabezpieczeń. Niedoskonałości zasad 93 • • • • mogą spowodować błędy w planowaniu i konfiguracji zabezpieczeń. Czynniki wpływające na nieefektywność zasad: o Brak uwzględnienia pewnego elementu ryzyka – stworzenie zasady, która go nie uwzględnia w rezultacie zapewnia taki poziom bezpieczeństwa, który byłby równoważny sytuacji nieistnienia takiej zasady. W praktyce może to oznaczać skonstruowanie idealnej zasady, której ludzie nie będą w stanie użyć lub jej zrealizowanie będzie wiązało się z dużym poświęceniem czasu i zaangażowania ludzi. o Niejasność lub zbytnia ogólnikowość. - taka zasada może doprowadzić do niemożności jej spełnienia, np. z powodu jej niezrozumienia przez wykonawców, posiadanie niewystarczających środków do jej zastosowania lub dwuznaczność zawartych w niej zapisów. Zasada zbyt ogólnikowa może powodować upraszczanie jej przez administratorów, powodując zmianę jej głównego celu oraz funkcjonalności. o Brak zawarcia kryteriów zgodności - taka zasada (lub szczegółowa instrukcja) nie zawiera wskazówek opisujących, w jaki sposób należy taką zasadę zrealizować. Dobrym przykładem jest wymuszenie stosowania szyfrowania, bez wskazania, w jaki sposób to należy przeprowadzić oraz jakich narzędzi użyć. Przerzucenie ciężaru podejmowania decyzji na niedoświadczonych użytkowników może spowodować w rezultacie pominięcie takiej zasady. o Przestarzałość zasad - posiadanie nieaktualnych zasad bezpieczeństwa jest równoważne z ich całkowitym nieistnieniem. Nieustanny, dynamiczny rozwój technologii wymusza stosowanie coraz to nowszych rozwiązań w celu przeciwdziałaniu nowym zagrożeniom. Zasady bezpieczeństwa powinny być aktualizowane i dostosowane do wymagań tak, aby zapewniały pełną funkcjonalności i bezpieczeństwo. o Brak egzekwowania zasad - brak lub słabość egzekucji zasad bezpieczeństwa może prowadzić do ich lekceważenia oraz w rezultacie do całkowitego niestosowania. o Brak zaakceptowania zasad - zasady bezpieczeństwa powinny być przeczytane, zrozumiane oraz zaakceptowane przez ich odbiorców. Brak zobowiązania się do przestrzegania zasad może doprowadzić do ich lekceważenia lub całkowitego nie stosowania w praktyce. Niewłaściwa konfiguracja Konfiguracja urządzeń lub oprogramowania powinna być ściśle związane z wymaganiami zabezpieczeń danej organizacji. Konfiguracje nieprzemyślane, błędne lub domyślne mogą naruszyć bezpieczeństwo instytucji powodując nową podatność. Bezpieczeństwo konfiguracji można osiągnąć stosując odpowiednie szkolenia, prowadząc dokumentację oraz wprowadzając jej systematyczną kontrolę. Zaleca się wprowadzenie w instytucjach procesu znanego jako zarządzanie konfiguracją. Błędne założenia Przyjęcie błędnych, nieprzemyślanych lub nieusprawiedliwionych założeń może stanowić przyczynę wielu słabości zabezpieczeń. Czynniki powodujące takie błędy mogą wynikać z np. błędnego przewidzenia zachowania się użytkowników lub działania technologii. Niewiedza Brak świadomości o zagrożeniach, podatnościach lub niewiedza o popełnionych błędach przy tworzeniu zabezpieczeń może doprowadzić do powstania słabości systemów zabezpieczeń lub ich całkowitego pominięcia. Nieaktualny system lub oprogramowanie 94 Ważnym czynnikiem w stosowanych zabezpieczeniach oraz systemach informatycznych jest systematyczne przeprowadzanie aktualizacji. Systemy nieaktualne mogą stanowić źródło podatności i przyczynić się do złamania ich zabezpieczeń. Instytucje powinny określić jasne zasady zarządzania aktualizacjami. Ważnym czynnikiem jest uwzględnienie faktu, iż aktualizacje bez testowania mogą spowodować zakłócenia w działaniu systemów, czyli zagrozić zapewnieniu dostępności usługi i informacji w instytucji. 6.7 Wstęp do oceny bezpieczeństwa oraz audytu bezpieczeństwa Wdrożenie zabezpieczeń nie stanowi zakończenia procesu zapewnienia odpowiedniego poziomu bezpieczeństwa dla sieci i systemów informatycznych w instytucji. Po wdrożeniu odpowiednich narzędzi należy zadbać (skontrolować), czy zastosowane środki zabezpieczające działają prawidłowo oraz zgodnie z oczekiwaniami, jak również, czy postępowanie pracowników jest zgodne z zasadami polityki bezpieczeństwa. Uzyskanie pewności o prawidłowym funkcjonowaniu zabezpieczeń jest możliwe poprzez dokonanie odpowiedniego ich sprawdzenia. Możliwe jest zastosowanie dwóch metod kontroli: • Audytu bezpieczeństwa, tj. czynności jednorazowej lub okresowej, która poddaje kompleksowej, niezależnej kontroli poziom bezpieczeństwa w całej instytucji lub jej części, • Monitorowania i oceny bezpieczeństwa systemu przez wewnętrzną kontrolę, tj. działanie o charakterze ciągłym, kontrolującym funkcjonowanie zabezpieczeń w celu wykrycia nieprawidłowości oraz zmian w systemie, środowisku informatycznym, jak również zmian technologicznych. Monitorowanie wiąże się z stosowaniem zabezpieczeń detekcyjnych, tzn. takich, które umożliwiają identyfikację nieprawidłowości w systemach oraz podejrzane działania użytkowników, jak również intruzów. Monitorowanie może być dokonywane przez te same osoby, które konfigurowały lub planowały zabezpieczenia w instytucji. W tym celu administratorzy mogą używać, tych samych lub podobnych narzędzi, np. skanerów bezpieczeństwa, konfiguracji. 6.8 Audyt bezpieczeństwa Audyt w środowisku informatycznym powinien być niezależnym przeglądem systemów w instytucji oraz zachowań pracowników do oceny zgodności z ustaloną polityką, przyjętymi wytycznymi oraz standardami. Przeprowadzenie audytu bezpieczeństwa ma na celu obiektywną kontrolę faktycznego stanu zabezpieczeń, przestrzegania zasad bezpieczeństwa oraz wykrycie nieprawidłowości, które mogłyby zagrozić bezpieczeństwu instytucji. Audyt bezpieczeństwa obejmuje następujące obszary: • przegląd istniejących zabezpieczeń i stwierdzenie ich zgodności z polityką bezpieczeństwa, • kontrolę polityki, procedur oraz instrukcji bezpieczeństwa i ocenę stopnia ich przestrzegania, • kontrolę spełnienia wymagań bezpieczeństwa. 95 Końcowy wynik audytu powinien przedstawiać raport, który powinien zawierać: • szczegóły kontroli, tzn. dokładny opis procesu kontroli, zastosowanych metod i procedur testujących, zastosowanych technicznych rozwiązań, wydruków z programów badających, • wnioski dotyczące stopnia przestrzegania oraz stosowania się do zasad bezpieczeństwa oraz ochrony informacji w instytucji, • ewentualnie zidentyfikowane podatności i słabości instytucji. Ważnym elementem podczas przeprowadzania audytu są tzw. szablony dokumentów. Są nimi dokumenty powstające w jego trakcie. Powinny one towarzyszyć wszystkim akcjom audytorów podejmowanym w instytucji poddającej się kontroli. Dokumenty powinny powstawać zgodnie z wcześniej ustalonymi zasadami. W audycie można wyróżnić dwie metody analizy: statyczną (formalną) oraz dynamiczną (techniczną). Analiza statyczna polega na nieaktywnym sposobie oceniania wdrożonych zabezpieczeń. Proces ten powinien zbadać miejsca podatne na uszkodzenia i błędy administracyjne (np. przegląd plików konfiguracyjnych, zezwoleń, wersji oprogramowania). Przykładowym działaniem może być analiza dokumentacji w celu stwierdzenia, czy w system nie zawiera miejsc podatnych na zagrożenia. Kolejnym działaniem może być ocena procesów instalowania, administrowania oraz przydzielania uprawnień w celu stwierdzenia, czy zostały one wykonane poprawnie nie powodując podatności. Statyczne metody znane są również jako nietechniczne metody (wewnętrzne mechanizmy) audytu, które można przeprowadzić przez zastosowanie np. badań, ankiet, obserwacji oraz analizy dokumentacji. Kwestionariusze ankietowe (np. opracowane na podstawie normy ISO/IEC 17799) powinny zostać wypełnione i zweryfikowane na podstawie wywiadów i wizji lokalnych. Ankiety powinny stanowić podstawę do wydania sądów na temat stopnia spełniania wymagań (np. stopnia spełnienia normy ISO/IEC 17799). Analiza dynamiczna (techniczna) jest aktywnym, ingerującym w działające systemy procesem testowania, za pomocą którego próbuje się określić miejsca podatne na uszkodzenia. Taka analiza składa się z podjęcia dwóch działań: I. Użycie zautomatyzowanych narzędzia wyszukiwania słabości systemów (błędów konfiguracyjnych, słabych haseł, nieaktualnych systemów). Narzędzia mogą być zarówno rozwiązaniem sprzętowym, jak i programowym. Jest to zazwyczaj mechanizm przeglądający pewien zbiór obiektów w ustalonym porządku, uruchomiony w celu wyszukiwania podatności w tych obiektach. Wyróżnia się trzy rodzaje skanerów: o skanery bezpieczeństwa - są to narzędzia powodujące wykonanie pewnych procedur, skryptów lub programów w odpowiedniej kolejności w celu identyfikacji podatności, które mogłyby spowodować wystąpienie zagrożenia (ataku). Skanery bezpieczeństwa wykorzystują zbiór sygnatur podatności i wzorców ataków, dlatego takie urządzenia powinny być często aktualizowane. Wynikiem działania skanera jest raport, który dla każdego elementu przedstawia wykaz zidentyfikowanych podatności. Opisowi podatność często towarzyszą inne informacje takie jak: identyfikator (według pewnej klasyfikacji, np. producenta, bugtraq[2]), szczegółowy opis, stopień zagrożenia oraz sposób usunięcia. Popularne skanery bezpieczeństwa to, np.: Satan[3], Nessus[4], Internet Security Scaner firmy ISS[5], Retina firmy eEye[6]. 96 o skanery inwentaryzacyjne- narzędzia służące do identyfikacji i sporządzania spisów wszystkich usług, sprzętu, oprogramowania występującego w podanym środowisku. Program tego typu są: Languard Network Security Scanner firmy GFI Software Ltp[7]. o skanery konfiguracji - są programami służącymi do automatycznego, zdalnego badania ustawień konfiguracyjnych (w tym tzw. zasad zabezpieczeń) generując odpowiednie raporty. Programy te należy uruchomić bezpośrednio na komputerze analizowanym lub zdanie dysponując uprawnieniami administratora. Skanerami tego typu są: Microsoft Baseline Security Analyzer[8] II. Przeprowadzając test penetracyjny, czyli przeprowadzenie symulacji włamania lub ataku na systemy, wykorzystując różne metody (identyczne, jakie używa haker), np. nielegalne uzyskanie informacji od użytkowników. Test penetracyjny jest w istocie atakiem na system informatyczny. Działania penetracyjne dotyczą dwóch obszarów bezpieczeństwa systemu: o Bezpieczeństwa informatycznego - testowanie polega na sprawdzeniu możliwości wymuszenia w systemie elektronicznym nieautoryzowanego dostępu do informacji, usług lub spowodowania odmowy usługi. Symulacja ataku może nastąpić z wewnątrz lub z zewnątrz sieci. Testowanie bezpieczeństwa dotyczy znanych miejsc podatnych na uszkodzenia oraz jest przeprowadzane w oparciu o scenariusze standardowych ataków. o Bezpieczeństwa fizycznego - testowanie polega na obejściu zabezpieczeń fizycznych w celu zdobycia informacji oraz wyniesienia ich poza siedzibę instytucji. Symulacja polega na próbie wejścia, łamiąc zabezpieczenia, unikając wykrycia (np. podszycie się pod tożsamość, mieszanie różnych tożsamości, socjotechnika). Bezpieczeństwo fizyczne porusza informację dostępną na różnych nośnikach przenośnych (w tym papierowych), testowaniu podlegają również zasady przetwarzania informacji, zasady usuwania oraz niszczenia dokumentów. Testy penetracyjne często dotyczą czynnika ludzkiego, np. zastosowania socjotechniki, czyli wyłudzenia poufnych informacji za pomocą inżynierii społecznej. Audyt bezpieczeństwa może być przeprowadzony na wiele sposobów. Najpopularniejszymi metodykami audytu są: • Użycie normy brytyjskiej BS 7799 (norma polska: PN-I-17799:2003, PN-I-077992:2005). Dokument składa się z dwóch części zawierających zespół dobrych praktyk, które można wykorzystać do zbudowania oraz zarządzania bezpieczeństwem informacyjnym. Pierwsza część opisuje zagadnienia dotyczące takich dziedzin, jak: o Polityka bezpieczeństwa (rozdział 3), o Organizacja bezpieczeństwa (rozdział 4), o Klasyfikacja i kontrola aktywów (rozdział 5), o Bezpieczeństwo osobowe (rozdział 6), o Bezpieczeństwo fizyczne i środowiskowe (rozdział 7), o Zarządzanie systemami i sieciami (rozdział 8), o Kontrola dostępu do systemu (rozdział 9), o Rozwój i utrzymanie systemu (rozdział 10), o Zarządzanie ciągłością działania (rozdział 11), o Zgodność (rozdział 12). Część druga dokumentu definiuje System zarządzania bezpieczeństwem informacji (SZBI), który składa się z czterech etapów: o Planuj (Ustanowienie SZBI), 97 o Wykonaj (Wdrażanie i eksploatacja SZBI), o Sprawdzaj (Monitorowanie i przegląd SZBI), o Działaj (Utrzymanie i doskonalenie SZBI). Etapy te powinny być cyklicznie powtarzane. Audytu dokonuje się z uwzględnieniem 127 punktów kontrolnych (ang. checklist). • Standard COBIT (ang. Control Objectives for Information and related Technology), który jest otwartym standardem kontroli technologii informatycznej rozwijanym przez IT Governance Institute. Metodyka Cobit zawiera zbiór zasad i wytycznych, stanowiących podstawę audytu, kontroli i nadzoru systemów informatycznych. Metodyka Cobit identyfikuje: o 4 domeny informatyczne:
PO – Planowanie i organizacja,
AI – Nabywanie i wdrażanie,
DS – Dostarczenie i obsługa,
M – Monitorowanie. 34 procesy informatyczne przypisane poszczególnym domenom, 318 szczegółowych celów kontrolnych i wskazówek dla audytorów przypisanym poszczególnym procesom. 6.9 Przykładowy proces audytu bezpieczeństwa Zaproponowany audyt jest wzorowany na procesie audytu LP-A opracowanego przez Krzysztofa Lidermana oraz Adama Patkowskiego[1]. Etapy przykładowego audytu: • Przygotowania. W etapie tym następuje ustalenie zakresu oraz obszaru audytu. Ustalenie możliwości osób przeprowadzających audyt. Ustala się termin oraz sposoby zbierania i dostępu do informacji z systemów badanych. Określa się zasady komunikacji z pracownikami instytucji badanej. • Wykonanie testów i badań. Audyt dokonuje się za pomocą ścieżek: o Ścieżki formalnej, w której audytorzy badają zarządzanie bezpieczeństwem teleinformatycznym w instytucji w celu stwierdzenia zgodności z określonym w umowie wzorcem audytowym (np. zgodność z zaleceniami BS 7799 lub normą ISO/IEC 17799). Audytorzy powinni sporządzić listę kontrolną (ang. checklist) według wybranego standardu, np. dla BS 7799 lista zawiera 127 punktów, dla COBIT zawiera 302 punkty, pogrupowanych w 34 tematy. Kwestionariusze powinny zawierać pytania dla każdego punktu oraz zawierać odpowiedzi w formie: spełnione, niespełnione, spełnione częściowo, nie dotyczy. Procesy dotyczące ścieżki formalnej powinny dotyczyć:
Uzyskania oraz analizy uzyskanej od instytucji badanej dokumentacji opisującej porządek prawny instytucji, tj. podległość, odpowiedzialność oraz uprawnienia w zakresie bezpieczeństwa teleinformatycznego (statut, regulaminy, stanowiskowe karty pracy, umowy itp).
Uzyskania oraz analizy uzyskanej od badanej instytucji dokumentacji ustanawiającej zależności między zleceniodawcą a podmiotami zewnętrznymi, np. dokumenty zawierające odpowiedzialność za zasoby (obce oraz własne) określone w umowach zewnętrznych i wewnętrznych, umowy określające współprace firm zewnętrznych oraz warunkowych dopuszczeń do zasobów instytucji. 98
• Rozprowadzenia kwestionariuszy audytowych (listy audytowej) dla pracowników w celu ich uzupełnienia.
Przeprowadzenia wizji lokalnych oraz wywiadów w siedzibie instytucji badanej. Proces ten powinien dostarczyć informacji w celu wyrobienia wstępnej opinii na temat stosowanych w praktyce sposobów zarządzania bezpieczeństwem teleinformatycznym w instytucji.
Analizy kwestionariuszy oraz przeprowadzenia ewentualnych spotkań z pracownikami w celu wyjaśnienia wątpliwości.
Opracowania raportu końcowego stwierdzającego zgodności np. z normą ISO/IEC 17799. o Ścieżki technicznej. Pierwszą czynnością wykonywaną w tej metodzie jest przeprowadzenie analizy dokumentacji systemów i sieci informatycznych oraz zabezpieczeń fizycznych i technicznych. Taka analiza ma na celu:
wykrycie błędów w dokumentacji,
przygotowanie testów penetracyjnych,
próbę identyfikacji błędów architektury oraz koncepcji w sieci, systemów informatycznych oraz zabezpieczeń,
przygotowanie danych do raportu końcowego z badań przeprowadzonych w ramach ścieżki technicznej. Kolejnym elementem ścieżki technicznej jest kontrola oraz analiza stanu ochrony zabezpieczeń fizycznych oraz technicznych. Można tego dokonać za pomocą:
przeglądu zabezpieczeń fizycznych i technicznych,
przeglądu systemów zasilania urządzeń,
próby wyszukania urządzeń podsłuchowych. Efektem końcowym powyższej analizy powinno być opracowanie wstępnego raportu z badań systemów ochrony fizycznej i technicznej. Kolejny etap ścieżki technicznej powinien dotyczyć kontroli i analizy stanu ochrony informatycznej. Dokonuje się go za pomocą:
przeprowadzenia wyrywkowego badania konfiguracji wybranych komputerów,
badania podatności oraz stanu dokonywanych aktualizacji zautomatyzowanymi narzędziami (skanerami bezpieczeństwa) dla wybranych lub wszystkich elementów informatycznych,
badania ustawień konfiguracyjnych zautomatyzowanymi narzędziami (skanerami konfiguracji) dla wybranych lub wszystkich elementów informatycznych. Analiza stanu ochrony informatycznej na podstawie wyników otrzymanych w powyższych testach powinna być wstępem do próby przeprowadzenia testu penetrującego. Ostatnim elementem ścieżki technicznej jest opracowanie raportu końcowego oraz przekazanie go instytucji badanej wraz z raportami cząstkowymi (np. wydrukami skanerów) oraz z listą wykrytych podatności instytucji. Przygotowanie raportów końcowych. Etap ten polega na przygotowaniu dokumentacji końcowej oraz przekazaniu zboru dokumentów powstałych w trakcie audytu, np. raportów cząstkowych, wydruków z narządzi skanujących. 99 6.10 Zakończenie Bezpieczny i zweryfikowany system zabezpieczeń powinien uwzględniać wszystkie wyżej opisane procesy z zakresu planowania, budowy oraz kontroli zabezpieczeń. Bezpieczny system informatyczny powinien składać się z czterech nieustannie powtarzanych po sobie procesów: planowania, wdrażania, monitorowania oraz korygowania. Każdy z tych czterech procesów jest ważnym elementem systemu bezpieczeństwa instytucji. Pominięcie lub podjęcie niewystarczających działań może doprowadzić do osłabienia całkowitego bezpieczeństwa instytucji. Pierwszym procesem bezpieczeństwa jest odpowiednie zaplanowanie systemu informatycznego instytucji z uwzględnieniem koniecznych zabezpieczeń. Wykorzystanie analizy ryzyka lub zastosowanie podstawowego zbioru zabezpieczeń jest niezbędne w celu wyboru odpowiednich zabezpieczeń, które powinny uwzględniać rzeczywiste wymagania instytucji. Błędy popełnione przy planowaniu są trudne do wykrycia i poprawienia, dlatego zaleca się, aby ten proces był dokładnie zrealizowany. Proces wdrażania systemów oraz zabezpieczeń wiąże się z ich poprawną konfiguracją, odpowiednimi programami uświadamiania użytkowników oraz zapewnieniem stabilności działalności procesów instytucji. Proces monitorowania ma za zadanie dokonać oceny bezpieczeństwa informatycznego instytucji. Polega on na dokonaniu kontroli efektywności, oceny bezpieczeństwa zastosowanych środków zabezpieczeń jak i odpowiedniego zachowywania się użytkowników systemów. Zaleca się, aby proces był przeprowadzony dwojako, z zastosowaniem nieustannego monitorowania oraz okresowych, niezależnych audytów bezpieczeństwa. Oba środki kontroli są bardzo istotne, pominięcie jednego z nich może znacząco obniżyć stopień bezpieczeństwa instytucji. Monitorowanie może w krótkim czasie skorygować nieprawidłowości w funkcjonowaniu zabezpieczeń. Audyt dokonany przez niezależne osoby może zidentyfikować błędy lub nieprawidłowości, które byłyby pominięte przez administratorów. Zastosowanie obydwu metod kontroli jest w stanie efektywnie zapewnić wysoki poziom bezpieczeństwa instytucji. Ostatnim procesem jest korygowanie, które polega na poprawieniu wszystkich wykrytych błędów. Po ukończeniu procesu korygowania należy rozpocząć kolejny cykl. 100 Załącznik A Przykładowa lista zagrożeń Przykładowe zagrożenia: • Oszustwa i kradzież (CZ8). • Sabotaż ze strony pracownika (CZ). • Utrata wsparcia ze strony innych systemów i infrastruktury (CZ). • Hakerstwo (CZ). • Złośliwe oprogramowanie (CZ). • Nieupoważniony dostęp oraz użytkowanie (CZ) • Umyślna szkoda tj. zniszczenie danych, atak typu odmowa usługi (CZ). • Szpiegostwo Przemysłowe (CZ). • Zalanie (CZ, N, S). • Atak bombowy (CZ). • Użycie broni (CZ). • Pożar (CZ, S, N). • Trzęsienie ziemi (N). • Zalanie (CZ, N, S). • Huragan (N). • Uderzenie pioruna (N). • Awaria prądu (S, CZ). • Wahania prądu (N, S). • Awaria wodociągów (S, CZ). • Awaria klimatyzacji (S, CZ). • Awaria sprzętu (S, CZ). • Zanieczyszczenie (S, CZ). • Kurz (N). • Promieniowanie elektromagnetyczne (CZ, N, S). • Zużycie nośników (N). • Błąd personelu obsługującego (N, CZ). • Błąd konserwacji (CZ, N). • Awaria oprogramowania (CZ, N). • Użycie oprogramowania przez nieuprawnionych użytkowników (CZ). • Użycie oprogramowania w nieuprawniony sposób (CZ). • Podszywanie się pod innego użytkownika (CZ). • Nielegalne użycie oraz obchodzenie się z oprogramowaniem (CZ). • Awaria techniczna składników sieci (CZ, naturalna). • Błąd transmisji (CZ, N). • Uszkodzenie lub przeciążenie linii (CZ, N). • Podsłuch (CZ). • Niewłaściwe wykorzystanie z zasobów (CZ). • Błędy, nieuwaga, niedbalstwo użytkowników (CZ). 8 Wyróżnia się trzy źródła pochodzenia zagrożeń: spowodowane przez człowieka (CZ), naturalne (N), środowiskowe (S). 101 Załącznik B Lista podatności oraz odpowiadające im zagrożenia 1. Środowisko i infrastruktura: • Brak fizycznej ochrony budynku, drzwi i okien (np. kradzież, nieupoważniony dostęp do informacji). • Niewłaściwe lub nieuważne użycie fizycznej kontroli dostępu do budynków, pomieszczeń (np. umyślna szkoda). • Niestabilna sieć elektryczna (np. wahania napięcia prądu). • Lokalizacja na terenie zagrożonym powodzią (np. zalanie). 2. Sprzęt: • Brak planów okresowej wymiany (np. zużycie nośników). • Podatność na zmiany napięcia (np. wahania napięcia prądu). • Podatność na zmiany temperatury (np. zagrożenie ekstremalnymi temperaturami). • Podatność na wilgotność, kurz, zabrudzenie (awarie przez kurz). • Wrażliwość na promieniowanie elektromagnetyczne (promieniowaniem elektromagnetycznym). • Niewłaściwa konserwacja lub wadliwa instalacja nośników (błędy konserwacji). • Brak sprawnej kontroli zmian w konfiguracji (błędy personelu obsługującego). 3. Oprogramowanie • Niejasny lub niekompletny opis techniczny dla użytkowników (awaria oprogramowania). • Brak lub niedostateczne przetestowanie oprogramowania (użycie oprogramowania przez nieuprawnionych użytkowników). • Skomplikowany interfejs użytkownika (błędy personelu obsługującego). • Brak mechanizmów identyfikacji i uwierzytelnienia takich jak uwierzytelnienie użytkowników (podszywanie się pod tożsamość użytkownika). • Brak śladów dla audytu (użycie oprogramowania w nieuprawniony sposób). • Dobrze znane wady dla oprogramowania (użycie oprogramowania przez nieuprawnionych użytkowników). • Niechronione tablice haseł (podszywanie się pod tożsamość użytkownika). • Złe zarządzenie hasłami tj. słabe hasła, przechowywanie haseł w postaci jawnej, zbyt rzadkie zmiany (maskarada tożsamości użytkownika). • Niewłaściwy przydział uprawnień do dostępu (użycie oprogramowania w nieuprawniony sposób). • Brak kontroli pobierania i używania oprogramowania (złośliwe oprogramowanie). • Brak konieczności wylogowania się po opuszczeniu stanowiska pracy (użycie oprogramowania przez nieuprawnionych użytkowników). • Brak efektywnej kontroli zmian (awaria oprogramowania). • Brak dokumentacji (błędy personelu obsługującego). • Brak kopii zapasowych (złośliwe oprogramowanie i lub zagrożenie pożarem). • Usuwanie lub ponowne użycie nośników bez odpowiedniego kasowania ich zawartości (użycie oprogramowania lub informacji przez nieuprawnionych użytkowników). 3. Łączność: • Niechronione linie łącznoći – np. linie telefoniczne (zagrożenie podsłuchem). • Złe łączenie kabli (infiltracja łączności). 102 Brak identyfikacji i uwierzytelnienia nadawcy i odbiorcy (podszycie się pod użytownika). • Przesyłanie haseł w postaci jawnej (dostęp do sieci przez nieuprawnionych użytkowników). • Brak dowodu wysłania lub odebrania wiadomości (zaprzeczenia). • Linie komutowane (dostęp do sieci przez nieuprawnionych użytkowników). • Niechroniony wrażliwy ruch (podsłuch). • Nieodpowiednie zarządzanie siecią – odporność routingu na uszkodzenia (przeciążenie ruchu). • Niechronione połączenia do sieci publicznej (użycie oprogramowania przez nieuprawnionych użytkowników). 4. Dokumenty: • Niechronione przechowywanie (kradzież). • Nieodpowiednie niszczenie (kradzież, ujawnienie danych chronionych). • Niekontrolowane kopiowanie (kradzież). 5. Personel: • Nieobecność prersonelu (niedobór personelu). • Praca personelu zewnętrznego lub sprzątającego bez nadzoru (kradzież). • Niedostateczne szkolenia w zakresie bezpieczeństwa (błędy personelu obsługującego). • Niewyszkoleni użytkownicy (błędy personelu obsługującego). • Brak świadomości bezpieczeństwa (błędy użytkwonika). • Niewłaściwe użycie oprogramowania i sprzętu (błędy personelu obsługującego). • Niewłaściwy wybór i użycie haseł (nieautoryzowany dostęp, ujawnienie informacji chronionch, kradzież). • Brak mechanizmów monitorowania (użycie oprogramowania w niewłaściwy sposób). • Brak polityk właściwego użycia środków łączności i komunikowania się (użycie instalacji sieciowych w nieuprawniony sposób). • Niewłaściwe procedury zatrudnienia (umyślna szkoda). 6. Podatności mające zastosowanie ogólne. • Pojedynczy punkt uszkodzenia (awaria usług łączności). • Niewłaściwa reakcja serwisu dokonującego konserwacji (awaria sprzętu). • 103 Załącznik C Jakościowa analiza ryzyka Instytutu Poniższa tabela przedstawia jakościową analizę ryzyka dla Instytutu. W pierwszej kolumnie zostały przedstawione główne zagrożenia dla zasobów i usług. Dla każdego zagrożenia jest wyliczane trzykrotnie (patrz niżej) ryzyko (MR), które jest iloczynem poziomu zagrożenia (Poz. Zagrożenia) i częstotliwości wystąpienia takiego zagrożenia (Częst. Wyst.). Poziom zagrożenia oznacza wpływ takiego zagrożenia na zasoby instytucji i jest wyznaczony jako liczba z zakresu 1-10. Wartość 1 oznacza minimalny, prawie niezauważalny wpływ niebezpieczeństwa, natomiast poziom 10 oznacza katastrofalny wpływ, rozumiane jako stuprocentowe zniszczenie zasobów lub kompletne zablokowanie procesów zachodzących w instytucji. Częstotliwość występowania jest wyznaczana jako iloczyn liczby wystąpień takich zagrożeń w okresie czasu liczonym w latach (wartość 50 oznacza 50 wystąpień w jednym roku, 0,2 oznacza wystąpienie zagrożenia raz na pięć lat). Miara ryzyka została wyznaczana trzykrotnie: • Pierwsza wartość ryzyka znajduje się w kolumnach 2,3,4 i oznacza sytuację, w której nie występują żadne zabezpieczenia. • Drugie wyliczenie ryzyka, znajdujące się w kolumnach 6,7,8 uwzględnia istniejące zabezpieczenia wylistowane w kolumnie 5 (Inst.). • Ostatnie wyliczanie ryzyka, znajdujące się w kolumnach 9,10,11 uwzględnia zabezpieczenia dodatkowe wylistowane w kolumnie 6 (Sug.), które mogłyby zostać wdrożone w celu zwiększenia bezpieczeństwa w instytucji. Miarę ryzyka można próbować obniżyć dwoma sposobami: poprzez ograniczenie ich wpływu na zasoby Instytutu lub redukując częstotliwość ich wystąpień. Zabezpieczenia mogą redukować obie te wartość. Należy jednak mieć na uwadze, że źle wdrożone, skonfigurowane lub nieaktualne zabezpieczenia mogą spowodować wzrost ryzyka dla określonego zagrożenia (wzrost poziomu zagrożenia lub/oraz częstotliwości ich wystąpienia). Poniżej w tabeli zostały rozwinięte skróty zabezpieczeń oraz dokładnie opisana ścieżka dla zagrożenia Wirusowego. Tabela 10 Analiza jakościowa Instytutu Miara Ryzyka Zabezpieczenia Wpływ zabezpieczeń Inst. Sug. Poz. Zagrożenia Częst. MR Inst. Sug. Zagrożeń Poz. Częst. Poz. Częst. Wyst. -efektyw. Zagrożeń Wyst. MR Zagrożeń Wyst. MR Kradzież Sprzętu 10 SKD, 50 Ochr. SP 2 SP, SZ PF, GW, IDP, SP PF, GW, IDP, SP 3 9 UPS, klimat. 3 9 Serwis Sys. 500 5000 AntyVir. Sys. 200 1800 AntyVir. Awaria Oprogram. 4 100 Serwis. Szkol. 400 Adm. Łamanie Praw Licencji 7 50 350 OPU Awaria Sprzętu Zarażenie Wirusami Zarażenie Spyware 5 3 10 0,2 0,4 2 3 9 2 1 2 10 30 300 6 15 90 9 20 180 7 10 70 SP, OPU 4 100 400 3 40 120 SP, SZ 7 50 350 7 30 210 104 0,1 0,2 Przejęcie Kontroli (hacking) Nieaut. Użycie Oprog. Kradzież informacji Zniszcz. informacji Ujawnienie informacji Modyf. informacji Przerw. Dział. Sieci Podsłuch Brak Rozliczal. SID, IDP, SP PF, PSSL, GW 10 3 30 7 0,5 3,5 Uwierz. Domeny, 400 SKD SP, 802.1x 2 1 2 2 0,5 1 10 SKD, FW, FP, 100 1000 OPU SP, 802.1x, PF, IDP, ARW 10 0,5 5 10 0,2 2 10 SKD, FW, FP, SP, 802.1x, 150 1500 OPU, BK PF, IDP 10 10 100 10 0,5 5 10 SKD, FW, FP, 100 1000 OPU SP, 802.1x, PF, IDP, ARW 10 0,5 5 10 0,3 3 10 SKD, FW, FP, SP, 802.1x, 200 2000 OPU, BK PF, IDP 10 0,5 5 8 0,2 1,6 6 2 12 6 0,5 5 0,3 1,5 3 0,2 0,6 8 140 1120 6 50 300 10 2 10 8 5 9 9 Przeciąż. Ruchu 5 Nieaut. Połącz. Zewnątrz 9 Atak Sql 200 6 Nieupraw. Dostęp DoS OPU, 150 1500 FW, FP 10 6 UPS, STP, 60 2*ISP HTTPS, 40 IPSEC 150 1350 SysLog PA, Dok, HA SP, ZKS, SMIME SZ, SAL FW, OPU, SP, 802.1X, 150 1350 FP, SKD PF, IDP, PX STP, FP, FW. 200 1000 BAS IDP, SZ, SP FW, FP, 300 2700 OPU FW, 200 2000 BKU FW, 30 180 BKU IDP, 802.1x, PX, PBX IDP, PX, ZKS IDP, PX 7 20 140 7 10 3 2 6 3 0,5 1,5 9 150 1350 9 30 270 10 100 1000 10 70 700 6 20 120 5 Zabezpieczenia: • SKD – System kontroli dostępu. • Ochr. – Ochrona fizyczna budynku, pomieszczeń (np. strażnicy, bramy). • OPU – Ograniczenie praw użytkowników. Logiczne systemy zarządzające prawami dostępu do usług i zasobów Instytutu. • FW – Firewall • FP – Filtry pakietów zrealizowane na urządzeniach sieciowych takich jak przełączniki, routery, oprogramowanie na serwerach. • STP – Spanning Tree Protocol. Protokół dostępny na przełącznikach, umożliwiający komunikację w sieci w przypadku awarii przełącznika. • BAS – Bezpieczna architektura sieci. Przemyślane, kompletne i bezpieczne stworzenie architektury sieci; rozmieszczenie serwerów z usługami; wdrożenie zabezpieczeń. 105 3 10 70 50 • • • • • • • • • • • • • • • BKU – Bezpieczna konfiguracja usług. Wdrożenie systemu zarządzania konfiguracją oraz weryfikacja słuszności i efektywności konfiguracji urządzeń i serwerów sieciowych. SP – Szkolenia pracowników. Stworzenie programów uświadamiających o bezpieczeństwie jak i wytycznych postępowań dla pracowników. SZ – System zarządzania. Wdrożenie systemu zarządzania zmianami. GW – Brama Antywirusowa. Niezależne urządzenia skanujące ruch sieciowy pod kątem obecności wirusów i innego złośliwego oprogramowaniami np. spyware. IDP – Systemy wykrywania i przeciwdziałania włamań (IDS/IPS). Systemy analizujące ruch sieciowy oraz zachowanie urządzeń w celu wykrycia ataków lub nieprawidłowości. SID – System integralności danych. Wdrożenie systemu do badania nieautoryzowanych zmian w konfiguracji, plikach systemowych lub oprogramowaniu. PSSL – Proxy SSL. Wdrożenie systemu pośredniczącego dostępem do usług znajdujących się w sieci wewnętrznej oraz zapewnienia poufności i autentyczności dla przychodzących połączeń. ARW – Autoryzacja ruchu wejściowego. System dodatkowo autoryzujący użytkowników łączących się do sieci Instytutu z Internetu. BK – Backup. System zarządzania archiwizacją danych. PA – Plany awaryjne (BCP) i procedury odzyskiwania (PR). Wdrożenie planów i procedur zapewniający ciągłość działania głównych procesów zachodzących w instytucji oraz sposobów określających jak należy się zachować w przypadku awarii. ZKS – Zawansowana konfiguracja sieci. SAL – System analizy logów. Wdrożenie urządzenia analizującego dzienniki zdarzeń z różnych systemów i urządzeń z sieci Instytutu. PX – Proxy. System pośredniczący połączeniom z sieci zaufanej do sieci niezaufanej. SMIME – Szyfrowanie i podpis elektroniczny dla poczty elektronicznej. PBX – Konfiguracja centrali telefonicznej. Szczegółowy opis ścieżek dla wybranych zagrożeń: • Wirusy oraz inne złośliwe oprogramowanie np. robaki, konie trojańskie, spyware. Wyznaczenia ryzyka (MR) dla: o Braku zabezpieczeń. Wpływ zagrożeń został oszacowany na wartość 10, ponieważ autorzy tego dokumentu uważają że obecnie ataki są bardzo prawdopodobne i niebezpieczne. Podobne opinie przedstawiają statystyki prowadzone przez czołowe firmy zajmujące się problematyką bezpieczeństwa. Atak robaka internetowego może doprowadzić do zablokowania systemów oraz sieci internetowych (np. robak Sasser, który skutecznie zablokował ogromną liczbę komputerów w sieci Internet). Możliwość szybkiej infekcji na inne komputery to kolejny argument, że zagrożenie jest bardzo niebezpieczne. Także częstotliwość występowań tego typu oprogramowania jest duża. Autorzy niniejszej pracy oszacowali wartość na 500 wystąpień w roku, tj. ok 1,4 dziennie dla wszystkich komputerów z Instytutu. Miara ryzyka została wyliczona na 5000. o Istniejących zabezpieczeń. Po zastosowaniu Systemu Antywirusowego na wszystkich jednostkach komputerowych oraz serwerach w Instytucie poziom zagrożenia został obniżony. Redukcja miary ryzyka została dokonana przez obniżenie wartości częstotliwości występowań (obniżenie z 5000 do 30 w skali roku). Znaczące obniżenie jest związane z faktem, że systemy antywirusowe mają aktualne bazy 106 danych szczepionek antywirusowych. Miara ryzyka wyniosła 300. Jeśli taki poziom ryzyka jest za duży należy rozważyć zastosowanie dodatkowych środków zabezpieczeń. o Sugerowanych zabezpieczeń. Jeśli w Instytucie zostałyby wdrożone zabezpieczenie w postaci bramki antywirusowej, systemu wykrywania włamań oraz programów szkoleniowych, poziom ryzyka uległby redukcji. Zastosowanie centralnej bramki antywirusowej przyspieszyłoby czas pobierania aktualizacji definicji wirusów oraz dawało niezależność od konfiguracji stacji roboczych i serwerów. Jeden system centralny skracałby czas, w stosunku do systemu rozproszonego posiadającego około 300 komputerów do aktualizacji, w którym sieć Instytutu byłaby niezabezpieczona przed nowymi wirusami. Zastosowanie bramki powinno być wyłącznie traktowane jako dodatkowe zabezpieczenie. Oprogramowanie antywirusowe na jednostkach klientów powinno być przez cały czas utrzymywane na wypadek dostania się wirusa z innego źródła niż Internet np. przez sieć wewnętrzną lub zewnętrzny nośnik. Systemy wykrywania włamań mogą skutecznie stwierdzić fakt ataku robaka internetowego lub innego złośliwego oprogramowania poprzez mechanizmy analizowania ruchu sieciowego. Rozwiązania techniczne nie zapewnią skutecznej walki z zagrożeniem wirusowym. Elementem dopełniającym powinno być przeszkolenie pracowników. Wiedza i umiejętność rozpoznawania zagrożeń związanych z atakami złośliwego oprogramowania może przyczynić się do wczesnego ich identyfikowania oraz eliminowania. W powyższej tabeli miara ryzyka została obniżona przez dwa czynniki. Poziom zagrożenia został zmniejszony z 10 do 6. Spadek wartości jest związany głównie z programem szkoleniowym, ponieważ wczesna identyfikacja ataku złośliwego oprogramowania może skutecznie wyeliminować niebezpieczeństwo zanim zdoła ona wyrządzić szkody. Oprócz poziomu zagrożenia została zmniejszona wartość częstotliwości wystąpień z 30 do 15. Miara ryzyka w ostatnim przypadku wyniosła 90. Nie jest możliwe zmniejszenie tej wartości do 0 ponieważ zawsze istnieje ryzyko szczątkowe, którego nie jesteśmy w stanie wyeliminować. 107 Załącznik D Polityka bezpieczeństwa informacji w Instytucie Wstęp Rozwój nowych technologii informatycznych, przekazu i dostępu do informacji wymusza wprowadzenie bardziej skutecznych metod, mechanizmów oraz procedur zarządzania bezpieczeństwem informacji. Ochrona informacji i niezakłóconego dostępu do nich wymaga zaangażowania się całego przedsiębiorstwa. Każda osoba niezależnie, czy jest to pracownik, czy osoba będąca w współpracy z Instytutem powinna uczestniczyć w globalnej ochronie informacji. Polityka bezpieczeństwa informacji stanowi zbiór dokumentów informacyjnych, regulaminów i zasad określających szczegółowe postępowanie, zapewniające bezpieczny sposób uzyskania dostępu do danych Instytutu, sposób obchodzenia się z tymi danymi oraz zakończenia swojego dostępu do nich. Polityka bezpieczeństwa informacji informuje jak dane są zarządzane oraz zabezpieczane. Określa, które informacje podlegają ochronie ze względu na dobro Instytutu jak i wymogi prawa. Niezakłócone funkcjonowanie procesów przetwarzania informacji w Instytutu jest strategicznym czynnikiem jego działalności. Zapewnienie ciągłości działania Instytutu i jej rozwoju zależy w dużej mierze również od bezpieczeństwa informacji oraz systemów, w których informacja jest przechowywana. W związku z powyższym ustanawia się politykę bezpieczeństwa informacji, której podstawowe założenia określa niniejszy dokument. Dokument określa bezpieczeństwo informacji danych przechowywanych na nośnikach elektronicznych, w systemach informatycznych, przesyłanych pocztą elektroniczną lub za pomocą urządzeń elektronicznych. Do tworzenia i rozwijania zasad polityki bezpieczeństwa informacji w Instytucie wykorzystywane są obowiązujące w tym zakresie normy i standardy oraz doświadczenie płynące ze sprawdzonych rozwiązań praktycznych. Zasady te są zgodne z obowiązującymi przepisami prawa nakładającymi obowiązek ochrony określonych kategorii informacji w szczególności: tajemnicy przedsiębiorstwa, danych osobowych, tajemnicy państwowej oraz tajemnicy służbowej. Cele Głównym celem niniejszej polityki bezpieczeństwa jest osiągnięcie odpowiedniego poziomu organizacyjnego i technicznego, który umożliwi: • zachowanie poufności w stosunku do informacji chronionych, • zachowanie integralności, dostępności do informacji jawnych oraz chronionych, • zagwarantowanie odpowiedniego poziomu bezpieczeństwa informacji znajdujących się nośnikach elektronicznych, • analizę zagrożeń dla bezpieczeństwa informacji oraz maksymalne ograniczenie ich wystąpienia, • zapewnienie poprawnego i bezpiecznego działania wszystkich systemów informatycznych, • identyfikację nadużyć oraz podjęcie odpowiednich działań w sytuacjach kryzysowych. 108 Zakres Poniższa polityka bezpieczeństwa informacji ma zastosowanie do wszystkich pracowników, współpracowników Instytutu Łączności oraz do wszystkich urządzeń podłączonych do sieci komputerowej Instytutu Łączności. Strategia W celu osiągnięcia sukcesu w procesie wdrażania polityki bezpieczeństwa informacji w Instytucie zastosowano poniższe kroki: • określono oraz sklasyfikowano aktywa informatyczne Instytutu, pod względem ich ważności (między innymi wprowadzono podział na informacje jawne i chronione), • określono informacje stanowiące tajemnicę przedsiębiorstwa, tj. dane szczególnie ważne dla Instytutu mające wpływ na jego dobro, interes i pozycję na rynku, • określono informacje chronione ze względu na wymogi prawne, • pogrupowano informacje chronione w celu ułatwienia sposobu ich zarządzania, • określono organizacyjne i techniczne wymogi bezpieczeństwa przetwarzanych informacji, • utworzono struktury organizacyjne odpowiedzialne za zarządzanie bezpieczeństwem i przetwarzaniem informacji, • dokonano analizy ryzyka i obszarów jego oddziaływania dla poszczególnych informacji chronionych w celu zapewniania ciągłości i bezpieczeństwa, • wdrożono rozwiązania techniczne zapewniające wymagany poziom bezpieczeństwa przetwarzanych informacji, tj. zabezpieczenia fizyczne oraz systemy zabezpieczające sieci i systemy informatyczne, • stworzono plany i strategie dotyczące dalszego wdrażania zabezpieczeń, • stworzono dokumentację, procedury oraz instrukcje postępowania oraz plany awaryjne dla systemów oraz informacji w nich przetwarzanych, W celu zapewnienia pełnego rozumienia reguł polityki bezpieczeństwa, jak również podnoszenia świadomości z zakresu bezpieczeństwa informatycznego będą organizowane szkolenia pracowników. Przeprowadzanie okresowych audytów bezpieczeństwa będzie pomocne w procesie sprawdzania egzekwowania polityki bezpieczeństwa, jak również w identyfikacji nowych zagrożeń bezpieczeństwa informatycznego. Polityka bezpieczeństwa informacji i związana z nią strategia ochrony będą na bieżąco aktualizowane w celu dostosowania do zmian prawnych i uwzględnienia szybko postępującego rozwoju technologii i usług informatycznych. Zgodność polityki bezpieczeństwa informacji z wymogami prawa Informacje w Instytucie są chronione zgodnie z wymogami prawa w zakresie ochrony informacji, w tym: I. ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późniejszymi zmianami), II. ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. Nr 88, poz. 553 z późniejszymi zmianami), 109 III. ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity: Dz. U. z 1998 r. Nr 21, poz. 94 z późniejszymi zmianami), IV. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 Nr 101, poz. 926 z późniejszymi zmianami), V. ustawy z dnia 29 sierpnia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami), VI. ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. Nr 47, poz. 211 z późniejszymi zmianami), VII. ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. Nr 114, poz. 740 z późniejszymi zmianami), VIII. ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr 121, poz. 591 z późniejszymi zamianami), IX. ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. Nr 24, poz. 83 z późniejszymi zmianami), X. ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznych (Dz. U. Nr 112, poz. 1198 z późniejszymi zmianami). Podstawowe wymagania w zakresie ochrony informacji 1. Wszyscy pracownicy Instytutu, stosownie do swoich obowiązków i zajmowanych stanowisk, są odpowiedzialni za przestrzeganie zasad zawartych w niniejszej polityce bezpieczeństwa informacji oraz zasad ujętych w regulaminie sieci komputerowej, zgodnie z zarządzeniem nr 7 Dyrektora Instytutu Łączności z dnia 10 maja 1998 roku, rozwiniętych w dokumentach towarzyszących, przedstawiających szczegółowe instrukcje, co potwierdzają własnoręcznym podpisem. 2. Polityka bezpieczeństwa jest wprowadzona w życie zarządzeniem Dyrektora Instytutu. 3. Pracownicy, którzy mają dostęp do danych osobowych muszą być dopuszczeni do nich na zasadach określonych w przepisach o ochronie danych osobowych (ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [Dz. U. Nr 11, poz. 95 z późn. zm.]). 4. Pracownicy, którzy mają dostęp do informacji niejawnych muszą być dopuszczeni do nich na zasadach określonych w przepisach o ochronie informacji niejawnych (ustawa z dania 22 stycznia 1999 r. o ochronie informacji niejawnych [Dz. U. Nr. 11, poz. 95 z późn. zm.]). 5. Ochrona informacji bazuje na restrykcyjnej kontroli dostępu przetwarzanych danych. W odniesieniu do informacji sklasyfikowanych jako chronione w Instytucie obowiązuje zasada „wiedzy uzasadnionej”, zgodnie z którą dostęp do tej kategorii informacji powinien być uzasadniony realizacją powierzonych zadań. W przypadku braku takiego uzasadnienia odmawia się dostępu do danych chronionych i usług systemu. 6. Wszyscy pracownicy Instytutu mający dostęp do informacji chronionych powinni być okresowo szkoleni z zasad ich ochrony. 7. Osoby nie będące pracownikami Instytutu składają pisemne zobowiązania o zachowaniu poufności informacji chronionych, z którymi zapoznali się w związku z wykonaniem pracy na rzecz Instytutu. 8. Podmioty zewnętrzne świadczące usługi na rzecz Instytutu podpisują umowę o zachowaniu poufności informacji chronionych, które zostały im przekazane lub udostępnione w związku z realizacją tych usług. 9. Pomieszczenia, w których przetwarzane będą informacje chronione muszą być zabezpieczone przed nieautoryzowanym dostępem, wpływami środowiska zgodnie 110 z zapisami ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia [Dz. U. Nr. 114, poz. 740 z późn zm.]. 10. Urządzenia, na których są przechowywane i przetwarzane informacje chronione muszą być zabezpieczone przed niekontrolowanym i niepowołanym dostępem, kradzieżą, wpływami środowiska. 11. Prawa autorskie oraz licencje zarówno pracowników, jak i osób trzecich muszą być chronione zgodnie z zapisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych [Dz. U. Nr 24m poz. 83 z późn. zm.]. Zasady polityki bezpieczeństwa Postanowienia ogólne 1. Niniejszy dokument obowiązuje pracowników Instytutu Łączności i jego gości, czasowo przebywających w Instytucie oraz osób współpracujących. 2. Wszystkie informacje stanowiące tajemnicą przedsiębiorstwa podlegają ochronie. 3. Wszystkie informacje zawarte na wszystkich rodzajach komputerowych nośników informacji w Instytucie są jego własnością. Wyjątek stanowią informacje objęte odrębnymi umowami zawartymi z osobami trzecimi. 4. Programy, aplikacje, dokumenty, wyniki i analizy stworzone przez pracowników Instytutu stanowią własność placówki, chyba, że co innego wynika z odrębnych umów. 5. Informacje w Instytucie dzieli się na: informacje jawne i informacje chronione. 6. Wszystkie informacje w Instytucie uznaje się za jawne, jeżeli nie zostały oznaczone jako chronione. 7. Informacje chronione dzieli się na informację stanowiące tajemnicę przedsiębiorstwa oraz informacje prawnie chronione. 8. Klasyfikację informacji jako „tajemnica przedsiębiorstwa” w Instytucie nadaje lub odbiera Dyrektor lub Kierownicy Jednostek Organizacyjnych Instytutu. 9. Informacje chronione w Instytucie to: • Informacje finansowo-księgowe. • Informacje kadrowo-płacowe. • Informacje o klientach (tj. tajemnice przedsiębiorstwa, dane osobowe). • Informacje stanowiące tajemnicę przedsiębiorstwa (m. innymi informacje badawcze, techniczne, technologiczne, dot. ochrony informacji oraz systemów informatycznych w Instytucie), Niniejsza polityka bezpieczeństwa nie obejmuje informacji niejawnych. Za ich ochronę odpowiada pełnomocnik do spraw ochrony informacji niejawnych zgodnie z zarządzeniem nr. 1 Dyrektora Instytutu Łączności z dnia 26 stycznia 2005. 111 10. Informacje chronione posiadają swoich administratorów odpowiedzialnych za zarządzanie tymi aktywami oraz nadawanie odpowiednich uprawnień dostępu użytkownikom do tych informacji. Użytkownicy powinni należycie dbać i obchodzić się z tymi informacjami oraz być świadomi swojej odpowiedzialności za przetwarzanie wyżej opisanych danych. 11. W Instytucie będą przeprowadzane okresowe audyty bezpieczeństwa teleinformatycznego Instytutu zlecone przez Dyrektora lub kierownika Ośrodka Informatyki. Zasady wykorzystania informacji 1. Dostęp do informacji chronionych mają jedynie osoby upoważnione do takiego dostępu przez Dyrektora lub Kierowników Jednostek Organizacyjnych zarządzających tymi informacjami. ISO 17799 9.2 Zarządzanie dostępem użytkowników. 2. Nieuprawnione ujawnienie, przekazanie lub pozyskiwanie informacji chronionych jest ciężkim naruszeniem obowiązków pracowniczych w rozumieniu Art. 52 Kodeksu Pracy oraz powoduje pociągnięcie do odpowiedzialności karnej i cywilnej sprawcy szkody. ISO 17799 12.1 Zgodność z przepisami prawnymi, 6.3 Reagowanie na naruszenie bezpieczeństwa (...). Zasady udostępniania/przekazywania informacji chronionych 1. Udostępnianie informacji prawnie chronionych możliwe jest jedynie wówczas, gdy odbiorcami są podmioty uprawnione do ich otrzymania na podstawie przepisów prawa oraz upoważnione na podstawie umów zawartych z Instytutem w sposób w nich określony. ISO 17799 12.1 Zgodność z przepisami prawnymi, 4.2 Bezpieczeństwo dostępu osób trzecich. 2. Udostępnianie informacji stanowiących tajemnicę przedsiębiorstwa możliwe jest jedynie wówczas, gdy odbiorcami są: uprawnieni pracownicy, współpracownicy upoważnieni przez Dyrektora Instytutu lub Kierowników Jednostek Organizacyjnych, podmioty uprawnione do ich otrzymywania na podstawie przepisów prawa, podmioty upoważnione na podstawie umów zawartych z Instytutem w sposób w nich określony. ISO 17799 12.1 Zgodność z przepisami prawnymi, 4.2 Bezpieczeństwo dostępu osób trzecich, 9.2 Zarządzenie dostępem użytkowników. 3. W przypadku, gdy udostępnienie dotyczy danych osobowych ze zbioru przetwarzanego w Instytucie, wniosek ten musi być zgodny z wzorem formularza określonego w załączniku nr. 1 do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz innego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. Nr 80, poz. 522 ze zm.). ISO 17799 12.1 Zgodność z przepisami prawnymi. 112 4. Informacje chronione są przekazywane uprawnionym podmiotom lub osobom za potwierdzeniem odbioru w następujący sposób: listem poleconym, teletransmisją danych zgodnie z procedurami ochrony danych podczas transmisji, kopiowaniem na inny nośnik (zalecane jest użycie szyfrowania), inny sposób określony konkretnym wymogiem prawnym lub umową. ISO 17799 12.1 Zgodność z przepisami prawnymi, 5.2.2 Oznaczenie i postępowanie z informacją. 5. Podmioty lub osoby, którym zostaną udostępnione informacje chronione Instytutu zobowiązane są podpisać stosowne oświadczenia o zachowaniu poufności. ISO 17799 12.1 4.2 Bezpieczeństwo dostępu osób trzecich, 4.3 Zlecenie przetwarzania na zewnątrz.. 6. Wymagane jest potwierdzenie tożsamości osoby chcącej uzyskać informacje chronione. ISO 177995.2.2 Oznaczenie i postępowanie z informacją. Zasady użytkowania nośników informacji chronionych 1. Termin nośniki oznacza nośniki magnetyczne, optyczne. 2. Należy chronić nośniki z informacjami chronionymi przed ich fizycznym uszkodzeniem, zniszczeniem, kradzieżą, ujawnieniem ich zawartości lub niewłaściwym używaniem. ISO 17799 7 Bezpieczeństwo fizyczne i środowiskowe. 3. Nośniki z informacjami chronionymi pod koniec dnia pracy powinny być zabezpieczone przed dostępem osób trzecich. ISO 17799 7.3.1 Polityka czystego biurka i czystego ekranu, 7.3.2 Wynoszenie mienia. 4. Wszystkie nośniki z informacjami chronionymi muszą być oznaczone. ISO 17799 5 Klasyfikacja i kontrola aktywów. 5. Nośniki z informacjami chronionymi nie mogą opuszczać terenu Instytutu bez wcześniejszej zgody Kierownika Jednostki Organizacyjnej lub administratora tych informacji. ISO 17799 5.2.2 Oznaczenie i postępowanie z informacją. 6. Zniszczenie nośnika z informacjami chronionymi musi uniemożliwiać odtworzenie oryginalnych danych. ISO 17799 8.6.2 Niszczenie nośników. 7. Utrata lub kradzież nośnika z informacjami chronionymi musi być niezwłocznie zgłaszania do Kierownika Jednostki Organizacyjnej lub administratora tych informacji. ISO 17799 6.3.1 Zgłaszanie przypadków naruszenia bezpieczeństwa. Zasady użytkowania systemu komputerowego oraz Internetu 113 1. Podstawowa instrukcja bezpieczeństwa 1. Incydenty lub podejrzenia nadużyć systemów informatycznych należy niezwłocznie zgłaszać do swojego przełożonego lub pracowników Ośrodka Informatyki. ISO 17799 6.3.1 Zgłaszanie przypadków naruszenia bezpieczeństwa. 2. Wykryte słabości i nieprawidłowości w działaniu systemów informatycznych należy niezwłocznie zgłaszać do pracowników Ośrodka Informatyki. ISO 17799 6.3.2 Zgłaszanie słabości systemu informatycznego. 3. Uprawnienia dostępu użytkowników do systemów komputerowych są przydzielane w myśl zasady „uzasadnionego dostępu”, która określa maksymalne uprawnienia dla użytkowników zgodnie z zajmowanymi funkcjami oraz zapotrzebowaniem w niezakłóconej pracy. ISO 17799 9.2 Zarządzanie dostępem użytkowników. 2. Zasady bezpieczeństwa dla urządzeń, okablowania, sprzętu komputerowego oraz sieciowego 1. Instytut Łączności musi posiadać system kontroli dostępu wykorzystywany do ochrony fizycznej sprzętu komputerowego oraz okablowania. ISO 17799 7.1 Obszary bezpieczne, 7.2 Zabezpieczenie sprzętu. 2. Zakup sprzętu lub podzespołów komputerowych musi odbywać się zgodnie z zarządzeniem nr 4 Dyrektora Instytutu Łączności z dnia 25 stycznia 2001 r., w celu sprawdzenia jego zgodności ze środowiskiem IT. ISO 17799 8.2 Planowanie i odbiór systemu. 3. Instalacja oraz reinstalacja sprzętu lub podzespołów musi być dokonana przez pracownika Ośrodka Informatyki. ISO 17799 8.1 Procedury eksploatacji oraz zakresy odpowiedzialności. 4. Za inwentaryzację sprzętu komputerowego odpowiada dział wskazany w regulaminie organizacyjnym Instytutu Łączności. ISO 17799 5.1.1 Inwentaryzacja aktywów. 5. Za brak komponentów w powierzonym sprzęcie i za powiązany z nim sprzęt komputerowy odpowiada pracownik, któremu ten sprzęt został przypisany. ISO 17799 8.1 Procedury eksploatacji oraz zakresy odpowiedzialności. 6. Zmiana osoby odpowiedzialnej, użytkującej dany sprzęt musi być zgłoszona do działu odpowiedzialnego za inwentaryzację sprzętu komputerowego w Instytucie. ISO 17799 8.1 Procedury eksploatacji oraz zakresy odpowiedzialności. 7. Zabrania się, aby użytkownicy sami dokonywali jakichkolwiek zmian komponentów w sprzęcie komputerowym. Zabrania się w Instytucie podłączania własnych komponentów do jednostek komputerowych oraz podłączania do sieci komputerowej jakichkolwiek zewnętrznych urządzeń, w szczególności komputerów. Wyjątek stanowią użytkownicy, którzy w porozumieniu z kierownikiem Ośrodka Informatyki mogą uzy- 114 skać specjalne zezwolenie na dokonywanie ww. zmian. ISO 17799 8.1 Procedury eksploatacji oraz zakresy odpowiedzialności. 8. Podłączenie sprzętu komputerowego do sieci lub zmiany jego lokalizacji odbywa się przy obecności pracownika Ośrodka Informatyki. ISO 17799 7.2 Zabezpieczenie sprzętu. 9. Korzystanie przez pracownika z usług serwisowych sprzętu komputerowego musi być skonsultowane z pracownikiem Ośrodka Informatyki. ISO 17799 8.6.1 Zarządzanie wyjmowanymi nośnikami komputerowymi. 10. Jakikolwiek sprzęt komputerowy pożyczany innym firmom, współpracującym z Instytutem, może być wypożyczony po wcześniejszej zgodzie kierownika Ośrodka Informatyki oraz podpisaniu specjalnego dokumentu na wypożyczenie sprzętu. ISO 17799 7.2 Zabezpieczenie sprzętu. 11. Każdy sprzęt przeznaczony do złomowania musi zostać sprawdzony i przygotowany do usunięcia przez pracownika z Ośrodka Informatyki. ISO 17799 7.2.6 Bezpieczne zbywanie sprzętu lub przekazanie do ponownego użycia. 12. Utrata i kradzież sprzętu musi być niezwłocznie zgłaszana do kierownika jednostki organizacyjnej lub kierownika Ośrodka Informatyki. ISO 17799 6.3.1 Zgłaszanie przypadków naruszenia bezpieczeństwa. 13. Sprzęt komputerowy musi zostać zaakceptowany zanim będzie wdrożony w środowisku produkcyjnym. Instalacja powinna odbywać się w czasie dogodnym dla użytkownika. ISO 17799 8.2 Planowanie i odbiór. 14. Strategiczny sprzęt komputerowy i sieciowy musi posiadać zabezpieczenia przed utratą, przerwami lub zmianami zasilania elektrycznego. ISO 17799 7.2.2 Zasilanie. 15. Serwery oraz urządzenia sieciowe przesyłające ruch sieciowy muszą być umieszczone w specjalnych pomieszczeniach takich jak serwerownie lub węzły. Pomieszczenia te są chronione przed nieupoważnionym dostępem przez dodatkowymi zabezpieczeniami takimi jak wzmocnienie drzwi, dodatkowa autoryzacja, okratowane lub wzmacniane okna. ISO 17799 7.1 Obszary bezpieczne. 16. Pomieszczenia typu serwerownia lub węzeł powinny być odporne na zagrożenia naturalne takie jak pożar, zalanie wodą, itp. Temperatura w tych pomieszczeniach powinna być kontrolowana oraz spełniać wytyczne zgodnie z normami dla znajdującego się w niej sprzętu informatycznego. ISO 17799 7.2.4 Konserwacja sprzętu. 17. Wszelkie zauważone przez użytkowników nieprawidłowości dotyczące okablowania oraz gniazdek sieciowych muszą być zgłaszane do pracowników Ośrodka Informatyki. ISO 17799: 7.2.3 Bezpieczeństwo okablowania. 18. Wymaga się przestrzegania zasad systemu kontroli dostępu określonych w zarządzaniu nr 8 Dyrektora Instytutu Łączności z dnia 8 listopada 2004. Zabrania się pożyczenia kart identyfikacyjnych. Wymaga się, aby identyfikator znajdował się przy pracowniku, umożliwiając jego identyfikację (na podstawie podstawowych da- 115 nych pracownika i jego zdjęcia) na terenie Instytutu Łączności. ISO 17799 7.1 Obszary Bezpieczne. 3. Zasady bezpieczeństwa dla oprogramowania i systemów operacyjnych 1. Wymaga się, aby zakup nowego oprogramowania był konsultowany z kierownikiem Ośrodka Informatyki zgodnie z zarządzeniem nr 4 Dyrektora Instytutu Łączności z dnia 25 stycznia 2001 dotyczącego „Zasad zakupu sprzętu komputerowego i oprogramowania”. ISO 17799 8.2 Planowanie i odbiór systemu. 2. Aktualizacje krytyczne powinny być instalowane na serwerach i urządzeniach brzegowych (dostępnych z Internetu) niezwłocznie od chwili ukazania się poprawek. Aktualizacje krytyczne dotyczące serwerów i urządzeń oraz stacji roboczych nieosiągalnych z Internetu są instalowane w drugiej kolejności ze szczególnym uwzględnieniem stabilności i ciągłości działania aktualizowanego oprogramowania. ISO 17799 10.1 Wymagania bezpieczeństwa systemów, 10.5.1 Procedury kontroli zmian. 3. Proces aktualizacji musi być przeprowadzany przy zastosowaniu środków ostrożności mających na celu zachowanie dostępności aplikacji lub systemu operacyjnego. ISO 17799 10.4.1 Kontrola eksploatowanego oprogramowania. 4. Zainstalowanie oprogramowania musi być skonsultowane i zaakceptowane przez pracownika Ośrodka Informatyki. ISO 17799 8.2 Planowanie i odbiór systemu, 10.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej. 5. Oprogramowanie posiadane przez instytucję jest przeznaczone wyłączone do użytku wewnętrznego, niekomercyjnego. Wyjątkiem jest oprogramowanie, którego zasady licencji pozwalają na użytkowanie w innych celach. ISO 17799 12.1 Zgodność z przepisami prawnymi. 6. Wszystkie pochodzące z zewnątrz dyskietki lub inne media z danymi nie mogą być użyte bez wcześniejszego sprawdzania ich przy pomocy odpowiedniego oprogramowania antywirusowego. ISO 17799 8.3 Ochrona przed szkodliwym oprogramowaniem. 7. Użytkownicy Instytutu posiadają ograniczone uprawnienia do instalacji oprogramowania. Wyjątkami są osoby, którym zwiększone uprawnienia są niezbędne do codziennej pracy. Za przydział zwiększonych uprawnień odpowiedzialny jest kierownik Ośrodka Informatyki. ISO 17799 9.2 Zarządzanie dostępem użytkowników. 4. Zasady bezpieczeństwa dotyczące korzystania ze stron internetowych: 1. Użytkownik powinien zachować ostrożność podczas przeglądania stron Internetowych, w szczególności zawierającymi gry losowe, oprogramowanie pirackie, mogące zawierać treści o wysokim stopniu zagrożenia bezpieczeństwa komputera, m.in. wirusy komputerowe, trojany, oprogramowanie spyware. ISO 17799 8.3.1 Zabezpieczenie przed szkodliwym oprogramowaniem. 2. Użytkownik powinien zachować szczególną ostrożność podczas ściągania plików (w szczególności exe, js, vbs, bat, com, pif, scr, spl, cpl) oraz instalowania certyfika- 116 tów i programów. Użytkownik powinien zachować szczególna ostrożność przy wyskakujących okienkach internetowych (ang. pop up). W przypadku wątpliwości należy skontaktować się z pracownikiem Ośrodka Informatyki ISO 17799 8.3.1 Zabezpieczenie przed szkodliwym oprogramowaniem. 3. Oprogramowanie wykorzystywane przy przeglądaniu stron internetowych musi być odpowiednio skonfigurowane pod kątem bezpieczeństwa informatycznego. ISO 17799 10.1 Wymagania bezpieczeństwa systemów, 8.3.1 Zabezpieczenie przed szkodliwym oprogramowaniem. 5. Zasady bezpieczeństwa dotyczące korzystania ze poczty elektronicznej: 1. Wymaga się, aby poczta elektroniczna była wykorzystywana wyłącznie w celach służbowych. ISO 17799 12.1 Zgodność z przepisami prawnymi. 2. Zabrania się użytkownikom otwierania załączników poczty elektronicznej, otwierania stron poprzez linki umieszczone w treści lub odpowiadania na takie wiadomości, jeśli pochodzą one z niewiadomego źródła. ISO 17799 8.7.4 Bezpieczeństwo poczty elektronicznej, 8.3 Ochrona przed szkodliwym oprogramowaniem. 3. Użytkownicy muszą uważnie wysyłać, odpowiadać lub przesyłać dalej wiadomości pocztowe. Adresat powinien być dokładnie sprawdzony tak, aby wiadomość dotarła do oczekiwanej osoby. ISO 17799 8.7.4 Bezpieczeństwo poczty elektronicznej, 8.3 Ochrona przed szkodliwym oprogramowaniem. 4. Zabrania się otwierania załączników z plikami samorozpakowującymi się lub typu „exe, js, vbs, bat, com, bin, prg, class, ini, dpl, pif, dll, lbk, scr, spl, cpl” oraz otwierania linków umieszczonych w treści, nawet jeśli pochodzą one z wiadomego źródła wówczas, gdy nie spodziewamy się otrzymać takiej wiadomości. Wystąpienie takiej sytuacji należy zgłosić do pracownika Ośrodka Informatyki. ISO 17799 8.7.4 Bezpieczeństwo poczty elektronicznej, 8.3 Ochrona przed szkodliwym oprogramowaniem. 5. Zabrania się rozpakowywania załączników chronionych hasłem, jeśli pochodzą z wiadomego źródła wówczas, gdy nie spodziewamy się otrzymać takiej wiadomości. Wystąpienie takiej sytuacji należy zgłosić do pracownika Ośrodka Informatyki. ISO 17799 8.7.4 Bezpieczeństwo poczty elektronicznej, 8.3 Ochrona przed szkodliwym oprogramowaniem. 6. Wysyłając pocztę z konta firmowego, która zawiera prywatne opinie, należy zaznaczyć, że wypowiedzi nie są oficjalnym stanowiskiem Instytutu. ISO 17799 12.1 Zgodność z przepisami prawa. 7. Zabrania się używania poczty w sposób, który mógłby źle wpłynąć na wizerunek Instytutu, na przykład wysyłania obraźliwych wiadomości pocztowych. ISO 17799 12.1 Zgodność z przepisami prawa. 117 8. Przesyłanie informacji chronionych przez Internet za pomocą poczty, stron internetowych lub w inny sposób powinno odbywać w bezpiecznym kanale z uwierzytelnieniem nadawcy i odbiorcy. ISO 17799 10.3 Zabezpieczenia kryptograficzne. 9. Zabrania się wysyłania wiadomości pocztowych będących spamem (tzn. zawierających informacje handlowe, reklamy lub inne materiały do osób nie zainteresowanych otrzymywaniem takich informacji). ISO 17799 12.1 Zgodność z przepisami prawnymi. 10. Wiadomości pocztowe zawierające informacje handlowe oraz reklamy mogą być wysyłane, jeśli z odbiorcą był nawiązany wcześniejszy kontakt oraz może on w każdej chwili zrezygnować (wypisać się) z otrzymywania takich wiadomości. Zaleca się, aby informacje o możliwości wypisania się z listy były umieszczone na końcu wiadomości pocztowej. Użytkownicy rozsyłający takie wiadomości, powinni zwracać uwagę na źródła pozyskiwania adresów, w szczególności zgody osoby na posiadanie jej adresu do takiej korespondencji. ISO 17799 12.1 Zgodność z przepisami prawnymi. 11. Zabrania się korzystać z programów umożliwiających fałszowanie lub wymazywanie informacji znajdujących się w nagłówkach wiadomości pocztowych. ISO 17799 12.1 Zgodność z przepisami prawnymi. 12. Wielkość przesyłek pocztowych przekazywanych przez sieć Instytutu jest ograniczona. ISO 17799 11.1.1 Proces zarządzania ciągłości działania. 6. Zasady bezpieczeństwa dotyczące korzystania ze stanowiska komputerowego: 1. Należy stosować się do zasad bezpiecznego korzystania ze stanowiska komputerowego. ISO 17799 9.2 Zarządzanie dostępem użytkowników 9.3 Zakres odpowiedzialności użytkowników. 2. Zabrania się przeprowadzania działań, które mogą mieć negatywny wpływ na całą sieć lub elementy informatyczne Instytutu, jak również dla sieci i urządzeń zewnętrznych. Czynnością taką może być: skanowanie, monitorowanie sieci, próby uzyskania większych uprawnień, omijanie zabezpieczeń, wykorzystanie słabości, czy nieautoryzowana zmiana konfiguracji sprzętu lub oprogramowania. Wyjątkami są działania administratorów lub działania związane z zleconym przed Dyrektora Instytutu audytem teleinformatycznym. ISO 17799 12.1 Zgodność z przepisami prawnymi. 3. Wymaga się, aby użytkownicy podczas swojej nieobecności zamykali lub blokowali sesje na swoich komputerach. ISO 17799 9.2 Zarządzanie dostępem użytkowników 9.3 Zakres odpowiedzialności użytkowników. 4. Wymaga się, aby użytkownicy zamykali na klucz drzwi podczas opuszczania pomieszczeń ze stanowiskami komputerowymi. ISO 17799 9.2 Zarządzanie dostępem użytkowników 9.3 Zakres odpowiedzialności użytkowników. 7. Zasady bezpieczeństwa dotyczące haseł: 118 1. Hasła użytkowników muszą być tak dobrane, aby nie mogły być łatwo rozszyfrowane przez osoby trzecie. Użytkownik jest zobowiązany do stosowania haseł charakteryzujących się odpowiednią złożonością oraz długością. Wymagania dotyczące hasła: • hasło musi być dłuższe niż 7 znaków, • hasło musi zawierać małe i duże litery, cyfry i znaki specjalne, • hasło nie może być słowem słownikowym, • hasło nie może zawierać informacji o właścicielu np. data urodzenia, imiona osób bliskich. ISO 17799 9.3.1 Używanie haseł. 2. Hasła muszą być okresowo wymieniane, przy czym okres zmiany hasła zależy od uprawnień konta powiązanego z tym hasłem. ISO 17799 9.2.3 Zarządzanie hasłami użytkowników. 3. Zabrania się ujawniania osobom trzecim haseł lub narażenia ich na utratę poufności na przykład zapisując je na kartce papieru lub innym nośniku, który mógłby być łatwo odczytany przez osoby trzecie, jak również przesyłaniu haseł przez sieć informatyczną nie korzystając z bezpiecznego kanału transmisji. ISO 17799 9.3.1 Używanie haseł 4. Zabrania się wykorzystywania haseł, które służą do weryfikacji użytkownika w Instytucie, w innych celach lub miejscach niezwiązanych z pracą w IŁ. ISO 17799 9.3.1 Używanie haseł 5. Początkowe hasła uzyskane przez pracownika podczas procedury zakładania konta muszą być zmienione przy pierwszym logowaniu się użytkownika do systemów Instytutu. Hasła domyślne stosowane przez producentów sprzętu lub oprogramowania muszą być zmienione. ISO 17799 9.2.3 Zarządzanie hasłami użytkowników. 8. Zasady bezpieczeństwa dotyczące pracy zdalnej oraz komputerów przenośnych 1. Komputery przenośne podlegają takim samych ograniczeniom, jak jednostki stacjonarne znajdujące się w Instytucie. ISO 17799 9.8 Komputery przenośne i praca na odległość. 2. Użytkownicy posiadający komputery przenośne muszą zapewnić bezpieczeństwo fizyczne swoim urządzeniom. ISO 17799 9.8.1 Komputery przenośne, 7.2.5 Zabezpieczenie sprzętu poza siedzibą. 3. Użytkownicy korzystający z komputerów przenośnych są zobowiązani do zachowania szczególnej ostrożności podczas łączenia się do sieci IŁ spoza Instytutu. ISO 17799 9.8.1 Komputery przenośne, 7.2.5 Zabezpieczenie sprzętu poza siedzibą. 4. Dostęp zdalny do sieci wewnętrznej Instytutu jest możliwy tylko przez serwisy oferowane przez Ośrodek Informatyki. ISO 17799 9.8.2 Praca na odległość.. 5. Użytkownicy korzystający z pracy zdalnej muszą zapewnić bezpieczeństwo podczas połączenia z siecią Instytutu, ochronę danych firmowych oraz bezpieczeństwo dostępu do usług znajdujących się w sieci IŁ. ISO 17799 9.8.2 Praca na odległość.. 119 9. Zasady dotyczące wykonywania kopii bezpieczeństwa danych 1. Nośniki kopii bezpieczeństwa z danymi muszą być chronione przed zniszczeniem i kradzieżą. Nośniki kopii bezpieczeństwa zawierających dane chronione podlegają takim samym ograniczeniom dostępu i ochrony jak nośniki przechowujące informacje chronione. ISO 17799 8.6.3 Procedury postępowania z informacją, ISO 17799 12.1.3 Zabezpieczenie dokumentów instytucji. 2. Archiwizowanie danych musi być zgodne z obowiązującym stanem prawnym w Instytucie oraz w Polsce. ISO 17799 12.1.3 Zabezpieczenie dokumentów instytutu, 12.1 Zgodność z przepisami prawa. 3. Użytkownik ma dostęp do dysków sieciowych serwerów podlegających okresowej archiwizacji. Użytkownik jest odpowiedzialny za wykonanie kopii bezpieczeństwa swoich istotnych danych. Użytkownik powinien okresowo kopiować istotne dane na swój dysk sieciowy. ISO 17799 8.4.1 Zapasowe kopie informacji. 4. Administratorzy serwerów są odpowiedzialni za wykonywanie kopii bezpieczeństwa danych oraz za udostępnianie danych ich właścicielom. ISO 17799 8.4.1 Zapasowe kopie informacji. 10. Zasady bezpieczeństwa przy konfigurowaniu, administrowaniu i zarządzaniu systemami oraz sieciami informatycznymi 1. Przy tworzeniu i wdrażaniu projektów informatycznych lub tworzeni i rozbudowie sieci komputerowej należy zadbać o ich zgodność z bezpieczeństwem informatycznym. ISO 17799 8.2 Planowanie i odbiór systemu. 2. Kluczowe usługi Instytutu muszą posiadać mechanizmy kontroli dostępu, w szczególności dotyczy to usług dostępnych przez Internet. ISO 17799 9.4 Kontrola dostępu do sieci. 3. Sieć Instytutu musi być chroniona przez odpowiednio skonfigurowane urządzenia brzegowe. ISO 17799 9.4 Kontrola dostępu do sieci. 4. Serwery z krytycznymi usługami muszą posiadać mechanizmy zabezpieczające przed zagrożeniami naruszającymi bezpieczeństwo. ISO 17799 9.5 Kontrola dostępu do systemów operacyjnych. 5. Sieć Instytutu musi posiadać dokumentację opisującą jej budowę oraz działające w niej systemy. ISO 17799 11.1 Aspekty zarządzania ciągłością działania. 6. Antywirusowe oprogramowanie z aktualnymi definicjami musi być zainstalowane i skonfigurowane na wszystkich komputerach i serwerach, które tego wymagają. ISO 17799 8.3.1 Zabezpieczenie przed szkodliwym oprogramowaniem. 7. Administratorzy systemów informatycznych są zobowiązani do śledzenia informacji na temat wykrywania błędów ich systemów oraz o ukazujących się do nich poprawkach w celu szybkiego wprowadzenia aktualizacji. ISO 17799 8.1.2 Kontrola zmian w eksploatacji. 120 8. Sieć Instytutu musi posiadać dedykowany serwer specjalizujący się w przechowywaniu kopii dzienników zdarzeń z innych serwerów oraz urządzeń sieciowych. ISO 17799 9.7 Monitorowanie dostępu do systemu i jego użycia. 9. Wymaga się, aby zainstalowane aplikacje i usługi w systemach informatycznych posiadały jak najmniejsze uprawnienia systemowe, niezbędne do prawidłowej pracy. ISO 17799 10.2 Bezpieczeństwo systemów aplikacji. 10. Sieć Instytutu musi posiadać środki do ochrony poczty elektronicznej, umożliwiające filtrowanie wiadomości zawierających wirusy, spam, nieprawidłowe wiadomości oraz załączniki o niebezpiecznych rozszerzeniach. ISO 17799 8.3 Ochrona przed szkodliwym oprogramowaniem. 11. Konfiguracja urządzeń sieciowych przez administratorów sieci Instytutu musi odbywać się z wykorzystaniem bezpiecznych kanałów transmisji. ISO 17799 8.5 Zarządzanie sieciami. 12. Prace administracyjne powinna odbywać się w czasie dogodnym dla użytkowników. Wyjątek stanowią działania mające na celu utrzymanie ciągłości pracy usług krytycznych oraz sprzętu ważnego dla funkcjonowania sieci. ISO 17799 8.5 Zarządzanie sieciami. 13. Wszystkie informacje o awariach serwerów, sprzętu sieciowego, potencjalnie zagrażających bezpieczeństwu informacji, muszą zostać raportowane i udokumentowane. ISO 17799 7.2.4 Konserwacja sprzętu, 8.4.3 Zapisywanie w dziennikach informacji o błędach. Zasady odpowiedzialności za postępowanie sprzeczne z postanowieniami polityki bezpieczeństwa informacji 1. Niezastosowanie do postanowień niniejszej polityki bezpieczeństwa oraz regulaminu sieci komputerowej stanowi naruszenie obowiązków pracowniczych oraz powoduje odpowiedzialność cywilno prawną i karną. 2. Dyrektor Instytutu może upoważnić osoby fizyczne do kontrolowania postanowień niniejszej polityki bezpieczeństwa. 3. Polecenia osób wyznaczonych przez Dyrektora Instytutu do działań w zakresie ochrony informacji, traktowane jako polecenia służbowe w rozumieniu Kodeksu Pracy, muszą być bezwzględnie wykonywane przez wszystkich pracowników. 121 Załącznik E Weryfikacja systemu zabezpieczeń Instytutu Weryfikacja zabezpieczeń Wrocław Założenia Poniższy schemat obrazuje badaną sieć. Rysunek 2 Schemat sieci Instytutu – Wrocław Przed audytem zostały poczynione założenia, według których przeprowadzane będą testy. z sieci Internet dostępne będą usługi: SMTP (ang. Simple Mail Transfer Protocol) oraz SSH (ang. Secure Shell). Usługa SSH dostępna jest jedynie dla wybranych adresów IP. Aktualizacje oprogramowań są wykonywana regularnie, przez co systemy są odporne na błędy. Oprogramowanie powinno być skonfigurowane zgodnie z zaleceniami producentów zapewniającymi największe bezpieczeństwo. W sieci nie powinny zostać wykryte oprogramowanie szkodliwe, nielegalne lub takie, które zostało zainstlowane bez wiedzy administratora. 122 Tabela 11 Scenariusz przeprowadzania testów. Penetracja wewnętrzna Penetracja zewnętrzna Akcja Narzędzie Wyszukanie usług sieciowych dostępnych dla sieci publicznej Nessus Sprawdzenie odporności na znane błędy znalezionych usług Nessus Wyszukanie usług dostępnych dla sieci lokalnej Nessus Kontrola odporności na błędy powyższych usług Nessus Sprawdzenie odporności na luki systemowe serwerów Nessus, MBSA Sprawdzenie zainstalowanego oprogramowania, łatek systemowych na stacjach roboczych sftAudit Monitorowanie i analiza logów systemowych SNARE,Lire . Przebieg z kontroli bezpieczeństwa systemów I. Sprawdzenie serwera Unixowego z sieci Internet Cel i zakres Próba identyfikacji zbędnych usług oraz podatności systemu operacyjnego i zaisntalowanych na nim aplikacji. Opis testu Do testowania sieci wykorzystano program Nessus z pozycji zewnętrznej. Badanie zostało przeprowadzone przy włączonych wszystkich testach Nessusa. Zostały wykonane wszystkie testy, które mogły dotyczyć testowanego środowiska. 123 Wyniki testu Wyniki są zadowalające, usługi udostępnione nie są podatne na żadne ze znanych błędów. Poniżej został przedstawiony raport z programu skanującego. Rysunek 3 Wynik programu Nessus przy skanowaniu z zewnątrz. Wnioski Przedstawiony powyżej test został wykonany z adresu, dla którego usługa SSH była udostępniona. Jednakże podobna próba przeprowadzona z nieuprawnionego IP pokazała jedynie dostępność usługi SMTP, co jest zgodne z wcześniejszymi założeniami. II. Test dostępnych usług sieciowych dla sieci lokalnej oraz test odporności systemów na znane podatności (Nessus) Cel i zakres Wykrycie uruchomionych zbędnych usług. Sprawdzenie odporności komputerów na luki systemowe. Analiza konfiguracji oprogramowania pod kątem bezpieczeństwa. Opis testu Analizie poddano wszystkie komputery w sieci lokalnej. Zaznaczono wszystkie opcje i testy w konfiguracji programu Nessus, aby dostać jak najpełniejszy obraz stanu sieci. 124 Wyniki testu Program nie wykrył żadnej dziury systemowej. Wykazał kilka ostrzeżeń o małym stopniu ryzyka, ale ze względu na specyfikę badanego środowiska nie da się ich wyeliminować. Rysunek 4 Wynik skanowania programu Nessus z sieci wewnętrznej. Wnioski Ostrzeżenia oraz błędy wykryte przez program typu Nessus wymagają kontroli administratora. Osoba zarządzająca tym środowiskiem powinna poddać je szczegółowej analizie w celu wykrycia faktycznej słabości tych systemów lub określeniu, że są jedynie przekłamaniami (ang. false positives) i nie stanowią realnego zagrożenia dla sieci oraz systemów. Administrator powinien oszacować wagę wykrytych podatności i uwzględniając specyfikę środowiska podjąć decyzję czy należy taką słabość systemu poprawić czy ryzyko wynikające z jej istnienia zaakceptować. III. Test zgodności ustawień zabezpieczeń z zaleceniami Microsoftu Cel i zakres Wyszukiwanie słabych haseł, niebezpiecznych ustawień, luk działających serwisów oraz sprawdzenie aktualności oprogramowania. 125 Opis testu Do sprawdzenia aktualności systemów, zainstalowanych poprawek oraz poprawności konfiguracji wykorzystano program Microsoft Baseline Security Analyzer. MBSA został uruchomiony dla wszystkich komputerów w badanej sieci, z opcjami: • wyszukiwanie słabych haseł, • wyszukiwanie błędnych ustawień dla kont administracyjnych, • wyszukiwanie luk serwera HTTP IIS, • wyszukiwanie luk serwera baz danych MS SQL, • sprawdzenie, czy są zainstalowane wszystkie dostępne poprawki. Rysunek 5 Parametry skanowania programu MBSA. 126 Wyniki testu Zostały znalezione ustawienia niezgodne z zaleceniami Microsoftu. Chodzi w szczególności o działający silnik baz danych (MSDE) na kontrolerze domeny. Należy skontaktować się z administratorem w celu stwierdzenia czy taka konfiguracja jest niezbędna, a podatność nie zagraża bezpieczeństwu systemu. Ponadto nie stwierdzono większych uchybień w konfiguracji systemów. Poniżej został umieszczony raport z programu. Rysunek 6 Wyniki programu MBSA. Wnioski Podatność związana z działającym silnikiem baz danych (MSDE) nie może zostać wyeliminowana, ponieważ serwer oprogramowania antywirusowego Sophos korzysta z niej. Podatność ta jest znana administratorowi systemów, a jej niebezpieczeństwo jest zmniejszone przez odpowiednie skonfigurowanie innych zabezpieczeń (np. firewall). Nie zawsze konfiguracja systemów jest zgodna z zaleceniami producenta. Czasem niezbędna jest niestandardowa instalacja oraz konfiguracja oprogramowania. IV. Sprawdzenie aktualności zainstalowanego oprogramowania 127 Cel i zakres Próba znalezienia zainstalowanego szkodliwego oprogramowania. Sprawdzenie aktualności zainstalowanego oprogramowania. Próba znalezienia zainstalowanego oprogramowania nielegalnego Opis testu Do sprawdzenia legalności zainstalowanego oprogramowania oraz poprawek systemowych wykorzystano skrypt sftAudit. Został on uruchomiony z następującymi ustawieniami: do pliku devices wpisano adresy komputerów z sieci lokalnej, które pracują pod kontrolą systemów Windows 2k/XP/2k3 zaznaczono opcję ScanForViruses=No, dzięki czemu test został zakończony szybciej do pliku software wpisano listę oprogramowania powszechnie uważanego za szkodliwe, jak np. eMule, 123search itp. upewniono się, aby na komputerach na których przeprowadzony zostanie test,testowanych komputerach była włączona usługa WMI (ang. Windows Management Instrumentation) upewniono się, aby konto, z którego przeprowadzono test, posiadało uprawnienia administracyjne na badanych komputerach Wyniki testu Raport nie zawiera żadnych nieprawidłowości. Zainstalowane oprogramowanie jest aktualne, liczba programów zgadza się z liczbą posiadanych licencji. Raport w postaci pliku HTML został przedstawiony poniżej. 128 Rysunek 7 Wyniki programu sftAudit Report. Wnioski Zgodnie z założeniami, nie znaleziono żadnego oprogramowania szkodliwego ani też zainstalowanego bez posiadanej licencji. V. Monitorowanie i analiza logów systemowych serwerów z rodziny Windows przy pomocy pakietu Snare Cel i zakres Analiza bieżącego stanu systemów z rodziny Windows. Monitorowanie, czy serwisy działają poprawnie na systemach Windows Opis testu Do monitorowania komputerów pracujących pod kontrolą systemów z rodziny Windows użyto pakietu Snare. Na jednym komputerze zainstalowano MicroServer, który nasłuchuje na porcie UDP 6161 i przyjmuje zdarzenia z innych hostów,. zapisując je do pliku, zgodnie z poniższymi ustawieniami: 129 Rysunek 8 Raport programu SNARE. W celu uzyskania pełnej analiza z raportów, została zmniejszona liczba zdarzeń dostarczanych przez agentów. Agentami są programy zainstalowane na komputerach klienckich, który przechwytują wpisy z dzienników zdarzeń i wysyłają je do serwera MicroServera. Analizie poddano rekordy uwzględniające kluczowe informacje takie jak ostrzeżenia oraz błędy o stanie systemów. Rysunek 9 Konfiguracja programu SNARE. Wyniki testu W przypadku badanej sieci, analiza dostarczonych logów nie wykazała niepożądanych zdarzeń w testowanych systemach. Poniżej został przedstawiony fragment raportu. 130 Rysunek 10 Wyniki programu SNARE. 131 Wnioski Przeprowadzona analiza nie wykazała nieprawidłowości. Ze względu na zastosowanie filtrowania jak również nie pełnej wersji systemu nie możliwe było przeprowadzenie pełnej analizy. VI. Monitorowanie i analiza logów systemowych serwerów z rodziny Unix przy pomocy pakietu Lire Cel i zakres Analiza bieżącego stanu systemów Unix/Linux. Monitorowanie poprawności działania serwisów na systemach Unix/Linux. Opis testu Do analizy logów i statystyk na systemach linuxowych wykorzystano pakiet lireLire. Skonfigurowano tak ten program, aby codziennie wysyłał tworzył raporty odnośnie systemu pocztowego na wyznaczonego adres poczty elektronicznej. Oprócz dostarczania statystyk dotyczących systemu pocztowego, Lire raportuje stan podstawowych usług (DNS, DHCP, Apache) oraz dokonuje monitorowania ogólnego stanu systemu. Wyniki testu Poniżej został przedstawiony fragment raportu z programu. Largest Volume Sent To Domain, Top 10 Recipient's Domain Volume % Total --------------------------------------------------------- ------ ------il.wroc.pl 42.8M 43.7 itl.waw.pl 28.8M 29.3 pg.siemens.com 10.6M 10.8 onet.pl 10.4M 10.6 urtip.gov.pl 4.7M 4.8 promise.com.pl 200.5k 0.2 rydercup.biz 118.9k 0.1 il01.il.wroc.pl 76.1k 0.1 ero.dk 73.6k 0.1 wp.pl 63.3k 0.1 --------------------------------------------------------- ------ ------Total for 1156 records 98.1M 100.0 Raporty są przesyłane do osoby zarządzającej za pomocą poczty elektronicznej. Oprócz części dotyczącej domen odbiorców maili, są zawarte inne istotne informacje (np. liczba maili dostarczonych i wysłanych, najbardziej aktywni nadawcy i odbiorcy listów). Informacje te zostały wykorzystane w celu identyfikacji potencjalnych problemów z serwerem pocztowym. 132 Korzystając bezpośrednio z programu Lr_log2report wygenerowano raport w formacie pliku PDF, zawierający kilkanaście rozdziałów, zawierających dane w postaci tabelarycznej oraz wykresy, jak na przykładzie: Rysunek 11 Przykładowe raporty programu Lire. Analiza tych raportów nie wykazała żadnych anomalii w funkcjonowaniu badanych systemów. Wnioski Raporty z programu nie zawierają żadnych nieprawidłowości w działaniu dostępnych serwisów. Pełniejsza analiza jest możliwa przez regularne używanie tego programu lub przez większą ilość danych. 133 Wnioski z przeprowadzonej kontroli bezpieczeństwa systemów we Wrocławiu Po przeprowadzeniu oceny bezpieczeństwa można stwierdzić, że badana sieć zapewnia odpowiedni poziom bezpieczeństwa zgodnie z wcześniej ustalonymi założeniami. Raporty z powyższych programów nie zawierają żadnych krytycznych podatności. Zauważone nieprawidłowości są związane ze specyfiką środowiska i nie mogą zostać całkowicie wyeliminowane. Systemy operacyjne oraz zainstalowane oprogramowanie jest aktualne. Badane środowisko sieciowe nie zawiera programów zainstalowanych bez zezwolenia oraz programów niebezpiecznych takich jak programy szpiegujące, konie trojańskie. 134 Weryfikacja zabezpieczeń Warszawa Poniższy schemat prezentuje poglądowo sieć IŁ w Warszawie. Rysunek 12 Schemat sieci Instytutu - Warszawa. I. Test zgodności ustawień zabezpieczeń z zaleceniami Microsoftu Cel i zakres Wyszukiwanie słabych haseł, niebezpiecznych ustawień, błędów w konfiguracji tych systemów oraz oprogramowania. Dodatkowo zostanie sprawdzona aktualność systemów operacyjnych oraz oprogramowania zainstalowanego w tych systemach. Badaniu zostaną podane serwery znajdujące się wewnątrz sieci IŁ: Bert, Borsuk, Jogi oraz Orlik. Opis i wyniki testu Do sprawdzenia aktualności systemów, zainstalowanych poprawek oraz poprawności konfiguracji wykorzystano program Microsoft Baseline Security Analyzer. MBSA został uruchomiony dla serwerów Windows w badanej sieci, z opcjami: Wyszukiwanie słabych haseł Wyszukiwanie błędnych ustawień dla kont administracyjnych 135 Wyszukiwanie luk serwera HTTP IIS Wyszukiwanie luk serwera baz danych MS SQL Sprawdzenie, czy są zainstalowane wszystkie dostępne poprawki Raporty z programu MBSA nie wykazały, żadnych istotnych nieprawidłowości. Wszytskie serwery posiadały aktualne systemy operacyjne oraz oprogramowanie Microsoft zainstlowane na tych serwerach. Rysunek 13 Raporty programu MBSA po skanowania serwerów. W badanych systemach nie stwierdzono słabych haseł. Konfiguracja kont administracyjnych jest prawidłowa. Konta gościa zostały wyłączone na wszystkich komputerach, konfiguracja nie dopuszcza do wejścia użytkowników anonimowych. Poniżej został przedstawiony raport z serwera Orlik dotyczący ustawień dostępu użytkowników. 136 Rysunek 14 Przykładowy raport programu MBSA. Usługa ISS jest skonfigurowana prawidłowo na serwerach Bert, Orlik, Borsuk. Na serwerze Jogi nie została uruchomiona. Oprogramowanie zgłosiło zastrzeżenie do działającego silnika baz danych (MSDE) na serwerze Borsuk. Należy skontaktować się z administratorem w celu stwierdzenia czy taka konfiguracja jest niezbędna, a podatność nie zagraża bezpieczeństwu systemu. Ponadto nie stwierdzono większych uchybień w konfiguracji systemów. Poniżej zostały przedstawione wyniki programów z analizy usługi IIS w kolejności Jogi, Bert, Orlik i Borsuk (zgodnie z pierwszym wynikiem programu MBSA). 137 Rysunek 15 Raport MBSA z usług ISS oraz MSDE. Wnioski Podatność związana z działającym silnikiem baz danych (MSDE) nie może zostać wyeliminowana, ponieważ serwer oprogramowania antywirusowego Sophos korzysta z niej. Podatność ta jest znana administratorowi systemów, a jej niebezpieczeństwo jest zmniejszone przez odpowiednie skonfigurowanie innych zabezpieczeń (np. firewall, odpowiednia architektura). Konfiguracja usługi jest niezbędna do prawidłowej pracy systemu antywirusowego Sophos i nie może zostać wyłączona. II Test zabezpieczeń sieci IŁ z sieci Internet. Cel i zakres Próba identyfikacji zbędnych usług oraz podatności serwerów IŁ z zaisntalowanymi na nich aplikacjach. Opis testu Do testowania sieci wykorzystano program Nessus z pozycji zewnętrznej. Badanie zostało przeprowadzone przy włączonych wszystkich testach Nessusa. Zostały wykonane wszystkie testy, które mogły dotyczyć testowanego środowiska. Wynik testu Skanowanie całej sieci IŁ nie wykazuje dostępności z sieci Internet zbędnych usług. Bez określenia konkretnego serwera, który ma zostać poddany testom z zewnątrz sieci nie ma dostępu do jakichkolwiek usług. Zostało jedynie podane ostrzeżenie o możliwości użycia zapytań protokołu ICMP do jednego adresu. Prezentuje to poniższy raport skanera. 138 Rysunek 16 Wyniki skanowania sieci za pomocą programu Nessus. Wnioski Ostrzeżenie dotyczy adresu wirtualnego interfejsu routera sieci IŁ. Reguły firewalla, który stanowi kluczowe zabezpieczenie, skutecznie uniemożliwiają próby masowego skanowania sieci w poszukiwaniu oprogramowania zawierającego znane błędy. Widać, też że skanery bezpieczeństwa mimo włączenia wszystkich opcji skanowania nie zawsze potrafią wskazać uruchomione w sieci serwisy. III Test zabezpieczeń serwera poczty IŁ z sieci Intranet. Cel i zakres Próba identyfikacji zbędnych usług oraz podatności serwera poczty elektronicznej IŁ z wnętrza sieci Instytutu. Opis testu Do testowania sieci wykorzystano program Nessus ze stacji roboczej dołączonej do sieci wewnętrznej. Badanie zostało przeprowadzone przy włączonych wybranych testach Nessusa. Zostały pominięte testy związne z systemami operacyjnymi innymi niż używany przez skanowany serwer. Reszta testów została włączona. Wynik testu Skanowanie serwera wykazało, że nie ma z sieci Intranet dostępu do usług, które możnaby uznać za zbędne. Dla dostępnych usług skaner znalazł uwagi, związane z ich ustawieniami. W szczególności raport zaleca wymianę części oprogramowania na nowsze wersje. Inne zostały zaraportowane jako obecne z uwagami o możliwych błędnych 139 ustawieniach, których skaner nie mógł wykryć a są one często występującymi błędami. Raport prezentuje poniższy rysunek. Rysunek 17 Raport końcowy programu Nessus. Wnioski Wskazane przez skaner podatności dotyczą usług i występujących w nich błędów, które mogą być potencjalnie groźne dla badanego serwera. Są one uruchomione za wiedzą administratorów serwera. Dostęp do nich jest ograniczony do wybranych komputerów z wnętrza sieci, między innymi dla komputera ze skanerem Nessus. Wyłączenie usług wskazanych przez skaner jest niemożliwe gdyż służą one do zarządzania serwerem, tworzenia kopii zapasowych z tego i innych serwerów. Widać również, że zawężenie zakresu testów skanera daje lepsze rezultaty w postaci dokładniejszego wykrywania dostępnych usług i związanych z nimi podatności. 140 Załącznik F Zalecenia w zakresie organizacji infrastruktury teleinformatycznej dla jednostek administracji 1. Wstęp Obecnie brak jest brak jest jednolitych standardów oraz dobrych praktyk do zastosowania przez jednostki administracji publicznej w zakresie bezpieczeństwa systemów informatycznych.. Obecne przepisy prawne publicznej administracji pozwalają na dowolność rozwiązań. Wobec braku takich standardów jednostki te samodzielne decydują o rozwiązaniach technicznych, co powoduje zróżnicowanie poziomu technicznego, organizacyjnego, a także bezpieczeństwa teleinformatycznego. Dlatego też w ramach niniejszej pracy podjęto próbę określenia wymagań dla: węzła teleinformatycznego, serwerowi oraz zaproponowano architekturę systemu zabezpieczeń sieci LAN instytucji od sieci Internet. Należy przy tym podkreślić, że załącznik ten stanowi rozszerzenie części głównej niniejszego dokumentu. Znalazła się w nim specyfikacja kluczowych elementów bezpieczeństwa systemów teleinformatycznych, trzeba jednak pamiętać, że informacje na temat bezpieczeństwa teleinformatycznego w części głównej obowiązują również w odniesieniu do jednostek administracji publicznej. 2. Zalecenia techniczne dla serwerowi i węzła teleinformatycznego Projektowanie serwerowni, a także węzłów teleinformatycznych jest zadaniem złożonym, wymagającym zaangażowania specjalistów z kilku branż. Każdy projekt jest rozwiązaniem indywidualnym, wynikającym z analizy potrzeb i możliwości realizacji w konkretnych warunkach, powinien być dostosowany do parametrów zainstalowanego sprzętu, istniejących warunków w obiekcie i możliwości finansowych inwestora. Niniejsze opracowanie nie ma charakteru kompleksowego leksykonu obejmującego wszystkie możliwe aspekty związane projektowaniem i wyposażaniem serwerowi czy węzła teleinformatycznego, głównym jego celem jest prezentacja zagadnień, jakie należy wziąć pod uwagę przy wyborze lokalizacji, projektowaniu i wyposażaniu pomieszczenia. 2.1. Zalecenia dla węzła teleinformatycznego Węzeł teleinformatyczny jest to miejsce, gdzie łączą się sieci teleinformatyczne wewnętrzne oraz także może występować połączenie z sieciami zewnętrznymi. Stanowi on zespół urządzeń telekomunikacyjnych i teleinformatycznych przeznaczonych do transmisji głosu, danych itp. zlokalizowanych, zależnie od potrzeb i możliwości w osobnym pomieszczeniu, wnęce ściennej lub w szafie teleinformatycznej. Ze względu na wymagane bezpieczeństwo teleinformatyczne przesłanych i przetwarzanych danych wszystkie węzły muszą być chronione przed dostępem osób postronnych. Środki zastosowane do ochrony danego węzła muszą być dostosowane do potrzeb i możliwości ośrodka, np. węzły piętrowe, ulokowane w strefie chronionej przed dostępem osób postronnych mogą być umieszczone we wnęce ściennej lub w szafie teleinformatycznej zamykanej wzmocnionymi drzwiczkami z zamkiem z trudnym do podrobienia kluczem. Wskazane jest umieszczenie ich w strefie chronionej i objęcie systemem kontroli i rejestracji dostępu (co najmniej opieczętowanie). 141 Zależnie od potrzeb i możliwości ośrodka węzły piętrowe mogą być zainstalowane w zamykanych wnękach ściennych lub w specjalnych szafkach naściennych. Dla dużych rozbudowanych węzłów teleinformatycznych, w których zainstalowano urządzenia aktywne sieci LAN i inne urządzenia telekomunikacyjne np. centralę telefoniczną, pomieszczenie węzła powinno spełniać takie jak dla pomieszczeń serwerowi. 2.2. Zalecenia dla serwerowni Wybór pomieszczenia na serwerownię nie jest rzeczą łatwą, zwłaszcza w istniejącym budynku. Trzeba pogodzić wiele wymagań organizacyjno-technicznych. Pomieszczenie powinno bezpieczne i łatwe do utrzymania w czystości, a w szczególności należy zapewnić: - całodobowy dostęp dla obsługi we wszystkie dni w roku (24/7/365), - powierzchnię zapewniającą właściwe rozmieszczenie urządzeń, odpowiedni dostęp do urządzeń dla obsługi i drogę transportu dla urządzeń i wyposażenia, - wytrzymałość stropów > 350 kg/m2, - wydzielenie trwałymi przegrodami budowlanymi o odporności ogniowej min. 1 godziny, - bezpieczeństwo od: pożaru, wybuchu, wandalizmu, zalania wodą, zanieczyszczenia kurzem, pyłem, dymem, wibracjami, oddziaływaniem chemicznych substancji i silnych pól elektromagnetycznych, - zabezpieczenie okien przed włamaniem i kradzieżą np. kratami jeśli występują do wysokości 1. piętra budynku włącznie lub na poddaszu, - minimalną wysokość pomieszczenia 2,6 m, - podłogę łatwo zmywalną, antyelektrostatyczną, trudnopalną, uziemioną, - drzwi antywłamaniowe o wymiarach min. 200x 120 cm z zamkami klasy „C”, łatwe ograniczenie dostępu dla osób postronnych, - możliwie krótkie odległości do pionowych i poziomych traktów telekomunikacyjnych (szybów kablowych, istniejących korytek i drabinek kablowych oraz skraplaczy urządzeń klimatyzujących, - brak wewnętrznych instalacji nie związanych z funkcjonowaniem pomieszczenia (zwłaszcza wodnych i c.o.), - oświetlenie min. 500 Luksów, - temperaturę wewnętrzną w zakresie 21°C ± 4°, - wilgotność względną w zakresie 50% ±10%, - autonomiczną instalację elektryczną niskiego napięcia wykonaną w układzie TN-S podłączoną do wewnętrznej tablicy rozdzielczej niskiego napięcia zasilanej bezpośrednio z rozdzielni głównej budynku, - autonomiczną instalację uziemiającą doprowadzoną do wszystkich szaf i stojaków z urządzeniami teleinformatycznymi podłączoną do wewnętrznej tabliczki rozdzielczej uziemień podłączonej do uziemienia głównego w rozdzielni głównej budynku, - instalacje sygnalizacji alarmowo-pożarowej, antywłamaniowej i kontroli dostępu z rejestracją zdarzeń. 142 - wyposażenie oraz odzież roboczą dla pracowników w wykonaniu antyelektrostatycznym, - stałą instalację gaszenia gazem (w przypadku przechowywania szczególnie ważnych i trudnych do odtworzenia dokumentów), Wskazane jest, aby w pomieszczeniu serwerowni znajdował się węzeł dystrybucyjny sieci LAN. Duże serwerownie (powyżej 4 szaf teleinformatycznych) powinny zostać wyposażone w podłogę techniczną. W pomieszczeniu serwerowni nie powinno się przechowywać materiałów łatwopalnych, agresywnych chemicznie, brudzących itp. więcej niż jest to konieczne do aktualnie wykonywanych czynności związanych z obsługą i konserwacją urządzeń. Pomieszczenie nie powinno służyć do magazynowania materiałów i urządzeń niezwiązanych bezpośrednio z funkcjonowaniem serwerowni. 2.2.1. Instalacje elektryczne Instalacje elektryczne powinny spełniać następujące wymagania: - instalacje elektryczne w serwerowni powinny być wykonane w układzie TN-S, - do zasilania urządzeń serwerowni w energię elektryczną powinna być doprowadzona, z rozdzielni głównej niskiego napięcia budynku, niezależna wewnętrzna linia zasilająca (WLZ) oraz oddzielna linia uziemienia technologicznego o oporności <1Ω, - WLZ powinna zostać zakończona tablicą rozdzielczą z wyłącznikiem głównym i z zabezpieczeniami przeciw przepięciowymi i nadmiarowo-różnicowo prądowymi, - linia uziemienia technologicznego powinna zostać zakończona tabliczką rozdzielczą uziemień, - do każdej szafy teleinformatycznej należy doprowadzić przynajmniej jeden obwód zasilania 230V, 50 Hz, - od tabliczki uziemień do każdej szafy teleinformatycznej należy doprowadzić oddzielną linię uziemiającą, - do zasilania bezprzerwowego urządzeń teleinformatycznych w energię elektryczną należy zainstalować zasilacz UPS wyposażony w automatyczny układ obejściowy (baypass), - zalecany czas autonomii UPS’a wynosi min 30 min., - oprogramowanie UPS’a powinno automatycznie zamykać systemy operacyjne zasilanych komputerów w przypadku zaniku napięcia na czas dłuższy od ustalonego, a po powrocie napięcia powodować automatyczny restart urządzeń. - wymagane natężenie oświetlenia wynosi min. 500 Luksów, - wymagana jest instalacja oświetlenia awaryjnego min 200 Luksów i oświetlenia ewakuacyjnego min. 2 Luksy. W uzasadnionym przypadku np., gdy przerwy zasilania w sieci elektrycznej występują często i dezorganizują pracę należy rozpatrzyć możliwość zainstalowania centralnego zasilacza UPS o odpowiednio dużej mocy i czasie podtrzymania napięcia, do którego będą podłączone wszystkie szczególnie wrażliwe na zaniki napięcia urządzenia. Jeżeli przerwy zasilania są częste i utrzymują się długo warto będzie zainstalować agregat prądotwórczy stały lub przewoźny. 143 2.2.2. Instalacje teleinformatyczne Serwerownia powinna być wyposażona w szafy teleinformatyczne 19”, 42U o wym. h x w x d = 220 x 60 x 80 cm w ilości stosownej do potrzeb. W jednej szafie powinny się znajdować zakończenia LAN, elementy aktywne tej sieci i zakończenia kabli telekomunikacyjnych (symetrycznych i optycznych) oraz urządzenia dostępowe do sieci telekomunikacyjnej. Instalacje LAN powinny być wykonane w standardzie 5e lub wyższym. W pozostałych szafach powinny być zainstalowane serwery i UPS. Szafy powinny być wyposażone w specjalne, uziemione antyelektrostatyczne opaski na ręce. 2.2.3. Instalacje klimatyzacji i wentylacji Temperatura i wilgotność pomieszczenia powinny być stale monitorowane. W przypadku, gdy wilgotność spadnie poniżej 20% istnieje niebezpieczeństwo gromadzenia się niebezpiecznych ładunków elektrostatycznych. Wzrost temperatury powyżej 25ºC grozi lokalnym przegrzaniem urządzeń. Zaleca się wyposażenie serwerowni w instalacje klimatyzacji, aby uzyskać następujące parametry powietrza: - temperatura 21ºC +/- 3ºC, - wilgotność względna 50% +/- 10%. 2.2.4. Instalacje sygnalizacji pożaru Zaleca się żeby cały budynek był wyposażony w instalacje automatycznego wykrywania pożaru podłączoną do centralnej stacji monitoringu. W pomieszczeniu serwerowni powinny zostać zainstalowane optyczne czujki dymowe. 2.2.5. Instalacje sygnalizacji włamania i napadu Zaleca się żeby cały budynek był wyposażony w instalacje sygnalizacji włamania i napadu podłączoną do centralnej stacji monitoringu. W pomieszczeniu serwerowni nie należy instalować mikrofalowych czujek ruchu. 3. Instalacje kontroli dostępu Pomieszczenie serwerowni powinno być wyposażone w instalację kontroli dostępu. Dostęp do serwerowni powinien być chroniony zamkiem z ryglem magnetycznym wyzwalanym z czytnika kart magnetycznych lub chinowych z manipulatorem kodowym. W pomieszczeniu serwerowni nie powinny przebywać osoby postronne. 144 4. Architektura systemu zabezpieczeń od sieci Internet System zabezpieczeń sieci LAN od sieci Internet jest jednym z kluczowych elementów bezpieczeństwa informacji w odniesieniu do zasobów wewnętrznych instytucji administracji publicznej. W dniu dzisiejszym przy tak rozpowszechnionym Internecie, usługach eGoverment, nie dopuszczalne jest planowanie sieci teleinformatycznej danej instytucji zakładając, że nie będzie ona mieć styku z Internetem. Ze względu na wrażliwość danych jakie są w posiadaniu administracji publicznej i potencjalne duże zagrożenie ze strony użytkowników Internetu, należy zwrócić szczególną uwagę przy projektowaniu systemu zabezpieczeń. Istnieje wiele rozwiązań zarówno sprzętowych jak i programowych oferowanych przez różne firmy. Każde z rozwiązań ma zawsze jakieś wady i zalety. Intencją autorów niniejszego opracowania nie jest wskazanie „idealnego rozwiązania” uwzględniającego specyfikację konkretnego sprzętu i oprogramowania, gdyż nie ma uniwersalnego rozwiązania sprawdzającego się w każdej sytuacji. Opracowano zatem zalecenia dla projektowania takiego systemu zabezpieczeń, poprzez określenie logicznej architektury systemy. Zaleca się, by system zabezpieczeń składał się z 5 zintegrowanych i modularnych warstw ochrony, które uzupełniają i ubezpieczają się wzajemnie. Modułowa budowa systemu zabezpieczeń umożliwi sprawne dokonywanie zmian w środowisku sieciowym, aplikacyjnym i usługowym oraz formach dostępu tak jakościowych (protokoły, łącza) jak i ilościowych (liczba jednoczesnych połączeń, przepustowość). Komponenty systemu zabezpieczeń powinny być administrowane ze stacji zarządzającej, zlokalizowanej w dobrze zabezpieczonym obszarze sieci. Z punktu widzenia bezpieczeństwa systemu można w systemie zabezpieczeń wyróżnić następujące warstwy ochrony : 145 INTERNET Intruzi Router WAN /Filtr Pakietów Firewal 1 2 4 In-Line IDS Serwer Antywirusowy/ Kontrola Zawartości 3 Zasoby Centralne Firewal 5 Użytkownicy Instytucji Warstwy ochrony w planowym systemie informatycznym - - Warstwa Nr 1: System zaporowy zaimplementowany na routerze WAN – spełnia zadania ochrony przed atakami (szczególnie atakami destrukcyjnymi DoS) i innymi niedozwolonymi działaniami z obszaru Internetu. W najprostszym i najtańszym wydaniu zapewnia on ochronę na poziomie list kontroli dostępu ACL oraz filtrowania pakietów. System zaporowy w tej warstwie nie powinien przepuszczać żadnych pakietów kierowanych do dalszej części systemu GWD za wyjątkiem połączeń jednoznacznie ustalonych jako dozwolone (np. połączeń wymaganych do zestawienia VPN). i odwołań/zapytań do ogólnie dostępnych usług typu np. WWW. Wszystkie odrzucone w tej warstwie ochrony pakiety powinny być rejestrowane w logu centralnej stacji zarządzającej. Urządzenie w tej warstwie powinno pracować w konfiguracji odpornej na awarie np. High Availability lub Fault Tolerant. Warstwa Nr. 2. System zaporowy o zasadniczym znaczeniu dla bezpieczeństwa systemu. Jego zasadniczym celem jest ochrona sieci wewnętrznej przed wyrafinowanymi atakami typu Exploit, DoS, itp. przychodzącymi z obszaru Internetu. Do jego zadań należy również separowanie ważnych i kluczowych zasobów informatycznych insty146 - tucji przed nieupoważnionymi działaniami z sieci zarówno zewnętrznej jak i wewnętrznej W szczególności system zaporowy w tej strefie powinien blokować i alarmować wszelkie próby połączeń ze strefy DMZ zawierającej serwery publiczne WWW, DNS i E-Mail (potencjalnie najbardziej narażonej na włamania) do sieci prywatnej za wyjątkiem połączeń jednoznacznie ustalonych jako dozwolone (tzn. połączeń z serwerem poczty w sieci wewnętrznej). Warstwa druga ściśle współpracuje z warstwą 3 systemu ochrony GWD. Zastosowanie odpowiedniej klasy systemu zaporowego może zapewnić praktycznie całkowite zabezpieczenie serwerów poczty i WWW oraz innych zlokalizowanych w sieci wewnętrznej instytucji. Wymagane jest, aby system zaporowy posiadał w swojej funkcjonalności zaimplementowane i poprawnie skonfigurowane mechanizmy bezpieczeństwa protokołu wymiany poczty internetowej SMTP oraz WWW. Zadaniem tych mechanizmów jest poprawne wychwycenie żądań i poddane bezpośrednio kontroli zawartości lub też przekazane do innych mechanizmów zabezpieczeń (np. skanery, bramy antywirusowe i antyspamowe, systemy kontroli zawartości) celem poddania kontroli zawartości i poprawności przesyłanych pakietów poprawności przesyłek pocztowych. 3 Warstwę ochrony stanowi system kontroli zawartości w skład którego wchodzą różnego rodzaju mechanizmy kontrolne. W najprostszym przypadku system kontroli zawartości jest po prostu serwerem/bramą antywirusową rozszerzoną o dodatkowe możliwości filtrowania, skanowania i blokowania przesyłanych informacji takich jak ruch SMTP czy też WWW czy też spam.. Brama/Serwer antywirusowy stanowiący 3 warstwę ochrony powinien być zainstalowany w dedykowanej strefie systemu zaporowego, (chociaż dopuszcza się również instalowanie jej poza systemem zaporowym np. na serwerach pocztowych). Najbezpieczniejszym jest rozwiązanie, w którym system zaporowy i brama antywirusowa komunikują się ze sobą za pomocą dedykowanego protokołu np. CVP lub OPSEC. Ważną rolę w takiej konfiguracji pełni serwer DNS – jego rekordy pocztowe MX powinny wskazywać bezpośrednio system zaporowy ( pośrednio bramę antywirusową) Poczta nadchodząca z Internetu jest obsługiwana przez mechanizmy bezpieczeństwa SMTP zaimplementowane na firewallu i przesyłana do serwera antywirusowego celem kontroli zawartości. Po wykonaniu kontroli i odrzuceniu przesyłek niewłaściwych i zawirusowanych serwer antywirusowy przesyła z powrotem przesyłki do systemu zaporowego, który z kolei kieruje je do odpowiedniego serwera poczty w sieci wewnętrznej (lub serwera relay mail w strefie DMZ). Ochrona przesyłanej poczty polega na skanowaniu załączników w poszukiwaniu wirusów i zatrzymywaniu niepożądanych treści, takich jak spam, przy wykorzystaniu kombinacji wielu technologii. Należą do nich antyspamowe technologie heurystyczne, „czarne listy” analizowane w czasie rzeczywistym oraz czarne i białe listy dostosowane do potrzeb użytkownika. Niepożądane treści można zatrzymać na podstawie typowych cech wiadomości, takich jak temat, nazwa załącznika, rozszerzenie i maksymalny rozmiar wiadomości. Administratorzy mogą definiować elastyczne reguły, tworzyć harmonogramy uaktualnień, otrzymywać ostrzeżenia systemowe i dotyczące bezpieczeństwa oraz generować raporty dla celów zarządzania z poziomu bezpiecznej przeglądarki internetowej. Ochrona ruchu internetowego HTTP oraz FTP polega na wysokowydajnym, zintegrowanym wyszukiwaniu wirusów oraz filtrowaniu treści. Rozwiązanie to maksymalizuje wydajność pracowników oraz wydajność sieci poprzez blokowanie niedozwolonego ruchu internetowego. Rozwiązanie to powinno integrować analizę opartą na liście słów zakazanych, analizę heurystyczną oraz analizę kontekstową, zapewniając serwerom WWW ochronę przed wirusami i niebezpiecznym kodem. Do celów podwyższenia wydajności i niezawodności kontroli możliwe jest zainstalowanie wielu serwerów antywirusowych i antyspamowych Warunkiem koniecz- 147 - - nym jest tutaj posiadanie przez system zaporowy mechanizmów realizujących dynamiczne równoważenie obciążenia serwerów. 4 warstwa ochrony na którą składają się systemy IPS (In-Line IDS) na styku strefy DMZ i styku sieci korporacyjnej jest elementem systemu zabezpieczeń sieciowych, który stanowi wzmocnienie i uzupełnienie innych środków bezpieczeństwa istniejących w systemie informatycznym a głownie zabezpieczeń systemu zaporowego i bramy antywirusowej. Jest ona kolejną linią obrony, która ma zatrzymać ewentualne ataki, które wykorzystały luki we wcześniejszych systemach ochrony. Systemy IPS funkcjonujące w tej warstwie mają za zadanie identyfikować nieprawidłowe działanie, bądź błędną konfigurację zabezpieczeń systemu zaporowego na podstawie analizy ruchu sieciowego (tzn. na skutek zauważenia pakietu skierowanego do niedozwolonego portu komputera w sieci wewnętrznej lub sieci DMZ, który normalnie nie powinien przejść przez system zaporowy).Oprócz czynności zapobiegania, czyli odrzucania niewłaściwych pakietów system wykrywania włamań powinien samoczynnie modyfikować politykę bezpieczeństwa systemu zaporowego w zakresie blokowania źródła ataku, jednak tylko wtedy, gdy wykryty atak jest rzeczywiście groźny dla sieci wewnętrznej oraz istnieje przypuszczenie, że istniejące zabezpieczenia sieci nie chronią dostatecznie przed tym atakiem. Warstwa Nr 5 pełni dokładnie te same zadania, co warstwa nr 1, z tym, że jej główną rolą jest ochrona przed atakami i innymi niedozwolonymi działaniami z obszaru sieci korporacyjnej. Warstwa ta powinna zapewniać ochronę, co najmniej na poziomie list kontroli dostępu ACL oraz filtrowania pakietów. System zaporowy w tej warstwie nie powinien przepuszczać żadnych pakietów kierowanych do dalszej części sieci wewnętrznej instytucji za wyjątkiem połączeń jednoznacznie ustalonych jako dozwolone (np. połączeń wymaganych do zestawienia VPN). i odwołań/zapytań do ogólnie dostępnych usług Intranetowych/Ekstranetowych ( dostęp do wspólnych aplikacji, systemów baz danych itp.). Urządzenie w tej warstwie powinno pracować w konfiguracji odpornej na awarie np. High Availibility lub Fault Tolerant. 148 Definicje bezpieczeństwo informacji – zapewnienie, że informacje posiadają odpowiedni poziom poufności (dostęp, wgląd dla osób upoważnionych), integralności (zabezpieczenie przed nieautoryzowaną modyfikacją), dostępności (upoważniony dostęp do informacji wtedy, gdy zachodzi taka potrzeba), tajemnica przedsiębiorstwa – „nie ujawnione do wiadomości publicznej informacje techniczne, technologiczne, handlowe lub organizacyjne przedsiębiorstwa, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności”[Dz.U.1993.47.211 z późn. zm.]. Informacje rozumiane jako tajemnica przedsiębiorstwa dotyczą opatentowanych lub nie opatentowanych wynalzków, wzorów użytkowych lub zdobniczych, planów technicznych, sposobów zbierania informacji , listy klientów, metod kontroli jakości towarów i usług, sposobów marketingów, organizacji pracy itp. Są to również informacje przydatne w pracy naukowo-badawczej i rozwojowej, howto, wyniki prób i badań także te, które nie nadają się do praktycznego wykorzystywania np. zakończone niepowodzeniem próby, wstępne projekty rozwiązań technologicznych wymagających dalszych prac rozwojowych. informacja – treść wszelkiego rodzaju dokumentów przechowanych na dowolnym nośniku informacji. Informacja może być wyrażona za pomocą mowy, pisma, obrazu, rysunku, znaku, kody, dźwięku lub w jakikolwiek inny sposób, informacje chronione – informacje stanowiące w Instytucie Łączności tajemnicę przedsiębiorstwa oraz informacje prawnie chronione, informacje prawnie chronione – informacje, których ochrony wymagają obowiązujące przepisy prawa, informacje jawne – informacje nie należące do informacji chronionych, informacje niejawne – informacje stanowiące tajemnicę państwową, określone przez ustawę o ochronie informacji niejawnych [Dz. U. 2002.11.95 z późn. zm], grupa informacji – zbiór informacji podlegający ochronie, opisujące podobne zagadnienia lub dotyczące jednego tematu, klauzula tajności – sposób klasyfikacji informacji chronionych w Instytucie według rangi danej informacji, nośnik informacji – medium, na którym zapisuje się i przechowuje informacje, system informatyczny – system przetwarzania informacji składający się z urządzeń komputerowych, oprogramowania oraz zewnętrznych nośników informacji (dyskietka, Cd-Rom i inne), system – rozumiany jako wszystkie procesy zachodzące w instytucji, które składają się z wielu podsystemów np. systemu informatycznego. System jest zbiorem zawierającym pracowników i ich role, zasoby i aktywa np. urządzenia, budynki, sytuacja kryzysowa – podejrzenie lub stwierdzenie faktu naruszania przyjętej polityki bezpieczeństwa informacji. 149 Bibliografia [1] „Podręcznik administratora bezpieczeństwa informacji” Krzysztof Liderman Mikom, Warszawa 2003. [2] http://securityfocus.com [3] http://www.porcupine.org/satan/ [4] http://nessus.org [5] http://iss.net [6] http://eeye.com [7] http://www.gfi.com/lannetscan [8] PN-ISO/IEC 17799:2003. Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem. [9] PN-I-13335-1 Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych. [10] ISO/IEC/TR 13335-3. Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. [11] http://www.ensi.net [12] „Ocena bezpieczeństwa sieciowego” Kevin Lam, David leBlanc i Ben Smith Microsoft Press [13] „Bezpieczeństwo informacji. Ochrona globalnego przedsiębiorstwa” Pipkin Donald L. WNT [14] „Prawo w sieci”. Zarys regulacji internetu. Piotr Waglowski One Press [15] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z póżn. zm., [16] Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), [17] Rozporządzenie Ministra Przemysłu, z dnia 8 października 1990 r. w sprawie warunków technicznych, jakim powinny odpowiadać urządzenia elektroenergetyczne w zakresie ochrony przeciwporażeniowej, [18] Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. Nr 114. poz. 740), [19] Polska Norma PN-I-02000, marzec 2002. Technika informatyczna. Zabezpieczenia w systemach informatycznych. Terminologia, [20] Polska Norma PN-IEC-60364-7-707, listopad 1999. Instalacje elektryczne w obiektach budowlanych. Wymagania dotyczące specjalnych instalacji lub lokalizacji. Wymagania dotyczące uziemień instalacji urządzeń przetwarzania danych, [21] Polska Norma PN-92/E-05200. Ochrona przed elektrycznością statyczną. Terminologia, 150 [22] Polska Norma PN-92/E-05201. Ochrona przed elektrycznością statyczną. Metody oceny zagrożeń wywołanych elektryzacją materiałów dielektrycznych stałych, [23] Polska Norma PN-92/E-050009-41. Instalacje elektryczne w obiektach budowlanych. Ochrona zabezpieczająca bezpieczeństwo. Ochrona przeciwporażeniowa, [24] Polska Norma PN-93/T-42107. Bezpieczeństwo urządzeń techniki informatycznej i elektrycznych urządzeń techniki biurowej, [25] Polska Norma PN-EN-50 173 styczeń 1999. Technika informatyczna – systemy okablowania strukturalnego, [26] Norma Branżowa BN-84/8984-10. Telekomunikacyjne instalacje wnętrzowe, [27] Polska Norma PN-E-08390-1, 1996. Systemy alarmowe. Terminologia, [28] Polska Norma PN-93/E-08390/11. Systemy alarmowe. Wymagania ogólne. Postanowienia ogólne, [29] Polska Norma PN-93/E-08390/14. Systemy alarmowe. Wymagania ogólne. Zasady stosowania, [30] Polska Norma PN-93/E-08390/51. Systemy alarmowe. Systemy transmisji alarmu. Ogólne wymagania dotyczące systemów, 151 Bezpieczeństwo teleinformatyczne oraz model bezpiecznego systemu telepracy Część 2 Modelowy system telepracy Warszawa, grudzień 2005 Spis treści 1. MODELOWY SYSTEM TELEPRACY W INSTYTUCIE ŁĄCZNOŚCI ................3 2. TECHNOLOGIE VOIP...................................................................................................7 2.1. WPROWADZENIE..........................................................................................................7 2.2. PRZEGLĄD PROTOKOŁÓW SYGNALIZACYJNYCH ...........................................................7 2.2.1. Protokół H.323 ...................................................................................................7 2.2.2. Protokół SIP .....................................................................................................10 2.2.3. Protokół IAX2 ...................................................................................................13 2.2.4. MGCP...............................................................................................................14 2.2.5. RTP ...................................................................................................................16 3. ROZWIĄZANIA W ZAKRESIE SERWERÓW VOIP .............................................18 3.1. SIPX ..........................................................................................................................18 3.2. SIP EXPRESS ROUTER ................................................................................................19 3.3. ASTERISK...................................................................................................................22 3.3.1. Architektura platformy .....................................................................................22 3.3.2. Konfiguracja serwera .......................................................................................25 3.3.3. Lista funkcjonalności serwera Asterisk ............................................................26 4. BEZPIECZEŃSTWO VOIP .........................................................................................28 4.1. WPROWADZENIE........................................................................................................28 4.2. CELE BEZPIECZEŃSTWA W SYSTEMACH VOIP............................................................28 4.2.1. Integralność (Integrity).....................................................................................28 4.2.2. Poufność (Confidentiality)................................................................................30 4.2.3. Dostępność (Availability) .................................................................................31 4.3. METODY ATAKÓW .....................................................................................................31 4.4. METODY ZAPEWNIENIA BEZPIECZEŃSTWA W SYSTEMACH VOIP ...............................35 4.4.1. Środki bezpieczeństwa w systemach VoIP........................................................35 4.4.2. Architektura sieci i bezpieczny dostęp do medium ...........................................35 4.4.3. Zapobieganie atakom warstwy 3 i wyższych ....................................................37 4.4.4. Bezpieczeństwo protokołów VoIP.....................................................................38 4.5. PRZYKŁADOWE KONFIGURACJE BEZPIECZNEGO VOIP ...............................................42 5. TESTOWA IMPLEMENTACJA VOIP ......................................................................43 5.1. TESTOWA IMPLEMENTACJA VOIP W INSTYTUCIE ŁĄCZNOŚCI ...................................43 5.2. INSTALACJA I KONFIGURACJA PLATFORMY ASTERISK ...............................................46 5.3. TYPY ZASTOSOWANYCH BRAM VOIP.........................................................................49 5.4. TYPY ZASTOSOWANYCH TELEFONÓW IP....................................................................51 5.5. TESTY WYDAJNOŚCI...................................................................................................52 5.5.1. Środowisko testowe i jego właściwości ............................................................52 5.5.2. Zestawienie testów............................................................................................53 5.5.3. Badania wydajności centrali DGT 3450 ..........................................................54 5.5.4. Ruch inicjowany przez abonentów dołączonych do centrali PSTN/ISDN oraz kierowany z wykorzystaniem łącza ISDN PRI do serwera Asterisk i ponownie kierowany do sieci PSTN/ISDN..........................................................................................................55 5.5.5. Testy w oparciu o ruch generowany do użytkowników PSTN dołączonych do bramek VoIP .....................................................................................................................56 1 5.5.6. Testy skuteczności zestawiania połączeń do serwera VoIP, do abonenta pełniącego rolę uniwersalnego odzewnika.......................................................................59 5.5.7. Testy skuteczności zestawiania połączeń pomiędzy użytkownikami serwera VoIP wykorzystującymi do komunikacji protokół SIP......................................................60 6. USŁUGI IM (INSTANT MESSAGING)......................................................................62 6.1. PRZEGLĄD NAJPOPULARNIEJSZYCH KOMUNIKATORÓW .............................................63 6.2. CHARAKTERYSTYKA PROTOKOŁU KOMUNIKACYJNEGO JABBER ................................64 6.3. MODYFIKACJA JABBERA – PROTOKÓŁ XMPP ...........................................................64 6.4. ZASADA DZIAŁANIA PROTOKOŁU JABBER/XMPP......................................................65 6.5. FORMAT DANYCH ......................................................................................................66 6.6. ZALETY I WADY PROTOKOŁU JABBER/XMPP ............................................................67 6.7. USŁUGI DOSTĘPNE W SERWERACH JABBER/XMPP ................................................68 6.8. MECHANIZMY BEZPIECZEŃSTWA PROTOKOŁU JABBER/XMPP ..............................70 6.8.1. Protokół SSL .....................................................................................................70 6.8.2. Protokół TLS.....................................................................................................70 6.8.3. Protokół SASL (Simple Authentication and Security Layer) ............................71 6.8.4. Mechanizm PGP (Pretty Good Privacy) ..........................................................71 7. PRZEGLĄD APLIKACJI KLIENCKICH I SERWERÓW JABBER/XMPP ........72 7.1. SERWERY JABBER/XMPP..........................................................................................72 7.2. PROGRAMY KLIENCKIE JABBER/XMPP .....................................................................75 7.3. PRZEGLĄD WYBRANYCH, TESTOWANYCH KLIENTÓW JABBER/XMPP........................75 7.3.1. Psi .....................................................................................................................75 7.3.2. Miranda IM.......................................................................................................77 7.3.3. Pandion.............................................................................................................78 7.3.4. JAJC..................................................................................................................79 7.3.5. Gaim .................................................................................................................81 7.3.6. Exodus ..............................................................................................................82 8. WDROŻENIE TESTOWEJ PLATFORMY IM W IŁ...............................................83 8.1. ADMINISTRACJA SERWERA ........................................................................................83 8.2. ZAPEWNIENIE BEZPIECZEŃSTWA SERWERA................................................................83 8.3. MOŻLIWOŚCI KONSOLI ADMINISTRACYJNEJ ..............................................................84 8.3.1. Import użytkowników ........................................................................................84 8.3.2. Dodawanie użytkowników ................................................................................84 8.3.3. Tworzenie grup użytkowników..........................................................................85 8.3.4. Wyszukiwanie użytkowników ............................................................................86 8.3.5. Tworzenie konferencji.......................................................................................86 8.3.6. Wiadomości „offline”.......................................................................................86 8.3.7. Filtracja wiadomości........................................................................................86 8.3.8. Instalacja komponentów zewnętrznych ............................................................86 8.4. KSIĄŻKA TELEFONICZNA ...........................................................................................87 8.5. MOŻLIWOŚCI ROZBUDOWY SYSTEMU ........................................................................88 8.6. PODSUMOWANIE ........................................................................................................89 DOKUMENTACJA TECHNICZNA PROJEKTU PLATFORMY TELEPRACY ........90 2 9. DOKUMENTY ODNIESIENIA ...................................................................................95 10. LITERATURA............................................................................................................95 1. Modelowy system telepracy w Instytucie Łączności Jednym z podstawowych warunków konkurencyjności przedsiębiorstw w dobie globalizacji jest niezawodny, a przy tym szybki przypływ informacji w obrębie przedsiębiorstwa oraz pomiędzy przedsiębiorstwem a jego otoczeniem. Rynek usług telekomunikacyjnych jest obecnie w fazie dynamicznego rozwoju i w porównaniu do okresu sprzed kilku lat oferuje szereg nowych usług, które wychodzą naprzeciw zapotrzebowaniu w zakresie środków łączności. Obserwacja rynku oraz trendów światowych prowadzi do wniosku, że dzisiejsze rozwiązania telekomunikacyjne w sektorze przedsiębiorstw będą zastępowane przez zoptymalizowane pod względem potrzeb i kosztów platformy telekomunikacyjne oparte o protokół IP oraz szereg usług komunikacyjnych, w tym usługę VoIP (Voice over IP). Platformy te tworzą także systemy telepracy (zdalnej pracy), które obok komunikacji w obrębie przedsiębiorstwa, wspomagają komunikację pomiędzy pracownikami znajdującymi się w różnych lokalizacjach – także poza oddziałami firmy. Zastosowanie takiej platformy wydatnie wpływa na wzrost konkurencyjności przedsiębiorstwa poprzez: • poprawę efektywności komunikacji, • obniżenie ogólnych kosztów użytkowania, dzięki integracji sieci danych i głosowych oraz eliminacji kosztów połączeń pomiędzy oddziałami przedsiębiorstwa, • wsparcie i obniżenie kosztów pracy na odległość, w tym komunikacji pomiędzy pracownikami znajdującymi się poza oddziałami przedsiębiorstwa, • szeroki wachlarz usług dodatkowych, • gotowość do przyszłych aplikacji. Platforma telekomunikacyjna ma za zadanie wspomagać organizację pracy w danym przedsiębiorstwie i wymaga jak najdokładniejszego dopasowania do specyfiki organizacji pracy. System telepracy wpasowuje się znacznie dokładniej w nowoczesną organizację pracy oraz orientację projektową, która zakłada realizację określonych zadań w wąskich grupach ekspertów. Z kolei podstawowym wymaganiem dla zapewnienia dostępu do usług telepracy jest dostęp do sieci transmisji danych, która łączy wszystkie lokalizacje, gdzie znajdują się członkowie zespołów projektowych. Obecna oferta operatorów telekomunikacyjnych w zakresie dostępu do tego typu sieci daje podstawy do wykorzystania telepracy nie tylko wśród pracowników rozproszonej geograficznie korporacji, lecz również pracowników pozostających w swoich domach, czy też znajdujących się jedynie w zasięgu infrastruktury sieci bezprzewodowych. System ten idealnie wspomaga komunikację grupową wszędzie tam, gdzie występuje problem rozproszenia poszczególnych oddziałów przedsiębiorstwa, a jednocześnie charakter pracy umożliwia realizację zadań nie tylko w biurze, laboratorium, lecz również w domu pracownika lub w podróży. Idealnym środowiskiem wdrożenia testowego systemu telepracy jest właśnie Instytut Łączności, który prowadząc prace o charakterze koncepcyjnobadawczym w interdyscyplinarnych zespołach również często staje przed problemem rozproszenia geograficznego. W przypadku Instytutu Łączności właśnie czynnik rozproszenia geograficznego oddziałów stał się kluczowy (oddziały w Warszawie, Wrocławiu i Gdańsku), zaś specyfika pracy wirtualnych zespołów badawczych wymaga wdrożenia modelu systemu telepracy opartego na następujących elementach: 3 • komunikacja głosowa oparta na telefonii VoIP, • komunikacja typu Instant Messaging (IM), • dostęp do poczty korporacyjnej, • dostęp do zasobów sieci wewnętrznej IŁ. Proponowany model systemu telepracy zakłada współistnienie ww. elementów i udostępnienie odpowiadających im środków komunikacji każdemu z pracowników (aplikacje VoiP, komunikatory IM). Dotychczas wdrożone elementy systemu telepracy realizowały funkcje dostępu do zasobów informatycznych IŁ. Ograniczają się one do zapewnienia bezpiecznego dostępu poprzez utworzone za pomocą protokołu IPSec łącza sieci wirtualnej VPN (Virtual Private Network) do infrastruktury informatycznej siedziby Instytutu Łączności. Jednocześnie zapewniony jest dla wszystkich użytkowników poczty korporacyjnej dostęp do serwera pocztowego zlokalizowanego w oddziale wrocławskim i warszawskim. W zakresie komunikacji głosowej wykorzystywana jest obecnie sieć PSTN/ISDN, do której dołączone są centrale abonenckie w wszystkich lokalizacjach. Komunikacja telefoniczna pomiędzy oddziałami IŁ stanowi w tym przypadku znaczący udział kosztów związanych z połączeniami telefonicznymi. Ograniczenie tych kosztów mogłoby mieć miejsce w przypadku wykorzystania dostępnych łączy do Internetu oraz telefonii VoIP. Jednocześnie, względy bezpieczeństwa infrastruktury telekomunikacyjnej IŁ przemawiają za pozostawieniem łączy do sieci PSTN/ISDN, które w szczególności powinny zapewnić łączność na wypadek niedostępności usług sieci transmisji danych. Kolejnym istotnym elementem systemu telepracy jest komunikacja oparta na sieci Instant Messaging. W chwili obecnej w tym zakresie nie istnieją w IŁ ustalone standardy wymiany wiadomości, co oznacza, że dopuszczalne jest wykorzystanie ogólnodostępnych komunikatorów i serwerów. Jednak takie rozwiązanie nie może zostać zaadaptowane do potrzeb korporacyjnych ze względu na niewystarczające mechanizmy bezpieczeństwa oraz brak możliwości uruchomienia własnych usług w oparciu o ten kanał komunikacyjny. Wdrożenie spójnej platformy telepracy w IŁ zostało zatem ukierunkowane na wdrożenie systemu VoIP oraz komunikacji typu Instant Messaging. Obie usługi zostaną uruchomione w oparciu o zasoby oddziału warszawskiego, ze względu na fakt, iż w ramach sieci lokalnej spodziewany jest największy ruch, jak również parametry łącza dostępowego, zapewniające wystarczający komfort pracy oraz dostępność dla pracowników zdalnych. 4 Rys. 1. Docelowa platforma systemu telepracy w Instytucie Łączności Niezbędna modyfikacja infrastruktury informatycznej IŁ obejmuje w tym wypadku umiejscowienie bram w oddziałach korporacji, wspólnych serwerów VoIP i Instant Messaging w centralnej lokalizacji. Istotne jest również zapewnienie bezpieczeństwa oraz dostępności usług VoIP. W tym zakresie optymalnym rozwiązaniem okazują systemy oparte na prostych rozwiązaniach, angażujących możliwie wąskie pasmo oraz „oszczędny” (w rozumieniu złożoności wymiany komunikatów) protokół sygnalizacyjny. Ze względu na zastosowanie w wielu sieciach korporacyjnych translacji adresów NAT, grupa potencjalnych rozwiązań zostaje ograniczona do tych, które wykorzystują do komunikacji porty o stałych numerach bądź takich, których wymiana wiadomości sygnalizacyjnych oraz strumieni użytkowych odbywa się z wykorzystaniem tego samego portu. Takim rozwiązaniem jest omawiany w dalszym ciągu pracy protokół IAX2. Podstawowym założeniem przyjmowanym dla systemu VoIP jest umieszczenie w ramach istniejącego planu numeracji także grupy obsadzonej przez telefony IP lub ich 5 software’owe odpowiedniki. Daje to możliwość korzystania z zalet wewnętrznej sieci telefonicznej bez względu na fizyczną lokalizację użytkownika. Oznacza to również, że numer telefonu przypisany do użytkownika może być wykorzystywany jako numer abonenta wewnętrznego nawet wówczas, gdy aparat ten zostanie dołączony poza oddziałem IŁ, np. w domu pracownika, posiadającego dostęp do Internetu i oprogramowanie klienckie VPN. Abonenci VoIP są z kolei widoczni spoza sieci korporacyjnej w taki sam sposób, jak abonenci central PBX, a jednocześnie wykonując połączenia w ramach sieci korporacyjnej pomimo rozproszenia geograficznego nie ponoszą kosztów połączeń telefonicznych. Specyfika pracy badawczej w ramach wirtualnych zespołów wymaga zapewnienia także pewnego i bezpiecznego dostępu do usługi IM. Daje ona możliwość nie tylko wymiany wiadomości tekstowych (indywidualnie i grupowo), lecz również przesyłania plików czy też korzystania z usług informacyjnych, takich jak książka telefoniczna, usługi przypominania o zadaniach do wykonania wraz z ich terminami, informowania o przychodzącej poczcie (co jest szczególnie istotne, gdy użytkownik dysponuje dostępem do serwera pocztowego jedynie poprzez bezpieczny interfejs WWW). Tego typu rozwiązania idealnie uzupełniają komunikację głosową a jednocześnie dają możliwość kontroli i sprawnego kierowania wirtualnym zespołem badawczym. Obok niewątpliwych zalet pozostawania w ciągłym kontakcie całego zespołu bez względu na miejsce pracy każdego z jego członków, cechy proponowanego modelu telepracy rozszerzają możliwości zatrudnienia osób niepełnosprawnych oraz kobiet wychowujących dzieci, co pozytywnie wpływa na proces wyrównywania szans zatrudnienia kobiet i mężczyzn. 6 2. Technologie VoIP 2.1. Wprowadzenie Rozwiązania wykorzystujące transmisję głosu oraz obrazu z wykorzystaniem sieci pakietowych cieszą się rosnącą popularnością głównie w obszarze rozwiązań dla indywidualnych użytkowników, którzy do realizacji tego typu usług wykorzystują dostęp do sieci Internet. Rozwiązania dedykowane dla organizacji stanowią z kolei ofertę wielu dostawców komercyjnych jak również mogą być oparte z powodzeniem na produktach typu Open Source. W ten sposób opracowywane są platformy komunikacyjne w postaci serwerów VoIP pełniących funkcje software’owych central abonenckich PBX. Rosnąca popularność tego typu rozwiązań jest spowodowana m.in.: • zastosowaniem do komunikacji pomiędzy zestandaryzowanych protokołów komunikacyjnych, elementami systemu • nieustannym rozwojem i udoskonalaniem oprogramowania oraz stosunkowo łatwym i tanim dostępem do kolejnych, ulepszonych, jego wersji, co z kolei posiada pozytywny wpływ na wydajność i niezawodność rozwiązań VoIP, • wsparciem ze strony producentów sprzętu takiego, jak: karty interfejsów, telefony, bramy multimedialne i inne, • równoległym rozwojem oprogramowania dedykowanego dla różnych systemów operacyjnych, • stale zwiększającą się przepustowością sieci Internet. Przykładem serwerów opartych na rozwiązaniach typu Open Source są m.in.: Asterisk, SER (SIP Express Router) czy też sipX, które zostaną scharakteryzowane w kolejnych rozdziałach. Jedną z zasadniczych przyczyn popularności rozwiązań typu Open Source w obszarze serwerów VoIP jest zastosowanie komunikacji opartej na standardowych protokołach (H.323, SIP, MGCP, RTP) oraz na protokołach zaprojektowanych na potrzeby komunikacji z danym typem serwera i dobrze sprawdzających się w warunkach rzeczywistych. Przykładem tego typu protokołu jest IAX2 (Inter Asterisk eXchange version 2), który został przewidziany zarówno do komunikacji pomiędzy serwerem i aplikacjami końcowymi jak również do wymiany komunikacji pomiędzy dwoma serwerami. Popularność serwera Asterisk jak również protokołu IAX2 sprawiły, że wielu producentów wyposażenia sprzętowego VoIP niższego segmentu zaimplementowało obsługę tego protokołu w swoich produktach (telefony IP, bramy VoIP). Z kolei przykładem protokołu dedykowanego do współpracy z urządzeniami pochodzącymi od jednego producenta jest protokół Skinny, implementowany w hardware’owych i software’owych telefonach produkowanych przez firmę Cisco, jak również wykorzystywany przez serwer komunikacyjny VoIP dostarczany przez tę firmę. 2.2. Przegląd protokołów sygnalizacyjnych 2.2.1. Protokół H.323 Chronologicznie pierwszym protokołem VoIP był opracowany i zdefiniowany przez Międzynarodową Unię Telekomunikacyjną ITU protokół H.323. Nazwa stosu protokołów H.323, wykorzystywanego do realizacji połączeń VoIP, określa serię dokumentów standaryzacyjnych (standardy zaakceptowane przez ITU), które definiują: 7 • ogólne zasady komunikacji multimedialnej w trybie punkt-punkt oraz zasady zestawiania połączeń konferencyjnych, przy czym konferencje mogą być realizowane z wykorzystaniem jedynie oprogramowania terminali bądź przy użyciu specjalizowanych zasobów sieci, które w architekturze H.323 określane są mianem kontrolera połączeń wielostronnnych. Sterowanie zestawianiem połączeń konferencyjnych może mieć charakter scentralizowany, tzn. użytkownik inicjujący połączenie konferencyjne może „dołączać” do konferencji kolejnych uczestników lub zdecentralizowany, tzn. każdy z uczestników konferencji posiada prawo dołączania kolejnych, • zasady współpracy sieci VoIP z siecią z komutacją łączy, • zasady współpracy elementów architektury H.323, pochodzących od różnych dostawców, jak również protokoły wykorzystywane do tego typu transmisji; oraz zbiór kodeków sygnału mowy, • zasady zarządzania dostępnym pasmem, • metody autoryzacji użytkowników, • zbiór usług dodatkowych. Zgodnie z założeniem stos protokołów H.323 może wykorzystywać w warstwie transportowej dowolną technikę pakietową, np.: Ethernet, TCP/UDP/IP, ATM, oraz Frame Relay w celu realizacji połączeń multimedialnych w czasie rzeczywistym. Podstawowe elementy, wchodzące w skład środowiska VoIP opartego wykorzystaniu stosu protokołów H.323 zostały przedstawione na rysunku (Rys. 3). H.323 Terminal H.323 Terminal na H.323 MCU Sieć pakietowa H.323 Gateway H.323 Gatekeeper PSTN B-ISDN H.323 Terminal N-ISDN Rys. 2. Architektura sieci VoIP opartej na wykorzystaniu stosu protokołów H.323 Poszczególne elementy sieci VoIP mogą stanowić zarówno aplikacje (np. getekeeper, terminal, MCU) jak również fizyczne urządzenia (np. gateway, terminal). Koncepcja protokołów stosu H.323 była rozwijana od 1996 roku, co zaowocowało powstaniem pięciu 8 wersji tego standardu. Charakterystyczne cechy koncepcji H.323 można opisać w następujący sposób: • Realizacja pojedynczego połączenia w H.323 przewiduje podział na trzy zasadnicze fazy: zestawianie połączenia, rozłączanie połączenia oraz faza wymiany danych użytkowych. • H.323 zapewnia realizację połączeń głosowych konferencyjnych), transmisje faksową oraz video. • Dla połączeń głosowych oraz video w warstwie transportowej wykorzystywany jest protokół UDP, zaś dla transmisji faksowej protokoły UDP lub TCP. Wymiana danych użytkowych realizowana w czasie zbliżonym do rzeczywistego ma miejsce z wykorzystaniem kanałów logicznych pomiędzy punktami końcowymi i realizującymi je protokołami transportowymi RTP (Real – time Transport Protocol) oraz RTCP (Real – time Transport Control Protocol). • Procedura obsługi połączeń opiera się na obsłudze tzw. kanałów logicznych, które służą do wymiany danych określonego typu: sygnalizacyjnych, opisujących właściwości terminali i danych użytkowych. • Wersja druga H.323 wprowadziła możliwość skrócenia procesu zestawiania połączenia poprzez wprowadzenie tzw. procedury. FastConnect, realizującej skróconą procedurę otwarcia kanałów logicznych niezbędnych do realizacji połączenia. • Stos H.323 obejmuje grupę protokołów niezbędnych do zestawienia, utrzymania i rozłączenia połączenia, w tym: • (w tym połączeń o protokół H.225, bazujący na sygnalizacji DSS1 w sieci ISDN o protokół H.245, o protokoły RTP i RTCP do przenoszenia strumienia użytkowego w czasie zbliżonym do rzeczywistego. Usługi dodatkowe realizowane w oparciu o H.323 zostały zdefiniowane w Zaleceniu H.450. Stos protokołów H.323 został przedstawiony na rysunku (Rys. 3). 9 Rys. 3. Architektura stosu protokołów H.323 2.2.2. Protokół SIP Protokół SIP (Session Initiaion Protocol) powstał w ramach prac prowadzonych przez organizację IETF(Internet Engineering Task Force). Prace standaryzacyjne prowadzone nad protokołem zostały zapoczątkowane w obrębie IETF przez grupę opracowującą mechanizmy do kontroli sesji multimedialnych w sieci Internet (Multiparty Multimedia Session Control). Następnie w miejscu tej grupy utworzono inną- grupę roboczą pracującą nad problematyką rozwoju, standaryzacji i zastosowania protokołu SIP (The SIP Working Group). Protokół SIP, zdefiniowany w dokumencie RFC 3261, jest protokołem warstwy aplikacji bazującym na modelu klient-serwer. Definiuje zestawianie, modyfikacje parametrów oraz rozłączanie sesji multimedialnych w tym połączeń telefonicznych, realizowanych za pośrednictwem sieci pakietowej. Za pomocą tego protokołu zestawiane są zarówno połączenia typu punkt-punkt oraz połączenia konferencyjne. Podobnie, jak w przypadku architektury H.323, protokół SIP zapewnia szeroki zakres usług, w tym realizacji multimedialnych połączeń konferencyjnych czy mapowania nazw, przekierowania połączeń. Pozwala to na realizację usług sieci ISDN oraz usług charakterystycznych dla sieci inteligentnych w sieciach pakietowych z protokołem SIP. Właściwości te wspomagają mobilność użytkownika rozumianą jako dostępność żądanego abonenta niezależnie od fizycznej lokalizacji. Protokół SIP wywodzi się z protokołu HTTP (Hypertext Transfer Protocol) oraz SMTP (Simple Mail Transfer Protocol). Podobnie jak te protokoły, również protokół inicjalizacji sesji jest protokołem tekstowym opartym na modelu klient-serwer, co oznacza, że charakteryzuje się on zbiorem żądań generowanych przez jednostkę klienta, które są odbierane przez jednostkę określaną jako serwer, udzielającej na nie odpowiedzi. Żądania strony klienta, określane mianem metod, są realizowane przez serwer i skutkują realizacją określonych działań po stronie serwera. Protokołem transportowym dla metod SIP może być zarówno protokół UDP jak również TCP. Z kolei protokołem, który jest wykorzystywany do przenoszenia informacji o opisującej wykorzystywane medium (m.in. rodzaj kodeka, szerokość wykorzystywanego 10 pasma, itp.) jest protokół SDP (Session Description Protocol). Obecnie większość implementacji protokołu SIP wykorzystuje w warstwie transportowej protokół UDP. Protokół SIP powstał w celu zarządzania sesją, przy czym sesja jest tutaj rozumiana jako wymiana danych pomiędzy procesami, reprezentującymi uczestników sesji. Implementacja aplikacji, które wykorzystują sesje do komunikacji pomiędzy sobą jest o tyle trudna, iż możliwe jest wykorzystanie przez użytkowników różnych punktów końcowych (tzn. aplikacji, telefonów IP), charakteryzujących się odmiennymi właściwościami takim, jak np. wykorzystywane kodeki mowy, porty komunikacyjne, itp. Protokół SIP jest wykorzystywany w celu umożliwienia punktom końcowym, określanym jako agenci użytkownika (user agents) zlokalizowanie się nawzajem oraz ustalenie warunków, w jakich będzie przebiegać sesja. Na potrzeby lokalizacji użytkowników oraz innych funkcji wykorzystywanych w trakcie sesji protokół SIP wykorzystuje infrastrukturę złożoną z sieci serwerów (SIP servers). Agent użytkownika może wysłać do serwera żądanie rejestracji, żądanie zestawienia połączenia ze wskazanym punktem końcowym oraz innego typu żądania. Stąd wynika, że protokół SIP stanowi ogólne narzędzie: • wykorzystywane do tworzenia, modyfikacji parametrów oraz zakończenia sesji, • niezależne od protokołów transportowych, • niezależne od rodzaju sesji, której zestawieniem zarządza. W odróżnieniu od H.323 protokół SIP nie stanowi systemu komunikacyjnego lecz posiada cechy komponentu takiego systemu, którego elementami są także następujące protokoły (zdefiniowane przez IETF): • Session Description Protocol (SDP), protokół wykorzystywany do przenoszenia informacji opisujących parametry sesji multimedialnych (m.in. wykorzystywane kodeki, porty UDP, itp.); • Real-time Transport Protocol (RTP), zapewniający w czasie rzeczywistym transport pakietów zawierających skwantowane próbki mowy oraz umożliwiający zastosowanie mechanizmów gwarantujących poziom jakości (QoS); • Real-Time streaming protocol (RTSP), umożliwiający kontrolę przepływu strumieni multimedialnych w czasie rzeczywistym; • Gateway Control Protocol (MEGACO), odpowiedzialny za kontrolę bram (gateways) łączących sieć pakietową z siecią tradycyjną (PSTN); Podstawowymi elementami architektury VoIP z implementacją protokołu SIP są agenci użytkownika (User Agents) oraz serwery sieciowe SIP (SIP Network Servers). Agent użytkownika jest aplikacją realizującą odpowiednie zadania w imieniu użytkownika. Aplikacja ta może funkcjonować zarówno jako serwer (UAS – User Agent Server) oraz klient (UAC – User Agent Client), ponieważ użytkownik może być zarówno inicjującym połączenie jak również abonentem żądanym. UAC jest w tym przypadku wykorzystywany do generowania żądań, z kolei UAS odbiera te i odpowiada żądania na nie w imieniu użytkownika. Agent użytkownika posiadający funkcjonalność zarówno klienta jak i serwera może brać udział w zestawianiu połączeń VoIP z wykorzystaniem protokołu SIP bez pośrednictwa serwerów sieciowych SIP. Wyróżnia się trzy rodzaje serwerów sieciowych SIP: • Proxy Server (serwery proxy), których podstawowym zadaniem jest przekazywanie żądań UAC do właściwego serwera docelowego (UAS). W tym celu serwer proxy dokonuje interpretacji oraz w razie konieczności również 11 modyfikacji treści żądania przed przesłaniem do kolejnego serwera. Serwerem docelowym może być każdy typ serwera (serwer proxy nie musi posiadać informacji o typie serwera, do którego przesyła wiadomość). Zanim żądanie dotrze do serwera UAS może przechodzić przez wiele serwerów sieciowych SIP. Jeśli serwer proxy generuje zarówno żądania jak i odpowiedzi to pełni on wówczas rolę serwera i klienta. Serwer proxy może zapamiętywać przychodzące i wychodzące żądania kojarząc je z określoną sesją (stateful proxy) lub jedynie przesyłać dalej otrzymane żądania (stateless proxy). Pierwszy typ serwera jest stosowany m.in. wówczas, gdy przychodzące żądanie jest następnie rozsyłane jednocześnie do wielu serwerów, co z kolei ma miejsce w trakcie procesu obsługi połączeni a konferencyjnego • Redirect Server, serwery przekierowań (), Serwer przekierowań nie przekazuje żądań do kolejnych serwerów, lecz akceptując je dokonuje mapowania adresów docelowych serwerów i przesyła je klientowi, aby ten mógł przesłać żądania bezpośrednio docelowemu serwerowi. W przeciwieństwie do SIP proxy, serwer ten nie generuje własnych żądań ani nie akceptuje przychodzących połączeń • Registrar Server, serwery rejestracji. Zadaniem serwera rejestracji jest przyjmowanie i obsługa żądań REGISTER. W tym celu musi on posiadać informacje opisujące dostępność serwerów oraz klientów. Zazwyczaj serwer ten jest zlokalizowany łącznie z serwerem proxy lub przekierowań, może również oferować usługi lokalizacji Ponadto możliwe jest korzystanie z usług serwera lokalizacyjnego (location server). W zależności od architektury fizycznej sieci pakietowej serwery SIP są wykorzystywane opcjonalnie. Serwer pośredniczący Serwer pośredniczący 2 Agent użytkownika 1 0 3 Serwer lokalizacji Serwer lokalizacji 0 0 Agent użytkownika 0 Serwer rejestrujący Serwer rejestrujący Rys. 4. Architektura funkcjonalna SIP Oparty na wymianie wiadomości sterujących w trybie tekstowym protokół SIP został zaprojektowany w taki sposób, aby tekst wiadomości był niezależny od zestawu znaków (wiadomości mogą zawierać każdy ze znaków zgodnych z normą ISO 10646). Jednocześnie Protokół SIP ma możliwość wykorzystywania narodowego zestawu znaków. 12 Tryb tekstowy wymusza zastosowanie rozszerzonych mechanizmów autoryzacji użytkowników (zabezpieczenie przed aktywnym podsłuchem, czyli modyfikowaniem wiadomości sygnalizacyjnych bądź pakietów przenoszących sygnał głosowy) oraz szyfrowaniu zawartości (zabezpieczenie przed pasywnym podsłuchem, polegającym na monitorowaniu wymiany wiadomości sygnalizacyjnych i pakietów zawierających próbki głosu). 2.2.3. Protokół IAX2 Protokół IAX2 (InterAsterisk eXchange Protocol version 2) został opracowany w ramach projektu Asterisk, jako protokół służący do wymiany informacji pomiędzy serwerami Asterisk, jak również do komunikacji pomiędzy serwerem i aplikacją użytkownika telefonem VoIP w postaci aplikacji lub fizycznego urządzenia. Protokół ten jest wykorzystywany nie tylko do wymiany wiadomości sygnalizacyjnych, lecz również do przenoszenia strumieni audio i video oraz przesyłania tekstu i obrazów. Specyfikacja protokół IAX2 definiuje dwa typy nagłówków: • o rozmiarze 12 bajtów (tzw. Fullheader), przenoszący informacje sygnalizacyjne, • o rozmiarze 4 bajtów (tzw. Miniheader), przeznaczony wyłączenie do przenoszenia danych użytkowych. Wiadomości sygnalizacyjne wymieniane są jedynie z wykorzystaniem większych 12 bajtowych nagłówków. Wszystkie wiadomości sygnalizacyjne zawierają numer sekwencyjny i są potwierdzane za pomocą wiadomości ACK (wyjątkiem od te reguły jest brak potwierdzeń dla wiadomości ACK oraz HANGUP). Najważniejsze cechy charakterystyczne protokołu IAX są następujące: • IAX2 jest protokołem dedykowanym dla komunikacji z serwerem Asterisk, jednak jego specyfikacja jest otwarta, co umożliwia tworzenie przez niezależnych dostawców oprogramowania wykorzystującego ten protokół. • Wymiana wiadomości sygnalizacyjnych i strumieni użytkowych odbywa się z pośrednictwem protokołu UDP w warstwie transportowej oraz standardowo portu 4569. Protokół ten, dzięki prostej strukturze, stosunkowo niewielkiemu narzutowi związanemu z nagłówkami oraz wykorzystaniu jednego portu do realizacji wymiany sygnalizacji oraz strumieni użytkowych, dobrze sprawdza się w sieciach prywatnych z translacją NAT oraz zainstalowanymi ścianami ogniowymi (firewallami). • IAX2 charakteryzuje się stosunkowo niewielkim narzutem związanym z wielkością nagłówków pakietów, co wynika zarówno z ograniczonej liczby pól nagłówkowych oraz z przyjętego kodowania binarnego (każdy z pakietów wchodzących w skład strumieni użytkowe audio oraz video opatrzony jest nagłówkiem o wielkości 4 bajtów). • Połączenia pomiędzy serwerami Asterisk realizowane w oparciu o protokół IAX2 są automatycznie kojarzone i korzystają ze wspólnych mechanizmów zarządzania • Protokół IAX2 umożliwia autoryzację z wykorzystaniem infrastruktury klucza publicznego (PKI). Wykorzystanie autoryzacji opartej na PKI umożliwia uwierzytelnienie dwóch komunikujących się serwerów Asterisk z pomocą pary kluczy oraz algorytmu RSA. 13 2.2.4. MGCP Protokół MGCP (Media Gateway Control Protocol) w wersji 1 został zdefiniowany w dokumencie RFC 3453, jako służący do sterowania bramami medialnymi (Media Gateways). Jest obecnie jednym z popularniejszych protokołów przeznaczonych do wymiany wiadomości między bramami medialnymi i ich sterownikami MGC (Media Gateway Controllers). Grupę pozostałych protokołów, które mogą być wykorzystywane na tym styku, stanowią: H.248, Megaco, SGCP, IPDC, MDCP, H.GCP, i NCS. Powyższe protokoły zostały zaprojektowane w celu zapewnienia komunikacji pomiędzy elementami wchodzącymi w skład sieci NGN i realizującymi funkcje tradycyjnej centrali telefonicznej. W przypadku architektury NGN funkcje te posiadają charakter rozproszony, co oznacza, że docelowa koncepcja (tzw. softswitch klasy 5) zakłada dekompozycję funkcji tradycyjnych systemów komutacyjnych na sterowanie, sygnalizację połączeń oraz obsługę kanałów użytkowych. Zastosowanie takiej architektury umożliwi wykorzystanie wspólnej platformy transportowej opartej na sieci pakietowej do realizacji różnego typu usług. W chwili obecnej obok protokołu MGCP do realizacji koncepcji NGN wykorzystywany jest również protokół Megaco/H.248, stanowiący wspólne rozwiązanie organizacji standaryzacyjnych w zakresie mechanizmów sterowania bramami medialnymi oraz sterownikami bram medialnych. Protokół został zaprojektowany przez firmę Level3 - dostawcę, opartych na protokole IP, usług sieciowych, podstawowego konkurenta tego rozwiązania – początkową koncepcję protokołu Megaco zaproponowała organizacja IETF. Wersja tego protokołu o rozszerzonym zakresie funkcjonalnym została opracowana wspólnie przez organizację ITU i grupę roboczą Megaco organizacji IETF. Protokół MGCP wprowadził nowe pojęcia takie jak: bramy sygnalizacyjne SG (Signalling Gateway), sterowniki bram medialnych MGC (Media Gateway Control) oraz bramy medialne MG (Media Gateway). Model ten i protokół MGCP nie narzucają wymaganej fizycznej dekompozycji, ona wynika z logicznego punktu widzenia. Celem tej logicznej perspektywy jest dostarczenie sygnalizacji umożliwiającej normalizację usług w interfejsie sterowania mediami MCI (media control interface), odseparowując przy tym usługi od matrycy komutacyjnej. Z perspektywy protokołu MGCP rozproszona centrala telefoniczna jest rozpatrywana jako sterownik bramy medialnej MGC oraz brama medialna MG z bramą sygnalizacyjną (SG). Terminy „softswitch” oraz „call agent” stosuje się do opisywania jednostek wyższego poziomu, które implementują funkcje kreowania usług oraz funkcje aplikacyjne. Softswitch przez konsorcjum ISC został określony jako dowolna platforma, która steruje siecią komunikacyjną ponad sieciami o charakterze transportowym z protokołem IP. Natomiast bardziej ogólny termin Call Agent jest używany w projekcie protokołu MGCP i nie specyfikuje wymagań dla sieci z protokołem IP. Przeważnie jednak nazwy „Softswitch”, „Call Agent” oraz „sterownik MGC” stosuje się wymiennie. Podstawowym zadaniem protokołu MGCP jest wymiana informacji pomiędzy bramą medialną i jednostką sterowania bramą medialną znajdującą się w softswitchu. Brama sygnalizacyjna pośredniczy między protokołami sygnalizacyjnymi występującymi w sieci z komutacją łączy (np. ISDN, ISUP) i w sieci z komutacją pakietów (np. SIP, H.323). Istnieje możliwość umieszczenia bram sygnalizacyjnych jako jednostek funkcjonalnych softswitcha. Elementy protokołu sygnalizacyjnego są przekazywane przez sterownik bramy medialnej do bramy medialnej. Elementy sygnalizacyjne protokołu CCS (Channel Common Signalling), związane z przesyłaniem sygnalizacji w oddzielnym wspólnym kanale będą w kierunku 14 przeciwnym transportowane od końcowej bramy medialnej do sterownika bramy medialnej za pomocą odpowiedniego protokołu transportowego dla sygnalizacji. Taki protokół został opracowany w organizacji IETF przez grupę roboczą SigTran w ramach protokołu SCTP (Simple Control Transport Protocol) (scharaktyzowany w p. 3 niniejszego opracowania). Przez bramy medialne rozumie się następujące bloki: • Bramy magistralne (Trunking Gateway) – PSTN - IP; • Bramy abonenckie (Residential Gateway) – POTS/xDSL/cableModem - IP; • Bramy dostępowe (Access Gateway) i biznesowe (business) – PBX/softPBX - IP; • Komutatory (Switches) dla sieci z komutacją łączy i pakietów, które mogą być interfejsem dla zewnętrznych elementów sterujących połączeniami. Protokół MGCP definiuje model połączeń, z uwzględnieniem punktów końcowych. Połączenia te mogą mieć charakter połączeń typu: punkt - punkt lub punkt – wiele punktów. Z kolei punkty końcowe są elementami takimi, jak np.: bramy magistralne lub abonenckie lub serwery usługowe. Na interfejs API, związany z protokołem MGCP, przypada 8 głównych poleceń. Większość z nich związana jest wieloma argumentami, część jest przekazywana w protokole SDP (Session Description Protocol). Każde polecenie oczekuje na właściwą odpowiedź, tworząc jednocześnie transakcję. Protokół MGCP nie wymusza żadnego poziomu powiązania pomiędzy sterownikiem bramy medialnej a bramą medialną. Przykładowo, dla słabego powiązania, sterownik bramy medialnej żądałby zestawienia połączenia tylko na specyficznej magistrali lub magistrali i łączu bez precyzowania typu punktu końcowego, wyboru kodeka, czy innej bramy (o tych parametrach decydowałaby brama medialna). Przy ścisłym powiązaniu sterownik żądający zestawienia połączenia określałby wszystkie parametry. W każdym z powyższych przypadków brama medialna będzie odpowiadać na żądania stworzenia połączenia z parametrami, które zostały użyte w żądaniu (zgodnie z protokołem SDP). Polecenia stosowane w protokole MGCP mogą być wbudowane lub razem połączone, dzięki czemu sekwencja poleceń może zostać wysłana w pojedynczej transakcji. Wszystkie polecenia protokołu MGCP pomiędzy softswitchem a bramą medialną są przesyłane z wykorzystaniem protokołu UDP. Za niezawodność transmisji odpowiadają właściwe implementacje protokołu MGCP, co umożliwia optymalizację stosowanej w sieci polityki odpowiedzialności za retransmisję. W celu zapewnienia bezpieczeństwa, którego wymagają połączenia, może być wykorzystywany protokół IPSec, ponadto możliwe jest zastosowanie dodatkowo bram ogniowych (firewalls). Każde polecenie protokołu jest skonstruowane w postaci nagłówka znajdującego się za deskryptorem sesji. Deskryptor ten jest ściśle powiązany z protokołem SDP, zgodnie z dokumentem IETF RFC 2327. Identyfikator transakcji jest generowany przez jednostkę inicjującą polecenie (softswitch lub brama medialna). Zachowuje on ważność dopóki, transakcja się nie zakończy (również po stronie żądanej), czyli w chwili otrzymania przez jednostkę pomyślnego polecenia zwrotnego. Protokoły MGCP i Megaco/H.248 różnią się w następujących głównych obszarach: • transakcje, • multimedia, • polecenia, • zestawy właściwości, 15 • model połączeń, • autoryzacja nagłówków, • procedury powrotu do normalnego funkcjonowania systemu po awarii. W zakresie transakcji w protokole Megaco stosuje się odseparowane polecenia, które są kojarzone z identyfikatorami transakcji. Natomiast w przypadku protokołu MGCP dopuszczone są wbudowane podstawowe polecenia, które mogą spowodować, że polecenia zwrotne będą trudniejsze do zidentyfikowania. W protokole Megaco/H.248 zdefiniowano przesyłanie danych multimedialnych (audio i video), zaś w protokole MGCP skupiono uwagę tylko na danych odzwierciedlających sygnały akustyczne. W protokole Megaco/H.248 (v1) umożliwiono również prostszą realizację usług takich, jak informacja o połączeniu oczekującym oraz połączenie trójstronne, związanych z poleceniem MOVE. Dodatkowo, w protokole tym, w oparciu o specyfikację, zdefiniowano oddzielne pakiety funkcjonalne związane z obsługą łączy abonenckich i międzycentralowych, oraz obsługą telefonów IP (IP Phone). Protokół Megaco/H.248 posiada również bardziej ogólny model połączeń, przez co staje się bardziej efektywny dla bram typu TDM-do-TDM, TDM-do-ATM i TDM-do-IP. Ze względu na zapewnienie bezpieczeństwa, protokół ten dostarcza autoryzację nagłówka, gdy brak jest IPSec (w przeciwieństwie do protokołu MGCP). Ponadto protokół Megaco/H.248 umożliwia wyznaczenie dla bramy medialnej nowego sterownika przy użyciu polecenia ServiceChange. W protokole MGCP powiązanie to jest zamieniane poprzez specjalnie do tego przeznaczone pole w poleceniu. 2.2.5. RTP Protokół RTP jest protokołem transportowym, który jest wykorzystywany m. in. przez protokół H.323. RTP dostarcza usługi transportu danych dla aplikacji czasu rzeczywistego. Realizuje takie funkcje, jak: numeracja sekwencji przesyłanych danych, nadawanie pakietom znaczników czasu (time stamp), identyfikacja typu i kodowania transmitowanych danych użytkowych (payload-type). Protokół RTP obsługuje również transport mieszanych mediów (media mixing), translację, połączenia typu multicast oraz szyfrowanie strumieni mediów (media stream encryption). Protokół RTP obsługuje różne formaty kompresji przy zastosowaniu poszczególnych kodeków. Do identyfikacji formatu przesyłanych danych służą bity znajdujące się w nagłówku pakietu protokołu RTP. Rodzaj danych może zostać zmieniony bez jawnej sygnalizacji poprzez mechanizm mid-stream. Dla protokołu RTP zdefiniowano rodzaje danych, określone między innymi dla standardów takich, jak H.263, H.261, JPEG, czy MPEG. RTP realizuje następujące rodzaje funkcji: • zachowanie kolejności pakietów – numer kolejny umieszczany jest w pakiecie RTP; • identyfikacja pola użytkowego – w każdym pakiecie RTP zawarty jest identyfikator opisujący zakodowane medium; • identyfikacja ramki – bit znacznika ramki przesyłany jest do wskazania początku i końca ramki; 16 • identyfikacja źródła; • synchronizacja strumienia użytkowego – kompensacja różnych jiterów wewnątrz tego samego strumienia użytkowego za pomocą znacznika czasowego. Protokół RTCP jest używany do monitorowania QoS i sterowania sesjami protokołu RTP. Dostarcza mechanizmów kontroli sesji czasu rzeczywistego w IP, informacje zwrotne na temat jakości (feedback QoS) i mechanizmów kontroli przepływu informacji. Zwrotna informacja o QoS zawiera liczbę pakietów nadawcy, ich wielkość w bajtach, liczbę pakietów utraconych, najwyższy odebrany numer kolejny, czas wahań opóźnień przesyłanych pakietów (inter-arrival jitter time) oraz czas odliczony od poprzedniego raportu nadawcy/odbiorcy. Punkty końcowe protokołu RTP potrafią analizować te informacje i ustawić odpowiednie parametry lub typ kodeka w celu zapewnienia odpowiedniej jakości strumienia i wyeliminowanie niepożądanych zjawisk. 17 3. Rozwiązania w zakresie serwerów VoIP 3.1. SIPx Platforma sipX stanowi rozwiązanie w zakresie centrali abonenckiej PBX, dystrybuowane w ramach licencji otwartego oprogramowania. Oznacza to, iż zarówno sipX, jak również pozostałe przedstawione tutaj rozwiązania serwerów VoIP są dostępne zarówno w postaci zbiorów wykonywalnych, jak również plików zawierających kod źródłowy, z możliwością modyfikowania go na własne potrzeby. Obok podstawowych funkcji centrali PXB serwer sipX posiada również zaimplementowaną dodatkową funkcjonalność systemu obsługi skrzynek głosowych oraz generowania zindywidualizowanych zapowiedzi głosowych. Oferuje ponadto interfejs do zarządzania, który jest udostępniany za pośrednictwem serwera WWW. Podstawowa architektura funkcjonalna platformy sipX jest złożona z 9 komponentów, które spełniają funkcje serwerów: • Configuration Server, jest aplikacją pełniącą funkcję serwera konfiguracyjnego (sipXconfig), która poprzez serwer WWW zapewnia dostęp do ustawień konfiguracyjnych pozostałych komponentów wraz z funkcjami zarządzania użytkownikami, terminalami, bramami. Aplikacja ta jest również odpowiedzialna za generowanie plików konfiguracyjnych dla całego systemu sipX. • Forking Proxy Server (sipForkingProxy), stanowi aplikację, której podstawowym zadaniem jest obsługa wszystkich wywołań SIP korzystających z portu o adresie 5060) przychodzących do serwera. Zadaniem serwera jest właściwe kierowanie tych wywołań z uwzględnieniem docelowych adresów użytkowników zarejestrowanych w serwerze Proxy SIP. • Registrar /Redirect Server, jest aplikacją implementującą funkcje serwera rejestracji dla użytkowników SIP. W ten sposób implementowany są również plan wywołań oparty na systemie adresacji użytkowników. Podstawowa adresacja oparta jest na adresach URI (Uniform Resource Identifier), które za pomocą planu wywołania mogą być mapowane na znacznie krótsze i czytelniejsze dla użytkowników adresy oparte np. na numeracji przyjętej w typowych systemach PBX. • Presence Server, stanowi aplikację, która pozwala rejestrować zmiany statusu dostępności a następnie udostępniać te informacje innym (uprawnionym) użytkownikom. Zmiany statusu są rejestrowane w przypadku zarejestrowania/wyrejestrowania terminala z serwera SIP lub w trakcie obsługi połączenia przez terminal. • Call Park Server jest serwerem, wykorzystywanym do obsługi zaparkowanych połączeń, odtwarzania dla nich zapowiedzi głosowych oraz muzyki. Parkowanie połączenia oznacza dla użytkownika korzystającego z sipX przekierowanie połączenia do tego serwera, z kolei powrót do zawieszonego połączenia oznacza powtórne przekierowanie zaparkowanego połączenia do aplikacji agenta. • Authorization Proxy Server, jest serwerem SIP Proxy wykorzystywanym do autoryzacji połączeń wychodzących z serwera sipX. Zapewnia on dostęp użytkowników indywidualnych do ich własnego profilu określającego możliwość wykonywania połączeń poza domenę obsługiwaną przez dany serwer sipX. Jednocześnie jest on odpowiedzialny za komunikację z innymi serwerami SIP Proxy, znajdującymi się w innych domenach. 18 • TFTP Server jest serwerem TFTP (Trivial File Transfer Protocol) wykorzystywanym do przechowywania profili konfiguracyjnych sprzętu współpracującego z platformą sipX (telefony IP, bramy). • PostgreSQL Server jest serwerem zapewniającym dostęp do bazy danych, przechowującej zestaw parametrów konfiguracyjnych platformy sipX. Serwer ten wykorzystuje system zarządzania relacyjnymi bazami danych PostgreSQL. • Media Server, jest aplikacją realizującą funkcje serwera, który zapewnia obsługę strumieni multimedialnych sterowaną językiem VXML (Voice eXtended Markup Language). Umożliwia to m.in. kreację drzew IVR w oparciu o scenariusz opisany w języku VXML. • Conference Server, jest serwerem zapewniającym realizację usługi połączenia konferencyjnego dla użytkowników platformy sipX (funkcjonalność ta nie została jeszcze w pełni zaimplementowana w sipX). Architektura funkcjonalna platformy oraz wzajemne powiązania poszczególnymi komponentami zostały przedstawione na rysunku (Rys. 5) pomiędzy Rys. 5. Architektura funkcjonalna platformy sipX 3.2. SIP Express Router SIP Express router stanowi rozwiązanie oferujące użytkownikom platformę VoIP wraz z możliwością realizacji dodatkowych usług i funkcji takich, jak obsługa wiadomości tekstowych, informowania o statusie użytkownika, dokonywanie translacji pomiędzy usługami głosowymi z protokołem SIP oraz SMS lub Jabber. 19 Rys. 6. Architektura funkcjonalna platformy SER (na podstawie „The SIP Express Router. An Open Source SIP Platform” [4]) Podstawowa architektura funkcjonalna serwera SER składa się z dwóch komponentów: rdzenia odpowiedzialnego za odbieranie, interpretację i przekazywanie wiadomości. Blok ten jest również odpowiedzialny za wywoływanie określonych procedur, które są obsługiwane przez zewnętrzne moduły rozszerzeń. Moduły te są dedykowane do obsługi poszczególnych funkcji, z których najważniejsze to: • rejestracja i lokalizacja użytkownika, moduł ten jest odpowiedzialny za obsługę żądań rejestracyjnych i zarządzanie bazą danych lokalizacji użytkowników • obsługa transakcji, który dla trybu statefull, w którym serwer ten może funkcjonować jako proxy jest odpowiedzialny za nadzorowanie poszczególnych połączeń realizowanych z wykorzystaniem protokołu SIP • autoryzacja użytkownika, moduł ten jest odpowiedzialny za realizację funkcji autoryzacyjnych (m.in.: wykorzystanie mechanizmu HTTP digest w procesie autoryzacji oraz komunikacja z bazą danych przechowującą tego typu dane o użytkownikach: informacje uwierzytelniające) • zbiór modułów do obsługi zdarzeń związanych z wymianą wiadomości protokołu SIP, w tym: o sterowanie mechanizmem wykrywania zapętleń, które mogą powstać w przypadku przekazywania wywołań pomiędzy kolejnymi serwerami SIP Proxy, o rejestracja ścieżki przekazywania wiadomości SIP (mechanizm Record Route), o realizacja funkcji lokalizacyjnych w oparciu o nazewnictwo stosowane w adresach użytkowników, w tym lokalizacja w oparciu o serwery DNS, o realizacja dodatkowych funkcji rejestracji użytkowników • moduły aplikacyjne, które są odpowiedzialne za realizację dodatkowych usług i udogodnień takich, jak: 20 o obsługa skrzynek głosowych, konferencyjnych, itp. funkcji voicemail-to-mail, połączeń o obsługa użytkowników serwerów Jabber, o obsługa wychodzących i przychodzących wiadomości SMS od/do użytkowników zarejestrowanych w serwerze, o interfejs aplikacyjny, zapewniający zarówno współpracę z zewnętrznymi aplikacjami (pośrednicząc pomiędzy użytkownikiem i platformą SER w dostępie np. do funkcji zarządzania). Podstawowym zadaniem platformy SER jest obsługa wywołań VoIP realizowana zgodnie ze standardem zawartym w dokumencie RFC 3261, co oznacza, że serwer ten podobnie jak typowy serwer SIP proxy jest odpowiedzialny za przekazywanie przychodzących wywołań od agenta użytkownika wywołującego (UAC) do agenta użytkownika wywoływanego (UAS). Obok funkcji serwera SIP Proxy, platforma ta realizuje także funkcje serwera rejestracji oraz serwera przekierowań. SIMPLE - dodatkowa funkcjonalność tej platformy, nie została jeszcze udokumentowana w takim stopniu, aby mógł być sfinalizowany jej proces standaryzacyjny, stanowi rozszerzenie podstawowych funkcji obsługi wywołań SIP i daje możliwość również wymiany wiadomości tekstowych pomiędzy użytkownikami SIP. Ponadto, funkcjonalność ta umożliwia także informowanie pozostałych (uprawnionych) użytkowników SIP do zamianach statusu dostępności danego użytkownika SIP (np. powiadomienie o wyrejestrowaniu, aktualnie zestawionym połączeniu). Tego typu powiadamianie o statusie jest dostępne dla użytkowników aktualnie zarejestrowanych w serwerze. Na podobnych zasadach przekazywane są nie tylko informacje o zmianie statusu lecz również wiadomości zdefiniowane przez użytkowników. W zakresie tworzenia i zarządzania różnorodnymi usługami platforma SER oferuje interfejs kreacji usług. Modelowanie usług polegające na definiowaniu poszczególnych akcji systemu jest dokonywane w oparciu o dedykowany język - CPL (Call Precessing Language). Skrypty opracowane w użyciem tego języka są niezależne od sytemu operacyjnego, na którym uruchomiany jest serwer SER, zawierają opis scenariusza usługi. Realizacja usługi wymaga w tym wypadku interpretacji skryptu przez serwer a następnie jego realizacji. Moduł interpretacji tego języka jest modułem dodatkowym w stosunku do rdzenia platformy SER. Obok języka opisu usług realizowanych przez SER, platforma ta udostępnia również interfejs aplikacyjny pozwalający na wykorzystanie zewnętrznych aplikacji np. do zarządzania serwerem. Dzięki temu powstał zbiór aplikacji służących do konfiguracji i monitorowania pracy platformy SER. Aplikacje te zazwyczaj oparte są na rozbudowanych serwerach WWW i wykorzystują interfejs użytkownika realizowany za pomocą protokołu HTTP, co pozwala na dokonywanie ustawień konfiguracyjnych wykorzystując dostępne przeglądarki internetowe. Platforma SER zapewnia obecnie współpracę z systemami, które udostępniają usługi wymiany krótkich wiadomości tekstowych (w przypadku protokołu SIP wykorzystywana jest wiadomość MESSAGE, zdefiniowana w SIMPLE). Wymiana wiadomości tekstowych będzie również możliwa pomiędzy użytkownikami serwera oraz użytkownikami serwerów komunikacyjnych Jabber. W tym celu twórcy serwera SER przewidują do zaimplementowania funkcję bramy do serwera Jabber. W tym celu będzie dokonywana dwukierunkowa konwersja wiadomości protokołu SIMPLE i XMPP. 21 3.3. Asterisk 3.3.1. Architektura platformy Asterisk stanowi platformę komunikacyjną stworzoną w ramach oprogramowania typu Open Source. Platforma zapewnia funkcjonalność PBX oraz IVR w obsłudze połączeń w technologii TDM, jak również połączeń realizowanych w technologii pakietowej. Obok funkcjonalności PBX i IVR, rozwiązanie to ma zapewniać spójną platformę komunikacyjną wykorzystywaną przez aparaty końcowe pochodzące od różnych producentów oraz oprogramowanie realizujące funkcje aparatów końcowych. Podstawowe funkcje platformy komunikacyjnej, którą stanowią systemy oparte na implementacji Ateriska to: • funkcje bramy medialnej (TDM-IP gateway) pomiędzy systemami z komutacją kanałów oraz systemami z komutacją pakietową, realizujący translację wiadomości sygnalizacyjnych oraz kanałów użytkowych ( dla połączeń realizowanych w oparciu o protokoły MGCP, SIP, IAX, H.323), pod warunkiem zapewniania odpowiedniego wyposażenia sprzętowego w postaci karty rozszerzenia, zapewniającej interfejs do sieci PSTN/ISDN, • funkcje prywatnej centrali abonenckiej PBX (Private Branch eXchange), • funkcje serwera interaktywnych zapowiedzi głosowych IVR (Interactive Voice Response), • funkcje rozproszonego węzła komutacyjnego typu Softswitch, • funkcje serwera konferencyjnego (Conferencing Server), • funkcje translacji numeracji (Number translation), • funkcje obsługi połączeń opłacanych na zasadach przedpłaty (Calling card application), • funkcje kolejkowania przychodzących połączeń (Call queuing with remote agents). Oprogramowanie to jest rozpowszechniane na warunkach licencji GNU GPL(General Public License). Ten typ licencji pozwala na swobodną dystrybucję oprogramowania platformy Asteriska zarówno w postaci zbiorów wykonywalnych (postać binarna) jak również zbiorów w postaci źródłowej (nieskompilowanej). Redystrybucja postaci źródłowej oprogramowania jest również możliwa po dokonaniu modyfikacji w kodzie. Ten typ licencji nie obejmuje jednak sprzętu, który jest wykorzystywany do uruchomienia oprogramowania w tym kart rozszerzeń oraz niezbędnego do ich prawidłowego funkcjonowania oprogramowania. Oznacza to również, że wykorzystywane przez użytkowników platformy oprogramowanie klienckie (telefony software’owe oraz oprogramowanie telefonów hardware’owych) nie jest objęte tą samą licencją GNU GPL. Rozwiązanie to zapewnia obsługę takich protokołów, jak: IAX2, SIP, H.323, MGCP, oraz SCCP/Skinny. Asterisk może być uruchamiany na wielu w oparciu o różne systemy operacyjne, wśród których najpopularniejsze to: Linux, BSD, Windows i OS X. Architektura platformy Asterisk została zaprojektowana w odmienny sposób, niż ma to miejsce w przypadku większości kompletnych systemów telekomunikacyjnych. Oprogramowanie platformy Asterisk pełni w tym wypadku jedynie funkcje warstwy pośredniczącej (middleware) w architekturze całego systemu (Rys. 7). Znaczenie funkcji middleware dotyczy w tym wypadku realizacji funkcji niezbędnych do szeroko rozumianej obsługi połączeń VoIP, pozostawiając warstwie systemu 22 operacyjnego obsługę mechanizmów sieciowych, w tym związanych z poprawną wymianą danych w sieci Internet. Aplikacje telefoniczne Asterisk (Middleware) Internet oraz sieci PSTN/ISDN Rys. 7. Ogólna architektura platformy Asterisk Jednocześnie oprogramowanie platformy zapewnia współpracę ze sterownikami kart rozszerzeń. Karty te umożliwiają obsługę interfejsów do sieci telefonicznych w standardach TDM, takich jak: • ISDN, z obsługą zarówno dostępu pierwotnego (30B+D) jak również podstawowego (2B+D), • PSTN, przy czym obsługiwane mogą być dwa typy portów: FXO, wymagający zasilania i zapewniające współpracę z centralą oraz FXS, zapewniający zasilanie linii abonenckiej i umożliwiające dołączenia do niej tradycyjnego analogowego aparatu telefonicznego. Fizyczna realizacja ww. interfejsów za pośrednictwem kart rozszerzeń jest realizowana za pomocą sterowników tych urządzeń, zaś Asterisk zapewnia obsługę tzw. kanałów (ang. channels), z którymi skojarzone są poszczególne metody transmisji głosu i obrazu w postaci pakietowej, charakteryzujące się odmiennymi protokołami sygnalizacyjnymi. Pojęcie kanałów w przypadku tej platformy jest równoznaczne z oprogramowaniem sterowników przeznaczonych do obsługi wielu typów urządzeń wykorzystujących różne protokoły komunikacyjne. Zbiór obsługiwanych urządzeń i aplikacji zawiera typowe rozwiązania z obszaru VoIP (telefony IP, serwery VoIP) oraz urządzenia i oprogramowanie pośredniczące w komunikacji pomiędzy różnymi typami sieci – bramy VoIP-PST/ISDN. Tego typu wyposażenie wykorzystuje kanały obsługiwane przez platformę Asterisk zgodnie z zasadami zdefiniowanymi w specyfikacjach poszczególnych protokołów. Oprócz obsługi połączeń kanały mogą służyć również do realizacji procedur utrzymaniowych użytkowników VoIP. Przykładem tego typu procedur jest w odniesieniu do sprzętowych/programowych telefonów IP oraz bram VoIP jest procedura rejestracji w serwerze połączona z autoryzacją użytkowników. Połączenia mogą być zestawiane zarówno pomiędzy urządzeniami lub oprogramowaniem komunikującym się za pomocą protokołów VoIP (SIP, IAX, MGCP, H.323, Skinny), jak również urządzeniami wyposażonymi w standardowe dla sieci PSTN/ISDN interfejsy (np. bramy). W trakcie uruchomienia platformy Asterisk uruchamiany jest program (Dynamic Module Loader), który steruje ładowaniem do pamięci serwera oraz inicjowaniem sterowników, które są wykorzystywane przez serwer do: 23 • obsługi strumieni sygnalizacyjnych i użytkowych generowanych w ramach kanałów (H.323, SIP, IAX2, MGCP, Skinny), • obsługi plików o różnych formatach (wykorzystywanych m.in. do rejestracji nagrań skrzynek głosowych i odtwarzania zapowiedzi głosowych), • zapewnienia obsługi kodeków audio w zakresie kodowania i dekodowania (G.711 (w wersji A-law i µ-law), G.723.1, G.726, G.729A, Speex, iLBC, GSM, LPC 10, ADPCM) oraz video (według standardu H.261 i H.263), • rejestracji zdarzeń związanych z połączeniami, • obsługi aplikacji sterowania połączeniami. Asterisk Translator API mp3, gsm, conf, .. Asterisk File Format API G.723.1, GSM, speex, .. Architektura programowa platformy składa się z czterech typów interfejsów aplikacyjnych oraz zbioru programów obsługi do realizacji funkcji centrali PBX z obsługą VoIP. Wszystkie programy obsługi (moduły) komunikują się ze sobą oraz zewnętrznymi aplikacjami (np. sterownikami urządzeń) za pośrednictwem interfejsów aplikacyjnych API i są sterowane przez procesy nadzorujące. Programy obsługi są niezależne od: typu kanału, w ramach którego komunikują się końcowe aplikacje, stosowanych kodeków, typu wyposażeń sprzętowych, które są stosowane obecnie w tego typu rozwiązaniach, bądź będą wykorzystywane w przyszłości. Umożliwia to obsługę istniejących rozwiązań sprzętowych i programowych w zakresie wykorzystywanych protokołów i kodeków, jak również uzupełnianie platformy w przyszłości o nowe protokoły komunikacyjne oraz nowe metody kodowania i kompresji sygnału użytkowego. Ogólny schemat funkcjonalny oprogramowania platformy zamieszczono na rysunku. Rys. 8. Architektura funkcjonalna platformy Asterisk (na podstawie „The Asterisk Handbook, Version 2) Rola poszczególnych komponentów tym schemacie jest następująca: • PBX Switching Core, stanowi zbiór programów do obsługi wywołań generowanych przez użytkowników danego serwera (zarejestrowanych), jak 24 również wywołań do nich przychodzących, zgodnie z planem obsługi połączeń (Dialplan) zawartym w pliku konfiguracyjnym extensions.conf. • Application Launcher jest komponentem, który kontroluje uruchamianie odpowiednich aplikacji wykorzystywanych w obsłudze połączeń (np. kierowanie wywołań do określonych użytkowników, bram, skrzynek głosowych, odtwarzanie zapowiedzi głosowych, itp.), • Scheduler and I/O Manager jest komponentem zapewniającym sterowanie procesami obsługi połączeń w zakresie przydziału zasobów, zarządzania priorytetami i kolejkowania. • Codec Translator stanowi komponent wykorzystywany do translacji strumieni użytkowych, zakodowanych z wykorzystaniem różnych typów kodeków. Interfejsy aplikacyjne zastosowane w platformie wykorzystywane są z kolei do komunikacji pomiędzy poszczególnymi modułami oraz procesami odpowiedzialnymi za obsługę poszczególnych kanałów i sterowników sprzętowych. Podstawowym zadaniem czterech interfejsów API Asterisk jest zapewnienie niezależności programów obsługi tworzących rdzeń platformy od wykorzystywanej implementacji kanałów oraz kodeków. Zbiór interfejsów zawiera: • Channel API, stanowiący interfejs do obsługi kanałów skojarzonych z typem protokołu i technologii (VoIP oraz PSTN/ISDN) stosowanej przez użytkowników serwera Asterisk. Poszczególne moduły ładowane dynamicznie do pamięci serwera odpowiedzialne są za niskopoziomową realizację połączeń, tj. wykonanie kolejnych instrukcji kodu w danym systemie operacyjnym (np. w trakcie kodowania/dekodowania wiadomości sygnalizacyjnych). • Application API – stanowiący interfejs do aplikacji, które są uruchamiane w trakcie obsługi podstawowego połączenia oraz realizacji usług dodatkowych. Przykładowy zbiór aplikacji obejmuje m.in. obsługę połączeń konferencyjnych, skrzynek głosowych, przeszukiwania katalogu użytkowników, obsługi funkcji sterowanych za pomocą sygnalizacji DTMF, rejestracji informacji o połączeniach w postaci rekordów zaliczeniowych, itp. • Codec Translator API – odpowiedzialny za dostęp do funkcji kodowania/dekodowania strumieni użytkowych przy użyciu różnych kodeków i metod kompresji. • File Format API – stanowiący interfejs do funkcji zapisu/odczytu do/z plików różnych formatów. Wykorzystanie ww. interfejsów aplikacyjnych zapewnia rozgraniczenie funkcji serwera PBX oraz funkcji realizacji usług VoIP za pośrednictwem różnych technologii (protokoły, kodeki, interfejsy), zarówno tych, które są wykorzystywane obecnie, jak również tych, które będą stosowane w przyszłości. Tym samym platforma Asterisk jest otwarta pod względem obsługi pojawiających się rozwiązań zarówno programowych jak i sprzętowych. Jest to szczególnie istotne, biorąc pod uwagę problemy z niekompatybilnością, pojawiające się w trakcie dołączania do sieci nowych urządzeń VoIP, daje także możliwość doboru kodeków do właściwości łącza transmisji danych, co z kolei wpływa na jakość transmisji głosu. 3.3.2. Konfiguracja serwera Większość użytkowników xDSL konfiguruje własne routery tak, by móc korzystać z NAT. Może to być główną przyczyną problemów z opartym na UDP standardem SIP. NAT 25 umożliwia wykorzystanie pojedynczego publicznego adresu IP przez wiele wewnętrznych maszyn. Standard SIP nie wspiera jednak translacji adresów NAT. Oznacza to, że telefony IP oraz aplikacje VoIP będą przekazywały nieprawidłowe adresy IP w nagłówkach pakietów SIP. Większość operatorów SIP rozwiązuje ten problem korzystając z serwera STUN (Simple Traversal of User Datagram Protocol (UDP)Through Network Address Translators (NATs)). Jeżeli istnieje wpis STUN w plikach konfiguracyjnych serwera proxy, pakiety będą wykorzystywały IP dostarczane przez STUN do synchronizacji. Sprawa staje się bardziej skomplikowana, jeśli sterowniki dedykowane dla sprzętu komputerowego powodują konflikty z oprogramowaniem firmware. Pomimo, iż systemowi przyznawana jest wolna linia, to brak jest sygnału dzwonienia. Może być to spowodowane problemem z routerem, jeśli ten nie zezwala na przechodzenie ruchu RTP (Real Time Protocol). Źródłem wielu problemów są karty komunikacyjne oraz niewłaściwie skonfigurowane centrale PBX (dotyczy to centrów biurowych). Przekonanie NAT i Asterisk do współpracy ze sobą, w sposób sensowny i stabilny, może wymagać dużo wysiłku. Ukrycie serwera Asterisk za firewallem powoduje, że rzecz staje się jeszcze bardziej skomplikowana. Jednak ulokowanie wszystkiego w pojedynczej podsieci lokalnej jest dobrym rozwiązaniem jedynie w czasie testów. 3.3.3. Lista funkcjonalności serwera Asterisk Zgodnie z deklaracjami twórców serwera Asterisk (http://www.asterisk.org/features [6]) realizuje on poniższe funkcjonalności: • • • • • • • • • • • • • • • • • • • • • • • • • • • ADSI On-Screen Menu System Alarm Receiver Append Message Authentication Automated Attendant Blacklists Blind Transfer Call Detail Records Call Forward on Busy Call Forward on No Answer Call Forward Variable Call Monitoring Call Parking Call Queuing Call Recording Call Retrieval Call Routing (DID & ANI) Call Snooping Call Transfer Call Waiting Caller ID Caller ID Blocking Caller ID on Call Waiting Calling Cards Conference Bridging Database Store / Retrieve Database Integration 26 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • Dial by Name Direct Inward System Access Distinctive Ring Distributed Universal Number Discovery (DUNDi™) Do Not Disturb E911 ENUM Fax Transmit and Receive (3rd Party OSS Package) Flexible Extension Logic Interactive Directory Listing Interactive Voice Response (IVR) Local and Remote Call Agents Macros Music On Hold Music On Transfer Flexible Mp3-based System Random or Linear Play Volume Control Predictive Dialer Privacy Open Settlement Protocol (OSP) Overhead Paging Protocol Conversion Remote Call Pickup Remote Office Support Roaming Extensions Route by Caller ID SMS Messaging Spell / Say Streaming Media Access Supervised Transfer Talk Detection Text-to-Speech (via Festival) Three-way Calling Time and Date Transcoding Trunking VoIP Gateways Voicemail 27 4. Bezpieczeństwo VoIP 4.1. Wprowadzenie Transport danych związanych z transmisją głosu w sieciach pakietowych, o ile ma miejsce w otwartych sieciach transmisji danych, może być zagrożony. Ponadto, zagrożenie to może być tym większe, im bardziej skomplikowana jest platforma VoIP. Stopień skomplikowania jest tutaj rozumiany jako złożoność struktury fizycznej (system serwerów, bram, baz danych, terminali itp.), jak również dotyczyć może liczby komponentów niezbędnych do poprawnej komunikacji pomiędzy stronami połączenia (np. zbiór protokołów). Każdy z osobna z tych komponentów może także być charakteryzowany za pomocą listy słabych stron. W celu klasyfikacji zagrożeń należy w pierwszej kolejności przeanalizować cele, które stawiane są zapewnieniu bezpieczeństwa dla systemów VoIP. Pomimo, że poszczególne aspekty bezpieczeństwa odnoszą się do różnych obszarów VoIP, to jednak występują wzajemne oddziaływania zarówno w zakresie metod osiągania tych celów jak i skutków złamania zabezpieczeń. Przykładem może być tutaj kradzież hasła dostępowego, która może być przyczyną utraty integralności systemu, jeśli to samo hasło zostanie wykorzystane do zamiany ustawień konfiguracyjnych sprzętu i oprogramowania wchodzących w skład systemu. Podobnie, zmiana ustawień konfiguracyjnych (naruszenie integralności) systemu może wpłynąć na poufność przesyłanych danych, jeśli np. zostaną zmienione ustawienia określające sposób szyfrowania wiadomości, a nawet brak takiego szyfrowania przy jednoczesnym przekonaniu użytkowników o zachowaniu bezpieczeństwa kanału rozmównego. Dla potrzeb niniejszego opracowania uwzględniono jedynie podstawowe zagrożenia bezpieczeństwa bez uwzględnienia ich następstw objawiających się w zagrożeniach innego typu. W przypadku systemów telekomunikacyjnych rozróżnia się trzy podstawowe cele bezpieczeństwa w odniesieniu do przesyłanych informacji: • poufność (Confidentiality), oznaczająca ochronę przed nieuprawnionym dostępem do zawartości informacyjnej wiadomości, • integralność (Integrity), oznaczająca ochronę przed nieuprawnioną zmianą zawartości informacyjnej wiadomości, ustawień konfiguracyjnych, zabezpieczeń, itp., • dostępność (Availability) oznaczająca ochronę przed nieuprawnioną blokadą dostępu do zawartości informacyjnej wiadomości (również zablokowanie dostępu do zasobów, za pomocą których informacja jest udostępniana). Precyzując powyższe cele w odniesieniu do systemów VoIP należy podkreślić, iż integralność zależy w dużym stopniu od specyfiki systemu w tym od rodzaju informacji wymienianych pomiędzy elementami systemu. W ten sposób integralność dotyczy wielu elementów systemu, czego przykładem zapewnienie autentyczności wiadomości, rozumiane jako integralność treści wiadomości oraz integralność identyfikacji nadawcy. 4.2. Cele bezpieczeństwa w systemach VoIP 4.2.1. Integralność (Integrity) Ogólnie, integralność i uwierzytelnienie w odniesieniu do VoIP dotyczy: • integralności komponentów systemu VoIP, 28 • integralności i uwierzytelnienie danych użytkowych (mowy), • integralności i uwierzytelnienia danych sygnalizacyjnych Integralność komponentów VoIP obejmuje zarówno oprogramowanie VoIP, jak również środowisko software’owe, w którym to oprogramowanie jest uruchomione a więc np. systemy operacyjne. Swoim zasięgiem integralności obejmuje także elementy systemu nie realizujące bezpośrednio funkcji związanych z transmisją głosu w sieciach pakietowych, lecz pełniące funkcję pomocniczą. Przykładem tego typu komponentów są systemy baz danych, serwery realizujące wspomagające procesy lokalizacyjne (w tym serwery DNS), oprogramowanie odpowiedzialne za przechowywanie danych bilingowych oraz obsługę certyfikatów i kluczy wykorzystywanych przez mechanizmy bezpieczeństwa. Integralność wszystkich komponentów systemu VoIP posiada duże znaczenie i powinna być zapewniana centralnie, ponieważ skuteczny atak na integralność komponentu i przejęcie nad nim kontroli może mieć wpływ na zachowanie pozostałych komponentów. Przykładowo, skuteczny atak na integralność terminala VoIP może spowodować dezaktywację szyfrowania rozmowy i umożliwienie jej rejestracji. W tej sytuacji należy się również liczyć z możliwością przejęcia przez intruza zawartości klucza szyfrującego, listy adresowej użytkowników lub informacji niezbędnych do identyfikacji i autoryzacji terminala bądź jego użytkownika w systemie. Tego typu dane pozwalają intruzowi na inicjowanie połączeń w imieniu użytkownika zaatakowanego terminala. Znacznie poważniejsze skutki niesie za sobą atak na istotne z punktu widzenia funkcjonalności elementy systemu VoIP takie, jak bramy, serwery Proxy, serwery przekierowań, itp. Łamiąc integralność tych elementów intruz ma możliwość dostępu do ustawień konfiguracyjnych kont przypisanych do użytkowników oraz warunków realizacji połączeń (przekierowania, numery dostępowe do usług, itp). Zmiana tych ustawień spowoduje nie tylko dezorganizację pracy systemu, ale znajdzie swoje odbicie również w danych rozliczeniowych zarejestrowanych w systemie, a co za tym idzie kosztach funkcjonowania zaatakowanej sieci, zaś manipulacja danymi rozliczeniowymi jest z kolei jednym ze sposobów maskowania źródeł ataku. W ten sposób możliwe jest znalezienie zależności pomiędzy utratą integralności systemu VoIP oraz utratą lub nieuprawnioną modyfikacją zasobów danych organizacji. Naruszenie integralności komponentów systemu może mieć być spowodowane wewnętrznymi atakami tj. dokonanymi przez użytkowników sieci lub też może nastąpić w wyniku przejęcia haseł dostępowych przez osoby spoza organizacji. Z kolei integralność i uwierzytelnienie danych użytkowych może być osiągana często dzięki użytkownikom, którzy znając siebie nawzajem, potrafią zweryfikować tożsamość rozmówcy. Jednak obok poprawnej weryfikacji rozmówcy równie istotnym celem bezpieczeństwa w zakresie integralności i autentyczności przekazu głosowego jest również zgodność czasu wygenerowania strumienia użytkowego ze stanem rzeczywistym. Innymi słowy, zagrożeniem jest w tym przypadku przechwycenie i rejestracja przez intruza przesyłanego głosu, następnie jego odtworzenie w innym czasie. Znacznie bardziej istotne znaczenie w przypadku systemów informatycznych w tym platformy VoIP ma integralności i autentyczności danych sygnalizacyjnych. W tym obszarze stawiane są następujące cele cząstkowe bezpieczeństwa: • Bezpieczeństwo identyfikacji rozmówcy oraz identyfikacji abonentów wywoływanych, informacje te mogą być zagrożone, jeśli intruz dokona modyfikacji danych w taki sposób, iż ich prezentacja na terminalu abonenta wywoływanego spowoduje odmienne działania tego użytkownika (podniesienie 29 mikrotelefonu, przekierowanie, odrzucenie, itp.), który jest przekonany o innej tożsamości osoby inicjującej to wywołanie. Tego typu manipulacje informacją identyfikującą użytkownika wywołującego mogą wprowadzać w błąd • Bezpieczeństwo czasu rejestracji wiadomości głosowej, w wielu przypadkach informacja o czasie rejestracji wiadomości głosowej (np. w systemie poczty głosowej) jest istotna z punktu widzenia użytkowników jak i administratorów. Należy zatem zapewnić ochronę przed modyfikacją tych danych przez osoby nieuprawnione. • Zapewnienie użytkownikom systemu jednoznacznych informacji rejestracyjnych i lokalizacyjnych. Naruszenie tych zasad może wskazywać na obecność w systemie VoIP zarejestrowanych więcej niż jednego terminala końcowego, które są przypisane do danego konta/adresu podczas, gdy w zamierzeniu administratora powinien on odpowiadać tylko jednemu terminalowi. • Zapewnienie udostępniania w systemie wiarygodnych informacji o statusie terminali. Możliwe ataki w tym zakresie obejmują przesyłanie wiadomości wskazujących na określony stan, w którym znajduje się aktualnie terminal. (np. zajętość, niedostępność, itp.). • Zapewnienie udostępniania wiarygodnych informacji o statusie połączenia. Podobnie jak w powyższym przypadku istnieje możliwość ataku, polegającego na przesyłaniu fałszywych wiadomości o stanie połączenia przez intruza podszywającego się pod ofiarę. Ze względu na fakt, iż w systemach VoIP sterowanie połączeniami oraz wymiana wiadomości użytkowych odbywa się za pośrednictwem określonych protokołów, na które składają się wiadomości o ustalonej semantyce i syntaktyce, ataki na zawartość tych wiadomości są wykonalne. Integralność oraz weryfikacja ich autentyczności nabierają szczególnego znaczenia i powinna być zapewniana i sterowana centralnie np. przez administratora systemu. Zaniedbania w tej dziedzinie wystawiają systemy VoIP na ryzyka ataków typu URI Spoofing (odpowiednik „podszywania się” – Phishing – w Internecie). 4.2.2. Poufność (Confidentiality) Pojęcie poufności w kontekście systemów VoIP jest najczęściej rozumiane jako poufność danych użytkowych, co oznacza zabezpieczenie przez podsłuchem. W tym jednak przypadku istnieją zasadnicze różnice pomiędzy tradycyjnymi systemami telefonicznymi oraz systemami VoIP. Dotyczą one przede wszystkim: • metod dostępu do sieci transportowej, które w przypadku tradycyjnej telefonii obejmują wydzielone fragmenty sieci telekomunikacyjnej (separacja ruchu związanego z połączeniami głosowymi oraz transmisją danych) oraz obowiązujące zasady agregacji kanałów (systemy TDM), co zwiększa bezpieczeństwo połączeń głosowych w zakresie poufności. Z kolei systemy VoIP „z definicji” nie zapewniają separacji strumieni głosowych od danych innego typu. • zasad stosowania protokołów telekomunikacyjnych i metod kodowania sygnału mowy, co jest związane ze specyfiką urządzeń, które wykorzystują te protokoły i sposoby kodowania, ponieważ o ile abonenckie łącze analogowe może być podatne na ataki na poufność transmisji głosowej, o tyle analiza protokołów telekomunikacyjnych oraz dekodowanie głosu w łączach cyfrowych wymaga 30 odpowiednich analizatorów oraz specjalistycznej wiedzy. W tym przypadku analiza ruchu VoIP pod kątem sygnalizacji i metod kodowania głosu jest ułatwiona stosunkowo szerokiej dostępności narzędzi (przede wszystkim w postaci oprogramowania). Obok poufności związanej z szeroko pojętą komunikacją głosową w systemach pakietowych, istotną rolę odgrywa także poufność przechowywanych po stronie użytkownika oraz kluczowych elementów systemu (serwery, bramy) informacji uwierzytelniających takich, jak np. klucze służące do szyfrowania całości bądź fragmentów wymiany wiadomości VoIP. Obszar ten obejmuje także poufność informacji uwierzytelniających, które są wykorzystywane przez użytkownika do ochrony dostępu terminala lub informacji przechowywanych w terminalu (np. książka telefoniczna, listy abonentów wywoływanych, itp.). 4.2.3. Dostępność (Availability) Dostępność w kontekście systemów VoIP jest rozumiana zasadniczo jako dostępność usług głosowych oraz ich jakość. Dla wielu organizacji (np. służby ratownicze, instytucje finansowe) cel ten jest jednocześnie celem nadrzędnym i podstawowym wymaganiem stawianym systemom telekomunikacyjnym. Dostępność może być również rozpatrywana z punktu widzenia możliwości uzyskania przez komponenty systemu określonych informacji dotyczących np. szczegółów połączenia. Niedostępność dla kluczowych komponentów systemu danych takich, jak: czas rozpoczęcia długość połączenia, czy też adres osiągniętego abonenta mogą wpłynąć na prawidłową obsługę tego połączenia a przede wszystkim na poprawność utworzonych w systemie VoIP rekordów rozliczeniowych. Jednocześnie udostępnienie zbyt wielu szczegółowych informacji zawartych w wiadomościach sygnalizacyjnych lub przenoszących pakiety z próbkami głosu może stwarzać zagrożenie spamem (w przypadku przechwycenia takich pakietów i wykorzystania do tego celu zawartych w nich informacji adresowych). 4.3. Metody ataków Ataki na systemy teleinformatyczne mają zazwyczaj na celu osłabienie bezpieczeństwa systemu, czego przykładem jest pozyskanie poufnych informacji (naruszenie poufności) lub spłynięcie na zmiany określonych możliwości funkcjonalnych sytemu (naruszenie dostępności). Obok celu również inne cechy mogą dodatkowo charakteryzować typy ataków: • Charakterystyka metod ataku, która opisuje sposób działania intruza w takich kategoriach, jak: działania pasywne (np. tylko obserwacja aktywności użytkowników) lub aktywne, istniejące powiązania intruza z systemem (np. czy jest jego użytkownikiem i w związku z tym posiada określone uprawnienia, czy też jest spoza organizacji). • Miejsce ataku, które określa jakie komponenty systemu zostały zaatakowane. • Atakowana logiczna warstwa systemu VoIP, która, ściśle powiązana z metodami ataku, określa np. czy zaatakowano niższe warstwy systemu (fizyczną, dostępu do medium) czy też atak przeprowadzono na warstwy wyższe np.: sieciową (TCP/IP) lub aplikacyjną. Ze względu na fakt, iż systemy VoIP oparte są zazwyczaj na sieciach z protokołem IP, można uznać, iż są podatne na ataki sieciowe podobnie jak inne systemy. Podobnie jak w przypadku innych systemów opartych na sieciach IP podstawowa klasyfikacja metod ataków 31 będzie opierała się na podziale na ataki pasywne oraz aktywne. Przyjmując to kryterium, grupa typowych ataków dla sieci IP oraz systemów VoIP będzie obejmować m.in.: • skanowanie portów, • podszycie się (Spoofing), • ataki typu Replay (powtarzanie wcześniej przesłanych wiadomości), • ataki typu DoS i DDoS (blokowanie działania). Problematyka zarówno ataków jak i metod obrony jest ściśle związana ze środowiskiem implementacji systemów VoIP. Obszary występowania ataków można podzielić ogólnie na środowisko związane z warstwą transportową dla VoIP oraz warstwą aplikacyjną. Ponadto, z punktu widzenia intruza wyróżnić można w tym modelu również warstwę użytkownika (patrz Rys. 9). Rys. 9. Topologia sieci postrzegana przez intruza (źródło: [2]) Pierwsza z nich obejmuje zarówno sieci lokalne jak i rozległe w zakresie wszystkich warstw modelu OSI. Warstwa ta może być utożsamiana z infrastrukturą sieciową danej organizacji (zarówno LAN jak i WAN).Warstwa aplikacyjna systemu VoIP dotyczy z kolei tych elementów środowiska implementacji VoIP, które są specyficzne dla tych systemów. W obszarze warstwy transportowej możliwe są ataki • na fizyczna infrastrukturę sieciową (zagrożone w tym przypadku może być okablowanie sieciowe, pomieszczenia, gdzie zlokalizowano serwery i urządzenia sieciowe takie, jak routery, przełączniki, koncentratory, bramy, itp. ) • na poziomie warstwy 2 systemu informatycznego, wykorzystujące m.in.: adresację MAC, protokoły wspomagające zarządzanie adresami IP (np. ARP), protokoły wspomagające komunikację w złożonych strukturach sieciowych (np. STP), 32 • na poziomie warstwy 3 systemu informatycznego, wykorzystujące m.in.: posługiwanie się przez intruzów niewłaściwymi („skradzionymi”) adresami IP, „fałszowanie” informacji routingowych w wiadomościach protokołów routingu lub protokołach wspomagających ten proces, ataki na serwer DHCP, • na poziomie warstwy 4 oraz warstw wyższych, obejmujące m.in.: zmuszanie urządzeń sieciowych do obsługi dużej liczby wiadomości warstw wyższych (głównie TCP). • z wykorzystaniem protokołów stosowanych w systemach VoIP, w tym: o warstwy transportowej realizowanej w oparciu o RTP, przy czym możliwe są naruszenia zarówno poufności poprzez odczytanie lub modyfikację pola informacyjnego, jak również modyfikację parametrów strumienia głosowego, które umieszczane są w nagłówkach pakietów tego protokołu, o stosu H.323, gdzie w szczególny sposób narażone są na ataki informacje identyfikujące strony biorące udział w połączeniu, wykorzystanie tych informacji (podszycie się pod danego użytkownika) przy połączeniach do sieci PSTN/ISDN z wykorzystaniem bram może spowodować niewłaściwe naliczanie kosztów w systemie bilingowym organizacji. Możliwe jest również śledzenie wymiany wiadomości za pomocą oprogramowania do monitorowania interfejsów kart sieciowych (tzw. sniffer) i po zdekodowaniu z ASN.1 czytelnej postaci możliwe jest uzyskanie informacji o wykorzystywanym w GK (Gatekeeper) koncie użytkownika. o protokołu SIP (o ile nie jest zastosowane szyfrowanie wiadomości), który jest narażony na ataki związane z odczytem i modyfikacją treści wiadomości, ze względu na fakt, iż wiadomości tego protokołu są kodowane za pomocą zestawu znaków ASCII. Tego typu zagrożenia obejmują zarówno terminale jak i inne elementy systemu VoIP biorące udział w wymianie wiadomości SIP. o protokołu MGCP/MEGACO, który z założenia nie został wyposażony w mechanizmy bezpieczeństwa, zatem jest możliwe jego dekodowanie (ASCII lub ASN.1) w celu odczytu i modyfikacji danych, przy czym najbardziej zagrożone są tutaj bramy, które wykorzystują ten protokół do komunikacji z serwerami VoIP. o IAX2, (o ile nie jest zastosowane szyfrowanie wiadomości z zastosowaniem klucza SSL), który wymaga do odczytu/modyfikacji dekodowania/kodowania ASN.1 może być narażony na ataki związane z odczytem i modyfikacją treści wiadomości. Tego typu zagrożenia obejmują zarówno terminale jak i inne elementy systemu VoIP biorące udział w wymianie wiadomości SIP. o protokołu SCCP (Skinny Client Control Protocol), który jest rozwiązaniem producenta (Cisco) i w związku tym specyfikacja nie jest ogólnie dostępna. Odczyt i modyfikacja wiadomości jest możliwa po zdekodowaniu/zakodowaniu (kodowanie binarne), w starszych wersjach jedyną metodą autoryzacji był adres MAC urządzenia, w nowszych wersjach wykorzystywane są klucze szyfrujące do szyfrowania wiadomości. 33 • na systemy podnoszące bezpieczeństwo sieci, które wykorzystują takie komponenty, jak: firewalle, oprogramowanie realizujące funkcje monitorowania zagrożeń - IDS (Intrusion Detection System) oraz podejmowania działań prewencyjnych - IPS (Intrusion Prevention System), przy czym są to zazwyczaj ataki typu DoS W obszarze infrastruktury VoIP możliwe są następujące typy ataków: • na warstwę fizyczną urządzeń, w tym: zniszczenie sprzętu lub jego elementów istotnych ze względu na funkcjonalność VoIP, przerwy w zasilaniu, • na systemy operacyjne serwerów, na których uruchomione jest oprogramowanie VoIP, w tym: kradzieże haseł dostępu, „podsłuch” wymienianych wiadomości, oprogramowanie szpiegujące, wirusy i robaki, • na oprogramowanie VoIP realizujące funkcje serwerów, przy czym celem intruza może być zarówno zakłócenie czy przerwanie pracy serwerów, jak również przejęcie uprawnień administracyjnych Z kolei w obszarze użytkownika możliwe są ataki: • na telefony oraz bramy VoIP, przy czym przypadek telefonów sprzętowych ogranicza zakres ataków, z których podstawowe zagrożenia stanowią wymienione wcześniej ataki na sprzęt VoIP oraz ataki na warstwę transportową, w przypadku telefonów i bram VoIP możliwe są również ataki za pośrednictwem interfejsu zarządzania, który jest udostępniany administratorowi za pośrednictwem wbudowanego serwera WWW, • na oprogramowanie na poziomie aplikacji użytkownika (telefony software’owe), dla którego podstawowe zagrożenie mogą stanowić: o wirusy (programy, które nie są samodzielnymi aplikacjami (tzn. nie realizują żadnych działań dopóki nie jest uruchomiony proces lub program, który powoduje ich „aktywację”), natomiast charakteryzują się samodzielnym przenoszeniem (bez wiedzy i akceptacji użytkownika) pomiędzy kolejnymi programami uruchamianymi na danym komputerze lub pomiędzy komputerami), o robaki (Worms, są samodzielnymi programami, które mogą również samodzielnie tworzyć procesy pozwalające na: infekowanie aplikacji, przenoszenie się poprzez sieć lub wykonywanie określonych operacji lokalnie lub zdalnie na innym komputerze, w odróżnieniu od wirusów, celem działania robaków jest infekcja kolejnych komputerów w sieci, co może prowadzić do okresowych lub permanentnych przerw w funkcjonowaniu usług sieciowych). o konie trojańskie (stanowią programy, które obok użytecznych funkcji w systemie komputerowym, realizują również bez wiedzy i akceptacji użytkownika także działania szkodliwe, w odróżnieniu jednak od robaków konie trojańskie po mogą rozprzestrzeniać się samodzielnie i są zazwyczaj wykorzystywane przez intruza do kontrolowania systemu komputerowego, na którym taka aplikacja jest aktywna) o błędy implementacyjne oprogramowania urządzeń i aplikacji VoIP. Istotnym zagadnieniem w zakresie potencjalnych zagrożeń w systemach VoIP jest problematyka związana ze świadczeniem tych usług za pośrednictwem sieci 34 bezprzewodowych WLAN (Wireless LAN). Zasadniczy zbiór zagrożeń jest ściśle związany z implementacją standardu IEEE 802.11 definiującego metody dostępu i wymiany wiadomości za pomocą infrastruktury WLAN i obejmuje m.in.: • możliwość podszywania się pod urządzenia identyfikowane unikalnym adresem warstwy drugiej (tzw. adresem MAC interfejsu sieciowego) i znajdujące się na liście kontroli dostępu MAC ACL (Access Control List), • rekonstrukcję przez intruza klucza, wykorzystywanego do szyfrowania w ramach mechanizmu WEP (Wired Equivalent Privacy), • rejestrację przechwyconych przez intruza wiadomości oraz ich odtwarzanie (w tym odtwarzanie ze zmodyfikowanymi danymi zawartymi w nagłówkach wiadomości o ile szyfrowane jest tylko pole danych pakietu), • ataki typu DoS, których łatwość przeprowadzenia wynika z dostępności medium radiowego. Zdefiniowane powyżej podstawowe zagrożenia dla bezpieczeństwa systemów VoIP stanowią ogólny zbiór możliwych do przeprowadzenia ataków. Szczegółowa analiza zagrożeń jest natomiast ściśle zależna od konfiguracji sieci i nie może być rozpatrywana w oderwaniu od otoczenia tak sprzętowego jak i aplikacyjnego. 4.4. Metody zapewnienia bezpieczeństwa w systemach VoIP 4.4.1. Środki bezpieczeństwa w systemach VoIP Wybór środków ochrony przed atakami na systemy VoIP zależą od typu celów bezpieczeństwa, które mają być osiągnięte w przypadku platformy VoIP w danym systemie. Inne będą bowiem wymagania na dostępność do usługi telefonicznej np. w obiektach handlowych czy usługowych inne natomiast w lokalizacjach, gdzie znajdują się służby takie, jak: policja, straż pożarna czy pogotowie ratunkowe. Równie zróżnicowany poziom bezpieczeństwa jest wymagany przez użytkowników, którzy oceniają rodzaj i skuteczność stosowanych środków bezpieczeństwa w zależności od skali szkód, które mogłyby być dokonane w przypadku ataku. Jednak ze względu na fakt, iż u podstaw wdrażania telefonii VoIP leży wykorzystanie wraz z innymi aplikacjami wspólnej sieci transportowej, wdrażając politykę bezpieczeństwa VoIP należy uwzględnić przede wszystkim politykę bezpieczeństwa zasobów sieciowych oraz użytkowników tej sieci. W kolejnych punktach zostaną przedstawione postulaty tworzące politykę bezpieczeństwa w zakresie VoIP, które są zharmonizowane z dokumentem „Polityka bezpieczeństwa Informacji Instytutu” stanowiącym załącznik do niniejszej pracy. 4.4.2. Architektura sieci i bezpieczny dostęp do medium Wymagana wysoka dostępność usług VoIP nakłada określone wymagania również na infrastrukturę sieciową organizacji. Mając na uwadze, iż platforma VoIP wykorzystująca w warstwie transportowej jedynie sieć ze stosem IP powinna zapewniać tę samą niezawodność i jakość, co tradycyjna sieć z komutacją kanałów, należy spełnić przede wszystkim wysokie wymagania w zakresie dostępności usług. Należy przy tym uwzględnić zarówno wymagania, co do pasma niezbędnego do przeniesienia określonej liczby wywołań o określonej jakości, jak również zapewnienie samego dostępu do usług sieciowych. Istotne elementy zabezpieczeń będą obejmowały: • zapewnienie fizycznego bezpieczeństwa komponentów VoIP, w tym: 35 o ochrona dostępu do pomieszczeń, gdzie znajdują się strategiczne urządzenia sieciowe oraz VoIP (serwerownia), o monitoring tych pomieszczeń, o zapewnienie bezpiecznego systemu klimatyzacji w strategicznych pomieszczeniach, • zapewnienie zasilania terminali oraz innych komponentów VoIP, w tym zapewnienie zasilania rezerwowego zarówno dla strategicznych komponentów VoIP jak również dla terminali, o ile jest to niezbędne (np. w przypadku, gdy telefony IP są jedynymi urządzeniami pozwalającymi na komunikację ze służbami), przy czym zapewnienie bezpiecznego zasilania musi uwzględniać zailanie sieciowe jak również dostarczane zgodnie ze standardem IEEE 802.3af Power over Ethernet (w tym przypadku należy zadbać o zasilanie rezerwowe przełączników Ethernet z funkcjonalnością PoE), • możliwość zapewnienia rozdziału na poziomie warstwy drugiej, w postaci sieci VLAN dedykowanych dla danych oraz głosu • zapewnienie autoryzacji terminali już na poziomie warstwy drugiej – z wykorzystaniem adresów interfejsów MAC, co oznacza, że tylko urządzenia dysponujące znanym (tj. znajdującym się na odpowiedniej liście) adresem MAC są dopuszczone do korzystania z określonych usług sieciowych, w tym VoIP, • uniemożliwienie przejęcia przez intruza adresu MAC dopuszczonego do pracy w sieci, co może być osiągnięte m.in. poprzez: o przypisanie „dozwolonych” adresów MAC do fizycznych portów przełącznika, o ograniczenie „czasu życia” (aktywności) adresów MAC urządzeń VoIP w sieci, o odmowa obsługi przez przełącznik urządzeń z jednakowymi adresami MAC, • zapobieganie atakom na usługi świadczone przez serwer DHCP np. poprzez: o ograniczenie liczby zapytań kierowanych do serwera za pośrednictwem określonego portu przełącznika o zdefiniowanie listy portów przełącznika, które mogą pośredniczyć w uzyskaniu adresu IP przez dołączone do nich urządzenia VoIP. • zapobieganie atakom na podsieci VLAN np. poprzez wprowadzenie mechanizmów kontroli ramek Ethernet, które są mogą być wymieniane pomiędzy dwoma sieciami VLAN, czy obsługę ruchu warstwy drugiej i trzeciej zgodnie z listą urządzeń dopuszczonych do obsługi (Access List), • ograniczenie domen rozgłoszeniowych (np. na podstawie podziału na sieci VLAN) • ograniczenie dostępu do sieci LAN dla użytkowników spoza sieci (np. dostęp tylko za pośrednictwem VPN) w tym precyzyjne ustalenie praw do określonych usług sieciowych dla tych użytkowników. W wielu przypadkach zapobieganie atakom warstwy drugiej jest powiązane z zapewnieniem bezpieczeństwa dla warstwy trzeciej. Jednak ze względu na specyfikę warstwy 36 sieciowej w strukturach korporacyjnych oraz wykorzystanie urządzeń i mechanizmów dedykowanych dla ochrony sieci, zagadnienia te zostały omówione w oddzielnym podrozdziale. 4.4.3. Zapobieganie atakom warstwy 3 i wyższych Cele bezpieczeństwa sieci korporacyjnej wykorzystywanej na potrzeby VoIP na poziomie warstwy trzeciej mogą być osiągnięte na wiele sposobów. Podstawowe metody obejmują: • obronę przed podszywaniem się pod adresy IP użytkowników, realizowaną poprzez konfigurację filtrów w routerach (dla ruchu przychodzącego do sieci) oraz listy dostępu uprawnionych użytkowników w sieci lokalnej (dla ruchu zamykającego się w sieci korporacyjnej i wychodzącego poza nią) • wdrożenie polityki bezpiecznej obsługi pakietów ICMP, • stosowanie list urządzeń uprawnionych do wymiany informacji routingowych, • stosowanie systemów detekcji IDS (Intrusion Detection System) i ochrony IPS (Intrusion Prevention System) przed potencjalnymi atakami, • zastosowanie ścian ogniowych (Firewalls) do ochrony zasobów sieci korporacyjnej, • zapewnienie redundancji serwerów usługowych wspomagających platformę VoIP i jej użytkowników (np. DHCP, TFTP, WWW, serwery baz danych) • zapewnienie redundancji serwerów usług VoIP (GK, SIP Proxy, serwerów rejestracji i przekierowań), • zapewnienie redundancji bram VoIP lub zapasowego dostępu do usług komunikacji głosowej, np. za pomocą tradycyjnej sieci telekomunikacyjnej, • zapewnienie bezpiecznego dostępu do interfejsu konfiguracyjnego, osiągane z wykorzystaniem połączenia szyfrowanego oraz ograniczenie liczby stacji roboczych (na podstawie listy adresów IP), z których mogą być takie zmiany konfiguracyjne dokonywane. Obok ataków na elementy systemu VoIP oraz infrastruktury informatycznej korporacji, wyznacznikiem bezpieczeństwa systemu VoIP jest również jakość usług oraz dostępność. W tym zakresie należy: • zapewnić odpowiednią wydajność platform sprzętowych serwerów oraz bram VoIP, stosownie do przewidywanego zapotrzebowania na usługi, • zapewnić kształtowanie ruchu w sieci uwzględniające zakładany poziom świadczonych usług VoIP, np. poprzez zastosowanie: o odpowiedniej dla danej sieci architektury klas usługowych zgodnej z modelem DiffServ, o technik modelowania ruchu w sieci (Traffic Shaping) o technologii MPLS (MultiProtocol Label Switching) • zapewnić archiwizację i bezpieczne przechowywanie danych o użytkownikach oraz danych konfiguracyjnych (zgodnie z „Polityką bezpieczeństwa Informacji Instytutu”), 37 • zapewnić aktualizację oprogramowania centralnych komponentów systemu VoIP oraz terminali użytkownika (zarówno sprzętowych jak i software’owych), • zapewnić wdrożenie dla wszystkich użytkowników systemu VoIP spójnej polityki bezpieczeństwa informacji, zasady tej polityki w przypadku Instytutu Łączności zostały określone w dokumencie „Polityka bezpieczeństwa Informacji Instytutu”, stanowiącym załącznik do niniejszej pracy. Transmisja głosu realizowana może być w obrębie jednej sieci korporacyjnej na wiele sposobów. Ze względu na duży obszar zastosowań dotyczący łączenia przy pomocy systemów VoIP oddalonych od siebie lokalizacji danej organizacji, należy również zapewnić bezpieczeństwo wymienianych danych poprzez sieci rozległą. W tym zakresie podniesienie poziomu bezpieczeństwa w zakresie poufności danych wymaga zastosowania bezpiecznych kanałów wymiany informacji. w ramach budowy tuneli VPN (Virtual Private Network). Rozwiązanie wspierające tworzenie VPN może być oparte na protokole PPTP (Point to Point Tunneling Protocol), który jest protokołem pozwalającym na bazie protokołu IP tworzyć połączenia VPN poprzez tunelowanie protokołu PPP. Tunele te mogą przenosić protokoły takie jak IP, IPX czy NetBEUI. Rozwiązanie to stworzone zostało przez PPTP Forum przy udziale firm takich jak Ascend Communications, Microsoft Corporation, 3Com/Primary Access, ECI Telematics, i U.S. Robotics. Specyfikacja protokołu jest ogólnie dostępna, dzięki czemu mogło powstać wiele oprogramowania klienckiego na różne platformy. Innym rozwiązaniem w zakresie sieci VPN jest zastosowanie protokołu IPSec, który powstał w roku 1992 jako odpowiedź na zapotrzebowanie użytkowników Internetu w zakresie poufności, integralności danych oraz sprawdzania autentyczności rozmówców. Na protokół ten składają się trzy podstawowe elementy wchodzące w skład IPSec: AH (Authentication Header), ESP (Encapsulated Security Payload), oraz IKE (Internet Key Exchange). Dodatkowo, w zależności od potrzeb, IPSec może pracować w trybie transportowym (transport mode) oraz tunelowania (tunnel mode). Pierwszy polega na ochronie jedynie pola danych, umieszczając dodatkowy nagłówek IPSec pomiędzy nagłówkiem IP i nagłówkiem protokołu wyższej warstwy. Tryb tunelowania szyfruje całość przesyłanych danych, nagłówek IP, oraz pozostałe dane, które zostają opakowane nowo utworzonym nagłówkiem IP za pomocą IPSec. Dzięki temu aplikacje warstw najwyższych modelu OSI/ISO nie są zupełnie świadome istnienia połączenia IPSec pomiędzy komunikującymi się stacjami roboczymi. Tryb transportowy wykorzystywany jest najczęściej pomiędzy dwoma stacjami roboczymi, natomiast tryb tunelowania- pomiędzy dwoma bramkami IPSec mającymi za zadanie połączenie ze sobą dwóch lub więcej sieci IP. 4.4.4. Bezpieczeństwo protokołów VoIP Osobną grupę zabezpieczeń stanowią metody stosowane do zapewniania autentyfikacji, poufności oraz dostępności elementów systemu VoIP oraz w komunikacji pomiędzy nimi. Dwa podstawowe standardy VoIP, tj. H.323 oraz SIP definiują mechanizmy bezpieczeństwa, z kolei specyfikacja MGCP nie definiuje dedykowanych dla tego protokołu mechanizmów bezpieczeństwa. H.235 Już chronologicznie pierwsza wersja stosu H.323 (1998) definiowała mechanizmy bezpieczeństwa, które w tym przypadku obejmują zarówno procesy wymiany wiadomości sygnalizacyjnych (protokół H.225/Q.931), komunikacji w kanałach sterujących (protokół H.245) jak również określała możliwości w zakresie uwierzytelnienia strumieni użytkowych. 38 Specyfikacja mechanizmów bezpieczeństwa jest zawarta w dokumencie H.235, którego kolejne wersje (obecnie trzecia) poszerzają zakres stosowalności mechanizmów bezpieczeństwa. Obecna wersja specyfikuje następujące elementy bezpieczeństwa: • komponenty systemu powinny być godne zaufania, więc wszystkie punkty końcowe szyfrowanych kanałów sterujących (H.245) oraz kanałów logicznych (H.225) będą traktowane jako wiarygodne komponenty systemu VoIP po przeprowadzeniu uprzedniego procesu autoryzacji (przykładem wiarygodnego komponentu jest MCU, z kolei komponentem wymagającym autoryzacji jest brama VoIP), • w przypadku wymiany wiadomości sygnalizacyjnych i użytkowych poufność i autentyfikacja mogą być zasadniczo zapewnione przy użyciu typowych mechanizmów takich, jak IPSec czy TLS, jednak standard nie przewiduje współpracy czy też możliwości wyboru pomiędzy mechanizmami bezpieczeństwa, więc wykorzystanie alternatywnych środków należy wskazać bezpośrednio np. poprzez przypisanie komunikacji do określonych portów, • wykorzystywane są następujące sposoby autoryzacji: o na zasadzie subskrypcji z pomocą wymiany zaszyfrowanego hasła (rejestracja w GK), o na podstawie pary publicznych kluczy i wymiany wiadomości uwierzytelniających (uwierzytelnianie pomiędzy węzłami - GK) o z wykorzystaniem algorytmu Diffiego-Hellmana (jest to algorytm szyfrujący z kluczem publicznym, który generuje informacje tajne współużytkowane przez obie strony po uprzedniej wymianie losowo wygenerowanych danych), • standard H.235 specyfikuje mechanizm pozwalający punktowi końcowemu odbierającemu pakiety zawierające głos na stwierdzenie autentyczności ich pochodzenia. W tym celu na początku wymiany strumieni użytkowych wyliczana jest wartość kodu uwierzytelniania wiadomości MAC (Message Authentication Code) z zawartości wybranych pól nagłówkowych pakietów RTP. Wartość funkcji MAC jest również wyliczana po stronie odbiorczej i po porównaniu ze wzorcem, następuje weryfikacja autentyczności. Do obliczenia wartości MAC wykorzystywany jest klucz tajny oraz algorytm DES lub 3DES (Data Encryption Standard). • wprowadzone zostały tzw. profile bezpieczeństwa, które mają głównie zastosowanie dla rozległych sieci VoIP, wymagających przesyłania wiadomości przez wiele węzłów VoIP (GK), definiuje się przy tym następujące profile: o profil odniesienia (Baseline Security Profile), który obejmuje mechanizmy wykorzystujące autoryzację każdej wiadomości sygnalizacyjnej w węzłach w łańcuchu połączeniowym, przy czym autoryzacja ta polega na wyliczeniu i porównaniu funkcji skrótu w każdym z węzłów połączonych kanałem logicznym (sygnalizacyjnym). Opcjonalnie możliwe jest również szyfrowanie zawartości pakietów RTP. o profil oparty na sygnaturze/podpisie (Signature Security Profile), który zakłada zastosowanie asymetrycznych algorytmów szyfrujących a 39 szczególności podpisów cyfrowych 1wiadomości, przy czym procedura uwierzytelniania wiadomości w kolejnych węzłach pozostaje niezmieniona (węzły przechowują w tym wypadku tylko jawny klucz). o profil hybrydowy (Hybryd Security Profile), zakładający wykorzystanie podpisu cyfrowego wiadomości (w oparciu o algorytm asymetryczny) tylko pomiędzy pierwszą parą węzłów a przy kolejnych wykorzystuje się algorytmy symetryczne z jawnym kluczem. • uwierzytelnienie terminali przy połączeniu bezpośrednim nie zostało przewidziane w standardzie H.235, istnieje natomiast możliwość wykorzystania w sieci GK, który przyjmuje dystrybucji kluczy, służących do bezpośredniego połączenia pomiędzy terminalami, zaś w tym wypadku GK pełni rolę pośredniczącą i wymaga rejestracji obu komunikujących się ze sobą terminali. Standard H.235 nie definiuje ściśle metod zapewniania poufności strumienia użytkowego, pozostawiając szczegóły implementacyjne implementatorom. SIP Zapewnienie bezpieczeństwa wymiany wiadomości za pomocą protokół SIP jest zadaniem stosunkowo trudnym, gdyż należy uwzględnić dużą liczbę komponentów, z których składa się ten system (terminale, bramy, różne typy serwerów) i które biorą aktywny udział w wymianie wiadomości sygnalizacyjnych (serwery SIP Proxy zmieniają zawartość nagłówków wiadomości SIP). Jest to przyczyną, dla której twórcy protokołu przesunęli ciężar zapewnienia poufności i integralności danych sygnalizacyjnych w relacji end-to-end na warstwy niższe. Dopuszcza się jednocześnie stosowanie mechanizmów bezpieczeństwa dla pojedynczych odcinków międzywęzłowych tak, jak w przypadku stosu H.323. Przemawia za tym również fakt, iż serwery biorące udział w obsłudze wywołań SIP znajdują się w określonym otoczeniu informatycznym (np. w różnych domenach, czy też w sieciach o różnych priorytetach bezpieczeństwa) i same w związku z tym wymagają uwierzytelnienia we wzajemnej komunikacji. Należy przy tym rozróżnić zastosowanie mechanizmów bezpieczeństwa w odniesieniu do wiadomości sygnalizacyjnych jak i zapewniających transport strumieni multimedialnych. Standard RFC 3261 [1] definiuje różne mechanizmy zapewniania bezpieczeństwa stosowane w zależności od stawianego celu oraz scenariuszy implementacji systemów VoIP. Wykorzystano przy tym metody stosowane w pokrewnych rozwiązaniach takie, jak uwierzytelnianie przy pomocy mechanizmu HTTP Digest, S/MIME, TLS i IPSec. Uwierzytelnienie wykorzystujące pierwszy z wymienionych mechanizmów (HTTP Digest) jest realizowane pomiędzy serwerem oraz klientem (np. pomiędzy terminalem i SIP Proxy) i polega na tym, iż w odpowiedzi na żądanie klienta serwer wysyła odpowiedź o kodzie 401 („Unauthorized”) lub 407 („Proxy Authentication Required”) w zawierajacą nagłówku pole „WWW-Authenticate” lub „Proxy-Authenticate” wraz z przypisaną wartością proponowanej nazwy użytkownika (lub otrzymanej wcześnie w żądaniu) oraz słowa pseudolosowego. Po odebraniu takiej wiadomości klient dopasowuje informacje 1 Podpis cyfrowy to dodatkowa informacja dołączona do wiadomości służąca do weryfikacji jej źródła. Podpisy cyfrowe korzystają z kryptografii asymetrycznej, tworzona jest para kluczy - prywatny i publiczny, klucz prywatny służy do podpisywania wiadomości, klucz publiczny natomiast do weryfikowania podpisu 40 uwierzytelniające do żądań serwera i na ich podstawie oblicza wartość funkcji skrótu2. Tę wartość oraz nazwę użytkownika przesyła ponownie do serwera, gdzie odpowiedź ta jest weryfikowana. W ten sposób postać tekstowa wiadomości SIP może być zabezpieczona z wykorzystaniem funkcji skrótu Standard zaleca, aby funkcjonalność uwierzytelniania inicjowaną za pomocą żądań miały zaimplementowane wszystkie komponenty systemu pracującego w oparciu o protokół SIP. Metoda ta wykorzystywana jest również w przypadku serwera Asterisk w zakresie obsługi protokołu SIP. Należy jednak zaznaczyć, iż mechanizm ten prowadzi do uwierzytelnienia żądania nadawcy a nie zawartości tej wiadomości. Innym mechanizmem bezpieczeństwa wykorzystywanym przez komponenty systemu VoIP jest standard Secure/MIME, który rozszerza zbiór struktur danych opisujących wiadomość typu MIME (typ ten opisuje m.in. postać nagłówka wiadomości pocztowej a jednocześnie obejmuje zbiór wierszy nagłówkowych wchodzących w skład wiadomości SIP) o konstrukcje przeznaczone dla wiadomości zaszyfrowanych. Z kolei szyfrowanie wiadomości jest tutaj realizowane z wykorzystaniem algorytmów asymetrycznych. Wspólne korzenie protokołów SMTP oraz SIP uprawniają do zastosowania tych samych mechanizmów szyfrowania w obu protokołach. Szyfrowanej zawartości wiadomości e-mail odpowiada w strukturze wiadomości SIP pole danych, które przenosi informacje protokołu SDP, opisującego właściwości stron (terminali). W najprostszym rozwiązaniu właśnie ta część wiadomości może być zaszyfrowana zgodnie z S/MIME. Pozostała część wiadomości SIP – wiersze nagłówkowe pozostają niezabezpieczone. Jedną z możliwości jest potraktowanie całej wiadomości SIP jako pola danych innej wiadomości SIP, w ten sposób tworzone jest tunelowanie SIP, zaś szyfrowanie S/MIME może w tym przypadku funkcjonować jak szyfrowanie wiadomości pocztowej zawierającej w treści inną wiadomość pocztową (cytowaną czy też przekazywaną dalej). Wymagane tutaj szyfrowanie algorytmem AES ([7]) znacznie podnosi wymagania na zdolność obliczeniową oraz zasoby pamięciowe platform sprzętowych, na których uruchomione są komponenty VoIP. Innym rozwiązaniem w zakresie zapewnienia poufności wiadomości i uwierzytelnienia stron jest zastosowanie protokołu TLS. Obsługę tego protokołu wszystkim komponentom VoIP narzuca standard SIP. Jednak protokół ten wymaga w warstwie transportowej protokołu TCP, co zwiększa zapotrzebowanie na pasmo związane z zainicjowaniem i podtrzymaniem sesji TCP. Ponadto złożoność TLS wymaga podobnie, jak w przypadku S/MIME znacznych nakładów związanych z zapewnieniem wystarczającej mocy obliczeniowej platform sprzętowych. IAX2 Ciężar zapewniania metod poufności i integralności przesyłanych danych użytkowych twórcy protokołu SIP przerzucili na implementatorów systemów VoIP. Najczęściej spotykane rozwiązania w tym zakresie obejmują omówione już wcześniej metody wykorzystania tunel VPN w oparciu o protokół IPSec. Z kolei problem uwierzytelnienia został rozwiązany odmiennie niż w przypadku protokołu SIP. Użytkownicy zarejestrowani w serwerze są proszeni o powtórną autoryzację w przypadku zainicjowania połączenia. Jest ona dokonywana w oparciu o asymetryczny algorytm RSA w odniesieniu do danych uwierzytelniających użytkownika serwera. Asterisk wykorzystuje tę metodę ze względu na szybkość realizacji algorytmu oraz skuteczność zapewnianą przez kryptografię asymetryczną. 2 Funkcja skrótu (haszująca) jest realizowana w postaci algorytmu, który dla danych wejściowych w postaci ciągu znaków przyporządkowuje wartość w postaci ciągu znaków o ściśle określonej długości (np. 128 bitowej). Zmiana jednego ze znaków w ciągu wejściowym powoduje zmianę ciągu wynikowego Przykładem funkcji skrótu jest MD5 oraz SHA-1. 41 4.5. Przykładowe konfiguracje bezpiecznego VoIP Poniżej zamieszczono przykładowe schematy infrastruktury sieciowej dla bezpiecznego dostępu do usług VoIP w obrębie dwóch typów małego biura oraz średniej wielkości korporacji. Rosnąca skala przedsięwzięcia stawia w tym wypadku ostrzejsze wymagania na zapewnienie dostępności usług VoIP, co zmusza projektantów do uwzględnienia redundancji zasobów sieciowych wewnątrz korporacji, ale również łączy dostępowych do dostawców usługowych. Rys. 10. Przykładowy schemat bezpiecznej infrastruktury sieciowej z realizacją usług VoIP w małych organizacjach Rys. 11. Przykładowy schemat bezpiecznej infrastruktury sieciowej z realizacją usług VoIP w średniej i dużej wielkości organizacjach 42 5. Testowa implementacja VoIP 5.1. Testowa implementacja VoIP w Instytucie Łączności Testowa platforma VoIP miała na celu sprawdzenie możliwości implementacji serwera VoIP w zakresie wydajności oraz poprawności współpracy z aplikacjami (software’owe telefony IP, symulatory ruchu, inne serwery VoIP) i urządzeniami (hardware’owe telefony IP, bramy, współpraca z centralą końcową za pośrednictwem zainstalowanej w serwerze karty rozszerzeń z interfejsem ISDN PRI). Docelowo implementacja ta będzie wykorzystywana do zapewniania połączeń głosowych realizowanych w technologii VoIP pomiędzy oddziałami IŁ w Warszawie, Wrocławiu i Gdańsku oraz pracy zdalnej dla autoryzowanych użytkowników spoza tej sieci. Do realizacji testowej platformy VoIP w IŁ wybrano rozwiązanie oparte na platformie Asterisk. Za wyborem tego rozwiązania przemawiają następujące argumenty: • platforma Asterisk posiada możliwość obsługi aplikacji i urządzeń klienckich VoIP, wykorzystujących różne protokoły, w tym dobrze zestandaryzowany oraz posiadający wiele funkcjonujących implementacji protokół SIP oraz protokół IAX2, będący rozwiązaniem dedykowanym dla tej platformy, lecz cieszący się coraz większą popularnością, • do komunikacji w obrębie sieci IŁ przewiduje się zastosowanie protokołu SIP, ze względu na szeroki wybór urządzeń, które mogą wykorzystywać ten protokół, a jednocześnie nie nakładane są ograniczenia na liczbę portów, która jest niezbędna do komunikacji, protokół ten został również przewidziany do komunikacji pomiędzy routerem wyposażonym w obsługę VoIP oraz serwerem Asterisk, • ze względu na bezpieczeństwo użytkowników wewnętrznej sieci IŁ, liczba „otwartych” do komunikacji portów dostępnych dla urządzeń spoza tej sieci powinna pozostawać minimalna, zatem lepszym rozwiązaniem do komunikacji urządzeń i aplikacji zlokalizowanych poza siecią IŁ oraz znajdujących się w tej sieci pozostaje protokół IAX2, który wykorzystuje jeden port do wymiany wiadomości sygnalizacyjnych jak i strumieni użytkowych, • wybór protokołu IAX2 do komunikacji z urządzeniami i aplikacjami klienckim i spoza sieci IŁ, jest również uzasadniony skuteczniejszym pokonywaniem mechanizmów translacji adresów NAT, co wynika bezpośrednio z cechy protokołu, o której wspomniano powyżej. Konfiguracja platformy VoIP zakładała wykorzystanie jednego serwera Asterisk do realizacji usług świadczonych zarówno użytkownikom dołączonym w ramach wewnętrznej sieci IŁ oraz autoryzowanym użytkownikom spoza tej sieci, co może być wykorzystywane w przypadku pracy zdalnej. Schemat docelowej konfiguracji został przedstawiony na rysunku (Rys. 12). 43 Rys. 12. Docelowa konfiguracja VoIP w IŁ Podstawowym celem zastosowania platformy VoIP jest udostępnienie połączeń VoIP pomiędzy oddziałami IŁ zlokalizowanymi w Warszawie, Gdańsku i Wrocławiu. Zastosowanie do tego celu rozwiązania opartego na platformie Asterisk da możliwość korzystania z: • jednolitego planu numeracyjnego dla abonentów obsługiwanych przez serwer VoIP oraz centralę PBX w Warszawie (wszyscy użytkownicy telefonów software’owych i hardware’owych obsługiwanych przez serwer są widoczni jako abonenci warszawskiej centrali PBX), • usług połączeń konferencyjnych, • poczty głosowej oraz interaktywnego menu (IVR) dla użytkowników platformy VoIP, • stanowisk zdalnej pracy wyposażonych możliwość zestawiania i przyjmowania połączeń głosowych dla pracowników znajdujących się poza lokalizacjami IŁ. Konfiguracja zakłada wykorzystanie centrali PBX w oddziale IŁ w Warszawie jako zasadniczego węzła komutacji połączeń realizowanych przez użytkowników. Wymaga to przeznaczenia części zasobów numeracyjnych do wykorzystania przez abonentów dołączonych za pośrednictwem serwera VoIP. Dołączenie serwera Asterisk do centrali PBX zostało zrealizowane za pośrednictwem routera wyposażonego w funkcje VoIP (Cisco 2811 w Warszawie i Cisco 2801 we Wrocławiu). Zapewniając interfejsy do sieci LAN, interfejs ISDN PRI (wyposażenie sprzętowe routera obejmuje dwa tego typu interfejsy) do centrali PBX Hicom w Warszawie oraz interfejs ISDN BRA (wyposażenie sprzętowe routera obejmuje dwa tego typu interfejsy) do centrali PBX Slican we Wrocławiu, urządzenie to ma możliwość terminowania kanałów użytkowych i sygnalizacyjnych ISDN oraz konwersji ich na postać pakietową z wykorzystaniem protokołów SIP, MGCP oraz protokołów stosu H.323. Prace wdrożeniowe zostały poprzedzone etapem testów, na którym sprawdzono poprawność zestawiania połączeń głosowych, wydajność serwera Asterisk oraz współpracę platformy z testową centrala PSTN/ISDN i bramkami VoIP. Środowisko testowe składało się z następujących elementów: 44 • Serwer Asterisk (platforma sprzętowa: Dell Opti Plex GX1M Intel Pentium III, 450MHz, 256MB RAM, 80GB HD) • karta rozszerzeń Digium TE110P 1x ISDN PRA, instalowana w slocie PCI serwera) • System operacyjny: Fedora Core 3.0, • Asterisk (wersja. 1.0.9), • Centrala PSTN/ISDN DGT 3450, • Bramy VoIP (Yuxin YGW-20, Linksys PAP-2, Grandstream HandyTone 488) wraz z dołączonymi do nich telefonami analogowymi, • switch, • sprzętowe telefony IP (2 x Cisco 7905, słuchawka VoIP, dołączana do komputera przez port USB i przeznaczona do współpracy z software’owymi telefonami VoIP), • software’owe telefony VoIP w postaci oprogramowania uruchamianego na stacjach roboczych (w testach wykorzystano m.in. aplikacje: X-Lite, Firefly, iaxLite), • generator wywołań EF111A firmy Anritsu, • analizator protokołów K1297 firmy Tektronix. Ogólny schemat środowiska testowego przedstawiono na rysunku: łącza analogowe Testowa centrala telefoniczna PSTN/ISDN Generator połączeń Bramka VoIP z portami analogowymi (FXS i FXO) oraz aparatem analog. Monitor sygnalizacji ISDN DSS1 Bramki VoIP z portami analogowymi (FXS) oraz aparatami analog. Łącze ISDN PRI LAN (Ethernet) – 100 Mbit/s Serwer VoIP (Asterisk) Serwer z uruchomioną aplikacją generowania masowych wywołań SIP Komputery z aplikacjami klienckimi VoIP (software’owe telefony IP) oraz słuchawkami wykorzystywanymi wraz z tymi aplikacjami Rys. 13. Ogólny schemat środowiska testowego VoIP 45 5.2. Instalacja i konfiguracja platformy Asterisk Uruchomienie środowiska testowego rozpoczęto od instalacji serwera Asterisk. Instalacji tej należy dokonać pobierając najnowszą wersję oprogramowania. Po rozpakowaniu skompresowanego pliku należy wywołać skrypt „./configure”, a następnie „make” oraz „make install”. Kolejnym krokiem do uruchomienia serwera PBX jest instalacja karty Digium TE110P do komunikacji z centralą PSTN/ISDN. Oprogramowanie karty wymaga uprzedniego zainstalowania podstawowych elementów platformy Asterisk do pracy z kartami czyli odpowiednich bibliotek (libpri, zapata, zaptel oraz samego serwera Asterisk). Do obsługi karty korzystne jest pobranie najnowszej wersji oprogramowania. W pierwszej kolejności uruchamiany jest skrypt „Setu”, który pozwala na szybką instalację oprogramowania. Sprawdza on dostępne programy, biblioteki i prawa dostępu, kompiluje moduły dla wskazanych protokołów i instaluje całość łącznie ze skryptami startowymi uruchamiającymi kartę przy starcie systemu. Po skompilowaniu oprogramowania należy dokonać jego konfiguracji. Zostało to opisane w dokumentacji karty, natomiast wsparciem w procesie instalacji są przykładowe pliki w katalogu ./samples/. Należy również skonfigurować serwer Asterisk do współpracy z kartą. Tu z kolei można posłużyć się dokumentacją platformy Asterisk. Istotne są przede wszystkim dwa pliki: • /etc/zaptel.conf, do którego odwołuje się polecenie inicjalizacji karty, • /etc/asterisk/zapata.conf - plik konfiguracyjny Asteriska. Zawartość plików zamieszczono poniżej: #/etc/zaptel.conf # # Zaptel Configuration File # # This file is parsed by the Zaptel Configurator, ztcfg span=1,0,0,ccs,hdb3,crc4 bchan=1-15,17-31 dchan=16 loadzone = pl defaultzone=pl #/etc/asterisk/zapata.conf [channels] switchtype=euroisdn prilocaldialplan=unknown context=inc signalling=pri_cpe overlapdial=yes immediate=no callprogress=yes group=1 channel => 1-15,17-31 Parametry konfiguracyjne dla karty definiują podstawowe warunki współpracy z centrala ISDN i ich składania oznaczana jest w następujący sposób: span=, , , , [,yellow] 46 bchan= “numery szczelin wykorzystywanych jako kanały B” dchan= “numery szczelin wykorzystywanych jako kanały D” loadzone = “strefa geograficzna użytkowania systemu” defaultzone=pl “” Parametry konfiguracyjne dla platformy definiują podstawowe warunki wykorzystania interfejsu ISDN PRI przez serwer Asterisk i oznaczają kolejno: #/etc/asterisk/zapata.conf [channels] switchtype= “typ sygnalizacji ISDN, wykorzystywanej do komunikacji z centralą” prilocaldialplan=“typ planu num. w ramach którego obsługiwani są ab. Asterisk” context=“kontekst, w którym obsługiwane są wywołania kierowane na/z PRI” signalling=“rodzaj sygnalizacji zależny od roli urządzenia w sieci” overlapdial=“opcja wybierania informacji adresowej w trybie na zakładkę” immediate=“żądanie syg. zgłoszenia centrali dla ab. wyb adres na zakładkę” callprogress=“obsługa wiadomości PROGRESS” group=“numery grup kanałów B)” na które został podzielony interfejs PRI (co do liczby channel => “numery szczelin wykorzystywanych jako kanały B w ramach danej grupy” Do poprawnej pracy serwera wymagana jest właściwa konfiguracja schematu połączeń. Schemat połączeń definiuje, w jaki sposób mogą komunikować się poszczególne kanały (channels, tj. Zap, SIP, IAX, itd.). Plikiem konfiguracyjnym zawierającym odpowiednie definicje jest plik extensions.conf. Rozszerzenie (exten) jest wybieranym celem, czyli najczęściej numerem telefonu. Istnieje jednak także specjalne rozszerzenie. Kontekst jest grupą wewnątrz schematu połączeń. Kontekst [default] jest otwarty dla wszystkich. W pozostałych przypadkach obowiązuje zasada, że dostępne dla danego użytkownika tylko te rozszerzenia, które znajdują się w tym samym kontekście. Kontekst, do którego należy użytkownik, definiowany jest w konfiguracji poszczególnych kanałów (tj. IAX2, SIP, H323), a odpowiedni numer w schemacie połączeń. W celu uzyskania dostępu do innych kontekstów, żądany kontekst można włączyć do własnego kontekstu za pomocą instrukcji include. Przykładowy kontekst wykorzystywany w testowej implementacji prezentuje się następująco: [voip] exten => exten => exten => exten => exten => exten => exten => exten => exten => _1XX,1,Dial(SIP/${EXTEN},20,rt) _2XX,1,Dial(IAX2/${EXTEN},20,rt) 230,1,Dial(IAX2/${EXTEN},20,rt) 240,1,Dial(IAX2/${EXTEN},20,rt) 300,1,Dial(SIP/300,20,rt) 302,1,Dial(SIP/302,20,rt) 303,1,Dial(SIP/303,20,rt) 314,1,Dial(MGCP/aaln/1@voice-gw) 400,1,Dial(MGCP/aaln/1@1) exten => 8600,1,Meetme() include => odzewnik include => demo exten => _0X.,1,Dial(${TRUNK}/${EXTEN:1}) 47 Wiersz, w którym zapisane jest rozszerzenie, ma zawsze następujący format: exten => rozszerzenie,priorytet,polecenie gdzie: • rozszerzenie oznacza: wybierany numer. • priorytet oznacza: priorytet (kolejność) przetwarzania polecenia. Możliwe jest ustawienie najpierw priorytetu 2, a potem priorytetu 1, ale Asterisk wewnętrznie posortuje rosnąco. Blok, który należy do pojedynczego rozszerzenia, zostanie sekwencyjnie przetworzony rosnąco, chyba że przetwarzanie zostanie przerwane, choćby wskutek sygnału hangup (odłożona słuchawka) albo komunikatu błędnie wykonanego polecenia. • polecenie: znane także jako application command, jest nazwą aplikacji, która jest uruchamiana przez serwer Asterisk w celu obsługi połączenia przychodzącego lub zainicjowanego przez użytkownika. W przypadku dużych implementacji wprowadzanie pojedynczych numerów/rozszerzeń byłoby uciążliwe, dlatego też istnieje możliwość korzystania z wzorców i zmiennych. Wzorzec definiowany jest poprzez użycie znaku podkreślenia („_”), np. wzorzec exten => _1XX,1,Dial(Zap/g1/${EXTEN},30,rt} oznacza, że 3-cyfrowe rozszerzenie, które rozpoczyna się cyfrą 1, należy wybrać poprzez kanał Zap/g1. Podczas tworzenia wzorców wykorzystywane są następujące oznaczenia: X - każda cyfra od 0-9 Z - każda cyfra od 1-9 N - każda cyfra od 2-9 [1237-9] - każda z cyfr znajdujących się w nawiasie (tutaj 1,2,3,7,8,9) Jeśli wprowadzony numer pasuje do większej liczby wzorców, serwer wybierze wzorzec, który pasuje najdokładniej. Dla przykładu można rozważyć przypadek, gdy podane są wzorce: „1XX”, 1. oraz „X.”. Po wybraniu numeru 123, wówczas pasować będą wszystkie trzy wzorce (każdy 3-cyfrowy numer zaczynający się od 1, każdy numer zaczynający się od 1, każdy numer). Jednak wzorzec 1XX pasuje najdokładniej i serwer skorzysta właśnie z niego, o ile nie zostało zdefiniowane jednoznaczne rozszerzenie 123, które w tym przypadku ma bezwzględne pierwszeństwo. Polecenia wykorzystywane w przypadku każdego rozszerzenia nazywane są także application commands. W obecnej wersji platformy Asterisk (1.0.9) istnieje około 140 różnych poleceń, które opisane zostały w dokumentacji serwera, najważniejszym z nich jest polecenie Dial. Format niniejszego przedstawia się wygląda następująco. Dial(type/identifier,timeout,options,URL) gdzie: • type - oznacza typy kanału, czyli SIP, Zap, IAX itd. 48 • identifier - oznacza numer abonenta (rozszerzenie), który jest wybrany. Typ kanału może posiadać parametry, które również oddzielane są od siebie za pomocą znaku ukośnika - „/”. W ten sposób zapis SIP/101 oznacza „wybierz numer 101 korzystając z kanału SIP”, zaś instrukcja Zap/g1/101 - „wybierz numer 101 korzystając z kanału Zap grupy 1”. W przypadku instrukcji zapisanej jako: IAX2/1234:[email protected]/101@extern żądany abonent skojarzony jest dodatkowo z zewnętrznym adresem IP i taki zapis oznacza: „wybierz numer 101 korzystając z kanału IAX na serwerze IAX o numerze IP 192.168.1.12, a następnie dokonane rejestracji jako użytkownik 1234 posiadający hasło 4567, wybierając tam do obsługi kontekst extern.), • timeout – czas kontrolny (wyrażony w sekundach), po upłynięciu którego podejmowane jest przez serwer określone działanie, • options – parametr oznaczający zbiór opcji, które można wykorzystać wraz z poleceniem Dial. Najważniejsze opcje wykorzystywane w poleceniu Dial: • t: pozwolenie abonentowi żądanemu na przekazanie połączenia, • T: pozwolenie abonentowi wywołującemu na transfer połączenia, • r: wymuszenie generowania sygnału dzwonka po stronie abonenta żądanego (do chwili podniesienia mikrotelefonu), • m: odtwarzanie fragmentu muzycznego do chwili wykonania innego działania lub upłynięcia czasu kontrolnego, • g: wykonanie kolejnego polecenia zapisanego w niniejszym kontekście • A(x): odtworzenie zapowiedzi x (zapisanej w pliku o rozszerzeniu *.gsm). W schemacie połączeń można, podobnie jak w skrypcie powłoki, ustawiać zmienne oraz stosować zmiennych systemowe. Najważniejszą zmienną jest ${EXTEN}, która zawiera żądane rozszerzenie. Można z niej łatwo korzystać w połączeniu z wzorcami rozszerzeń. Dzięki temu np. instrukcja exten => _X.,1,Dial(SIP/${EXTEN}) oznacza „wybór żądanego numeru z wykorzystaniem kanału SIP”. 5.3. Typy zastosowanych bram VoIP Do testów wytypowano trzy modele bramek VoIP: Yuxin YGW-20, Linksys PAP-2, Grandstream HandyTone 488. Podstawowym kryterium wyboru poszczególnych modeli było: • zapewnienie obsługi różnych protokołów komunikacyjnych VoIP, • zapewnienie obsługi różnych typów kodeków, • wykorzystanie do testów bramek, których konstrukcja oparta jest na różnych układach sterujących (chipsetach). 49 Testowane bramki dołączane są za pośrednictwem portu Ethernet do sieci LAN, umożliwiając w ten sposób komunikację z serwerem VoIP. W najprostszej konfiguracji bramki te mogą być dołączane do dowolnego urządzenia wyposażonego w interfejs Ethernet i zapewniającego pośredni lub bezpośrednio dostęp do sieci transmisji danych w tym sieci Internet. Przykładem tego typu urządzenia w małych sieciach LAN (warunki domowe lub niewielkie biura) jest modem xDSL, router lub hub, zaś w większych sieciach dołączenie do infrastruktury sieciowej może mieć miejsce za pośrednictwem przełączników (Ethernet). Jednocześnie podstawowym zadaniem bram VoIP jest konwersja wiadomości sygnalizacyjnych oraz sygnału użytkowego z postaci analogowej na postać pakietową oraz w kierunku przeciwnym, stąd badane bramy wyposażone były także w porty umożliwiające dołączenie aparatów analogowych – tzw. porty FXS lub dodatkowo w porty umożliwiające dołączenie bramki VoIP do centrali PSTN/ISDN (lub PBX) – tzw. porty FXO. Modem xDSL FXS LAN WAN bramka VoIP Rys. 14. Przykładowe wykorzystanie bramek VoIP w rozwiązaniach segmentu SOHO FXS FXS Telefon IP Przełącznik LAN Rys. 15. Przykładowe wykorzystanie bramek VoIP w sieciach korporacyjnych W zależności od wyposażenia w porty abonenckie, LAN i WAN bramy VoIP mogą być wykorzystywane w rozwiązaniach sieciowych o różnej skali złożoności. Bramki wyposażone do kilku portów FXS, FXO lub BRI (najczęściej 4 porty FXS, po jednym porcie FXO lub BRI) są najczęściej stosowane w niewielkich rozwiązaniach segmentu SOHO (Small Offices Home Offices) lub do rozbudowy obecnie istniejących systemów telekomunikacyjnych w korporacjach. Większe rozwiązania w zakresie bram VoIP wymagają zastosowania po stronie sieci ISDN/PSTN agregacji kanałów użytkowych i sygnalizacyjnych, które są konwertowane na 50 postać pakietową. W tym celu stosowane są najczęściej porty PRI, zaś w rozwiązaniach klasy operatorskiej również interfejs V5.2. Charakterystyka zastosowanych do testów bramek została przedstawiona w tablicy. Tabl. 1. Właściwości bramek VoIP zastosowanych w badaniach Właściwości Liczba portów Ethernet Liczba portów FXS RJ-11 Liczba portów FXO RJ11 Obsługa protokołów: Obsługa kodeków Możliwość aktualizacji oprogramowania przez użytkownika Zdalna konfiguracja (za pomocą przeglądarki WWW/serwera TFTP) Obsługa DHCP Obsługa NAT funkcji routowania Właściwości audio oraz YuxinYGW-20 2 1 Linksys PAP-2 1 2 0 Grandstream HT 488 2 1 0 1 H.323 v4, MGCP RFC 2705, SIP RFC 3261, Net2Phone IAX2 G.711 (u-Law i A-Law), G.723.1, G.729A/B, GSM, iLBC SIP RFC 3261 SIP RFC 3261 G.711(u-Law i A-Law), G.723.1, G.726, G.729A/B, G.711(u-Law i A-Law), G.723.1, G.729A/B, GSM, iLBC TAK NIE TAK WWW/TFTP WWW WWW/TFTP TAK (Klient/Serwer) TAK (Klient) TAK (Klient/Serwer) TAK NIE TAK Detekcja ciszy Generowanie szumu Redukcja efektu echa Detekcja ciszy Generowanie szumu Detekcja ciszy Generowanie szumu 5.4. Typy zastosowanych telefonów IP W testowym rozwiązaniu zastosowano telefony ATCOM oraz Cisco 7905. ATCOM jest uniwersalnym telefonem IP obsługującym większość stosowanych obecnie protokołów VoIP. Znajdują się wśród nich: SIP, MGCP, H.323, Net2Phone, IAX2. Ponadto został wyposażony w 1 portowy switch 10/100, umożliwiający dołączenie do sieci LAN w sumie dwóch urządzeń (np. dodatkowo komputera) zajmując tylko jedno gniazdo Ethernet. Z kolei firmowe rozwiązania Cisco dla telefonii IP są tworzone za pośrednictwem otwartej architektury AVVID i programów obejmujących interfejsy TAPI, JTAPI i XML. Dla tych aplikacji Cisco oferuje: multimedialne rozwiązanie Cisco IP Contact Center, serwer zapowiedzi słownych Cisco IP-IVR (wyposażony w możliwość syntezy i rozpoznawania mowy), pocztę głosową Cisco Unity z możliwością odsłuchiwania poczty e-mail przez telefon oraz odbierania wiadomości głosowych poprzez pocztę elektroniczną. Podstawą działania tych produktów IP (platforma Windows) jest oprogramowanie Cisco Call Manager, które realizuje funkcje tradycyjnej centrali lokalnej, zestawiając połączenia między telefonami IP lub za pośrednictwem odpowiednich bramek z tradycyjnym aparatem telefonicznym. Obok telefonów IP takich jak model 7905, do realizacji połączeń głosowych za pomocą komputerów PC Cisco oferuje własne oprogramowanie SoftPhone. Charakterystyka obu aparatów telefonicznych znajduje się w tablicy (Tabl. 2Tabl. 2 Tabl. 2. Właściwości telefonów IP zastosowanych w badaniach Właściwości Liczba portów Ethernet Cisco 7905 ATCOM 1 do dołączeni do sieci LAN + 1 do 1 51 Obsługa protokołów: Obsługa kodeków Możliwość aktualizacji oprogramowania przez użytkownika Zdalna konfiguracja (za pomocą przeglądarki WWW/serwera TFTP) Obsługa DHCP Obsługa NAT oraz funkcji routingu Właściwości audio H.323 v4, SIP, Skinny G.723.1, G.729A/B, G.711 (u-Law i A-Law), G.726 dołączenia innego urządzenia H.323 v4, MGCP RFC2705, SIP RFC3261, Net2phone, IAX2 G.723.1, G.729A/B, G.711(u-Law i A-Law), GSM TAK (oprogramowanie jest płatne) TAK TAK TAK TAK TAK NIE TAK • • • • • VAD automatyczne wykrywanie głosu, CNG generator szumów, AGC automatyczna regulacja poziomu sygnału dynamiczny bufor głosowy (Voice Jitter), redukcja echa (G.168), • • • automatyczne wykrywanie ciszy dynamiczny bufor głosowy (Voice Jitter), redukcja echa, 5.5. Testy wydajności 5.5.1. Środowisko testowe i jego właściwości Testy sprawności implementacji platformy VoIP zrealizowano w oparciu o zasoby laboratorium Instytutu Łączności. Podstawowym celem testów sprawności było określenie wydajności platformy VoIP we współpracy z siecią PSTN. Wydajność implementacji jest tutaj rozumiana jako określenie liczby skutecznych połączeń zestawianych: • z sieci PSTN do użytkowników platformy VoIP, • od użytkowników platformy VoIP do sieci PSTN, • w obrębie implementacji platformy VoIP. W ramach testów wydajności sprawdzono również inne cechy systemu, które będą miały wpływ na funkcjonowanie docelowej implementacji VoIP w IŁ. Do najważniejszych z nich należy stabilność implementacji, która w sposób zasadniczy zależy platformy sprzętowej oraz systemu operacyjnego. Pod tym kątem sprawdzono implementacje serwera Asterisk uruchamiając go w systemie Linux, wykorzystując kolejno dystrybucje: Mandrake 10.0, Red Hat 9.0 oraz Fedora Core 3. Najwyższą stabilność platformy, rozumianą tutaj jako brak zakłóceń w dostępności usług serwera uzyskano w systemach Red Hat 9.0 oraz Fedora Core 3. Środowisko testowe implementacji VoIP było złożone z centrali PSTN/ISDN DGT 3450 oraz dołączonego do niej za pomocą interfejsu V5.2 systemu dostępowego. Do badań wykorzystywane były wyposażenia abonenckie obsługiwane zarówno przez centralę oraz system dostępowy. Do dołączenia platformy VoIP do laboratoryjnej sieci PSTN wykorzystywane jest dostęp pierwotny ISDN (ISDN PRA). Do generowania wywołań wykorzystywane były: • generator wywołań Anritsu EF111A, 52 • oprogramowanie generatora wywołań SIPp do generowania wywołań abonentów z obsługą protokołu SIP, • wbudowany generator wywołań Asterisk do generowania wywołań abonentów z obsługą protokołu IAX2. W celu określenia wpływu elementów środowiska testowego na skuteczność zestawiania połączeń wykonano badania ruchowe, w których wykorzystano wyposażenia abonenckie abonentów centrali testowej DGT 3450, w tym abonentów dołączonych do tej centrali za pośrednictwem sieci dostępowej. Badania ruchowe zrealizowano w dwóch wariantach: • ruch generowany przez użytkowników centrali jest kierowany do użytkowników tej samej centrali, tj. ruch testowy zamyka się w obrębie centrali testowej, zaś sterowanie procesem generowania połączeń oraz procesem odpowiadania na te połączenia pozostaje w gestii generatora wywołań i oba te procesy są synchronizowane przez generator, • ruch testowy zamyka się w obrębie centrali testowej, zaś proces generowania połączeń oraz proces odpowiadania na te połączenia nie są synchronizowane przez generator. W pierwszym przypadku zapewnienie synchronizacji procesów generowania i odpowiadania na przychodzące wywołania leży po stronie generatora wywołań (tzw. „konfiguracja typu A”). Za pomocą wewnętrznych procedur synchronizacji tych procesów oraz rozpoznawania sygnalizacji na analogowym łączu abonenckim tworzona jest statystyka wygenerowanych wywołań, wywołań przychodzących, jak również błędów obserwowanych na łączu abonenckim. Zastosowanie tego typu konfiguracji generatora wywołań wymaga jednak, aby zakończenie pętli analogowej zarówno użytkownika wywołującego jak i wywoływanego było zlokalizowane w generatorze wywołań. W trakcie testów było to możliwe tylko wówczas, gdy: generowany ruch zamykał się w obrębie centrali sieci PSTN (omawiana centrala DGT 3450) lub w przypadku, gdy została zapewniona konwersja wiadomości sygnalizacyjnych oraz sygnału użytkowego z sieci PSTN ona platformę VoIP oraz powtórnie z platformy VoIP do sieci PSTN. Zastosowanie konfiguracji, w której użytkownicy wywołujący generują ruch z sieci PSTN, zaś użytkownicy wywoływani są abonentami platformy VoIP, uniemożliwia wykorzystanie synchronizacji procesów obsługi wychodzących i przychodzących wywołań za pomocą generatora wywołań. W tym przypadku stosowana jest konfiguracja typu B generatora wywołań, która zakłada rozpoznawanie stanu połączenia jedynie w oparciu o zdarzenia obserwowane przez przyrząd pomiarowy w łączu abonenckim. 5.5.2. Zestawienie testów Zasadniczym celem testowania implementacji platformy Asterisk była ocena stabilności pracy w trakcie generowania masowych wywołań oraz ocena współpracy w tych warunkach z bramkami VoIP i centralą PSTN/ISDN (za pośrednictwem karty zainstalowanej w serwerze Asterisk). W ramach badań wydajnościowych oraz testów współpracy wykonano następujące badania: • Badanie wydajności centrali DGT 3450 w celu określenia liczby oraz przyczyn nieskutecznych połączeń, które mogą mieć wpływ na współpracę pomiędzy serwerem VoIP oraz typowym systemem komutacyjnym, 53 • Badanie wydajności serwera Asterisk oraz poprawności współpracy z testową centralą PSTN/ISDN. Ruch kierowany jest do serwera oraz w kierunku przeciwnym z wykorzystaniem łącza dostępowego ISDN PRA. • Badanie wydajności serwera Asterisk oraz poprawności współpracy z bramkami VoIP. Ruch z sieci PSTN jest przenoszony za pomocą łącza PRA do użytkowników dołączonych za pośrednictwem bramek VoIP. Dodatkowo, dokładany jest w tym badaniu ruch jak w poprzednim przypadku testowym. • Badanie wydajności serwera Asterisk jako odzewnika. Ruch z sieci PSTN jest kierowany do systemowego odzewnika (funkcja serwera) obsługiwanego przez Asterisk (+ruch od abonentów LE do ab. na bramkach VoIP) scenariusz ASTER i scenariusz KODZF1, konfiguracja B. • Ruch w obrębie abonentów LE (scenariusz ASTER) dla określenia tła pomiarów, w konfiguracji B • Badanie ruchu generowanego przez użytkowników SIP w sieci LAN z rejestracją w serwerze Asterisk. 5.5.3. Badania wydajności centrali DGT 3450 Konfiguracja Do testów wykorzystano centralę DGT 3450 oraz generator wywołań Anritsu EF111A, działający w konfiguracji typu Abonenci wywołujący oraz abonenci wywoływani byli abonentami badanej centrali, natomiast byli dołączeni za pośrednictwem systemu dostępowego. Schemat konfiguracji badaniowej został zamieszczony na rysunku. Użytkownicy wywołujący (strona A) 9 łączy analogowych Testowa centrala telefoniczna Generator połączeń 9 łączy analogowych Użytkownicy wywoływani (strona B) Rys. 16. Konfiguracja testowa zakładająca generowanie wywołań pomiędzy abonentami tej samej testowej centrali PSTN (Konfiguracja1) Opis badania Zasadniczym celem testów wydajnościowych centrali w tej konfiguracji było oszacowanie liczby nieskutecznych połączeń oraz ich przyczyn, które mogą pojawić się w trakcie współpracy badanej centrali oraz implementacji serwera VoIP. W ramach testów wydajności wykonano 10104 połączenia głosowe z wykorzystaniem generatora wywołań. Abonenci wywołujący zostali podzieleni na trzy grupy. Abonenci należący do każdej z tych grup inicjowali połączenia o zadanym czasie trwania. W danej grupie czas trwania połączenia był jednakowy. Wyniki badania Warunki oraz wyniki testów zamieszczono w tablicy. 54 Tabl. 3. Wyniki badań skuteczności zestawiania połączeń pomiędzy abonentami centrali PSTN/ISDN Liczba linii Czas trwania Liczba Liczba połączeń Liczba połączeń abonenckich w połączenia (s) wygenerowanych skutecznych nieskutecznych grupie połączeń 3 30 5094 5089 5 3 60 3204 3203 1 3 120 1806 1804 2 RAZEM 9 10104 10096 8 Skuteczność zestawiania połączeń mierzona jako stosunek liczby połączeń skutecznych do liczby połączeń nieskutecznych wyniosła w tym badaniu 99,92%. Przyczyną błędów, powodujących zaliczenie połączeń do grupy nieskutecznych był brak sygnału zgłoszenia (przyczyna 51% nieskutecznych połączeń) oraz brak zwrotnego sygnału wywołania (przyczyna ok. 49% nieskutecznych połączeń). 5.5.4. Ruch inicjowany przez abonentów dołączonych do centrali PSTN/ISDN oraz kierowany z wykorzystaniem łącza ISDN PRI do serwera Asterisk i ponownie kierowany do sieci PSTN/ISDN Konfiguracja Badania wydajności implementacji serwera VoIP przeprowadzono w kilku konfiguracjach w celu zbadania wpływu poszczególnych elementów architektury na stabilność pracy serwera. Pierwsza z konfiguracji testowych obejmowała testy serwera Asterisk dołączonego do sieci ISDN za pośrednictwem łącza dostępu pierwotnego. W badaniach tych wykorzystano testową centralę PSTN/ISDN oraz generator wywołań dołączony do tej centrali. Przyjęto założenie, że ruch generowany przez abonentów centrali będzie kierowany na łącze PRI, obsługiwane przez serwer VoIP wyposażony w kartę ISDN PRI. Z kolei ruch przychodzący był kierowany po stronie serwera z powrotem na łącze dostępowe do centrali PSTN/ISDN. Taka konfiguracja umożliwiła zbadanie wpływu obsługi znacznej liczby wywołań na stabilność pracy implementacji serwera VoIP w współpracy z kartą ISDN Digium TE100P. Schemat środowiska pomiarowego przedstawiono na rysunku. Rys. 17. Konfiguracja testowa zakładająca generowanie wywołań przez abonentów PSTN, kierowanie ich do serwera VoIP a następnie z powrotem do centrali PSTN/ISDN Opis badania 55 Podstawowym celem badania implementacji VoIP w ww. konfiguracji było sprawdzenie stabilności pracy oraz współpracy oprogramowania serwera z kartą ISDN, która zapewniała obsługę łącza dostępowego do centrali PSTN/ISDN. W tej konfiguracji serwer VoIP uruchomiony na komputerze wyposażonym w kartę ISDN zapewniał jednocześnie realizację funkcji bramy VoIP do sieci PSTN/ISDN. W ramach testu wygenerowano 6763 wywołań korzystając z generatora wywołań dołączonego do testowej centrali PSTN/ISDN. Wyniki zamieszczono w tablicy. Tabl. 4. Wyniki badań skuteczności zestawiania połączeń pomiędzy abonentami centrali PSTN/ISDN z wykorzystaniem serwera VoIP w roli węzła pośredniczącego dołączonego poprzez interfejs PRI Liczba linii Czas trwania Liczba Liczba połączeń Liczba połączeń abonenckich w połączenia (s) wygenerowanych skutecznych nieskutecznych grupie połączeń 3 30 6763 6756 7 RAZEM 6763 6756 7 Podobnie, jak w poprzednich przypadkach testowych skuteczność zestawiania połączeń mierzona jako stosunek liczby wywołań skutecznych do liczby wywołań nieskutecznych wyniosła w tym badaniu 99,90%. Przyczyną błędów, powodujących zaliczenie danego wywołania do grupy nieskutecznych był brak zwrotnego sygnału wywołania (przyczyna 100% nieskutecznych połączeń) w trakcie zestawiania połączenia. W badaniach wykorzystywane jedynie 3 linie abonenckie przypisane do abonentów inicjujących połączenia oraz kolejne 3 przypisane do abonentów wywoływanych, ponieważ, jak ustalono w trakcie próbnych wywołań masowych, próba jednoczesnego zajęcia liczby kanałów na łączu pierwotnym ISDN większej niż 3 w kierunku od serwera VoIP do centrali, kończyła się niepowodzeniem. Objawiało się to na poziomie wymiany wiadomości trzeciej warstwy sygnalizacji DSS1 poprzez przesłanie wiadomości DISCONNECT w odpowiedzi na wysłaną do centrali wiadomość SETUP. Wskazywaną w wiadomości przyczyną odrzucenia przez centralę żądania zestawienia połączenia był brak nierozpoznany numer abonenta żądanego. 5.5.5. Testy w oparciu o ruch generowany do użytkowników PSTN dołączonych do bramek VoIP Konfiguracja W tej konfiguracji badaniowej użytkownicy inicjujący wywołania byli abonentami dołączonymi do wyposażeń analogowych testowej centrali PSTN/ISDN, natomiast abonenci wywoływani dołączeni byli do analogowych portów bramek VoIP, które z kolei dołączone były do sieci LAN i obsługiwane przez serwer Asterisk. Konfiguracja badaniowa zastosowana w tym przypadku została pokazana na rysunku (Rys. 18). W celu sprawdzenia wpływu obsługi przez serwer VoIP dodatkowego ruchu, obok użytkowników dołączonych do bramek, uwzględniono również zbiór abonentów wywoływanych, którzy dołączeni byli do wyposażeń analogowych centrali (podobnie, jak w konfiguracji opisywanej w poprzednim punkcie). W tym przypadku część ruchu przychodzącego do serwera Asterisk, stanowiącego (dzięki zainstalowanej karcie rozszerzenia z interfejsem ISDN PRI) jednocześnie bramę VoIP, kierowana była z powrotem na łącze dostępowe do centrali PSTN/ISDN. Wykorzystanie w badaniach ruchu kierowanego z powrotem do centrali testowej miało na celu sprawdzenie wpływu dodatkowego obciążenia na obsługę użytkowników platformy Asterisk. Powyższą konfigurację, zakładającą 56 zastosowanie jedynie portów FXS bramek VoIP do dołączenia abonentów wywoływanych (w tej roli generator wywołań) przedstawiono na rysunku (Rys. 19). Abonenci wywołujący (strona A) 4 linie analogowe Testowa centrala telefoniczna 4 linie analogowe Generator połączeń Abonenci wywoływani (strona B) Łącze ISDN PRI Bramki VoIP z portami analogowymi (FXS) Serwer VoIP (Asterisk) LAN (Ethernet) – 100 Mbit/s Rys. 18. Konfiguracja testowa zakładająca dołączenie abonentów wywoływanych (generator wywołań) do portów analogowych bramek VoIP Kolejny rysunek przedstawia schemat konfiguracji testowej, która uwzględnia wykorzystanie łącza ISDN PRA również do obsługi ruchu w kierunku centrali PSTN/ISDN, do której przypisani są również abonenci wywoływani. Abonenci wywołujący (strona A) 6 linii analogowych Testowa centrala telefoniczna 2 linie analogowe 4 linie analogowe Generator połączeń Abonenci wywoływani (strona B) Łącze ISDN PRI Bramki VoIP z portami analogowymi (FXS) Serwer VoIP (Asterisk) LAN (Ethernet) – 100 Mbit/s Rys. 19. Konfiguracja testowa zakładająca dołączenie abonentów wywoływanych (generator wywołań) do portów analogowych bramek VoIP oraz centrali PSTN/ISDN 57 Opis badania W pierwszym z opisywanych przypadków zasadniczym celem badania było sprawdzenie skuteczności zestawiania połączeń do abonentów, którzy dołączeni zostali do portów FXS bramek VoIP. Znając wyniki uzyskane w testach zrealizowanych w poprzedniej konfiguracji możliwa była ocena wpływu bramek na skuteczność zestawiania połączeń. Następnie w tych samych warunkach badaniowych włączono ruch kierowany z powrotem do centrali PSTN/ISDN. Tabl. 5 przedstawia wyniki badań otrzymane w pierwszym z przypadków. Tabl. 5. Wyniki badań skuteczności zestawiania połączeń pomiędzy abonentami centrali PSTN/ISDN oraz abonentami serwera VoIP dołączonymi do bram VoIP Liczba linii Czas trwania Liczba Liczba połączeń Liczba połączeń abonenckich w połączenia (s) wygenerowanych skutecznych nieskutecznych grupie połączeń 1 30 2204 2204 0 (YGW-20) 1 30 2808 1404 1404 (PAP-2) 1 60 1404 1404 0 (PAP-2) 1 60 1425 1424 1 (HT 488) RAZEM 7841 6463 1405 Przy uwzględnieniu ruchu kierowanego do serwera Asterisk a następnie z powrotem do testowej centrali PSTN/ISDN (obciążającego serwer VoIP) wyniki nie zmieniły się w sposób znaczący. Rezultaty dla badań e tej konfiguracji zamieszczono w tabeli (Tabl. 6). Tabl. 6. Wyniki badań skuteczności zestawiania połączeń w relacji abonenci PSTN/ISDN - abonenci VoIP dołączonymi do bramek oraz abonenci PSTN/ISDN - abonenci PSTN/ISDN Liczba linii Czas trwania Liczba Liczba połączeń Liczba połączeń abonenckich w połączenia (s) wygenerowanych skutecznych nieskutecznych grupie połączeń 1 30 981 981 0 (YGW-20) 1 30 1295 542 753 (PAP-2) 1 60 541 540 1 (PAP-2) 1 60 675 675 0 (HT 488) 2 (abonenci 60 1330 1328 2 centrali PSTN/ISDN) RAZEM 4822 4066 756 58 Zarówno w pierwszym (50%) jak i w drugim (41,85%) przypadku zaobserwowano niską skuteczność zestawiania połączeń do abonentów dołączonych do jednego z portów FXS bramki PAP-2. Bramka ta dysponuje dwoma portami FXS i wyniki otrzymane w trakcie generowania ruchu do tej bramki wskazują na brak możliwości do skutecznej obsługi wywołań masowych generowanych do portów analogowych (czas przerwy pomiędzy zakończeniem jednego i rozpoczęciem kolejnego połączenia wynosił 15 sekund). Poza tym przypadkiem wartość parametru skuteczności nie odbiegała znacząco od wartości obserwowanych dla połączeń pomiędzy abonentami centrali PSTN/ISDN, także z wykorzystaniem pośredniczącej roli serwera VoIP, gdzie była ona bliska 99,99%. Wskazuje to jednoznacznie na wadę omawianej bramki. 5.5.6. Testy skuteczności zestawiania połączeń do serwera VoIP, do abonenta pełniącego rolę uniwersalnego odzewnika Konfiguracja Zdolność serwera VoIP do obsługi wywołań masowych zależy zarówno od wydajności platformy sprzętowej jak również od oprogramowania. Zaproponowane wcześniej badania nie angażowały liczby połączeń, która mogłaby wpłynąć na ograniczenie wydajności serwera. W tym celu zaproponowano badanie, które polegało na generowaniu połączeń od abonentów centrali PSTN/ISDN do serwera Asterisk, na którym utworzono użytkownika, realizującego funkcje uniwersalnego odzewnika. Zadanie to polegało na akceptowaniu przychodzących wywołań i odtwarzaniu w kanale rozmównym sygnału o częstotliwości 1000Hz. Rys. 20. Konfiguracja testowa zakładająca realizację wywołań przez abonentów analogowych oraz ich akceptację przez odzewnik Opis badania Podobnie jak w opisanych wcześniej badaniach, również w tym przypadku wywołania były generowane przez generator dołączony do analogowych wyposażeń abonenckich centrali PSTN/ISDN. Posługując się plikami konfiguracyjnymi serwera Asterisk utworzono numer abonenta przypisując listę działań podejmowanych przez serwer w trakcie obsługi połączenia przychodzącego do tego abonenta. Ze względu na fakt, iż abonent wywoływany był skojarzony z numerem obsługiwanym przez oprogramowanie serwera, nie było możliwe zastosowanie generatora wywołań w konfiguracji A, która zakłada synchronizację procesów generowania połączeń wychodzących oraz obsługi połączeń przychodzących za pomocą wewnętrznych procedur tego urządzenia. Zastosowana w tym badaniu konfiguracja generatora wywołań (Konfiguracja typu B) zapewnia detekcję zestawionego połączenia jedynie w oparciu o odbierany sygnał o określonej częstotliwości. Dla porównania wykonano serię połączeń pomiędzy abonentami centrali PSTN/ISDN (funkcję abonentów wywołujących oraz wywoływanych pełnił generator wywołań) z wykorzystaniem ww. konfiguracji generatora wywołań. Tablice (Tabl. 7 i Tabl. 8) przedstawiają wyniki otrzymane w tych próbach. 59 Tabl. 7. Wyniki badań skuteczności zestawiania połączeń w relacji abonenci PSTN/ISDN – odzewnik VoIP (generator wywołań w konfiguracji typu B) Liczba linii Czas trwania Liczba Liczba połączeń Liczba połączeń abonenckich w połączenia (s) wygenerowanych skutecznych nieskutecznych grupie połączeń 5 30 30 089 29 962 127 6 30 19 079 18 984 95 5 120 9 174 9 136 38 RAZEM 58 342 58 082 260 SKUTECZNOŚĆ 99,55% Tabl. 8. Wyniki badań skuteczności zestawiania połączeń pomiędzy abonentami centrali PSTN/ISDN (generator wywołań w konfiguracji typu B) Liczba linii Czas trwania Liczba Liczba połączeń Liczba połączeń abonenckich w połączenia (s) wygenerowanych skutecznych nieskutecznych grupie połączeń 6 30 5 544 5 539 5 5 60 3 276 3 268 8 1 120 399 399 0 RAZEM 9 219 9 206 13 SKUTECZNOŚĆ 99,86% Dla połączeń terminowanych w odzewniku VoIP skuteczność zestawiania połączeń wyniosła 99,55%, podczas gdy w przypadku analogicznej konfiguracji generatora wywołań oraz połączeń zestawianych jedynie pomiędzy abonentami centrali PSTN/ISDN skuteczność wyniosła 99,86%. W pierwszym przypadku zdecydowana większość błędów (98,48%) była spowodowana brakiem detekcji sygnału po stronie abonenta wywołującego. Oznacza to, że błędy były spowodowane następującymi zdarzeniami: • odzewnik nie wygenerował kontrolnego tonu (1000Hz) np. ze względu na brak dostępnych zasobów sprzętowych, • generator wywołań nie rozpoznał nadawanego tonu kontrolnego np. ze względu na przekłamania spowodowane kompresją i pakietyzacją dźwięku. Pozostałe błędy (tj. 1,52% wszystkich błędów) były spowodowane brakiem sygnału zgłoszenia centrali, do której dołączony był generator wywołań oraz brakiem zwrotnego sygnału wywołania, co wskazuje na centralę testową jako źródło tego typu błędów. Wyniki otrzymane w ramach drugiego z rozważanych w tym punkcie przypadków testowych wskazują, iż tutaj w 92,31% zaobserwowanych błędów przyczyna była tak sama, zaś tylko jedno nieskuteczne wywołanie było spowodowane brakiem sygnału zgłoszenia centrali. 5.5.7. Testy skuteczności zestawiania połączeń pomiędzy użytkownikami serwera VoIP wykorzystującymi do komunikacji protokół SIP Konfiguracja Zakładając, że podstawowym protokołem komunikacyjnym w docelowej implementacji VoIP w infrastrukturze informatycznej IŁ będzie protokół SIP, wykonano również testy polegające na obciążeniu serwera Asterisk przychodzącymi wywołaniami pochodzącymi od abonentów SIP. Do generowania masowych wywołań wykorzystano oprogramowanie SIPp stworzone przez firmę Hewlett Packard i dostępne w ramach otwartej licencji. 60 Rys. 21. Konfiguracja do badań skuteczności zestawiania sesji protokołu SIP Opis badania Wszystkie wywołania były generowane przez jednego agenta UAC. Każde połączenie było wyróżnione na podstawie unikalnego identyfikatora połączenia. Oprogramowanie SIPp, które było wykorzystywane do emulacji agenta użytkownika, umożliwia dowolne kształtowanie wiadomości generowanych w ramach połączenia, w tym parametryzowania wartości pól takich, jak identyfikator połączenia. Wyniki próby zamieszczono w tablicy (Tabl. 9). Tabl. 9. Wyniki badań skuteczności zestawiania połączeń pomiędzy abonentami SIP Liczba linii Czas trwania Liczba Liczba połączeń Liczba połączeń abonenckich w połączenia (s) wygenerowanych skutecznych nieskutecznych grupie połączeń 1 2 wywołania/1s 16 139 16 103 36 RAZEM 16 139 16 103 36 SKUTECZNOŚĆ 99,78 61 6. Usługi IM (Instant Messaging) IM to usługa polegająca na natychmiastowym przesyłaniu komunikatów i informacji o obecności w sieci między użytkownikami za pomocą przeznaczonych do tego programów komunikatorów. Usługi IM to forma internetowej komunikacji, która łączy użytkowników w czasie rzeczywistym za pomocą połączeń peer-to-peer lub za pośrednictwem centralnego serwera. Cały czas mamy do czynienia z typową dla Internetu architekturą klient-serwer, ponieważ nawet łączące się bezpośrednio systemy IM (jak ICQ) w momencie nawiązywania połączenia używają centralnego serwera do pobierania informacji o tym, którzy użytkownicy są dostępni. Usługi IM stały się dogodnym środkiem komunikacji i wymiany plików. Pozwalają dowiedzieć się czy osoby z listy kontaktów są dostępne i natychmiast wysyłać do nich informacje. IM umożliwia natychmiastową wymianę wiadomości tekstowych, śledzenie obecności kontaktów i rozmowy grupowe. Instant Messaging naprawdę pojawiło się na scenie Internetu w listopadzie 1996, kiedy Mirabilis - firma założona przez czterech izraelskich programistów - wprowadziła ICQ, darmowe system IM, dostępny dla wszystkich w Internecie. Twórcy ICQ zauważyli, że ludzie łączą się z Internetem w bierny sposób, korzystają z zawartości na stronach WWW, ale nie są połączeni ze sobą. Popularność komunikatora IRC oraz wady poczty elektronicznej pozwalały na stworzenie nowej usługi. Pomysł ten okazał się strzałem w dziesiątkę. W ciągu 6 miesięcy na serwerze Mirabilis zarejestrowało się 850 tysięcy użytkowników. Do czerwca 1997 ICQ było w stanie połączyć naraz milion użytkowników i stało się największą internetową siecią komunikacyjną. Sukces ten stał się wyzwaniem dla internetowych potentatów, którzy natychmiast rozpoczęli prace nad własnymi systemami IM. Najważniejsi z nich to AOL (AOL Instant Messanger - AIM), Microsoft (MSN Messanger) oraz Yahoo! (Yahoo! Messanger). ICQ jest nadal niezwykle popularny i wciąż jest rozwijany, stał się częścią zestawu usług AOL. Podobną popularnością cieszy się AIM, który podobnie jak wszystkie ważniejsze systemy IM stosuje zastrzeżony protokół. Usługi IM wciąż mają olbrzymi potencjał rozwoju, istniejące systemy stale są rozwijane. Liczba użytkowników Internetu stale rośnie i zwiększają się także ich wymagania. IETF (Internet Engineering Task Force) rozwija standardowy protokół dla IM, tzw. IMPP (Instant Messaging Presence Protocol). Dla rynku korporacyjnego najważniejsza okazała się możliwość odbywania wirtualnych konferencji i współpracy zarówno pomiędzy grupami roboczymi jak i pojedynczymi ludźmi. Istnieje tam jednak zupełnie inne podejście do kwestii bezpieczeństwa przesyłanych danych jak również samej sieci narażonej przez używanie systemów IM. Bardzo często zamyka się te usługi wewnątrz firmowych intranetów. Fakt, że IM nie jest uważany za bezpieczną metodę komunikacji wydaje się nie martwić indywidualnych użytkowników. Tylko w instytucjach wymagających wysokiego poziomu bezpieczeństwa pojawiły się sieci IM zamknięte w LAN-ach stosujące dość zaawansowane techniki szyfrowania i uwierzytelniania. Wiadomości i informacja o połączeniu znajdują się na serwerze kontrolowanym przez firmę udostępniającą usługi IM. Większość systemów dostarcza pewnego poziomu szyfrowania, ale nie na tyle bezpiecznego, żeby ryzykować wysyłanie poufnych informacji. 62 6.1. Przegląd najpopularniejszych komunikatorów Najpopularniejsze sieci IM na świecie to: ICQ (I Seek You) Jest to program, od którego zaczęła się historia usług IM.. Opracowano tu technologię, która umożliwiała użytkownikom Internetu zlokalizować innych i stworzyć łatwo kanały komunikacji P2P (point to point). ICQ tradycyjnie jest w czołówce rozwoju funkcjonalności usług IM, ma opinię najlepszego komunikatora o zasięgu światowym. Po raz pierwszy wprowadzono tu transfer plików i rozbudowany system katalogu społeczności użytkowników. Jest dobrze opracowana pomoc. Są też konferencje, gry online oraz - wysyłanie sms-ów (do prawie każdego operatora na świecie, niestety nie dotyczy to Polski). AOL Instant Messenger (AIM) Jego popularność wynika najprawdopodobniej z wielkiej ilości użytkowników sieci AOL. Łatwy w użyciu z wieloma możliwościami, także z możliwością rozmowy głosowej na wykorzystującej aplikacje VoIP dedykowane dla komputerów PC i Mac. MSN Messenger Obecnie dostępne są wersje dla systemu Windows oraz systemu Mac OS. Podobnie, jak AIM jest on narażony na wirusy komputerowe , które mogą być także transmitowane przez tą usługę. MSN Messenger integruje się łatwo z usługą Hotmail. Umożliwia transfer plików, rozmowy głosowe (VoIP), wysyłanie wiadomości na pager i telefon komórkowy. Yahoo Messenger Yahoo! Messenger jest bogatym w możliwości programem klienckim IM firmowanym przez portal Yahoo!. Oferuje usługę rozmowy głosowej, gier online i współdzielenia kamery internetowej. Posiada także pewną liczbę klientów na inne systemy operacyjne i platformy, oprócz tego oferuje tanie rozmowy telefoniczne poprzez swoje programy klienckie IM dla Windows. Gadu-Gadu Gadu-Gadu to popularny polski komunikator internetowy dla systemu Windows, tworzony przez firmę Gadu-Gadu sp. z o.o. Udostępnia między innymi możliwość przesyłania plików, prowadzenia konferencji i rozmów głosowych. Jest programem typu „adware”, przez co korzystający z niego zmuszeni są do oglądania reklam. Wykorzystuje własny (zamknięty) protokół komunikacji i nie posiada zabezpieczeń autoryzacji użytkownika. Od wersji 6.0, eksperymentalnie, umożliwia szyfrowanie połączenia za pomocą protokołu SSL. Użytkownicy Gadu-Gadu są identyfikowani w systemie za pomocą numerów, podobnie jak w ICQ. Od początku 2005 roku możliwe jest wykonywanie rozmów telefonicznych w ramach technologii VoIP Tlen Komunikator Tlen domyślnie umożliwia komunikację z użytkownikami sieci Tlen.pl jak również Gadu-Gadu. Głównymi jego funkcjami są: prowadzenie rozmów w czasie rzeczywistym, przesyłanie wiadomości, chat, przesyłanie plików, prowadzenie rozmów głosowych, prowadzenie wideokonferencji, wysyłanie SMS .Rozmowy szyfrowane są dwoma algorytmami: AES oraz RSA. 63 Jabber/XMPP Jest to protokół służący do tworzenia sieci IM następnej generacji - oparty w całości na XML-u. Architektura Jabbera jest rewolucyjna i pozwala rozwiązać problemy istniejących dotychczas systemów IM polegające na braku współpracy i niedostatecznym bezpieczeństwie. Twórcy Jabbera wzorowali się na zasadach funkcjonowania protokołów obsługi poczty elektronicznej, pozwalających kontaktować się ludziom niezależnie od platformy, systemu operacyjnego i oprogramowania. 6.2. Charakterystyka protokołu komunikacyjnego Jabber Jabber jest protokołem komunikacyjnym wymyślonym w 1998 przez Jeremiego Millera i początkowo rozwijanym w gronie entuzjastów, później przez założoną w tym celu Jabber Software Foundation (JSF). Jabber jest otwartym protokołem XML służącym do wymiany wiadomości w czasie rzeczywistym między dwoma punktami w Internecie. Podstawowym rdzeniem technologii Jabber jest asynchroniczna, rozbudowująca się platforma natychmiastowych wiadomości oraz sieć IM, która oferuje takie same możliwości jak znane i popularne systemy AIM, ICQ, MSN i Yahoo. W zamierzeniu miał stać się otwartym, sformalizowanym protokołem internetowym komunikatora sieciowego podobnie jak HTTP jest protokołem WWW a SMTP i POP3 protokołami obsługi poczty elektronicznej. Jabber to protokół - technicznie sformalizowany sposób komunikacji w sieci klient-serwer (klient to program użytkownika, a serwer to system, do którego użytkownik się loguje). Jest to również projekt Open Source, na który składają się serwery, programy klienckie, biblioteki, dokumentacja, ale przede wszystkim to społeczność, która to wszystko tworzy. Ostatecznie, jest to zapoczątkowana przez jednego człowieka i podchwycona przez innych inicjatywa, by w środowisku komunikatorów internetowych pojawiła się wspólna platforma komunikacji. 6.3. Modyfikacja Jabbera – protokół XMPP Gdy Jabber się został spopularyzowany, okazało się, że brakuje oficjalnej specyfikacji – standardu zaaprobowanego przez IETF (najważniejszą organizację standaryzacyjne w Internecie) i opublikowanego jako RFC. Dlatego rozpoczęte zostały prace nad nową wersją protokołu, pod nazwą XMPP. Protokół ten został już ukończony i zatwierdzony przez IESG (jednostkę decyzyjną IETF). Dotychczas stosowany protokół Jabbera ma słabe punkty, a do tego IESG ma swoje wymagania, dlatego XMPP nie mogło być kopią obecnego protokołu. XMPP zakłada kompatybilność wstecz, jednak na tyle różni się od starego protokołu, że stare serwery i programy klienckie nie są zgodne z XMPP. Protokół ma zastosowanie nie tylko w komunikatorach, ale również w innych systemach błyskawicznej wymiany informacji. Trzeba też zaznaczyć, że XMPP określa sposób połączenia się klienta do serwera, serwerów między sobą, raportowania błędów, wymiany podstawowych informacji między serwerami i klientami oraz sposób zarządzania listą kontaktów i regułami prywatności. Protokół XMPP nie określa i nie będzie określał sposobu przesyłu plików czy dostępu do listy transportów na serwerze. To wszystko to tylko rozszerzenia będące częścią protokołu Jabber. Można więc powiedzieć, że XMPP jest rozszerzeniem protokołu Jabber a oba są w bardzo szerokiej płaszczyźnie zgodne. Protokół XMPP jest przyszłością Jabbera . Nowe serwery i programy klienckie będą wykorzystywać właśnie ten protokół, jednak przez jakiś czas wciąż będzie używany stary. Żaden jednak serwer, ani klient nie stał się automatycznie klientem czy serwerem XMPP, tylko dlatego, że wymyślona została nowa nazwa. Serwerami, które obsługują ten protokół są 64 np. Jabberd 2.0 czy też Jive Messenger . Także niektóre programy klienckie mają już bardzo zaawansowaną obsługę XMPP. Główne różnice pomiędzy protokołem Jabber i XMPP są następujące: • XMPP do uwierzytelniania użytkowników wykorzystuje protokół SASL • ten sam protokół SASL może być użyty do uwierzytelniania serwerów między sobą • XMPP zawiera rozszerzenie StartTLS pozwalające na szyfrowanie połączenia na standardowym porcie (użycie TLS jest negocjowane już po połączeniu i „przywitaniu”) . • zmieniony został sposób przesyłania informacji o błędach – w XMPP informacja ta zamiast mało precyzyjnych kodów błędu i komunikatu w jednym języku (zwykle angielskim) zawiera dokładniejsze informacje pozwalające klientowi wyświetlenie komunikatu zrozumiałego dla użytkownika, albo automatyczne podjęcie odpowiedniego działania. • wprowadzone zostały reguły prywatności pozwalające na określenie od kogo użytkownik życzy sobie (bądź nie) odbierać wiadomości, a komu udzielać informacje o swojej dostępności. Reguły te zastąpią między innymi „niewidzialność" znaną z obecnych implementacji. 6.4. Zasada działania protokołu Jabber/XMPP Komunikacja w sieci Jabber/XMPP jest możliwa przez rozproszoną sieć serwerów używających tego samego protokołu. Z siecią tą łączą się programy klienckie aby otrzymać wiadomość i wysyłać ją do użytkowników na tym samym lub innym serwerze, który jest połączony z Internetem. Poniżej przedstawiono ogólny schemat sieci opartej na protokole Jabber. Rys. 22.Schemat ogólnej sieci jabber w Internecie System komunikacji Jabber/XMPP jest więc w pewnym sensie podobny do systemu poczty elektronicznej jednak z tą różnicą, że e-mail jest systemem przechowania i wysyłania 65 danych a Jabber/XMPP dostarcza wiadomości w czasie rzeczywistym. Jest to możliwe, ponieważ serwer Jabber/XMPP wie kiedy użytkownik jest dostępny. Ta wiedza o dostępności jest nazywana statusem i to jest kluczowa właściwość, która umożliwia działanie w trybie czasu rzeczywistego. Jabber tą typową dla innych systemów IM cechę łączy z trzema dodatkowymi właściwościami, które czynią go unikalnym: • posiada w pełni otwarty protokół • protokół Jabbera jest w 100% XML, co umożliwia zestrukturyzowaną, inteligentną wymianę wiadomości nie tylko pomiędzy ludźmi ale również pomiędzy aplikacjami (jeśli trzeba także szyfrowaną i z uwierzytelnieniem) • Jabber używa adresów, które są bazowane na DNS i rozpoznaje schematy URI, co w efekcie daje adres w tej samej formie co e-mail (user@host) Jabber/XMPP używa architektury klient-serwer, a nie połączeń bezpośrednich (peer-topeer) jak to czynią niektóre systemy IM. Oznacza to, że wszystkie dane Jabbera wysyłane z jednego klienta do drugiego muszą przejść przynajmniej przez jeden serwer Jabber/XMPP (programy klienckie mogą dokonać bezpośredniego połączenia - np. do transferu plików - ale te połączenia muszą być najpierw wynegocjowane w kontekście połączenia klient-serwer) Klient Jabbera łączy się z serwerem poprzez gniazdo TCP na porcie 5222 lub 5223 dla połączeń szyfrowanych. To połączenie jest zawsze czynne przez cały czas sesji klienta na serwerze, co oznacza, że klient nie musi łączyć się ciągle z serwerem i co jakiś czas otrzymywać wiadomości jak to robi klient emaila. Serwer śledzi czy użytkownik jest aktywny: jeśli jest natychmiast mu wysyła wszystkie wiadomości skierowane na jego adres, jeśli jest rozłączony przechowuje je do momentu najbliższego połączenia. 6.5. Format danych Integralną częścią architektury Jabbera jest język XML. Dzięki temu architektura jest rozszerzalna i może wyrażać różne rodzaje danych. Kiedy klient łączy się z serwerem otwiera jednostronny strumień XML z klienta do serwera i serwer odpowiada jednostronnym strumieniem z serwera do klienta. Tak więc każda sesja składa się z dwóch strumieni XML. Cała komunikacja pomiędzy klientem a serwerem wydarza się w obrębie tych dwóch strumieni, w formie małych snippetów lub fragmentów kodu XML, tak jak w poniższej wiadomości od A do B: Dzień dobry Podany tu przykład jest jednym z najprostszych, ale XML-owy format Jabbera może być rozszerzony poprzez oficjalne przestrzenie nazw XML (zarządzanych przez Jabber Software Foundation) i dowolne przestrzenie nazw dla wyspecjalizowanych aplikacji. Czyni to Jabbera potężną platformą dla przesyłania jakichkolwiek danych posiadających postać zdefiniowanych struktur, włączając w to takie techniki, jak XML-RPC3 czy RSS4. 3 Protokół XML pierwszej generacji opierający się na protokole RPC. XML-RPC definiuje zasady wymiany danych i ich reprezentację w formacie XML. 4 RSS to umowna rodzina języków znacznikowych do przesyłania nagłówków wiadomości. Wszystkie z nich bazują na XML. 66 Zaawansowanym narzędziem obsługi jest konsola XML, dostępna w wielu programach klienckich Jabbera. Na przykład wysyłając poniższą wiadomość można zmienić hasło na serwerze (oczywiście, w większości programów klienckich można je zmienić z poziomu programu, można też w tym celu porozumieć się z administratorem - to tylko demonstracja mechanizmu). username newpassword A ten komunikat kasuje konto: 6.6. Zalety i wady protokołu Jabber/XMPP Do zalet Jabbera/XMPP należą wymienione niżej cechy: • otwarty - protokół jest darmowy, publiczny, dobrze udokumentowany i łatwy do wykorzystania. Dzięki temu łatwo jest tworzyć oprogramowanie i zapewnić jego zgodność z już istniejącą strukturą sieci. • standard IETF- organizacja zatwierdzająca standardy internetowe, zatwierdziła Jabber/XMPP jako proponowany standard dla komunikacji natychmiastowej. • sprawdzony - tysiące programistów od wielu lat pracuje nad jego rozwojem, powstała ogromna ilość oprogramowania, a wiele firm jest zaangażowanych w rozwijanie produktów bazujących na tej technologii. • zdecentralizowany - każdy może postawić swój serwer. W Internecie znajduje się tysiące połączonych ze sobą serwerów. Awaria kilku z nich nie destabilizuje całej sieci. • bezpieczny - można w łatwy sposób wydzielić zamkniętą sieć lub skorzystać z wielu zaawansowanych rozwiązań zapewniających najwyższy poziom bezpieczeństwa. • rozszerzalny - protokół nie jest ograniczony do komunikatorów. W łatwy sposób można rozszerzyć spektrum jego możliwości. Może się przydać wszędzie tam, gdzie zachodzi potrzeba wymiany informacji w czasie rzeczywistym. • różnorodny - dostępna do wyboru szeroka gamę klientów, przy pomocy których można nawiązać połączenie ze swoim kontem Jabbera. Brak narzucania jednego konkretnego klienta działającego tylko pod jednym systemem operacyjnym. • międzynarodowy - dzięki wykorzystaniu ogólnoświatowego standardu kodowania znaków UTF-8, można rozmawiać z użyciem różnych alfabetów ( np. japoński, 67 rosyjski). Stwarza to zupełnie nowe horyzonty poszerzania znajomości i czyni z Internetu to, do czego został stworzony — łączy ludzi ponad podziałami narodowymi. Do wad Jabbera/XMPP należą poniższe cechy: 6.7. • problemy ze stabilnością- Często nie pracują serwery, czasem nie działają transporty. Żeby wybrać dobry serwer trzeba zasięgnąć opinii użytkowników. Same transporty z dość skomplikowanych przyczyn technicznych nie udostępniają wszystkich możliwości zamkniętych sieci. Bywają problemy nawet z informacją o statusie. • problemy z kompatybilnością serwerów i programów klienckich - możliwości protokołu są olbrzymie, ale żeby były zrealizowane zarówno programy klienckie jak i serwery obu uczestników łączności muszą je udostępniać i to w sposób zgodny z protokołem. Czasem są stosowne własne rozwiązania projektantów i wtedy dla zachowania kompatybilności trzeba używać identycznych programów, a jest to sprzeczne z ideą Jabbera. • niska odporność na przeciążenia – popularne serwery są obciążone dużą ilością użytkowników i najczęściej dla zachowania stabilności zamykają możliwość rejestracji dodatkowych usług przez użytkowników innych serwerów; czasem nawet może prowadzić to do czasowego zablokowania usługi. • brak działającej ochrony prywatności: wprawdzie sam protokół zapewnia daleko większe możliwości niż prosta lista niepożądanych użytkowników (blacklist) i blokowanie niechcianych kontaktów • brak standardowego tzw. „abuse@serwer”, uniwersalnego administratora serwera potrzebnego w razie nadużyć. kontaktu do Usługi dostępne w serwerach Jabber/XMPP Jabber udostępnia wiele usług, ponadto, będąc użytkownikiem jednego serwera możemy korzystać z usług innego serwera, chociaż czasem bardziej oryginalne - np. słownik usługi dostępne są tylko dla kont z danego serwera, wprowadzenie takich ograniczeń bywa konieczne dla uniknięcia przeciążenia serwera. Przykładowe usługi dostępne dla klientów serwerów Jabber/XMPP to m.in.: • komunikacja tekstowa o wysyłanie wiadomości o rozmowa o konferencja (MUC - Multi User Chat) • informacja o statusie użytkownika- jest to standardowa możliwość każdego komunikatora; można ustawić, któryś z typowych komunikatów (Dostępny, Chętny do rozmów, Zajęty, Niewidoczny). Informację o statusie można podpisać dodatkowym tekstem. 68 • transporty - możliwość łączenia się z innymi sieciami IM i rozmawiania ze znajomymi nieużywającymi Jabbera. Transport można opisać jako "bramkę tłumaczącą inny protokół w obie strony". Wtedy serwer łączy się z inną siecią a użytkownik z serwerem komunikuje się już natywnym strumieniem XML. Obecnie dla serwera Jabber/XMPP możliwe są transporty: o Gadu-Gadu o Tlen o ICQ o AIM (AOL Instant Messenger) o MSN Messenger o Yahoo • Jogger – rodzaj bloga użytkowników jabbera, po dodaniu do listy kontaktów specjalnego użytkownika, wszystkie wiadomości wysyłane do niego będą się pojawiają się w blogu. • JUD - Jabber User Directory - globalny rejestr użytkowników z możliwością przeszukiwania; istnieją także lokalne katalogi (ograniczone do danego serwera). • Mapy użytkowników: polska: Jobble i światowa: Jabber Wereldkaart. • Kanały RSS - nagłówki wiadomości; krótkie powiadomienia o newsach na wybranych serwiach internetowych, z bezpośrednimi odsyłaczami do wiadomości na stronach WWW. • e-mail wysyłanie i odbieranie e-maili, także powiadamianie o nowych wiadomościach w skrzynce. • tzw. boty (skrót od wyrazu „robot”) to różnego rodzaju samodzielne aplikacje klienckie wykonujące takie usług, jaki: o słowniki (obecne m.in. na serwerze jabberpl.org: polsko-angielski i angielsko-polski, po dodaniu użytkownika [email protected] można wysyłać do niego słowa do przetłumaczenia, dostępny tylko dla użytkowników jabberpl.org), o informacja o pogodzie (obecna na serwerze chrome.pl: informacja pogodowa z największych polskich miast, wystarczy dodać użytkownika np. [email protected] a jego status opisowy będzie informował o aktualnej pogodzie; z tej usługi mogą korzystać użytkownicy wszystkich serwerów), o powiadamianie o zdarzeniach, np. o nowych odpowiedziach na forach dyskusyjnych, nowych wpisach w księgach gości, nowych wersjach oprogramowania, o przypominanie o ważnych zadaniach do wykonania czy terminach spotkań (za pomocą bota zwanego Edgarem), o przeglądanie programu TV, • tzw. pokoje konferencyjne (Chatrooms) - rozmowy grupowe, które umożliwiają kontrolowanie dostępu (zamykanie, ukrywanie, wyrzucanie niepożądanych użytkowników, ukrywanie swojego identyfikatora pod pseudonimem, ustawianie 69 tematów); zależnie od konfiguracji serwera użytkownicy mogą tworzyć własne pokoje lub tylko korzystać z już istniejących, ale korzystanie z pokoju nie jest uzależnione od posiadania konta na tym serwerze. Możliwe jest także korzystanie z IRC przez pokoje konferencyjne. 6.8. • wyszukiwanie usług - umożliwia w łatwy sposób sprawdzić jakie usługi oferuje nam konkretny serwer, za pomocą prostej przeglądarki sieci jabbera (można także sprawdzić usługi na serwerach gdzie nie mamy konta) • transfer plików - umożliwia przesyłanie plików pomiędzy dowolnymi (zgodnymi z protokołem Jabbera) klientami. Pliki przesyłane są bezpośrednio pomiędzy dwoma komputerami za pomocą protokołu HTTP. • spolszczony interfejs i polskie znaki - kilka programów klienckich ma także polski interfejs (Psi, Pandion, JAJC) a protokół umożliwia użycie polskich znaków (Unicode). Mechanizmy bezpieczeństwa protokołu Jabber/XMPP 6.8.1. Protokół SSL Jabber/XMPP posiada wiele funkcji związanych z bezpieczeństwem. Wszyscy użytkownicy „serwera jabberowego” są identyfikowani są za pomocą JID oraz hasła. Ponadto każdy serwer Jabbera/XMPP może być oddzielony od publicznej sieci Jabber. Protokoły zapewniające szyfrowanie, które używane są m.in. w serwerze Jive Messenger to SSL TLS i SASL. Do komunikacji między klientem a serwerem możliwe jest używanie SASL i TLS lub SSL i SASL w zależności od opcji aplikacji klienta. W przypadku komunikacji międzyserwerowej możliwe jest używanie protokołów SASL w celu uwierzytelniania oraz TLS do szyfrowania danych. Krótka charakterystyka protokołów: SSL (Secure Sockets Layer) to otwarty i nie chroniony prawami własności (nonproprietary) protokół zaprojektowany przez firmę Netscape Communication Corporation, który dzięki szyfrowaniu danych zapewnia poufność i integralność transmisji oraz umożliwia uwierzytelnienie zarówno serwera jak i klienta dla dowolnego połączenia TCP/IP. Zbiór podstawowych cech protokołu SSL obejmuje: • prywatność (poufność przesyłanych informacji) - połączenie jest szyfrowane • autoryzację - serwer (i opcjonalnie klient) określa swoją tożsamość za pomocą certyfikatów. • integralność przesyłanych danych - przez sumy kontrolne Od drugiej wersji SSL weryfikuje procedurę negocjacyjną, od trzeciej potrafi sprawdzać tożsamość użytkownika także od strony klienta. 6.8.2. Protokół TLS TLS to protokół powstały w wyniku prac IETF następca SSL (protokół zabezpieczania i uwierzytelniania komunikacji w sieci za pomocą szyfrowania), można o nim myśleć jako o "SSL Plus". Jest standardem, który ma w zamierzeniu zastąpić SSL, na którym jest wzorowany, wspiera go większość współczesnych przeglądarek. SSL i TLS nie zapewniają 70 wzajemnej współpracy, choć TLS zawiera mechanizm pozwalający zastosować implementację TLS do SSL 3.0. Protokół jest zaprojektowany tak by był niezależny od aplikacji, więc programiści aplikacji lub implementacji w wyższych protokołach mogą sami wybrać najlepszy sposób na inicjowanie połączenia (TLS handshaking) i odczytywanie certyfikatów uwierzytelniających. Kiedy serwer i klient porozumiewają się, TLS upewnia się, czy nikt postronny nie może podsłuchiwać lub podmieniać żadnych wiadomości, które przechodzą między nimi. Podobnie jak SSL, TLS funkcjonuje w oparciu o moduły. Autorzy zaprojektowali go tak, żeby był rozszerzalny i wspierał przednią i wsteczną kompatybilność oraz negocjację pomiędzy uczestnikami. 6.8.3. Protokół SASL (Simple Authentication and Security Layer) SASL zaczyna działanie w momencie, kiedy protokół inicjuje polecenie identyfikacji i uwierzytelnienia użytkownika wobec serwera. SASL także zawiera opcję negocjowania ochrony późniejszych interakcji protokołu - dzięki temu SASL umieszcza powłokę bezpieczeństwa pomiędzy warstwą protokołu a połączeniem. Oddziela mechanizmy uwierzytelniania od protokołów aplikacji. SASL tylko zabezpiecza uwierzytelnienie - jeśli potrzebne jest szyfrowanie potrzebny jest inny mechanizm (np. TLS); SASL zapewnia środki do negocjacji użycia takich mechanizmów. Oprócz XMPP protokołami, które używają SASL są: IMAP, LDAP, POP. 6.8.4. Mechanizm PGP (Pretty Good Privacy) PGP jest jednym z najpopularniejszych narzędzi do szyfrowania danych. Po określeniu standardu w postaci OpenPGP powstała dodatkowo jego niezależna implementacja pod nazwą GNU Privacy Guard (GPG). PGP pozwala szyfrować i deszyfrować przesyłane wiadomości oraz weryfikować autentyczność nadawcy (pod warunkiem, że ten także korzysta z PGP) i zarządzać kluczami. Weryfikacja kluczy opiera się o sieć zaufania (web of trust). Na dzień dzisiejszy istnieje wiele nakładek na PGP. Dostępnych jest wiele komunikatorów, które zawierają wtyczki służące do współpracy z PGP. 71 7. Przegląd aplikacji klienckich i serwerów Jabber/XMPP 7.1. Serwery Jabber/XMPP Od momentu powstania protokołu Jabber/XMPP powstało wiele programów dla różnych platform systemowych pełniących funkcje serwerów. Poniżej przedstawiono spis oraz krótką charakterystykę serwerów Jabber/XMPP. Tabl. 10. Charakterystyka serwerów Jabber/XMPP (źródło: www.jabber.org) Serwery Funkcjonalności( w skali procentowej) Licencja Antepo OPN 86% Płatna ejabberd 83% Darmowa Jabber XCP 93% Płatna jabberd 1.x 45% Darmowa jabberd 2.x 76% Darmowa Merak 66% Płatna OpenIM 48% Darmowa psycMUVE 47% Darmowa SoapBox Server Sun Java System Instant Messaging TIMP.NET 78% Płatna 67% Płatna 76% Płatna Jive Messenger 90% Darmowa WPJabber xmppd.py 48% 21% Darmowa Darmowa Platformy AIX, HP-UX, Linux, Solaris, Windows AIX, *BSD, HP-UX, Linux, MacOS X, Solaris, Windows Linux, Solaris, Windows AIX, *BSD, HP-UX, Linux, MacOS X, Solaris, Windows AIX, *BSD, HP-UX, Linux, MacOS X, Solaris, Windows Windows AIX, HP-UX, Linux, MacOS X, Solaris, Windows AIX, *BSD, HP-UX, Linux, MacOS X, Solaris, Windows Windows HP-UX, Linux, Solaris, Windows Windows AIX, HP-UX, Linux, MacOS X, Solaris, Windows Linux, Solaria Linux W celu wybrania najbardziej kompletnego serwera sieci Jabber lub XMPP dokonano instalacji oraz przetestowano pod kątem funkcjonalności oraz niezawodności trzy serwery: Jive Messenger, Ejabberd oraz Jabber 1.4. Serwery Ejabberd oraz Jabber 1.4 opierające się na protokole Jabber wspierają także protokół XMPP. Serwery te nie wykazują jednak zbyt dużej funkcjonalności związanej z narzędziami administratorskimi, co znacznie utrudnia zadanie 72 administrowania serwerem. Serwer Jabber 1.4 może być konfigurowany jedynie z poziomu konsoli, za pomocą generowania kodu XML. Serwer Ejabberd udostępnia konsolę administracyjną jednak nie daje ona zbyt wiele możliwości administratorskich. Dla celów wdrożeniowych został wybrany serwer oparty w pełni na protokole XMPP, uruchamiany na platformie Java - Jive Messenger. Zaletami serwera Jive Messenger, które zadecydowały o wyborze serwera dla implementacji praktycznej są: • zapewnienie przez serwer odpowiedniego poziomu gwarantowanego przez udoskonalony protokół XMMP. bezpieczeństwa • łatwość administracji – interfejs graficzny z poziomu przeglądarki internetowej. • wysoka stabilność serwera • możliwość rozbudowy funkcjonalności serwera w oparciu o bibliotekę Smack. • szybko postępujący rozwój nowych wersji programu Jive Messenger. Poniżej przedstawiono wykaz szczegółowych cech porównujących serwery: Jive Messenger, Ejabberd oraz Jabber 1.4. Tabl. 11. Porównanie serwerów Jive Messenger, Jabber 1.4 oraz Ejabberd Cechy System operacyjny Jive Messenger Każda platforma systemowa z javą w wersji 1.5 lub wyższej. Licencja Łatwość używania/instalacji Darmowa Łatwa instalacja na wielu platformach systemowych, aplikacja działa jako serwis w windowsach lub demon w systemach unixowych Pakiety instalacyjne dla systemów operacyjnych. Windows 2000/2003/XP, RedHat i inne systemy Uniks. Stabilność Wysoka, prace nad poprawą kodu trwają od Ejabberd Wszystkie systemy wspierające Erlang (systemy Uniksowe,Windows, Mac OS X). Darmowa Instalacja możliwa poprzez użycie programów do instalacji, instalacja ze źródeł wymaga zainstalowania programu Erlang, aplikacja działa jako serwis w windowsach lub demon w systemach unixowych Instalacje w postaci plików z rozszerzeniem „bin” dla systemów windowsowych i uniksowych. Wysoka , prace nad stabilnością kodu trwają kilka lat. 73 Jabber 1.4 Różne systemy unikowych. Darmowa Instalacja na systemach uniksowych wymaga zainstalowania wcześniej pakietów libpth, libidn oraz expat. Pliki instalacyjne dla systemów: Debian, Gentoo, Redhat, Mandrake, OpenBSD, Solaris 2.6, Solaris 7, Solaris 8, Windows2000/2003/XP, Windows/Cygwin Wysoka, potwierdzona stabilną pracą kilku dużych serwerów. Cechy Narzędzia dodatkowe Narzędzia administracyjne Szyfrowanie połączenia między klientem a serwerem Szyfrowanie połączenia między serwerami Dodawanie komponentów wyjściowychtransportów Współpraca z bazą danych Dzielenie rosterów w grupach Obsługa protokołu IPv6 Rozwój Jive Messenger kilku lat. Biblioteka kliencka „Smack” rozwijana przez twórców Jive. Konsola administracyjna dostępna poprzez www. Możliwe szyfrowanie z użyciem protokołów SASL, TLS, SSL Możliwe szyfrowanie z użyciem protokołów TLS i SASL Możliwe Ejabberd Jabber 1.4 Dodatkowe narzędzia „ejabberdctl” Brak Interfejs dostępny poprzez www lub zarządzanie z lini komend Możliwe szyfrowanie z użyciem protokołów SASL, STARTLS, SSL. Konfiguracja serwera za pomocą pliku jabber.xml Możliwe szyfrowanie z użyciem protokołów STARTLS i SASL Możliwe szyfrowanie z użyciem protokołów STARTLS i SASL Możliwe Możliwe Możliwość korzystania z wewnętrznej lub zewnętrznej bazy danych, obsługa baz –MySQL, PostgresSQL, Oracle, SQL Server, DB2, Berkeley DB Możliwe Wsparcie dla baz danych: MySQL, Postgresql Wsparcie dla baz danych: MySQL, Postgresql, Oracle, file, LDAP. możliwe nie możliwe Możliwa możliwa możliwa Aktywny, nowe udoskonalenia, naprawa błędów poprzednich wersji. Aktywny, nowe udoskonalenia, naprawa błędów poprzednich wersji. Aktywny, nowe udoskonalenia. 74 Możliwe szyfrowanie z użyciem protokołów SASL, STARTLS. 7.2. Programy klienckie Jabber/XMPP Wybór programu pełniącego rolę klienta systemu IM jest istotną kwestią z punktu widzenia użytkownika. Oprogramowanie klienckie powinno być jak najbardziej kompatybilne z zainstalowanym serwerem. Osiągnięcie wysokiej kompatybilności daje możliwość wykorzystania wszystkich opcji, które dostarcza serwer. Oznacza to, że dobre oprogramowanie klienckie powinno mieć w swoich opcjach wszystkie opcje, które realizuje serwer i ewentualnie dodawać nowe. Nie mniej ważną cechą, jaką powinien odznaczać się program kliencki jest wysoka stabilność, niezawodność oraz szybkość działania. Z punktu widzenia użytkownika istotne jest również, aby program posiadał przyjazdny i intuicyjny interfejs użytkownika. Jednym z kryteriów projektowych systemu Jabbera jest to, że musi być w stanie wspierać proste programy klienckie. I rzeczywiście architektura Jabbera wymusza bardzo mało wymagań wobec klienta. Klient powinien: • Komunikować się z serwerem Jabbera przez gniazdo TCP. • Rozumieć i interpretować poprawnie sformowane fragmenty kodu XML w strumieniu XML. • Rozumieć podstawowe typy danych Jabbera (wiadomość, status i iq). Cechą charakterystyczną serwerów Jabbera jest przesunięcie ciężaru wykonywanych zadań z klienta na serwer. Jeśli tylko jakiś proces może być wykonany po stronie serwera, tak się dzieje. Znacznie to upraszcza zarówno tworzenie oprogramowania klienckiego (świadectwem tego jest duża rozmaitość klientów Jabbera) jak i uaktualnianie czy zwiększanie funkcjonalności systemu (bez zmuszania użytkowników do instalowania nowych klientów, czy wtyczek). Na dodatek wiele funkcji niskiego poziomu realizowanych po stronie klienta (np rozumienie XML i kluczowych typów danych) jest zaimplementowne w standardowych bibliotekach, co umożliwia deweloperom skoncentrowanie się na interfejsie użytkownika. Aby wybrać najlepszego klienta przetestowano kilka najpopularniejszych programów. Nie udało się niestety znaleźć „idealnego” oprogramowania, które łaczyłoby wszystkie pożądane funkcjonalności. Wynika to z faktu, że większość klientów poza podstawową funkcjonalnością Jabber/XMPP posiada własne funkcjonalności, np.: możliwość logowania się na kilka kont jednocześnie lub logowania się do innych sieci IM (jak Gadu-Gadu), współdzielenie aplikacji, polskojęzyczny interfejs itp. Przeprowadzone testy wykazały, iż w zakresie współpracy z serwerem XMPP zainstalowanym w IŁ godnym polecenia klientem jest Psi. Jednak nie rekomenduje się jednoznacznie tego klienta, gdyż w przypadkach poszczególnych użytkowników mogą być różne preferencje w zakresie dodatkowych funkcjonalności. Charakterystyka najpopularniejszych komunikatorów przedstawiona została w dalszej części. 7.3. Przegląd wybranych, testowanych klientów jabber/XMPP 7.3.1. Psi Prosty w obsłudze, za to o ogromnych możliwościach program kliencki Jabbera, obsługuje wiele kont jednocześnie, umożliwia dostęp poprzez bramki na serwerach do sieci Gadu-Gadu, ICQ, AIM, MSN, Tlen, posiada polską wersję językową oraz opcję zalogowania jednocześnie na wiele kont. Psi pozwala też na przesyłanie plików zgodnie ze standardem 75 Jabbera, oferuje możliwość eksportowania historii w postaci zwykłego tekstu, obsługi konferencji, zawiera również wsparcie dla szyfrowania SSL oraz OpenPGP. Jest najpopularniejszym klientem wśród średnio- i bardziej zaawansowanych użytkowników i pierwszym, który oferował możliwość korzystania z wielu jego kont jednocześnie. Umożliwia korzystanie z ikon symbolizujących sieć użytkownika, transfer plików oraz szyfrowanie PGP. Dla Psi charakterystyczne jest to, że jest w ścisłym tego słowa znaczeniu klientem Jabbera - używa tylko standardowych właściwości protokołu. Licencja programu jest darmowa • zalety: o elastyczny interfejs użytkownika, o możliwość korzystania z wielu kont Jabbera naraz, o możliwość uruchomienia na wielu platformach (m.in. Windows, Linux, MacOS X), o polska wersja językowa, o szyfrowanie SSL oraz PGP, o zgodny ze standardem transfer plików, • wady: o może być zbyt trudny w konfiguracji dla początkujących użytkowników o brak listy zablokowanych kontaktów (blacklisty), o brak statusów opisowych na liście kontaktów (są dodatki, które udostępniają taką możliwość: Psi-psz, customized Psi Jabber Client). Program był testowany z serwerem Jive Messenger. Charakteryzował się dużą stabilnością, kompatybilnością na poziomie przesyłania plików z innymi programami klienckimi. Jest bardzo funkcjonalny, posiada wiele opcji dla zaawansowanych użytkowników a ponadto charakteryzuje się przyjemnym i intuicyjnym interfejsem użytkownika. Generalnie jednak Psi jest programem, który może pełnić funkcje komunikatora w IŁ. 76 Rys. 23.Wygląd komunikatora Psi w systemie Windows 7.3.2. Miranda IM Miranda to multikomunikator internetowy dla systemów Microsoft Windows, oparty na darmowej licencji. Charakterystyczną cechą Mirandy jest obsługa wtyczek rozszerzających funkcjonalność programu oraz bardzo niewielkie wymagania systemowe. Miranda oferuje rozmowy w trybie tekstowym (także między kilkoma osobami) i przesyłanie plików. Bardzo rozbudowane są opcje konfiguracyjne programu. Miranda IM zyskała popularność u osób, których wymagania ograniczają się do prostych funkcji, przede wszystkim bezpośredniej rozmowy w trybie tekstowym, i nie potrzebują rozbudowanych narzędzi do rozmów głosowych i wideokonferencji, które znacznie obciążają system. Z drugiej strony jej niezaprzeczalnym atutem jest konfigurowalność i duża ilość dostępnych rozszerzeń, które mogą sprawić, że już nie będzie taka lekka. Użytkownik dostaje szansę balansowania pomiędzy prostotą, stabilnością i funkcjonalnością Sama Miranda funkcjonuje dopiero poprzez wtyczki łączące ją z serwerami różnych protokołów. Miranda jest komunikatorem, który również był podobnie jak Psi testowany pod kątem stabilności i niezawodności. Aplikacja ta została nazwana multikomunikatorem, dlatego umożliwia jednoczesne używanie wielu kont zarejestrowanych w wielu sieciach IM – Yahoo, AIM, ICQ, IRC, Gadu-Gadu. Głównymi wadami Mirandy był brak kompatybilności z innymi komunikatorami na poziomie przesyłania plików. Brak reakcji programu na zmiany statusów użytkowników serwera Jive Messenger. Mankamentem jest również konieczność instalacji wielu wtyczek w celu osiągnięcia dużej funkcjonalności programu. 77 Rys. 24.Wygląd komunikatora Miranda w systemie Windows 7.3.3. Pandion Pandion jest aplikacją prostą w konfiguracji i użyciu, którą można polecić wszystkim początkującym użytkownikom. Automatycznie wyświetla ikony symbolizujące sieć użytkownika na liście kontaktów oraz status opisowy. Oferuje także dodatkowe elementy graficzne - awatary (ikony symbolizujące użytkownika) i różne zestawy emotikonów. Licencja programu jest darmowa. • zalety: o estetyczny interfejs użytkownika o łatwa konfiguracja, oparta na kreatorach o statusy opisowe na liście użytkowników o polska wersja językowa o szyfrowanie SSL • wady: o wymaga Internet Explorera 5.5 lub 6.0 o niewiele możliwości konfiguracyjnych o można korzystać z wielu kont Jabbera, ale tylko jednego naraz 78 Pandion to komunikator charakteryzujący się dużą stabilnością jednak jest mniej funkcjonalny od Psi lub Mirandy. Ponadto dostępne są tylko wersje dla środowiska Windows, co znacznie zmniejsza jego uniwersalność. Rys. 25.Wygląd komunikatora Pandion w systemie Windows 7.3.4. JAJC Jeden z najbardziej rozbudowanych komunikatorów Jabbera. Oferuje wiele opcji konfiguracji oraz możliwość korzystania z wtyczek. Licencja programu jest darmowa. • zalety: o przesyłanie plików (przy pomocy dodatkowej wtyczki) o dużo opcji dla zaawansowanych użytkowników o obsługa PGP i SSL o wyszukiwanie uzytkowników o polska wersja językowa • wady: o można korzystać z wielu kont Jabbera, ale tylko z jednego naraz o brak statusów opisowych na liście kontaktów o zamknięty kod, wersja tylko dla Window 79 Rys. 26.Wygląd komunikatora JAJC w systemie Windows 80 7.3.5. Gaim Gaim jest darmowym, wieloplatformowym komunikatorem internetowym. Aplikacja ta umożliwia jednoczesne zalogowanie się do każdej z wielu dostępnych sieci IM. Gaim posiada szereg funkcji i opcji dodatkowych, do których należą m.in. możliwość zmiany skórek oraz stosowanie wtyczek • zalety o metakontakty — możliwość ukrycia kilku adresów IM do danej osoby pod pojedynczą ikonką (kontaktem), o okienka rozmów mogą znajdować się w zakładkach, o bezpośredni dostęp do GG, ICQ, MSN, o informowanie o wprowadzaniu tekstu przez rozmówcę, o przesyłanie plików, o możliwość komunikacji VoIP za pomocą protokołu SIP (przy użyciu odpowiedniej wtyczki). W podobnie jak Miranda, również Gaim jest multikomunikatorem Pozwala na prowadzenie rozmów w sieciach: AIM , ICQ, MSN Messenger, Yahoo, Jabber, IRC oraz w Gadu-Gadu. Przeprowadzone testy wykazały, że komunikator ten jest kompatybilny na poziomie przesyłania plików z innym komunikatorami (czego z kolei nie spełnia Miranda). Rys. 27.Wygląd komunikatora Gaim w systemie Windows 81 7.3.6. Exodus Exodus jest nowym programem klienckim Jabbera, rozwijanym jako następca bardzo popularnego klienta Winjab. Jest mniejszy, szybszy, łatwiejszy w obsłudze oraz posiada ładniejszy wygląd. • zalety o polska wersja językowa, o rozbudowana obsługa konferencji (MUC), o wsparcie dla XMPP, o bezpieczeństwo (obsługa certyfikatów SSL), o mechanizm automatycznych uaktualnień, o rozbudowany system zdarzeń, o duże możliwości konfiguracyjne, o przesyłanie kontaktów pomiędzy użytkownikami, o ustandaryzowane przesyłanie plików. Rys. 28.Wygląd komunikatora Exodus w systemie Windows 82 8. Wdrożenie testowej platformy IM w IŁ Celem pracy było zainstalowanie systemu IM pełniącego rolę elementu systemu telepracy. Komunikator Jive Messenger ma być częścią systemu telepracy w zakresie Instytutów Łączności. System taki w założeniach powinien zapewniać pracownikom pracującym w domu nawiązywanie zdalnych sesji z pracownikami w Instytucie. Oprócz tego powinien być zapewniony odpowiedni poziom bezpieczeństwa. Rygorystyczne wymogi związane z bezpieczeństwem serwera „voip.itl.waw.pl” sprawiają, że funkcjonalność serwera Jive Messenger jest ograniczona. Serwer ten ma pełnić rolę serwera dla pracowników firmy, w którym dostępne będą podstawowe usługi takie jak np. wyszukiwanie użytkowników czy konferencja. Dodatkowe usługi świadczone przez serwer będą związane z dostarczaniem różnych informacji zawartych w bazie danych Instytutu Łączności. Rys. 29.Poglądowa architektura elementu systemu telepracy - sieć protokołu XMPP 8.1. Administracja serwera Administracją serwerem XMPP – Jive Messenger, stanowiącego element całego systemu telepracy, będzie zajmował się ośrodek OI. Administratorzy zobowiązani będą do instalacji oprogramowania klienckiego, zakładania nowych kont użytkowników, przydzielania użytkowników do grup a także powiadamiania użytkowników o istniejących awariach systemu. Do zadań administratorskich należy również aktualizacja oprogramowania, co w przypadku ciągłego rozwoju funkcjonalności serwerów XMPP jest ważną kwestią. 8.2. Zapewnienie bezpieczeństwa serwera Zapewnienie bezpieczeństwa jest najważniejszą kwestią w realizacji systemu IM w firmach niezależnie od przyjętego protokołu komunikacji. Serwer XMPP w firmie powinien posiadać zabezpieczenia związane z atakami z zewnątrz jak również umożliwiać bezpieczną pracę wewnątrz sieci LAN. W celu zabezpieczenia serwera XMPP – Jive Messenger zostały podjęte następujące działania: 83 • wyłączenie komunikacji międzyserwerowej (Jabber/XMPP) poprzez zablokowanie portu TCP 5269. Działanie to ograniczy w znaczący sposób możliwości serwera, jednak ograniczy w znacznym stopniu niebezpieczeństwo związane z atakami z zewnątrz, • zapewnienie bezpieczeństwa komunikacji wewnątrz sieci poprzez zastosowanie mechanizmów uwierzytelniania oraz użycie do komunikacji szyfrowanego protokołu SSL lub TLS działającego standardowo na porcie TCP 5223. Serwer wspiera oba protokoły szyfrowania, więc o wybór danego protokołu będzie dokonywany po wstępnej negocjacji z programem klienckim. W celu uniknięcia realizacji połączeń nieszyfrowanych port TCP- 5222 został zablokowany, • wyłączenie możliwości rejestracji nowych kont dla niezidentyfikowanych użytkowników z zewnątrz. Rejestracja nowych kont dla będzie dokonywana przez działania administratora, • zablokowanie portów do komunikacji z serwerami innych sieci IM, • wzbogacenie mechanizmów szyfrowanego protokółu SASL. uwierzytelniania realizowane za pomocą 8.3. Możliwości Konsoli administracyjnej 8.3.1. Import użytkowników Jedną z głównych istotnych cech serwera XMPP jest możliwość współpracy z bazami danych. Jive Messenger jest w stanie współpracować z bazami danych: Mysql, Oracle, PostgreSQL, Microsoft SQLServer, IBM DB2 oraz HSQLDB. Wybór bazy danych, z którą można współpracować zostaje dokonany w fazie konfiguracji serwera. Możliwe jest więc korzystanie z bazy danych z Instytutowej bazy danych - Oracle na serwerze Halicz. Serwer Jive Messenger tworzy w bazie danych własne tabele, w których umieszcza różne dane, między innymi dotyczące użytkowników serwera. Łatwy jest wówczas import pracowników IŁ jako użytkowników serwera Jive Messenger, który dokonuje się generując odpowiednie zapytanie w celu zapisania danych do konkretnej tabeli w bazie danych serwera. Jive Messenger umożliwia również oprócz klasycznych „ręcznych” metod dodawania użytkowników export oraz import danych z plików. Możliwy jest np. import listy użytkowników, jeżeli dane te są w formacie XML. 8.3.2. Dodawanie użytkowników Konsola administracyjna umożliwia ręczne tworzenie użytkownika. W celu stworzenia nowego użytkownika należy podać nazwę użytkownika – pierwszy człon JUD oraz hasło. Pola opcjonalne to dodatkowa nazwa użytkownika oraz adres email. 84 Rys. 30.Konsola administracyjna serwera Jive Messenger 8.3.3. Tworzenie grup użytkowników Tworzenie grup użytkowników jest użyteczną opcją dla serwera Jabber/XMPP szczególnie, jeżeli mamy do czynienia z serwerem w firmie podzielonej na wiele jednostek. W naszym przypadku mamy do czynienia Instytutem Łączności podzielonym dodatkowo na zakłady. Administrator serwera z poziomu konsoli w łatwy sposób może przyporządkować użytkowników do grup. Grupą użytkowników z punktu widzenia serwera mogą być zakłady pracowników IŁ. Użytkownik korzystający z odpowiedniego programu klienckiego jest w stanie śledzić aktywnych użytkowników zlokalizowanych w odpowiednich grupach, jeżeli tylko dany program umożliwia dzielenie list użytkowników (tzw. rosterów) w grupach. Rys. 31. Konsola administracyjna-opcje tworzenia użytkowników i grup 85 8.3.4. Wyszukiwanie użytkowników Jive Messenger umożliwia wyszukiwanie zarejestrowanych użytkowników. Nowo zarejestrowany użytkownik może wyszukiwać innych użytkowników z poziomu programu klienckiego. Jako klucze wyszukiwania możliwe są: „username”, „name” oraz adres e-mail. 8.3.5. Tworzenie konferencji Konferencja jest sesją nawiązywaną między wieloma użytkownikami. W serwerze Jive Messenger zrealizowana jest usługa o nazwie „conference.voip.itl.waw.pl”. Działa to podobnie jak wyszukiwanie użytkowników, jednak w przypadku wyszukiwania użytkowników korzysta się z usługi „serach.voip.itl.waw.pl”. W przypadku tworzenia konferencji administrator również podejmuje decyzje czy umożliwić dowolnemu użytkowi tworzenie nowych konferencji, czy też tworzyć te konferencje ograniczyć to prawo użytkownikom. W tym drugim przypadku administrator sam tworzy pokoje konferencyjne, do których przypisuje konkretnych użytkowników. Po dokonaniu importu wszystkich użytkowników Instytutu Łączności i utworzeniu grup możliwe jest np. utworzenie przez administratora pokojów konferencyjnych odpowiadających tym grupom oraz pokoju konferencyjnego, do którego należą wszyscy użytkownicy. 8.3.6. Wiadomości „offline” Serwer umożliwia przechowywanie wiadomości kierowanych do użytkownika, który w danej chwili jest niezalogowany. Możliwe jest zostawienie na serwerze wiadomości tekstowych lub plików nie przekraczających pewnej określonej przez administratora wielkości. Aktualnie ustawiona wielkość wynosi 100MB. 8.3.7. Filtracja wiadomości Opcja filtracji wiadomości polega na analizie wiadomości pod kątem określonych wzorców. Jeżeli dana wiadomość zgadza się z wpisanym wzorcem może być odrzucona lub zamaskowana. Użytkownik, który nadał taką wiadomość zostanie powiadomiony o jej odrzuceniu. Za pomocą tej opcji możliwe jest odrzucanie wiadomości, w których występują np. wulgaryzmy. 8.3.8. Instalacja komponentów zewnętrznych Jive Messenger umożliwia opcje dodawania zewnętrznych komponentów. W pierwszej kolejności należy zainstalować oraz uruchomić dany komponent na serwerze. Po tym administrator może rejestrować nowy komponent w celu dodania nowego serwisu do serwera. Na serwerze Jive Messenger dokonano instalacji komponentu świadczącego usługi transportu wiadomości do użytkowników z sieci GG. Dla celów bezpieczeństwa postanowiono jednak zrezygnować z komunikacji z serwerem GG, dlatego transport użytkowników tą drogą nie jest możliwy. 86 Rys. 32. Konsola administracyjna-opcje tworzenia użytkowników i grup 8.4. Książka telefoniczna Przykładową usługą realizowaną przez serwer Jive Messenger jest książka telefoniczna. Dzięki tej usłudze pracownik może zasięgnąć wiadomości na temat podstawowych danych dotyczących innych pracowników IŁ. Dane dotyczące pracowników znajdują są pobierane za pośrednictwem serwera z bazy danych IŁ. Komunikacja z bazą danych odbywa się z poziomu platformy Java za pośrednictwem sterownika JDBC jako Thin Driver) z prawami ograniczonymi jedynie do czytania z bazy danych. Rys. 33.Schemat przykładowej usługi na serwerze XMPP – książka telefoniczna Aby skorzystać z usługi – książka telefoniczna za pośrednictwem serwera Jive Messenger należy: • posiadać zainstalowany program kliencki serwera XMPP oraz konto na serwerze voip.itl.waw.pl. • zalogować się w sieci XMPP oraz nawiązać sesję z ciągle dostępnym klientem o nazwie książka_telefoniczna. 87 • wprowadzić tekst wiadomości o treści nazwiska dowolnej osoby (pracownika Instytutu); w odpowiedzi książka_telefoniczna prześle jego dane lub dane kilku osób w zależności od otrzymanego wzorca (rysunki demonstrujące zasady stosowania zamieszczono poniżej). Rys. 34. Wprowadzenie zapytania do ksiązki telefonicznej Rys. 35. Odpowiedź systemu na wprowadzone zapytanie 8.5. Możliwości rozbudowy systemu Możliwości rozbudowy funkcji serwera komunikacyjnego Jive Messenger są bardzo duże. Umożliwia to biblioteka zrealizowana przez twórców serwera -„Smack”. Biblioteka ta dostępna jest w postaci trzech archiwów Javy – smack.jar, smackx.jar, smack-debug.jar. Archiwa te udostępniają wiele użytecznych i niezbędnych klas służących do współpracy z serwerem. Dzięki temu możliwa jest realizacja programu w Javie, który z jednej strony posiada pełną współpracę z serwerem, zaś z drugiej strony odwołuje się do serwerów baz danych lub do serwerów pocztowych. Możliwa jest dzięki temu realizacja prostych usług polegających na dostarczaniu użytkownikowi podstawowych informacji dotyczących kwestii 88 związanych z miejscem pracy. Rozbudowa funkcjonalności serwera IM w Instytucie Łączności może być oparta na realizacji nowych użytkowników odpowiedzialnych za dostarczanie takich informacji. Oprócz opracowanej już książki telefonicznej mogą być jeszcze: • pobieranie plików (np. formularzy wniosków o prace statutowe lub innych). • powiadamianie o przychodzącej poczcie elektronicznej • przypomnienia o określonych wcześniej terminach (np. umówione spotkania, badania lekarskie i inne) • opracowanie słownika polsko-angielskiego, (ogólnodostępnego dla pracowników IŁ) angielsko – polskiego Pierwsze dwie usługi będą polegać na nawiązaniu sesji z określonymi klientami i odpytywaniu ich. Ci natomiast informacje te otrzymują z bazy danych dostępnej dla nich. Przypomnienia polegają na przekazywaniu informacji do użytkownika bez jego ingerencji. W momencie, gdy użytkownik nie jest dostępny powinien dostawać informacje „offline”. Przypomnienia te mogą być kierowane do wszystkich użytkowników serwera lub do użytkowników, których te informacje dotyczą – (np. grup czyli zakładów Instytutu Łączności). Przypomnienie jest generowane wówczas, gdy użytkownik odpowiadający za dostarczenie tych wiadomości zarejestruje nowe informacje w bazie danych. 8.6. Podsumowanie W ramach instalacji komunikatora działającego dla Instytutu Łączności dokonano testów wielu serwerów i klientów sieci XMPP. Wybrany i zainstalowany serwer protokołu XMPP spełnia wymagania pod względem funkcjonalności i bezpieczeństwa. Serwer ten dobrze współpracuje z większością klientów Jabber/XMPP, przy czym rekomenduje się stosowanie klienta Psi. W celu zwiększenia funkcjonalności serwera przedstawiono również propozycję integracji różnych usług dla serwera w oparciu o bibliotekę Javy. Implementacja sieci XMPP w IŁ jest uzupełnieniem dla tradycyjnej poczty elektronicznej. Może także w dużym stopniu udostępniać informacje zamieszczone w Intranecie. 89 Załącznik A Dokumentacja techniczna projektu platformy telepracy 1. Architektura platformy Docelowa platforma telepracy ma na celu udostępnienie usług komunikacyjnych użytkownikom znajdującym się zarówno w oddziałach IŁ (w Warszawie, Wrocławiu i Gdańsku), jak również uprawnionym pracownikom Instytutu, którzy znajdują się poza wymienionymi lokalizacjami (tzw. zdalne stanowiska pracy). Zdalne stanowisko pracy Gdańsk Router Warszawa Firewall Koncentrator VPN Router Firewall Router z funkcją bramy VoIP PBX Łącze ISDN PRI INTERNET Wrocław Firewall Router z funkcją bramy VoIP Łącze 2 x ISDN BRI Zdalne stanowisko pracy Serwer VoIP (Asterisk) PBX Serwer Jabber (Jive) Serwer pocztowy Rysunek 1. Docelowa platforma telepracy w Instytucie Łączności 2. Urządzenia sieciowe i mechanizmy bezpieczeństwa Dodatkowe urządzenia sieciowe przewidziane w projekcie to dwa routery stanowiące jednocześnie bramy VoIP. Specyfikacja techniczna tych urządzeń została zamieszczona poniżej. Do zapewniania bezpieczeństwa wymiany danych pomiędzy serwerami oraz oprogramowaniem klienckim wykorzystano kanały VPN. Po stronie lokalizacji warszawskiej są one terminowane w koncentratorze, VPN który jest realizowany przez Firewall’a (Checz Point NG). Po stronie klienckiej, tj. we Wrocławiu oraz Gdańsku, gdzie wykorzystywane są również do tego celu Firewall’e, funkcje te realizują urządzenia Check Point VPN-1 Edge. W przypadku wykorzystywania dostępu do platformy ze stanowisk zdalnych nie można zakładać stosowania Firewall’a (nawet programowego), więc dostęp za pośrednictwem tuneli VPN będzie możliwy po zainstalowaniu oprogramowania klienckiego VPN. 90 Zakłada się, że dostęp do sieci transmisji danych będzie zapewniany w poszczególnych lokalizacjach na podstawie obowiązujących umów o świadczenie tego typu usług. Typy łączy dostępowych w poszczególnych lokalizacjach: • łącze radiowe oraz backup SHDSL (Warszawa), • ADSL (Wrocław), • Ethernet do routera zarządzanego przez TASK (Gdańsk). W celu zapewnienia jednolitej funkcjonalności sieci oraz jednolitości interfejsu użytkownika na stacjach roboczych do monitorowania sieci została w każdej lokalizacji została zastosowana jednolita platforma sprzętowa. 3. Zastosowane rozwiązania sprzętowe Implementacja platformy telepracy wymaga umieszczenia w sieci informatycznej IŁ bram VoIP, których zadaniem jest konwersja sygnału mowy oraz sygnalizacji. W tym celu dołączono do sieci i skonfigurowano routery wyposażone w funkcje bram VoIP. W oddziale warszawskim zastosowano router Cisco 2811, zaś w oddziale wrocławskim router Cisco 2801. W oddziale gdańskim w zależności od przyjętej opcji zastosowany zostanie podobny router (Cisco 2801) lub telefon każdego z użytkowników zostanie dołączony do bramki VoIP, których opisy zamieszczono w pracy. Wyposażenie sprzętowe omawianych routerów przedstawiono w tabeli. Tabl. 12. Specyfikacja wyposażenia routerów z funkjcą bramy VoIP Cisco 2801 Router 2800, 2x FE, 2x ISDN BRI WIC, 1x PVDM, Cisco 2811 Router 2800, 2x FE, 2x E1 WIC, 2x PVDM Routery z funkcją bram VoiP zostaną umieszczone w podsieci IL wykorzystującej translację adresów NAT. Adresy urządzeń będą pochodziły z puli adresów prywatnych przewidzianych dla podsieci IŁ zgodnie z regulaminem sieci komputerowej IŁ. Za przydział adresów jest odpowiedzialny administrator sieci IŁ. 4. Konfiguracja serwerów 4.1. Konfiguracja serwera VoIP (Asterisk) Obok istniejących serwerów pocztowych do wdrożenia przewidziano serwery VoIP oraz Jabber. Konfiguracja obu serwerów została przedstawiona poniżej. • Serwer Asterisk (platforma sprzętowa: Dell Opti Plex GX1M Intel Pentium III, 450MHz, 256MB RAM, 80GB HD) • System operacyjny: Fedora Core 3.0, • Asterisk (wersja. 1.0.9), Schemat połączeń definiuje, w jaki sposób mogą komunikować się poszczególne kanały, Docelowa platforma będzie wykorzystywać dwa typy kanałów do realizacji połączeń głosowych, tj. SIP oraz IAX. Ustawienia konfiguracyjne dl tych kanałów są umieszczone zatem odpowiednio w plikach: sip.conf oraz iax.conf. Poniżej znajdują się ustawienia dla kanału SIP (sekcja [general] opisująca ogólne parametry kanału oraz przykładowa sekcja dla wybranego abonenta [101]). 91 ; ; SIP Configuration for Asterisk ; [general] context=itl recordhistory=yes ;realm=mydomain.tld port=5060 bindaddr=0.0.0.0 srvlookup=yes tos=lowdelay maxexpirey=360 defaultexpirey=120 videosupport=yes disallow=all allow=all musicclass=default rtptimeout=60 rtpholdtimeout=300 trustrpid=yes [101] ; użytkownik VoIP canreinvite=no context=itl type=friend username=101 dtmfmode=info fromuser=101 host=dynamic secret=xxxx amaflags=default accountcode=101 ; ... pozostali użytkownicy definiowani sa w jednakowy sposób (o ile nie posiadają ; większych uprawnień) … analogicznie plik konfiguracyjny dla kanału IAX będzie miał następującą postać: ; Inter-Asterisk eXchange driver definition ; [general] bindport=4569 bindaddr=0.0.0.0 delayreject=yes language=en bandwidth=low disallow=all allow=all jitterbuffer=yes maxjitterbuffer=500 [201] type=friend host=dynamic dtmfmode=info secret=xxxx context=itl callerid="201" <201> amaflags=default accountcode=201 92 Z kolei plikiem konfiguracyjnym zawierającym reguły zestawiania połączeń jest plik extensions.conf, gdzie (exten) jest numerem żądanego użytkownika. Zasady budowy schematu połączeń zamieszczono w pracy, poniżej przedstawiono konstrukcję schematu do wykorzystania w implementowanej platformie (nie zamieszczono wszystkich rozszerzeń a jednie sposób budowy, który wpisuje się w zasady tworzenia numeracji opisane w kolejnym punkcie). [itl] ; kontekst przeznaczony do obsługi połączeń pomiędzy użytkownikami VoIP i PBX w IL exten => _5XX,1,Dial(IAX2/${EXTEN},20,rt) exten => _[1234678]XX,1,Dial(TRUNK_GW/${EXTEN},20,rt) exten => _9XX.,1,Dial(TRUNK_GW/${EXTEN},20,rt) 4.2. Numeracja telefoniczna z wykorzystaniem dostępu do usług VoIP Przewiduje się włączenie systemu VoIP w plan numeracji w następujący sposób: • wykorzystanie puli 99 numerów przeznaczonych do przypisania pracownikom IŁ (łącznie we wszystkich oddziałach) na cele telepracy, • wykorzystanie jednego numeru dostępowego do systemu VoIP (na cele ogólnodostępnego systemu IVR), • wykorzystanie ustalonych prefiksów do osiągnięcia docelowej lokalizacji (np. wybierając w oddziale warszawskim numer 971XYZ, gdzie 971 to prefiks oddziału wrocławskiego wywołanie kierowane jest poprzez system VoIP na numer XYZ w oddziale wrocławskim), • osiąganie użytkowników VoIP z PBX będzie możliwe w ramach puli numerów wydzielonej z zakresu obsługiwanego przez centralę Hicom w oddziale warszawskim (numery rozpoczynające się na 5XY). Osiąganie abonentów warszawskiej centrali PBX przez użytkowników VoIP (w sumie 99 użytkowników) jest realizowane przez wybranie trzycyfrowego numeru PBX. Połączenia do abonentów w innych oddziałach wymagają wybrania uprzednio prefiksu docelowej lokalizacji (odpowiednio 971- i 958-). 4.3. Konfiguracja serwera Jabber/XMPP (Jive) Implementacja serwera Jabber/XMPP została oparta na serwerze Jive. Cechy charakterystyczne implementacji: • platforma sprzętowa: Dell Opti Plex GX1M Intel Pentium III, 450MHz, 256MB RAM, 80GB HD) • system operacyjny: Fedora Core 3.0, • serwer Jabber/XMPP Jive 2.3.0 wraz z następującą listą dodatkowych aplikacji usługowych (plug-ins): o Asterisk-IM (realizuje funkcje integracji serwera Jabber/XMPP z serwerem Asterisk na poziomie wybranych zdarzeń w połączeniu zestawianym za pomocą protokołu SIP), 93 o Broadcast (aplikacja realizująca funkcje wysyłania wiadomości w trybie rozgłoszeniowym do wielu użytkowników), o Content Filter (realizujący funkcje śledzenia przesyłanych wiadomości tekstowych w poszukiwaniu określonych wzorców), o Presence Service (aplikacja udostępniająca informację o dostępności użytkowników serwera Jive za pomocą interfejsu HTTP), o Registration (aplikacja realizująca funkcje wspomagające proces rejestracji konta nowego użytkownika), o Search (aplikacja realizująca funkcje wyszukiwania użytkowników zarejestrowanych w danym serwerze), o User Import Export (aplikacja wspomagająca importowanie oraz eksportowanie danych użytkownika takich, jak np. rostery – listy kontaktów). 5. Konfiguracja stacji roboczych Wymagane jest zainstalowanie oprogramowania klienckiego do komunikacji za pomocą serwera Jabber/XMPP oraz oprogramowania VoIP, jeśli użytkownik ma zamiar korzystać z funkcji software’owego terminala VoIP. Należy jednak pamiętać, iż korzystanie z software’owych terminali VoIP wymaga uzupełnienia zestawu komputerowego o mikrofon i głośniki, bądź słuchawkę dołączaną za pośrednictwem portu USB do komputera (rekomendowane rozwiązanie). W odniesieniu do oprogramowania klienckiego Jabber/XMPP w pracy przedstawiono charakterystykę wybranych rozwiązań oraz rekomendowane aplikacje. Wybór aplikacji jest głównie uzależniony od systemu operacyjnego oraz wydajności platformy sprzętowej stacji roboczej. Zarówno w przypadku oprogramowania klienckiego VoIP jak Jabber/XMPP niezbędne jest poprawne jego skonfigurowanie, do czego niezbędne są informacje uzyskane od administratora sieci i opisujące nazwę konta i ustalone hasło, jak również parametry logowania. (rodzaj protokołu, wykorzystanie połączenia szyfrowanego). Konfiguracja stacji roboczych będzie zatem ograniczała się do poprawnego ustawienia parametrów i opcji logowania w oprogramowaniu klienckim. 6. Serwis Nadzór nad platformą telepracy sprawować będą wyznaczone osoby z OI. W przypadku zauważenia przez użytkownika problemów, awarii lub nieprawidłowej pracy sieci, użytkownik zgłasza ją telefonicznie, za pomocą faxu lub poczty elektronicznej do OI lub administratora sieci lokalnej w danym oddziale IŁ, zgodnie z obowiązującymi zasadami. O ile będzie to możliwe wszelkie zmiany konfiguracji urządzeń sieciowych tworzących platformę telepracy (dotyczy to głównie zdalnych lokalizacji) dokonywane będą zdalnie. Zmiany konfiguracji routerów objętych niniejszym projektem obejmują wszystkie działania konieczne dla utrzymania poprawnej pracy platformy i obejmują np.: • konfigurację interfejsów dla celów dołączania do sieci LAN i WAN, • konfigurację adresacji IP zgodnie z ustalonymi przez Regulamin Sieci Komputerowej IŁ zasadami. 94 9. Dokumenty odniesienia [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] RFC 3261 „Session Initiation Protocol”, 2002 RFC 3263 „SIP: Locating SIP Servers”; 2002 RFC 3264 „An Offer/Answer Model with the SDP”; 2002 RFC 2976 „SIP Info Method”; 2000 RFC 2709 (MGCP), RFC 3453 RFC 1889 RTP: A Transport Protocol for Real-Time Applications RFC 3853 RFC 3920: Extensible Messaging and Presence Protocol (XMPP): Core, 2004 RFC 3921: Extensible Messaging and Presence Protocol (XMPP): Instant Messaging and Presence, 2004 RFC 3922: Mapping the Extensible Messaging and Presence Protocol (XMPP) to Common Presence and Instant Messaging (CPIM), 2004 RFC 3923: End-to-End Signing and Object Encryption for the Extensible Messaging and Presence Protocol (XMPP), 2004 ITU-T Recommendation H.321 (1998), Adaptation of H.320 visual telephone terminals to B-ISDN environments. ITU-T Recommendation H.322 (1996), Visual telephone systems and terminal equipment for local area networks which provide a guaranteed quality of service. ITU-T H.323 ITU-T Recommendation H.324 (1998), Terminal for low bit-rate multimedia communication. ITU-T Recommendation H.450.1 (1998), Generic functional protocol for the support of supplementary services in H.323. ITU-T Recommendation H.450.2 (1998), Call transfer supplementary service for H.323. ITU-T Recommendation H.450.4 (1999), Call hold supplementary service for H.323. 10. Literatura [1] [2] [3] [4] [5] [6] [7] [8] VoIPSEC. Studie zur Sicherheit von Voice over Internet Protocol, Bundesamt für Sicherheit in der Informationstechnik 2005 NetWorld nr 10/2004 z października 2004 IT Baseline Protection Manual Standard Security Measures Version: October 2000 The SIP Express Router.An Open Source SIP Platform. Y. Rebahi, D. Sisalem, J. Kuthan, A. Pelinescu-Oncicul, B. Iancu, J. Janak, D. C. Mierla Sutton R. J. „Bezpieczeństwo telekomunikacji. Praktyka i zarządzanie” Wydawnictwa Komunikacji i Łączności, Warszawa 2004 Materiały zamieszczone w witrynie http://www.asterisk.org/ Materiały zamieszczone w witrynie http://developer.berlios.de/projects/ser/ Materiały zamieszczone w witrynie http://www.sipfoundry.org/ 95 Bezpieczeństwo teleinformatyczne oraz model bezpiecznego systemu telepracy Część 3 Metodyka testowania jakości transmisji głosu w sieciach pakietowych Warszawa, grudzień 2005 SPIS TREŚCI 1. Wprowadzenie ........................................................................................................................1 2. Subiektywne metody pomiaru jakości mowy.........................................................................3 3. Obiektywne metody pomiaru jakości mowy..........................................................................8 4. E-Model ..................................................................................................................................8 4.1 Struktura Modelu E.........................................................................................................10 4.2 Współczynnik jakości transmisji R ................................................................................11 5. Metodyka testowania jakości mowy ....................................................................................21 6. Podsumowanie......................................................................................................................29 Bibliografia...............................................................................................................................31 I II 1. Wprowadzenie We współczesnych systemach komunikacji elektronicznej, które w coraz większym stopniu bazują na sieciach heterogenicznych stanowiących kombinacje klasycznych sieci z komutacją kanałów z łączami z komutacją pakietów, istotnym zagadnieniem stała się jakość świadczenia usług QoS w tym jakość usługi głosowej. Sieci pakietowe cechują inne zjawiska związane z transmisją sygnałów w porównaniu z sieciami z komutacją łączy. Dość istotnym czynnikiem obniżającym jakość mowy transmitowanej jest jej opóźnienie. W związku z tym sieci pakietowe wymagają innego podejścia zarówno na etapie projektowania jak i w fazie monitorowania jej parametrów. Innym istotnym czynnikiem wpływającym na jakość mowy w sieciach pakietowych jest utrata pakietów i zmiana ich opóźnienia. Międzynarodowa organizacja normalizacyjna ETSI [6] publikuje cztery klasy jakości usług głosowych dla sieci heterogenicznych TIPHON (Telecommunications and Internet Protocol Harmonization Over Networks). 1. KLASA NAJWYŻSZA (Best). Jest to klasa oznaczająca możliwość dostarczenia usługi głosowej w sieciach pakietowych z jakością przewyższającą jakość świadczenia usługi głosowej za pośrednictwem klasycznej sieci z komutacją łączy PSTN (ang.Public Switched Telephone Network). Ta klasa jakości świadczenia usługi głosowej jest przewidywana do uzyskania w systemach z kodekami szerokopasmowymi. 2. KLASA WYSOKA (High). Jest to klasa oznaczająca możliwość dostarczenia usługi głosowej w sieci pakietowej z jakością zbliżoną do jakości świadczenia usługi głosowej w sieci PSTN. 3. KLASA ŚREDNIA (Medium). Jest to klasa oznaczająca możliwość dostarczenia usługi głosowej z jakością zbliżoną do jakości świadczenia usług głosowych w sieciach telefonii ruchomej np. w sieciach GSM, w których wykorzystano kodeki typu FR (ang.Full Rate). Tę klasę jakości przewiduje się w tych sieciach, w których straty pakietów i opóźnienie sygnału mowy nie są czynnikami krytycznymi w utrzymaniu średniej klasy jakości mowy i nie wymagają ścisłej kontroli. 4. KLASA NAJWYŻSZY WYSIŁEK (Best Effort). Jest to klasa oznaczająca możliwość dostarczenia usługi głosowej pozbawionej gwarancji co do poziomu jej jakości. Kontrola jakości usługi głosowej realizowanej przez sieci heterogeniczne polega na analizie różnych parametrów fizycznych opisujących transmisję sygnału mowy oraz analizie jakości odbieranego sygnału mowy. O jakości usługi głosowej świadczą następujące subiektywne wrażenia takie jak: • identyfikacja mówcy, • naturalność brzmienia głosu mówcy, • wyrazistość • stopień swobody wymiany myśli, • częstość pytań zwrotnych, • zrozumiałość przekazywanego tekstu, • natężenie uwagi w trakcie rozmowy telefonicznej, 1 • • • • • • • głośność odbieranej mowy, zniekształcenia głosu rozmówcy, zjawisko echa, nieprawidłowy efekt lokalny w urządzeniach końcowych opóźnienia mowy, hałasy otoczenia po stronie nadawcy i odbiorcy maskujące treść rozmowy, zakłócenia powstające w łączu (trzaski, przesłuchy, itd.). Jakość mowy transmitowanej poprzez sieci heterogeniczne postrzegana przez użytkownika-słuchacza zależy od następujących czynników obiektywnych tj.: • parametrów technicznych elementów tworzących sieć (terminale, łącza, systemy dostępowe, systemy komutacyjne, komutatory ATM, rutery itd.), • konfiguracji łącza (rodzaje składników sieci, typu łącza, długości łącza), • zjawisk towarzyszących transmisji głosu (tłumienie sygnałów mowy, efekt lokalny mówcy i słuchacza, echo, czas transmisji, szumy, zniekształcenia związane z obróbką cyfrową sygnału mowy, przesłuch itp.), • poziomu hałasu otoczenia po obu stronach łącza itp.. Jakość mowy transmitowanej poprzez sieci heterogeniczne zależy także od cech użytkowników sieci takich jak. właściwości artykulacyjne i percepcja słuchowa ludzi, sposób trzymania mikrotelefonu/telefonu względem ust i ucha itd. Do oszacowania jakości mowy stosuje się różne metody. Najogólniej można je podzielić na: • metody subiektywne, • metody obiektywne. Metody subiektywne tj. z udziałem ludzi wydają się być najbardziej miarodajne, gdyż to dla nich projektanci i producenci udoskonalają swoje systemy i produkty, a więc ich opinia o jakości świadczonej usługi głosowej jest najważniejsza. Metody subiektywne jednak mają szereg wad tj. czasochłonność (konieczność ustalania przerw pomiędzy badaniami), wysoki koszt, zależność wyników badań od kondycji psychofizycznej uczestników testu oraz pozwalają na analizę wypadkowej jakości, nie dając możliwości zbadania wpływu poszczególnych czynników na tę ogólna ocenę. Poza tym wyniki uzyskane metodami subiektywnymi zawierają więcej czynników względnych niż bezwzględnych i zachodzi potrzeba interpretacji wyników przez wyszkolonych doświadczonych ekspertów. Metody obiektywne polegają na pomiarze tylko pewnych, wybranych parametrów mających wpływ na jakość mowy. Na podstawie tych pomiarów wyznacza się jakość usługi głosowej uwzględniając model opisujący subiektywny odbiór hipotetycznego słuchacza. Wadą metod obiektywnych jest to, że nie uwzględniają wszystkich czynników wpływających na jakość mowy odbieranej przez człowieka, także nie biorą pod uwagę budowy fizjologicznej aparatu mowy i narządu słuchu oraz parametrów psychologicznych rozmówców. 2 Rysunek 1 Metody pomiaru jakości mowy Zróżnicowanie artykulacji aparatu mowy, percepcji słuchowej mówców i słuchaczy, stanu emocjonalnego oraz natężenia ich uwagi w chwili prowadzenia rozmowy powodują, że żadnej z miar obiektywnych nie można bezpośrednio powiązać z indywidualnymi wrażeniami o jakości mowy pojedynczych osób. Inaczej mówiąc, nie można wyników uzyskanych za pomocą metod obiektywnych przekładać bezpośrednio na całkowitą jakość transmisji i odbioru mowy. Ale na szczęście w dziedzinie metod obiektywnych obserwuje się stały postęp i obecnie wykorzystuje się do szacowania jakości transmisji mowy różne modele w mniejszym lub w większym stopniu uwzględniające różne czynniki i parametry torów transmisyjnych obniżające jakość mowy. W efekcie można te obiektywne wyniki przetransponować na zadowolenie bądź wręcz negatywne opinie o jakości usługi głosowej. Przykładem takiej metody jest Model E [3]- opis formuły matematycznej tej metody znajduje się więcej w rozdziale 4. 2. Subiektywne metody pomiaru jakości mowy Subiektywne pomiary jakości mowy przeprowadza się w unormowanych, kontrolowanych i powtarzalnych warunkach pomiarowych, w których uczestniczą osoby o bardzo dobrym słuchu i dykcji. Są to testy konwersacyjne i odsłuchowe z udziałem ludzi w trakcie realizowanych rzeczywistych połączeń oraz w warunkach laboratoryjnych. Testy te cechują: • czasochłonność, • zależność wyników od kondycji psychofizycznej uczestników testu • wysokie koszty badań • niedokładność wyników • wyniki zawierają więcej czynników bezwzględnych niż względnych • konieczność interpretacji wyników przez ekspertów. 3 W metodzie subiektywnej przy ocenie QoS mowy uczestnicy posługują się skalą punktową wg następujących kategorii: • bezwzględnej, • porównawczej, • degradacyjnej. Metody zrozumiałości (wyrazistości) Rozróżnia się następujące metody badań zrozumiałości: • głoskowej, • wyrazowej, • sylabowej, • zdaniowej, • logatomowej. Metoda uśrednionej opinii MOS (Mean Opinion Score) Miarą jakości mowy jest opinia uczestników testu w skali od 1(zła) do 5(bardzo dobra). Kubatura pomieszczeń, w których przeprowadzane są badania powinna być nie mniejsza niż 20 m3 (30 m3 do testowania urządzeń głośnomówiących). Czas pogłosu pomieszczeń nie powinien być większy niż 500 ms. Poziom hałasu nie powinien przekraczać 35 dB(A). Inne hałasy i ich widma podaje Zalecenie P.800 ITU-T. Zaleca się, aby w badaniu brały udział 24 osoby (12 par) z dobrym słuchem i dykcją. Zakres warunków testu powinien być wystarczająco szeroki, aby uczestnicy oswoili się z transmisją mowy, którą można ocenić jako doskonałą i skrajnie złą. Materiał testowy stanowi 5 krótkich zdań w danym języku (czas trwania około 20 s). Metoda bezwzględnej oceny jakości mowy ACR (Absolute Category Rating) W metodzie tej mamy do wyboru trzy różne skale ocen, tj. : Skala jakości odsłuchu (Tablica 1) Tablica 1 Skala MOS Jakość mowy Bardzo dobra (exellent) 5 Dobra (good) 4 Dostateczna (fair) 3 Niedostateczna (poor) 2 Zła (bad) 1 4 Skala wysiłku słuchowego (Tablica 2) Tablica 2 Skala MOS Jakość mowy Bardzo dobra (exellent) 5 Dobra (good) 4 Dostateczna (fair) 3 Niedostateczna (poor) 2 Zła (bad) 1 Skala preferowanej głośności (Tablica 3) Tablica 3 Preferowana głośność Skala MOS Dużo głośniejsza niż optymalna 5 Głośniejsza niż optymalna 4 Optymalna 3 Cichsza niż optymalna 2 Zbyt cicha 1 Metoda stopnia degradacji jakości mowy DCR (Degradation Category Rating) Metodę tę stosuje się w przypadku niewielkich degradacji jakości mowy. Słuchaczom prezentowane są próbki głosu pojedyncze (A-B) lub zdublowane (A-B-A-B) Próbka A stanowi próbkę odniesienia, natomiast próbka B jest próbką A o zmniejszonej jakości. Zadaniem słuchaczy jest określenie stopnia degradacji jakości w próbce B Uzyskane wyniki są przedstawiane w postaci tzw. degradacyjnej uśrednionej opinii słuchaczy DMOS. W tablicy 4 przedstawiono skalę ocen DMOS stosowaną w metodzie DCR 5 Tablica 4 Skala DMOS Stopień degradacji mowy Degradacja jest niesłyszalna 5 Degradacja jest niesłyszalna, ale odczuwalna 4 Degradacja jest słabo odczuwalna 3 Degradacja jest odczuwalna 2 Degradacja jest bardzo odczuwalna 1 Metoda porównawcza oceny jakości mowy CCR (Comparision Category Rating) Tablica 5 Skala CMOS Porównanie jakości mowy Znacznie lepiej 3 Lepiej 2 Nieznacznie lepiej 1 Prawie tak samo 0 Nieznacznie gorzej -1 Gorzej -2 Znacznie gorzej -3 Metoda testów konwersacyjnych typu „double-talk”DTT (Double Talk Tests) Testy konwersacyjne polegają na swobodnej rozmowie uczestników testu, po czym oceniają dane łącze w skali jakości od 1 do 5 (Tablica 6). Testy te wykonuje się w celu uzyskania subiektywnej oceny o jakości dla: • uzyskania informacji na temat ogólnej oceny jakości mowy wyrażonej przez przeciętnego użytkownika nie mającego doświadczenia w badaniach nad jakością mowy, • uzyskania subiektywnej oceny jakości mowy wyrażonej przez osoby posiadające doświadczenie w badaniach nad jakością mowy. W testach tych jest dokonywana ocena jakości transmisji mowy podczas równoczesnego mówienia obu abonentów. 6 W tablicy 6 zestawiono najważniejsze parametry transmisji, które można przeanalizować podczas testów „double-talk”DTT”. Tablica 6 Rozmówca mówiący w sposób ciągły Rozmówca przerywający Zdolność do równoczesnego mówienia Zdolność do równoczesnego mówienia Kompletność transmitowanej mowy Kompletność transmisji mowy Głośność podczas równoczesnego mówienia Głośność podczas równoczesnego mówienia Zmiana głośności podczas gdy mówi jedna strona oraz podczas równoczesnego mówienia Echo Echo Zmiana echa podczas gdy mówi jedna strona oraz podczas równoczesnego mówienia Jakość dźwięku Jakość dźwięku podczas gdy mówi jedna strona oraz podczas równoczesnego mówienia Transmisja szumu tła Transmisja szumu tła Metoda testów konwersacyjnych typu „mówienie i słuchanie” TLT (Talking and Listening Test) Cechą tych testów jest badanie z wykorzystaniem tylko jednego abonenta.. Testy te uwzględniają wszystkie elementy mające wpływ na jakość transmisji mowy podczas mówienia i słuchania. Badanie to jest szczególnie polecane przy badaniach nad wpływem zakłóceń powodowanych przez echo lub transmisję szumu otoczenia na jakość mowy. Metoda testów odsłuchowych LT (Listening Tests) Ta metoda polega na ocenie wcześniej nagranego materiału głosowego i jest przeznaczona do oceny oraz porównań parametrów różnych terminali, zaimplementowanych w tych terminalach algorytmów kodowania mowy oraz warunków, w których są przeprowadzane testy. 7 Metoda ciągłej oceny jakości mowy CQEM (Continuous Quality Evaluation Method) Metoda ta jest modyfikacją metod ACR i DCR, i polega na sposobie oceny jakości (skala ocen od 1 do 5 poszerzona o oceny stanów pośrednich np..4,5 3,5 2,5 1,5) Modyfikacja polega przede wszystkim na sposobie oceny jakości oraz na wyborze czasu trwania sygnału testowego. Dla metod ACR i DCR czas ten wynosi kilka sekund (8 s ÷ 10 s), natomiast w metodzie ciągłej oceny czas ten powinien wynosić od 45 s do 3 min. 3. Obiektywne metody pomiaru jakości mowy Obiektywne metody oceny jakości mowy polegają na: • określeniu modelu opisującego odbiór hipotetycznego słuchacza, • wyznaczeniu miary QoS mowy. Obiektywne metody oceny jakości transmisji mowy dzielimy na: • Metody porównawcze (Comparison Methods) • Metody bezwzględne (Absolute Estimation Methods) Metody obiektywne nie uwzględniają: • parametrów psychologicznych rozmówców, • budowy fizjologicznej aparatu mowy i narządu słuchu, • zróżnicowania artykulacji ludzi, • stanu emocjonalnego osób, • natężenia uwagi itd.. Rozróżnia się następujące obiektywne metody pomiaru jakości mowy • PSQM (Psycho-Acoustic Speech Quality Measure), • PESQ (Perceptual Evaluation of Speech Quality), • MNB (Measuring Normalizing Blocks), • TOSQA (Telecommunication Objective Speech Quality Assesment), • PAMS (Perceptual Analisis/Measurement System), • INDM (In-service, Non-intrusive Measurement Device), • E-MODEL (ETSI). 4. E-Model Kanał telekomunikacyjny pomiędzy ustami osoby mówiącej, a uchem słuchacza składa się z wielu torów i elementów tworzących łącze telefoniczne. Na jakość mowy transmitowanej poprzez łącze telefoniczne mają wpływ następujące parametry i czynniki: • rodzaje elementów końcowych (telefony stacjonarne, bezprzewodowe, mobilne) - analogowe i cyfrowe, 8 • rodzaje elementów połączenia (centrale abonenckie, międzymiastowe) - analogowe i cyfrowe, • rodzaje elementów transmisji (łącza przewodowe, światłowodowe, radiowe) • konfiguracja połączenia (długość połączenia, typ połączenia, rodzaje składników sieci), • parametry mowy i słuchu człowieka, • techniki transmisji • tłumienie transmisji mowy pomiędzy mówcą i słuchaczem, • charakterystyki skuteczności częstotliwościowej urządzenia abonenckiego. • tłumienie linii abonenckiej, • tłumienie obwodów 4-przewodowych, • efekt lokalny mówcy i słuchacza, • echo, • stabilność, • czas transmisji, • szum i zniekształcenia kwantyzacji, • przesłuch. 1. Ciśnienie dźwięku wytwarzane przez mówcę 2. Tor akustyczny pomiędzy słuchawką a bębenkiem ucha słuchacza 3. Hałas otoczenia 4. Tłumienie pomiędzy słuchawka i mikrofonem słuchacza 5. Tłumienie na drodze pomiędzy mikrofonem i słuchawką Rysunek 2 Parametry i czynniki wpływające na jakość mowy Każdy z tych czynników w różnym stopniu wpływa na jakość mowy w łączu telefonicznym, postrzeganą przez użytkownika. Na tę jakość ma również wpływ obecność w łączu urządzeń i systemów specjalnych takich jak: • urządzenia kontroli echa ECD (Echo Control Devices), • kodery mowy o małej przepływności binarnej, • urządzenia DCME, • systemy mobilne, • systemy ATM. 9 Jakość transmisji mowy jest symulowana korzystając z licznych parametrów transmisyjnych. W Zaleceniu G.108 ITU-T znajdują się ustalone dopuszczalne limity dla najważniejszych indywidualnych parametrów transmisji. Ogromna różnorodność konfiguracji połączeń, a także rodzaje urządzeń i łączy tworzących połączenie telefoniczne powoduje, że mamy do czynienia z bardzo różnymi kombinacjami wpływów parametrów transmisji na jakość przesyłania głosu. Te zagadnienia są przedmiotem zainteresowania specjalistów zajmujących się planowaniem transmisji, jak również operatorów sieci telefonicznych. Do szacowania jakości transmisji mowy poprzez łącza telekomunikacyjne służą modele matematyczne. Istnieje kilka modeli służących do prognozowania jakości transmisji [15]. Są to następujące modele: • Transmission Rating (Bellcore), • CATNAP 83 ( BT,Wielka Brytania), • Information Index (Francja), • OPINE (NTT,Japonia), • Transmission Quality Index [8] Modele te były szeroko stosowane do szacowania jakości mowy transmitowanej przez kilka typowych konfiguracji łączy, a wyniki uzyskane za pośrednictwem poszczególnych modeli były zbliżone. Obecnie dzisiaj specjaliści od planowania transmisji zmuszeni są wziąć pod uwagę kilka nowych ważnych czynników wpływających na osłabienie jakości transmisji mowy, a których nie uwzględniają poprzednie modele np. opóźnienia i echa wynikające ze stosowania nowych technik przetwarzania i transmisji mowy. Wyniki testów subiektywnych można łatwiej włączyć do nowego modelu. Stare modele należałoby transformować i aktualizować. Poza tym różne „dobre” cechy pozyskane ze starszych modeli mogą być włączone do nowego modelu. Takim modelem jest E-Model. Fundamentalną zasadą Modelu E jest koncepcja określona w modelu OPINE, która brzmi: „Współczynniki psychologiczne ( wrażenia obniżenia jakości mowy) są addytywne w skali psychologicznej” 4.1 Struktura Modelu E Model E zakłada, że jakość przesyłanej mowy przez łącze telekomunikacyjne mierzy się w słuchawce telefonu słuchacza w paśmie częstotliwości od 300 Hz do 3400 Hz. Konfigurację połączenia i odpowiednie parametry przedstawiono na rysunku 3. 10 Ps – poziom hałasu otoczenia w miejscu mówcy w dB(A), Pr – poziom hałasu otoczenia w miejscu słuchacza w dB(A), Ds - współczynnik D słuchawki w miejscu mówcy w dB, Dr - współczynnik D słuchawki w miejscu słuchacza w dB, SLRS - tłumienność głośności przy nadawaniu odniesiona do punktu 0 dBr położonego najbliżej pozycji mówcy wyrażona w dB, RLRR - tłumienność głośności przy odbiorze odniesiona do punktu 0 dBr położonego najbliżej pozycji mówcy wyrażona w dB, OLR=SLRS + RLRR – całkowita tłumienność głośności wyrażona w dB, STMR – tłumienność głośności efektu lokalnego w pozycji słuchacza wyrażona w dB, LSTR=STMR+Dr , TELR – tłumienność głośności echa mówcy wyrażona w dB, WEPL – ważona strata ścieżki echa wyrażona w dB, T – średnie opóźnienie w jedną stronę w ms,, Tr – opóźnienie w ms,, Ta – bezwzględne opóźnienie od mówcy do słuchacza w ms. qdu – jednostki zniekształceń kwantyzacji , Ie – współczynnik osłabienia jakości mowy z powodu zastosowania w łączu urządzeń specjalnych (np. kodeki o małej przepływności binarnej) A – współczynnik oczekiwania Rysunek 3 Konfiguracja połączenia i stosowne parametry użyteczne w E-Modelu Pomiędzy mówcą znajdującym się w pozycji S, a słuchaczem w pozycji R następuje komunikacja głosowa za pośrednictwem łącza telefonicznego. Model ten ocenia jakość przesłanej mowy od ust mówcy do ucha słuchacza postrzeganą przez użytkownika w pozycji R traktowanego zarówno jako słuchacza i mówcę. 4.2 Współczynnik jakości transmisji R W połączeniu telekomunikacyjnym parametry transmisji są zawarte we współczynniku jakości transmisji R, który jest przełożony na zadowolenie, bądź niezadowolenie użytkowników t.j. 11 wskaźniki procentowe opinii GOB, POW i TME (rys 2) i/lub średnie punkty opinii MOS (rys.3). Stopień satysfakcji lub braku zadowolenia użytkownika zależy zarówno od sposobu jego mówienia jak i od stopnia koncentracji słuchacza w czasie rozmowy telefonicznej. Współczynnik jakości transmisji R wyrażony jest za pomocą wzoru (1): R = Ro – Is – Id – Ie + A (1) gdzie : Ro reprezentuje podstawowy współczynnik sygnał/szum SNR transmisji mowy w punkcie 0 dBr-rys.3, Is reprezentuje osłabienia jakości transmisji występujące jednocześnie z sygnałem mowy, podobne do tego, jakie występuje przy odbiorze zbyt głośnego sygnału mowy, przy nieoptymalnym efekcie lokalnym lub powstające na skutek zniekształceń kwantyzacji, Id reprezentuje osłabienia jakości transmisji wywołane echem odnoszącym się do sygnału mowy, tj. echo mówcy TELR i echo słuchacza WEPL i trudności komunikacyjne spowodowane zbyt długim bezwzględnym opóźnieniem (Ta), Ie reprezentuje osłabienia jakości transmisji spowodowane przez zastosowanie w łączu specjalnych urządzeń tj.: pewne kodeki o małej szybkości przesyłania bitów, DCME, VPE i innych. Wpływ tych urządzeń na jakość mowy jest bardzo złożony i trudno jest go analizować biorąc pod uwagę indywidualne parametry, Współczynnik Ie związany z wpływem urządzeń zastosowanych w łączu telefonicznym na jakość mowy transmitowanej jest nowym pojęciem. W starszych modelach nie był on uwzględniany. A jest określony jako współczynnik oczekiwania, jest to wielkość dodatnia, która reprezentuje korzyści wynikające z używania różnych systemów transmisji mowy. W pewnych okolicznościach systemy radiowe mają pewną przewagę nad systemami kablowymi, pomimo gorszej jakości transmisji mowy. Przykładem może być rozwój telefonii mobilnej w trudnodostępnych regionach, gdzie względy ekonomiczne wzięły górę nad jakością połączenia. Współczynnik Ro Wyrażenie na współczynnik Ro jest następujące: Ro = 15 – 1,5 (SLR + No ) (2) gdzie: SLR jest tłumiennością głośności przy nadawaniu odniesioną do punktu 0 dBr najbliżej położonego miejsca R – rys 3. No stanowi całkowite szumy, także odniesione do punktu 0 dBr. No otrzymuje się przez dodanie mocy: • Szumu elektrycznego obwodu Nc [dBm0p], • Równoważnego szumu obwodu Nos [dBm0p] spowodowanego hałasem otoczenia Pos [dB(A)] w pozycji S, 12 • Równoważnego szumu obwodu Nor [dBm0p] spowodowanego hałasem otoczenia Por [dB(A)] w miejscu R, • Hałas tła Nfo [dBm0p] występujący w miejscu R. Szum elektryczny obwodu Nc otrzymuje się przez dodanie mocy szumów generowanych przez różne źródła w łączu, wszystkie odniesione do punktu 0 dBr. Jeśli szum jest wytwarzany przez pewne źródło N [dBmp] w punkcie o bezwzględnym poziomie L [dBr] to odpowiada to poziomowi szumu (N+L) dBm0p w punkcie 0 dBr. Równoważny szum obwodu Nos spowodowany hałasem otoczenia Pos [dB(A)] w miejscu S wynosi: N OS = POS − SLR − DS − 100 + 0,008 ( POS − OLR − DS − 14) 2 [dBm0p] (3) gdzie: OLR = SLR + RLR, Ds jest współczynnikiem D (D=LSTR-STMR) mikrotelefonu w pozycji mówcy S. Równoważny szum obwodu Nor spowodowany hałasem otoczenia Por w miejscu słuchacza R wynosi: N or = RLR − 121 + Pore + 0.008 ( Pore − 35) 2 [dBm0p] (4) gdzie: Pore jest efektywnym hałasem otoczenia w pozycji R wyrażony wzorem (5) Pore = Por + 10 lg [1 + 10 (10− LSTR ) / 10 ] [dB(A)] (5) Szum tła Nfo odnosi się do szumu tła w miejscu R i wynosi: Nfo = Nfor + RLR [dBm0p] (6) Zwykle Nfor = -64 dBmp Ostatecznie całkowity szum No otrzymuje się przez dodanie mocy wszystkich źródeł szumu: No = 10 lg [ 10Nc/10 + 10Nos/10+ 10Nor/10+ 10Nfo/10 ] [dBm0p] Uwaga: We wzorze (7) nie uwzględniono szumu zniekształceń kwantyzacji. 13 (7) Współczynnik Is Współczynnik Is jest wyrażony następującą zależnością: Is = Iolr + Ist + Iq (8) Iolr reprezentuje obniżenie jakości transmisji spowodowane zbyt głośnym połączeniem, tj. wtedy, gdy OLR jest zbyt mały, Ist reprezentuje obniżenie jakości transmisji spowodowane niewłaściwą wartością efektu lokalnego, Iq reprezentuje osłabienie jakości spowodowane przez zniekształcenia kwantyzacji. Uwaga Zniekształcenia spowodowane przez kodery o małej przepływności binarnej są reprezentowane przez współczynnik Ie. Współczynnik Iolr Wyrażenie na współczynnik Iolr jest następujące: Iolr = 20 [{ 1 + (X/8)8}1/8 - X/8] (9) X = OLR + 0,2(64 +Nt ) (10) gdzie: Nt = No – RLR (11) Współczynnik Ist Wyrażenie na współczynnik Ist jest następujące: Ist = 10 [1+{(STMRo-12)/5}6]1/6 +46[1+{STMRo /23}10]1/10+36 (12) gdzie: STMRo= -10lg[10-STMR/10 + e-T/410-TELR/10] T - średnie opóźnienie w jedną stronę [ms], TELR - tłumienność głośności echa mówcy [dB]. Współczynnik Iq Współczynnik Iq wyraża się następująco: 14 (13) Iq= 15lg [ 1+10Y] (14) Gdzie: Y=(Ro-100)/15+(46-G)/10, (15) 2 G=1,07+0,258Q+0,0602Q , (16) Q=37-15 lg(qdu). (17) gdzie: qdu (quantizing distortion units) – jednostki zniekształceń kwantyzacji Współczynnik Id Współczynnik pogorszenia jakości mowy spowodowany opóźnieniami w łączu wynosi: Id = Idte + Idle + Idd (18) gdzie: Idte reprezentuje osłabienie jakości powodowane przez echo mówcy. Parametrami związanymi są tłumienność głośności echa mówcy TELR i średnie opóźnienie echa (w jedną stronę). Idle reprezentuje pogorszenie transmisji spowodowane echem słuchacza. Parametrami związanymi są ważone tłumienie ścieżki echa WEPL i opóźnienie dla echa (w obie strony). Idd reprezentuje osłabienie transmisji przez zbyt długie bezwzględne opóźnienie, które występuje nawet wówczas, gdy bardzo dobrze wyeliminowane zostanie echo. Współczynnik Idte Wzór na obliczenie Idte jest następujący: ____________ Idte=[(Roe-Re)/2+√(Roe-Re)2/4+100 – 1] (1- e-T) (19) gdzie: Roe = −1,5 ⋅ ( N o − RLR ) (20) Re = 80 + 2.5(TERV − 14) (21) TERV = TELR − 40 lg 1 + T / 10 + 6e −0 ,3T 1 + T / 150 2 Dla T< 1 ms echo mówcy powinno być rozważane jako efekt lokalny wówczas Idte = 0 15 (22) Powyższe zależności mają zastosowanie wtedy, kiedy efekt lokalny jest w zakresie dopuszczalnych granic t.j. 7 < STMR < 15. Dla wartości STMR mniejszych od 7 dB echo mówcy jest częściowo maskowane przez efekt lokalny, wówczas TERV w równaniu (22) zastąpione jest przez TERVs: TERVs=TERV+Ist /2 (23) Dla większych wartości efektu lokalnego, tj. STMR>15 echo mówcy jest bardziej zauważalne, niż w normalnym zakresie wartości efektu lokalnego i Idte W wyrażeniu (19) Idte jest zastąpione przez Idtes: I dtes = 2 I dte + I st2 (24) Współczynnik Idle Współczynnik Idle oblicza się ze wzoru I dle = ( Ro − Rle ) / 2 + ( Ro − Rle ) 2 / 4 + 169 (25) gdzie: Rle=10,5 (WEPL+7) (Tr+1)-0,25 (26) Współczynnik Idd Dla Ta < 100 ms współczynnik Idd = 0 Dla Ta > 100 ms współczynnik Idd oblicza się według wzoru: I dd = 25{(1 + X 6 )1 / 6 − 3 (1 + [ X / 3]6 ) 1/ 6 gdzie: X= lg (Ta / 100) lg 2 + 2} (27) (28) Współczynnik Ie Współczynnik Ie stosuje się do urządzeń przetwarzających skomplikowany sygnał mowy, w szczególności dotyczy on koderów o małej przepływności binarnej. Kodery te są reprezentowane przez współczynnik K. W sytuacjach kiedy mamy do czynienia z kilkoma posobnie 16 połączonymi koderami (takich samych lub różnych), całkowite obniżenie jakości mowy reprezentowane przez współczynnik Ie, który jest sumą indywidualnych wartości K. W tablicy 7 podano przybliżone wartości współczynników K różnych kodeków wraz z ich przepływnością binarną według ETR 250 [4]. Tablica 7 K Koder [kbit/s] 40 2 32 7 ADPCM 24 25 16 50 LD-CELP 16 7 12,8 20 VSELP 8 20 RPE-LTP 13 20 CELP+ 6,8 25 Współczynnik oczekiwania A Wartości A dla poszczególnych rodzajów systemów zestawiono w tablicy 8 (wg ETR 250 [4]) Tablica 8 A Systemy komunikacji System konwencjonalny (przewodowy) 0 System DECT i podobne 5 System GSM i podobne 10 Wieloskokowe systemy satelitarne 20 Współczynnik jakości transmisji R jest miarą jakości transmisji mowy w łączu telefonicznym wyznaczonym za pośrednictwem Modelu E. Wartości współczynników jakości transmisji R mogą zawierać się od 0 do 100, a nawet mogą być większe. • • Współczynnik R=0 reprezentuje skrajnie złą jakość połączenia, Współczynnik R=100 świadczy o bardzo wysokiej jakości transmisji połączenia. Współczynnik R może być powiązany z innymi miarami jakości transmisji takimi jak: • Procent użytkowników oceniających jakość połączenia jako: dobrą lub bardzo dobrą GOB i słabą lub złą POW – rys.4, 17 • Procent użytkowników przedwcześnie przerywających połączenia z powodu złej jakości : TME, • Średni wskaźnik opinii MOS- rys.5. Model E, dzięki wyznaczeniu współczynnika jakości transmisji R pozwala na oszacowanie reakcji użytkowników łączy telefonicznych na jakość mowy w postaci GOB, POW i TME przez uśrednienie funkcji błędu o rozkładzie normalnym. Procedura oszacowania tych reakcji jest następująca: Wyznaczenie współczynnika R przez uśrednienie funkcji błędu o rozkładzie normalnym Erf(x): Erf ( x) = 1 2∏ x −t ∫e 2 /2 dt (29) −∞ Wtedy  R − 60  % GOB = 100 Erf   16  (30)  45 − R  % POW = 100 Erf   16  (31) Wyrażenia dla GOB i POW pochodzą z aproksymacji średnich wartości krzywych uzyskanych z testów subiektywnych wykonanych w Laboratoriach Bella. W Modelu E wyrażenie TME pochodzi z publikacji „Transmission Performance of Evolving Telecommunications Networks” [8] i ma postać:  36 − R  % TME = 100 Erf   16  Zależności GOB , POW i TME jako funkcje współczynnika R podano na rysunku 4. 18 (32) Rysunek 4 Zależności GOB , POW i TME w funkcji R pochodzące z testów subiektywnych Związek pomiędzy R a MOS opisano w literaturze [8]. Przedstawia się następująco: dla 0100 MOS = 4,5 . 19 (33) Na rysunku 5 pokazano zależność obliczonego MOS w funkcji R (wg ETR 250 [4]). Rysunek 5 Zależność MOS od współczynnika R W tablicy 10 podano przybliżoną szacunkową jakość sygnału mowy przesyłanego przez łącze telefoniczne wyznaczone za pośrednictwem Modelu E. Dane te pochodzą z ETR 250 [4]. Tablica 10 R GOB POW TME % % % Jakość mowy 90 97 Bardzo dobra 80 89 Dobra 70 73 6 60 50 17 6 Dostateczna 45 17 50 27 Nieodpowiednia 35 6 73 50 Klienci będą reklamować Odpowiednia 20 5. Metodyka testowania jakości mowy ETAP 1 1. Dokonano przeglądu norm dotyczących jakości mowy transmitowanej za pośrednictwem sieci z protokołem IP. Zapoznano się z następującymi dokumentami: • TBR 038 (1998), • ETSI ES 200677 V.1.2.1 (1998), • ETSI EG 201377-2 V.1.1.1 (2005) X, • ETSI EG 201377-1 V.1.2.1 (2002), • ITU-T G.108 (2002) • ETSI EG 201050 V.1.2.2 (1999), • ETR 250 (1996) • ETSI EG 202 057-4 V.1.1.1 (2005) X • ETSI TIPHON 22 (2001) • ITU-T P.831 • ETI EG 202 057-1 V.1.2.1 (2005) X • ETI EG 202 057-2 V.1.2.1 (2005) X • ETUI TS 1901 329-2 V2.1.3 (2002) • ITU-T P.11 (1997) • ETSI ES 202 020 V1.3.1 (2004) W bieżącym roku trwała ankietyzacja niektórych norm dotyczących jakości usługi głosowej ETSI (zaznaczone znakiem X) i została zakończona na jesieni tego roku wydaniem przyjętych ostatecznych wersji dokumentów. 2. Wyspecyfikowano parametry konieczne, aby można było zastosować E-Model do obiektywnej oceny jakości mowy. Są to następujące parametry: • • • • • • • • • • • • • • • • • Tłumienność głośności przy nadawaniu SLR (dB), Tłumienność głośności przy odbiorze RLR (dB), Tłumienność głośności efektu lokalnego STMR (dB), Czułość mikrofonu dla pozycji mówcy Ds (dB), Czułość mikrofonu dla pozycji odbiorcy Dr (dB), Tłumienność głośności echa mówcy TELR (dB), Ważona ścieżka echa WEPL (dB), Średni czas transmisji ścieżki echa T (ms), Opóźnienie w pętli 4-przewodowej Tr (ms), Bezwzględne opóźnienie Ta (ms), Jednostka zniekształceń kwantyzacji qdu, Współczynnik zniekształceń wnoszony przez urządzenia Ie, Szum obwodu elektrycznego Nc (dBm0p), Szum tła odbierany przez odbiorcę drogą elektryczną Nf0 (dBmp), Hałas otoczenia w pozycji mówcy Ps (dB(A)), Hałas otoczenia w pozycji odbiorcy Pr (dB(A)), Współczynnik oczekiwania A. 21 ETAP 2 1. Opracowano metodykę pomiarów głosowych parametrów transmisyjnych urządzeń końcowych. Ze względu na to, że użyte w badaniach analogowe aparaty telefoniczne były podłączone do sieci za pośrednictwem bramek zostały zmodyfikowane akredytowane Procedury Badawcze CL3/1, CL3/2, CL3/3, CL3/4, CL3/5 do pomiarów wskaźników głośności LR oraz charakterystyk częstotliwościowych. Niestety przy pomocy zestawu pomiarowego znajdującego się w Centralnym Laboratorium Badawczym (Zespół CL3), nie można było zmierzyć wskaźników głośności oraz charakterystyk skuteczności częstotliwościowej telefonów IP. W pracy dane dotyczące głosowych parametrów transmisyjnych tj. SLR, RLR, STMR telefonu CISCO 7905 pochodzą z danych technicznych urządzenia. 2. Wykonano 12 testów subiektywnych (6 par-6 mężczyzn i 6 kobiet). Badania polegały na bezwzględnej ocenie jakości mowy ACR (Absolute Category Rating) w trzech różnych skalach ocen: • w skali jakości odsłuchu MOS (od 1 do 5), • w skali wysiłku słuchowego MOS (od 1 do 5), • w skali preferowanej głośności MOS (od 1 do 5). Konfiguracja łącza przyjęta do badań subiektywnych i obiektywnych została przedstawiona na rysunku 6. Rysunek 6 Konfiguracja łącza wykorzystywana do badań subiektywnych i obiektywnych 22 Konfiguracja logiczna została zamieszczona na rysunku 7. Rysunek 7 Konfiguracja logiczna wykorzystywana do badań subiektywnych i obiektywnych Sygnałami testowymi była mowa naturalna w języku polskim (6 głosów męskich i 6 głosów damskich). Zaproponowano 5 list testowych, każda zawierająca 5 zdań. Wybrane zdania były tak ułożone, że wykluczały ich powiązania semantyczne. Badania wykonano w pomieszczeniach laboratoryjnych , w których poziom hałasu nie przekraczał 35 dB (A). Do stanowisk odsłuchowych doprowadzono łącza w wybranych konfiguracjach- rys.8 i 9 Konfiguracja łącza z kodekami G.711, G.723, G.726, G. 729 a2 a2 Siemens Telematica a1 Siemens 815s A Serwer VoIPAsterisk G1 Linksgs PAP-2 G2 Grandstream HT-488 G1 A G2 Internet a1 AA Rysunek 8 23 Konfiguracja z iLBC+G.711 a2 a2 Siemens Telematica A Serwer VoIP Asterisk G1 Linksgs PAP-2 IP Cisco 7905 G1 A IP Internet A Rysunek 9 Badania wykonano w dwóch konfiguracjach: • Konfiguracja 1 (rys.8): po obu stronach łącza znajdowały się klasyczne analogowe telefony (Siemens EUROSET 815 S i Siemens TELEMATICA) podłączone do centrali DGT 3450 (różne kodeki takie jak: G.711, G.723, G.726, G.729) za pośrednictwem bramek (G1 Linksgs PAP-2 i G2 Grandstream HT-488). • Konfiguracja 2 (rys.9): po jednej stronie łącza znajdował się telefon analogowy podłączony do centrali DGT 3450 (kodek ILBC +G.711) za pośrednictwem bramki G1 (Linksgs PAP-2), zaś po drugiej stronie łącza znajdował się telefon IP CISCO 7905. Sygnał mowy pomiędzy użytkownikami (telefonu analogowego z jednej strony oraz telefonu IP z drugiej strony łącza) był transmitowany za pośrednictwem lokalnej zakładowej sieci Ethernet, oraz dla stworzenia bardziej krytycznych warunków transmisji (wydłużenie czasu transmisji) mowa była transmitowana również przez sieć Internet. 3. Opracowano i przeanalizowano wyniki badań subiektywnych (Tablice 11a, 11b, 11c). Wyraźnie zarysowała się negatywna opinia wszystkich uczestników testu o połączeniu z kodekiem G.711. Ta najniższa ocena jakości mowy wynikała z wykorzystania asymetrycznego łącza dostępowego o niskiej przepływności po stronie pomocniczego serwera Asterisk (256 kbit/s w relacji Internet => Serwer pomocniczy oraz 64 kbit/s w relacji serwer pomocniczy => Internet). Zakładając, że przepływność strumienia na wyjściu kodera G.711 wynosi 64 kbit/s, uwzględniając ponadto: • konieczność zapewnienia przez łącze 64 kbit/s obsługi ruchu związanego z jednocześnie zestawionymi dwoma połączeniami (z wykorzystaniem protokołu SIP oraz IAX2), • narzut na nagłówki protokołów obsługujących strumienie głosowe, 24 można stwierdzić, iż łącze to zdecydowanie nie gwarantowało komfortu niezbędnego do prowadzenia rozmowy telefonicznej. W rzeczywistych warunkach takie parametry łącza nie mogłyby zostać wykorzystane do poprawnej obsługi połączeń VoIP wykorzystujących kodek G.711, jednak obniżenie przepływności strumienia audio powinno przynieść w tym przypadku oczekiwane rezultaty. Potwierdzeniem tej obserwacji były również opinie osób biorących udział w badaniu. Prawie wszyscy uczestnicy badań zanotowali w swoich formularzach, że mieli na początku rozmowy duży problem z komunikacją, dopiero jak przestali jednocześnie mówić do siebie i osoba nadająca rozpoczęła odczytywanie list testowych to zjawisko przerywania mowy uległo zmniejszeniu. Nie mniej jednak wszyscy uczestnicy ocenili połączenie w tej konfiguracji negatywnie. Kilka osób zanotowało występowanie wyraźnych opóźnień mowy. Z kolei najlepiej oceniono połączenia z kodekami G.723.1, G.729 i ILBC+G.711( cytaty z formularzy. „Małe opóźnienia”, „brak przerywania”, „rozmowa z małym echem” itd.) W tablicach 11a, 11b, 11c umieszczono wyniki badań subiektywnych w trzech różnych skalach ocen. Ocena jakości odsłuchu MOS 1 2 3 4 5 6 7 8 9 10 G.711 2 2 4 2 2 2 2 2 2 2 Tablica 11a 11 12 Srednia wartość MOS 2 2 2,16 G.723.1 4 2 4 4 3 4 4 3 3 4 4 4 3,58 G.726 3 3 4 3 2 4 3 3 2 3 3 3 3,0 G.729 4 4 4 4 4 4 4 5 4 4 4 4 4,08 ILBC 3 3 4 4 3 4 4 5 4 5 3 3 3,75 Słuchacz 25 Ocena wysiłku słuchowego MOS Słuchacz 1 2 3 4 5 6 7 8 9 10 11 G.711 2 2 3 2 2 2 2 2 2 3 2 Tablica 11b 12 Srednia Wartość MOS 2 2,16 G.723.1 4 2 4 3 4 4 3 4 2 4 5 4 3,25 G.726 3 2 4 3 3 3 3 2 2 3 2 3 2,75 G.729 4 4 4 4 4 5 4 5 4 5 3 4 4,16 ILBC 4 4 4 4 3 4 4 5 4 5 3 4 3,58 Ocena preferowanej głośności MOS Słuchacz 1 2 3 4 5 6 7 8 9 10 11 G.711 2 2 3 2 3 4 3 3 2 3 2 Tablica 11c 12 Srednia wartość MOS 2 2,58 G.723.1 2 3 3 3 3 3 3 3 3 3 3 3 2,91 G.726 2 2 3 3 3 2 3 3 2 3 2 3 2,58 G.729 2 3 3 5 3 4 3 4 4 3 3 3 3,33 ILBC 3 3 4 4 3 4 3 4 4 3 3 3 3,41 ETAP 4 1. Wykonano w wybranych konfiguracjach łączy (rys.8 i 9) badania obiektywne parametrów transmisyjnych mowy . W tym celu wykorzystano aparaturę pomiarową dostępną w IŁ. Do realizacji pomiaru wskaźników głośności głosowych urządzeń końcowych wykorzystano skomputeryzowany zestaw pomiarowy duńskiej firmy Bruel & Kjaer z Analizatorem Akustycznym typ 2012. Oprogramowanie Analizatora stanowi Program Główny VP 7405 V.3.0, program aplikacyjny dotyczący pomiarów telefonometrycznych VP 7417 część BZ 5105 oraz program realizujący obliczanie wskaźników głośności nr 7661. 26 W skład zestawu wchodzą następujące urządzenia : • Analizator Akustyczny typ 2012 wraz z oprogramowaniem • Sztuczna Głowa typ 4905 (Symulator Ust 4227, Symulator Ucha 4185)-rys.10. • Ploter Graficzny typ 2319 Dla celów telefonii Zalecenie ITU-T P.79 [17] podaje poziom ciśnienia dźwięku w punkcie MRP (ang.Mouth Reference Point) i wynosi –4,7 dB względem 1 Pa1). Natomiast doświadczalnie wyznaczony tzw. „normalny poziom słyszenia” (zgodnie z Zaleceniem P.79 ITU-T) wynosi –18 dB względem 1 V1) w punkcie odniesienia ERP (ang.Ear Reference Point). 1) W telefonometrii akustyczny poziom odniesienia wynosi 1 Pa (1 Pa = 0 dB = 94 dB SPL), a elektryczny poziom odniesienia wynosi 1V) Na rysunku poniżej przedstawiono zestaw pomiarowy z Analizatorem 2012 B&K znajdujący się w akredytowanym Centralnym Laboratorium Badawczym w Instytucie Łączności w Warszawie. Rysunek 10 System do pomiarów telefonometrycznych z Analizatorem 2012 – tłumienności głośności LR Przed pomiarami system pomiarowy został wykalibrowany według Instrukcji CLB/1. Wykonano pomiary głosowych parametrów transmisyjnych telefonów analogowych w 26 konfiguracjach łączy tj.: 1. telefon analogowy 815S - centrala DGT 3450 – telefon analogowy Telematica, 2. telefon analogowy 815S – centrala DGT 3450 (kodek G.711) – serwer VoIP Asterisk v 0.9.0 – telefon IP Cisco 7905, 27 3. telefon analogowy 815S – centrala DGT 3450 – serwer VoIP Asterisk 0.9.0 – bramka G1 Linksgs PAP-2 – telefon analogowy Telematica, 4. telefon analogowy 815S – centrala DGT 3450 – serwer VoIP Asterisk 0.9.0 – bramka G2 Grandstream HT-488 – telefon analogowy Telematica, 5. telefon analogowy 815S – centrala DGT 3450 – serwer VoIP Asterisk 0.9.0 – bramka G3 G20 – telefon analogowy Telematica, 6. telefon analogowy 815S - bramka G2 Grandstream HT-488 – Serwer VoIP Asterisk 0.9.0 - bramka G1 Linksgs PAP-2 - telefon analogowy Telematica, 7. telefon analogowy Telematica - bramka G1 Linksgs PAP-2 - serwer VoIP Asterisk telefon IP Cisco 7905, 8. telefon analogowy Telematica - bramka G2 Grandstream HT-488 - serwer VIP Asterisk - telefon IP Cisco 7905 9. telefon analogowy Telematica - bramka G3 - serwer VoIP Asterisk telefon IP Cisco 7905 , 10. telefon analogowy Telematica - bramka G1 Linksgs PAP-2 - serwer VoIP Asterysk telefon IP PA-168, 11. telefon analogowy Telematica - bramka G2 Grandstream HT-488 - serwer VoIP Asterisk - telefon IP PA-168, 12. telefon analogowy Telematica - bramka G3 G20 - serwer VoIP Asterisk - telefon IP PA-168, 13. telefon analogowy 815S - bramka G1 Linksgs PAP-2 - serwer VoIP Asterisk - telefon IP PA-168, 14. telefon analogowy 815S - bramka G2 Grandstream HT-488 - serwer VoIP Asterisk telefon IP PA-168, 15. telefon analogowy 815S - bramka G3 G20 - serwer VoIP Asterisk - telefon IP PA168, 16. telefon analogowy Telematica - bramka G1 Linksgs PAP-2 - serwer VoIP Asterysk – INTERNET - serwer VoIP Asterysk - G2 Grandstream HT-488 - telefon analogowy 815S, 17. telefon analogowy Telematica - bramka G3 G20 - serwer VoIP Asterysk – INTERNET - serwer VoIP Asterysk - G2 Grandstream HT-488 - telefon analogowy 815S, 18. telefon analogowy Telematica - bramka G3 G20 - serwer VoIP Asterysk – INTERNET - serwer VoIP Asterysk – G1 Linksgs PAP-2 - telefon analogowy 815S, 19. telefon analogowy Telematica - bramka G1 Linksgs PAP-2 - serwer VoIP Asterysk – INTERNET - serwer VoIP Asterysk – G3 G 20 - telefon analogowy 815S, 20. telefon analogowy Telematica - bramka G2 Grandstream HT-488 serwer VoIP Asterysk - INTERNET - serwer VoIP Asterisk - bramka G2 Grandstream HT-488 – telefon analogowy 815S 21. telefon analogowy Telematica - bramka G1 Linksgs PAP-2 serwer VoIP Asterysk INTERNET - serwer VoIP Asterisk - telefon IP PA-168, 22. telefon analogowy Telematica - bramka G2 Grandstream HT-488 - serwer VoIP Asterysk - INTERNET - serwer VoIP Asterisk - telefon IP PA-168, 23. telefon analogowy Telematica - bramka G3 G20 - serwer VoIP Asterysk - INTERNET - serwer VoIP Asterisk - telefon IP PA-168, 24. telefon analogowy 815S - bramka G1 Linksgs PAP-2 - serwer VoIP Asterysk - INTERNET - serwer VoIP Asterisk - telefon CISCO 7905 25. telefon analogowy 815S - bramka G2 Grandstream HT-488 - serwer VoIP Asterysk INTERNET - serwer VoIP Asterisk - telefon CISCO 7905 26. telefon analogowy 815S - bramka G3 G20 - serwer VoIP Asterysk - INTERNET serwer VoIP Asterisk - telefon CISCO 7905 28 Poniżej przedstawiono przykładowe parametry łącza w konfiguracji przedstawionej na rysunku 8. Po stronie nadawczej znajdował się aparat TELEMATICA, a po stronie odbiorczej telefon EUROSET 815S. • • • • • • • • • • • • • SLR =15,44 dB RLR = 2,75 dB STMR=11,8 dB LSTR=14,8 dB Ds=3 dB Dr= 3 dB TELR=40 dB WEPL=20 dB T = 50 ms Tr =0 ms Ta=108(ms) qdu= 1 Ie odpowiednio dla: G.711(Ie=0), G.723.1(Ie=15), G.726(Ie=25) G.729(Ie=20) Parametry te zostały wykorzystane przy zastosowaniu obiektywnego narzędzia w postaci E-Modelu. Poniżej zestawiono wyniki badań subiektywnych i obiektywnych dla połączeń, w których zastosowano różne kodeki. • • • • • G.711 G.723.1 G.726 G.729 ILBC R=90 (MOS=4,3) R=70 (MOS=3,6) R=77 (MOS=3,9) R=85 (MOS=4,2) R=75 (MOS=3,7) MOSsub=2,3 MOSsub=3,25 MOSsub=2,78 MOSsub=3,85 MOSsub=3,58 6. Podsumowanie W ramach niniejszego zadania wykonano badania subiektywne i obiektywne zestawionych łączy w dwóch konfiguracjach. Zbadano subiektywnie i obiektywnie: • • • • wpływ różnych kodeków na jakość transmisji mowy w sieciach IP tj. G.711 (Ie=0), G.723.1 (Ie=15), G.726 (Ie=25), G.729 (Ie=10), wpływ opóźnienia sygnału mowy związany z procesem kodowania G.711 (Tad=0,125 ms), G.723.1 (Tad=37,5ms), G.726 (Tad=0,125 ms), G.729 (Tad=15 ms) wpływ opóźnienia sygnału mowy związanego z procesem pakietyzacji+kodowania i dekodowania (dla sytuacji, w której w jednym pakiecie występuje jedna ramka głosu) dla G.711 (T=0,375 ms), G.723.1 (T=97,5 ms), G.726 (T=0,375 ms), G.729 (T=35 ms). wpływ opóźnienia sygnału mowy wnoszonego przez sieć od 0,6 ms (LAN) do 108 ms (Internet). 29 • • wpływ opóźnienia sygnału mowy (jittera)- wariancja opóźnienia dla sieci LAN wynosiła 0,031 ms, a dla łącza internetowego 14 ms. Nie zbadano natomiast wpływu utraty pakietów, gdyż w warunkach jakimi dysponowaliśmy nie było możliwości monitorowania tego niekorzystnego zjawiska (IŁ nie dysponuje urządzeniem do monitorowania strat pakietów). Z literatury wiadomo, że dla G.711 kodera utrata 5% pakietów powoduje wzrost współczynnika Ie (w E-Modelu) aż do wartości 55, co w efekcie może bardzo niekorzystnie odbić się na jakości mowy transmitowane, której miara jest wartośći Współczynnika R. Badania subiektywne dowiodły, że łącze z kodekiem G.711 wypadło w ocenie uczestników najgorzej, mimo że sam kodek ma najwyższą przepływność 64 kbit/s. Przyczyną tego może być to, że kodek ten pozwolił na przesłanie dużej ilości informacji, to z kolei jest równoznaczne z dużą ilością pakietów odpowiadających mowie. Nie wszystkie pakiety były w stanie przejść w czasie rzeczywistym do słuchacza, bo były kolejkowane, część uległa stracie i w efekcie mowa przyszła do słuchacza albo niekompletna bądź z opóźnieniem. Tak więc prawdopodobną przyczyną tak słabej oceny jakości połączenia z kodekiem G.711 nie był bezpośrednio wpływ kodeka G.711, lecz niekorzystnych zjawisk występujących w związku z transmisją pakietową w rozważanych konfiguracjach. Połączenie z kodekiem G.726 oceniono jako dostateczne, ze względu na występujące opóźnienia. Wyniki oceny MOS pozostałych połączeń z kodekami G.723.1 i G.729 były porównywalne (MOS= od 3,5 do 4,0). Słuchacze notowali w swoich formularzach uwagi dotyczące niewielkich opóźnień mowy występujących w trakcie połączeń. Nie było zastrzeżeń co do głośności w obu torach rozmownych. Różnice wyników pomiędzy MOSsub a szacunkową ocena wyznaczona obiektywnie MOS wynikają z tego, że zakres warunków testów subiektywnych nie był wystarczająco szeroki, aby uczestnicy oswoili się z transmisją mowy, którą można ocenić jako doskonałą (ocena 5) i skrajnie złą (ocena 1). Poza tym lektorzy i słuchacze nie byli wyspecjalizowani w testach subiektywnych W przyszłości należałoby przeprowadzić badania większej liczby rodzajów kodeków o różnych przepływnościach. To pozwoliłoby na głębszą analizę ich wpływu na oceną jakości mowy transmitowanej tj.: • wpływ opóźnienia transmisji mowy ze względu na kodowanie i dekodowanie mowy, • wpływ opóźnienia mowy związanego z pakietyzacją • wpływ opóźnienia transmisji sygnału mowy na jakość mowy dla czasów ponad 200 ms. • wpływ utraty pakietów (od 1% do 20%) na jakość mowy. 30 Bibliografia [1] ETSI EG 201 377-2 V.1.3.1 (2005), Speech Processing, Transmission and Quality As pects (STQ), Part 2: Mouth-to-ear speech transmission quality including terminals [2] ETSI EG 201 377-1 V.1.3.1 (2002), Speech Processing, Transmission and Quality Aspects (STQ),Specification and measurement of speech transmission quality; Part 2: Mouth-to-ear speech transmission quality including terminals. [3] ITU-T G.108 (2002), Application of E-Model: A planning guide [4] ETR 250 (1996) Transmission and Multiplexing ™; Speech communication quality from mouth to ear for 3,1 kHz handset telephony across networks. [5] ETSI EG 202 057-4 V.1.1.1 (2005) , Speech Processing, Transmission and Quality Aspects (STQ); Userrelated QoS parameter definitions and measurements, Part 4: Internet access [6] ETSI TIPHON 22 (2001), Report of 1stETUI VoIP Speech Quality Test Event [7] ITU-T P.831, Methods for objective and subjective assessment of quality, 1998 [8] ETSI EG 202 057-1 V.1.2.1 (2005), Speech Processing, Transmission and Quality Aspects (STQ);; Part 1: General. [9] ETSI TS 1901 329-2 V2.1.3 (2002), Telecommunications and Internet Protocol Harmonization Over Networks (TIPHON) Telease 3; End-to-end Quality of Service in TIPHON systems; Part 2: Definition of speech Quality of Service (QoS) classess [10] ITU-T P.11 (1997), Effect of transmission impairments [11] ETSI ES 202 020 V1.3.1 (2004), Speech Processing, Transmission and Quality Aspects (STQ; Harmonized Pan-European/North-American approach to loss and level [12] PN-97/T-83001:„Aparaty telefoniczne elektroniczne ogólnego przeznaczenia dla analogowych łączy abonenckich”- Wymagania i badania,1997. [13] S.Kula, M.J.Trzaskowska, „Ocena łańcucha pod kątem jakości mowy kodowanej” – Pomiary w Telekomunikacji (TPSA), 2000 [14] ITU-T Serie P, Sup.3,”Models for predicting transmission quality from objective measurements”, 1992, [15] N.O.Johannesson,”The ETSI computation model:A tool for transmission planning of telephone networks”, IEEE Communications Magazine, January 1997, 31 [16] ETSI EG 201 050 V1.2.2:”Speech Processing, Transmission and Quality Aspects (STQ); Overall Transmission Plan Aspects for Telephony in Private Network”.1999 [17] ITU-T P.79 :“Calculation of loudness ratings for telephone sets”.1993 32