Bezpieczeństwo teleinformatyczne oraz model bezpiecznego

Transkrypt

Zakład Sieci Konwergentnych (Z-4)
Ośrodek Informatyki (OI)
Centralne Laboratorium Badawcze (CLB)
Praca statutowa
Bezpieczeństwo teleinformatyczne oraz model
bezpiecznego systemu telepracy
Numer Pracy:
04300025
07300015
09300035
Warszawa, grudzień 2005
Bezpieczeństwo teleinformatyczne oraz model bezpiecznego systemu telepracy
Praca numer:
04300025
07300015
09300035
Słowa kluczowe:
polityka bezpieczeństwa teleinformatycznego, standardy
bezpieczeństwa,VoIP, QoS, telepraca, Extranet
Kierownik pracy:
mgr inż. Konrad Sienkiewicz
Wykonawcy:
mgr inż. Konrad Sienkiewicz
mgr inż. Mariusz Gajewski
mgr inż. Wojciech Michalski
inż. Waldemar Latoszek
inż. Urszula Cackowska
mgr inż. Grzegorz Wójcik
mgr inż. Piotr Jankowski
mgr inż. Dominik Łoniewski
mgr inż. Robert Bućko
mgr Alicja Baran
mgr inż. Wojciech Pietron
dr inż. Maria Trzaskowska
inż. Wiesław Zadrożny
© Copyright by Instytut Łączności, Warszawa 2005
Z-4
Z-4
Z-4
Z-4
Z-4
OI
OI
OI
OI
OI (oddział Wrocław)
OI
CLB
CLB
SPIS TREŚCI :
1. Wprowadzenie
1
2. Sposób rozwiazania zadania
1
3. Wyniki pracy
3
4. Podsumowanie
3
1
1. Wprowadzenie
Praca statutowa „Bezpieczeństwo teleinformatyczne oraz model bezpiecznego systemu
telepracy” realizowana w roku 2005 wpisuje się w nurt prac „dużych” realizowanych przez
zespoły interdyscyplinarne. Jest ona więc zgodna z preferencjami IŁ w zakresie formułowania
tematów badawczych. Również zakres tematyczny pracy w pełni odpowiada strategicznym
kierunkom badawczym IŁ tj. bezpieczeństwo teleinformatyczne, przygotowanie do
wykonywania audytów bezpieczeństwa, VoIP, QoS w sieciach VoIP, telepracy. Praca
związana jest z technologiami rozwijającymi się bardzo dynamicznie, dlatego należy
zakładać, że zdobyte umiejętności pozyskane w ramach pracy, pozwolą by IŁ w niedalekiej
przyszłości czerpał wymierne korzyści świadcząc usługi.
Zespół wykonawców wywodzi się z różnych jednostek IŁ. Przyczyniło się to do wymiany
poglądów i doświadczeń. Można też zakładać, że dzięki temu praca jest kompletna, gdyż
uwzględnia „ różne punkty widzenia”.
Trzeba też podkreślić, że praca w większości zadań łączyła działania koncepcyjne i
działania praktyczne. A więc można było praktycznie zweryfikować rozwiązania
proponowane na podstawie przeprowadzonych analiz. W kilku przypadkach w wyniku
praktycznej weryfikacji proponowanych założeń dokonano zmiany założeń, gdyż przyjętych
założeń nie można było zrealizować w rzeczywistości. Zatem umiejętności nabyte podczas
wdrożenia testowego systemu telepracy stanowią cenne źródło informacji, pozwalają bowiem
wypracować własny pogląd na sprawę.
2. Sposób rozwiązania zadania
W projekcie zdefiniowane zostały trzy zadania:
•
•
•
Zarządzanie bezpieczeństwem teleinformatycznym w administracji publicznej
Voice over IP, wybór optymalnego rozwiązania w zakresie bezpieczeństwa transmisji
i jakości głosu
Modelowy system telepracy na przykładzie Instytutu Łączności
2.1. Zarządzanie bezpieczeństwem teleinformatycznym w administracji publicznej
W ramach tego zadania na wstępie dokonano analizy literatury przedmiotu. Kolejnym
krokiem było opracowanie dokumentu, który w sposób kompleksowy ujmuje zagadnienie
bezpieczeństwa informacyjnego instytucji, analizy zagrożeń i metodyki tworzenia polityki
bezpieczeństwa instytucji. Zapisy opracowania bazują na dokumentach normatywnych
(standardy międzynarodowe, uwarunkowania prawne) oraz wskazówkach instytucji i
organizacji związanych z bezpieczeństwem informacji m.in. ABW, CERT, NSA.
Końcowym etapem zadania było opracowanie dla IŁ:
• Jakościowej analizy ryzyka Instytutu;
• Polityki bezpieczeństwa informacji Instytutu;
• Weryfikacji systemu zabezpieczeń Instytutu (Warszawa i o/Wrocław).
Opracowanie powyższych dokumentów pozwoliło praktycznie zweryfikować proponowane w
pracy zalecenia w zakresie tworzenia polityk bezpieczeństwa.
2.2. Voice over IP, wybór optymalnego rozwiązania w zakresie bezpieczeństwa transmisji i
jakości głosu
Zgodnie z przyjętymi założeniami pierwszy etap polegał na przeglądzie i porównaniu
dostępnych rozwiązań IP-PBX dostępnych w ramach licencji „open source”. Po analizie
1
dokumentacji wybrano aplikacje 3 serwerów VoIP do testów. Po fazie pierwszych testów
zdecydowano, że do zastosowania w IŁ najlepszy będzie IP-PBX Asterisk.
Następnie przeprowadzono szereg testów funkcjonalnych wytypowanej platformy:
• Współpraca z protokołem SIP,
• Współpraca z protokołem MGCP,
• Współpraca z protokołem IAX2,
• Realizację połączeń do/od użytkowników Internetu,
• Współpracy z bramami VoIP,
• Współpracy z telefonami VoIP.
Następnie zrealizowano połączenie platformy VoIP i centrali DGT 3450, mieszczącej się w
laboratorium Z-4, za pośrednictwem łącza E1 z sygnalizacją DSS1. Z wykorzystaniem
generatora wywołań Anritsu EF111A przeprowadzono testy skuteczności i stabilności
platformy. Wykonano też oceny jakości głosu dla połączeń z/do Internetu. Ocena jakości
głosu dokonana była zarówno metodą subiektywną bazującą na ocenie 12 osób biorących
udział w badaniu, jak również metodą obiektywną wykorzystującą specjalistyczną aparaturę
pomiarową.
2.3. Modelowy system telepracy na przykładzie Instytutu Łączności
Stworzenie modelowego systemu telepracy w Instytucie Łączności było końcowym
etapem pracy. Wykorzystano w nim wyniki prac w zakresie bezpieczeństwa i VoIP. Zakłada
się, że system telepracy ma na celu:
•
Poprawę przepływu informacji pomiędzy oddziałami IŁ przy jednoczesnym
zmniejszeniu jej kosztów;
•
Stworzenie warunków technicznych do pracy zdalnej w IŁ. Pracownicy
mogliby wówczas realizować pracę w domu za pośrednictwem Internetu.
Przyjęto, że proponowane rozwiązanie w zakresie systemu telepracy będzie się składać
z następujących elementów:
•
komunikacji głosowej opartej na telefonii VoIP, realizowanej przy pomocy
IP -PBX Asterisk;
•
komunikacji typu Instant Messaging (IM), w oparciu o serwer XMPP Jive
Messenger;
•
dostępu do poczty korporacyjnej, poprzez protokół HTTPS;
•
dostępu do zasobów sieci wewnętrznej IŁ, z wykorzystaniem tuneli VPN.
W ramach niniejszej pracy dokonano wdrożenia testowej platformy IP-PBX Asterisk oraz
dołączono ją do centrali IŁ w Warszawie łączem ISDN PRI, wdrożenia testowego serwera
XMPP Jive Messenger. Pozwoliło to osiągnąć zakładaną funkcjonalność testowego systemu
telepracy. Ostatnim etapem w ramach tego zadania było praktyczne testowanie systemu
telepracy realizowane przez zespół projektowy, który przez okres dwóch miesięcy korzystał z
systemu testowego.
2
3. Wyniki pracy
Rezultatem prac są:
• Opracowanie, składające się z trzech części:
o „Zarządzanie bezpieczeństwem teleinformatycznym w administracji
publicznej”
o „Modelowy system telepracy”
o „Metodyka testowania jakości transmisji głosu w sieciach pakietowych”
• Polityka bezpieczeństwa informacji w Instytucie;
• Testowa platforma VoIP dołączona do centrali telefonicznej IŁ w Warszawie;
• Testowa platforma IM w IŁ oparta o standard XMPP;
W najbliższym czasie planowane są również następujące publikacje:
• „Platforma VoIP w IŁ”
• „Sieć Instant Messaging - XMPP w IŁ”
• „Bezpieczeństwo systemów VoIP”
4. Podsumowanie
Praca została wykonana zgodnie z założeniami.
Dzięki połączeniu teorii i praktyki zespół realizatorów zdobył bardzo cenne umiejętności.
Umiejętności te powinny przyczynić się do pozyskania przez IŁ nowych klientów. Wyniki
pracy można będzie wykorzystać również w pracach Programu Wieloletniego, np.: przy
projektowaniu systemu telefonii VoIP dla sieci STAP.
Z drugiej strony bezpośrednim beneficjentem pracy będzie IŁ. Opracowane polityki
bezpieczeństwa, analiza zabezpieczeń sieci informatycznej IŁ przyczynią się wprost do
zwiększenia bezpieczeństwa wewnętrznej sieci informatycznej IŁ. Natomiast wdrożenie w IŁ
docelowej platformy telepracy pozwoli:
• Znacznie zredukować koszty połączeń pomiędzy IŁ i jego oddziałami (w praktyce
wszystkie połączenia w obrębie IŁ będą bezpłatne)
• Wydajniejszy obieg informacji w IŁ, realizowaną poprzez uruchomienie platformy IM
Jabber/XMPP;
• Ograniczenie kosztów wynikające z realizacji części prac w trybie pracy zdalnej
(mniejsze zużycie energii, zwolnienie powierzchni biurowych).
W wyniku przeprowadzonych prac stwierdzono, że można w IŁ zbudować system telepracy z
wykorzystaniem Internetu obejmujący:
• komunikację głosową opartą na telefonii VoIP,
•
komunikację typu Instant Messaging (IM),
•
dostęp do poczty korporacyjnej,
•
dostęp do zasobów sieci wewnętrznej IŁ.
Oczywiście, pomimo tego, że wszystkie proponowane elementy systemu telepracy w IŁ były
testowane w ramach pracy, pożądane jest by wdrożenie systemu odbywało się etapami.
Proponowana platforma systemu telepracy wymaga by w IŁ:
•
zakupiony został serwer, na którym zainstalowany zostanie Asterisk (VoIP);
•
centrale telefoniczne w Gdańsku i Wrocławiu dołączone zostały do sieci VoIP;
•
rozszerzono uprawnienia wynikające z licencji w zakresie liczby użytkowników
VPN;
3
dokonano zmian w regulaminie organizacyjnym umożliwiających realizację
prac poza IŁ (telepracę);
•
powierzono Ośrodkowi Informatyki administrację systemem telepracy w IŁ.
Również opracowana w ramach pracy „Polityka bezpieczeństwa informacji Instytutu”
powinna w najbliższym czasie zostać zatwierdzona przez Dyrektora IŁ i rozpowszechniona
wśród pracowników IŁ.
Realizacja niniejszej pracy doprowadziła do jeszcze jednego wniosku. Można z całą
stanowczością stwierdzić, że część oprogramowania typu „open source” jest bardzo
rozbudowana i z powodzeniem zastępuje „wersje płatne”, niekiedy oferując nawet większą
funkcjonalność. Do takiego oprogramowania należą platforma VoIP „Asterisk” i serwer
XMPP „Jive Messenger”. Platforma VoIP oparta o Asteriska jest jedynym softswich-em, jaki
obecnie posiada Instytut Łączności. Wydaje się, że może być ona z powodzeniem
zastosowana do budowy środowiska testowego VoIP. Z wykorzystaniem testowej platformy
VoIP przeprowadzone zostały między innymi testy „Multimedialnego Terminala
Dostępowego” w zakresie protokołu SIP.
4
Część 1
Zarządzanie bezpieczeństwem teleinformatycznym
w administracji publicznej
Spis treści
Zarządzenie bezpieczeństwem informacji..............................................................................3
1.1. Cele i strategie bezpieczeństwa .......................................................................................3
1.2. Analiza ryzyka .................................................................................................................4
1.3. Polityka bezpieczeństwa instytucji ..................................................................................6
1.4. Uświadamianie bezpieczeństwa ....................................................................................10
1.5. Czynności powdrożeniowe............................................................................................11
Analiza ryzyka informatycznego...........................................................................................15
2.1 Cel...................................................................................................................................15
2.2 Analiza ryzyka ................................................................................................................15
2.2.1 Określenie zakresu przeglądu oraz zidentyfikowanie własności aktywów instytucji
..........................................................................................................................................16
2.2.2 Oszacowanie zagrożeń ............................................................................................18
2.2.3 Oszacowanie podatności..........................................................................................18
2.2.4 Analiza zabezpieczeń...............................................................................................19
2.2.5 Określenie prawdopodobieństwa wystąpienia podatności i zagrożeń.....................20
2.2.6 Analiza wpływu (następstwa zagrożeń) ..................................................................20
2.2.7 Określenie ryzyka ....................................................................................................23
2.2.8 Wybór zabezpieczeń................................................................................................25
2.2.9 Łagodzenie/wyeliminowanie/akceptacja ryzyka .....................................................26
2.2.10 Dokumentacja procesu i wyników końcowych .....................................................26
2.3 Uwagi końcowe ..............................................................................................................27
Polityka bezpieczeństwa informacji – polityka pierwszego poziomu ................................28
3.1 Cel i zakres .....................................................................................................................28
3.2 Zakres .............................................................................................................................29
3.3 Strategia ..........................................................................................................................29
3.4 Zgodność polityki bezpieczeństwa informacji z wymogami prawa...............................29
3.5 Podstawowe wymagania w zakresie ochrony informacji...............................................30
3.6 Zasady polityki bezpieczeństwa .....................................................................................31
3.6.1 Postanowienia ogólne ..............................................................................................31
3.6.2. Zasady wykorzystania informacji...........................................................................33
3.6.3. Zasady udostępniania i przekazywania informacji chronionych............................33
3.6.4. Zasady użytkowania nośników informacji chronionych ........................................34
3.6.5. Zasady użytkowania systemu komputerowego oraz Internetu...............................36
3.6.6. Zasady odpowiedzialności za postępowanie sprzeczne z postanowieniami polityki
bezpieczeństwa informacji ...............................................................................................55
Polityka bezpieczeństwa systemów – polityka drugiego poziomu......................................56
4.1 Cel...................................................................................................................................56
4.2 Zakres .............................................................................................................................56
4.3 Schemat systemu ............................................................................................................56
4.4 Bezpieczeństwo systemu ................................................................................................57
4.4.1
Kontrola dostępu...............................................................................................58
4.4.2
Integralność systemu ........................................................................................59
4.4.3
Jednoznaczność oraz rozliczalność operacji.....................................................60
4.4.4
Zarządzanie bezpieczeństwem .........................................................................60
4.4.5
Zarządzenie informacją ....................................................................................61
4.5 Administrator systemu i administrator bezpieczeństwa .................................................62
4.6 Audyt bezpieczeństwa ....................................................................................................63
4.7 Archiwizacja informacji w systemie ..............................................................................63
4.8 Sytuacje kryzysowe ........................................................................................................63
1
Instrukcje, standardy oraz zasady bezpiecznego korzystania z systemów i usług
instytucji – polityka trzeciego poziomu. ...............................................................................65
5.1 Cel i zakres .....................................................................................................................65
5.2 Schemat oraz relacje podsieci instytucji.........................................................................66
5.3 Usługi instytucji..............................................................................................................66
5.4 Systemy i zabezpieczenia dostępne instytucji ................................................................67
5.5 Warunki oraz zasady dostępu do systemów i usług instytucji .......................................69
5.6 Wskazówki oraz instrukcje postępowania użytkowników instytucji .............................71
5.7 Złośliwe oprogramowanie ..............................................................................................82
5.8 Uwagi końcowe ..............................................................................................................83
Zespół dobrych praktyk bezpieczeństwa teleinformatycznego – zasady tworzenia
zabezpieczeń, weryfikacja zabezpieczeń...............................................................................84
6.1 Wybór zabezpieczeń.......................................................................................................84
6.2 Definicja zabezpieczeń ...................................................................................................85
6.3 Charakterystyki zabezpieczeń ........................................................................................86
6.4 Cechy dobrego systemu bezpieczeństwa (reguły przy tworzeniu zabezpieczeń) ..........87
6.5 Rodzaje zabezpieczeń.....................................................................................................88
6.6 Przyczyny nieskuteczności zabezpieczeń.......................................................................93
6.7 Wstęp do oceny bezpieczeństwa oraz audytu bezpieczeństwa.......................................95
6.8 Audyt bezpieczeństwa ....................................................................................................95
6.9 Przykładowy proces audytu bezpieczeństwa..................................................................98
6.10 Zakończenie................................................................................................................100
Przykładowa lista zagrożeń .................................................................................................101
Lista podatności oraz odpowiadające im zagrożenia ........................................................102
Jakościowa analizy ryzyka Instytutu..................................................................................104
Polityka bezpieczeństwa informacji w Instytucie ..............................................................108
Weryfikacja systemu zabezpieczeń Instytutu ....................................................................122
Zalecenia w zakresie organizacji infrastruktury teleinformatycznej dla jednostek
administracji .........................................................................................................................141
Definicje.................................................................................................................................149
Bibliografia............................................................................................................................150
2
Rozdział 1
Zarządzenie bezpieczeństwem informacji
Era społeczeństwa informatycznego wprowadza nowe zasady prowadzenia biznesu
oraz sposobu funkcjonowania instytucji. Organizacje są coraz bardziej uzależnione od szybkiego, niezawodnego, a przede wszystkim bezpiecznego przetwarzania informacji oraz nieustannego korzystania z Internetu. Posiadanie wartościowych informacji oraz rozwój technologii informatycznych powoduje wzrost liczby oraz ewentualnych skutków zagrożeń. W celu
zapewnienia odpowiedniego poziomu bezpieczeństwa posiadanych informacji oraz ciągłości
działania dla krytycznych urządzeń i usług instytucje zwracają coraz większą uwagę na
aspekty skutecznej ochrony ich aktywów. Systemy ochronne oraz zabezpieczenia coraz bardziej skutecznie zabezpieczają systemy informatyczne. Jednak w celu osiągnięcia maksymalnej efektywności i skuteczności zaleca się wprowadzenie procesu zarządzania bezpieczeństwem informacji. Zarządzenie bezpieczeństwem to ciągły, złożony proces umożliwiający
instytucji bezpieczne i stabilne prowadzenie swojej działalności. Proces ten ma za zadanie
neutralizować niebezpieczne zmiany w środowisku (tzn. identyfikować i zabezpieczać systemy przed pojawianiem się coraz to nowszych zagrożeń), określać zasady polityki bezpieczeństwa, dokonywać wyboru zabezpieczeń, monitorować stan bezpieczeństwa oraz koordynować
systemami ochronnymi. Proces ochrony bezpieczeństwa nie jest aktem jednorazowym, lecz
ciągłym, dynamicznym procesem uwzględniającym nieustanne zmiany otoczenia. Skuteczna
ochrona informacji wymaga wiedzy z zakresu zarządzania, informatyki oraz prawa, dlatego
przy jej tworzeniu konieczne jest wsparcie zarządu, kierowników oraz specjalistów IT.
Praca dotyczy bezpieczeństwa informacji, zapewnienia i utrzymania poufności, integralności, dostępności, metod rozliczania, autentyczności i niezawodności zasobów i usług
instytucji.
1.1. Cele i strategie bezpieczeństwa
Pierwszą czynnością w procesie zapewnienia bezpieczeństwa jest określenie celów
i opracowanie strategii bezpieczeństwa informatycznego dla instytucji. Proces ten obejmuje
analizę wymagań bezpieczeństwa, stworzenie oraz wdrożenie planu realizującego te wymagania. W tej fazie instytucja powinna określić właściwy poziom bezpieczeństwa dla swojej
organizacji oraz zdefiniować cele bezpieczeństwa, które powinny być tworzone w oparciu
o znaczenie systemów informatycznych w działalności organizacji, posiadane aktywa oraz ich
wartość. Instytucja powinna określić stopień uzależnienia swoich systemów informatycznych
od działalności biznesowej. Poniżej zostały przedstawione przykładowe pytania pomagające
określić poziom i skalę wymagań bezpieczeństwa:
• Jakich ważnych dziedzin działalności biznesowej nie da się prowadzić bez wsparcia ze
strony systemów informatycznych?
• Jakie zadania da się wykonać tylko za pomocą systemów informatycznych?
• Jakie zasadnicze decyzje zależą od dokładności, integralności, dostępności informacji
przetwarzanej przez systemy informatyczne lub od aktualności tych informacji?
• Jakie informacje o charakterze poufnym, przetwarzane są za pomocą systemów informatycznych i wymagają ochrony?
3
Jakie komplikacje dla instytucji wynikają z niepożądanego incydentu związanego
z bezpieczeństwem?
Kolejnym etapem w tym procesie jest ustalenie strategii określającej w jaki sposób
można osiągnąć wcześniej zdefiniowane cele. Realizacja strategii powinna być uzależniona
od znaczenia, liczby oraz wagi celów.
•
1.2. Analiza ryzyka
Poziom bezpieczeństwa instytucji jest uzależniony od poziomu ryzyka. Pierwszą
czynnością w procesie szacowania ryzyka jest wybór metody analizy. Strategia analizy ryzyka powinna zapewnić, że wybrany sposób podejścia będzie odpowiedni w danym środowisku.
Spowoduje on skoncentrowanie działań związanych z bezpieczeństwem tam, gdzie są one
najbardziej potrzebne.
Wyróżnia się cztery sposoby analizowania ryzyka. Główna różnica między nimi polega na stopniu szczegółowości analizy, który może wiązać się z dużymi kosztami w przypadku
szczegółowej analizy lub z powierzchownym oraz nieskutecznym oszacowaniem
w przypadku minimalizowania nakładów. Instytucje powinny wybrać najbardziej opowiadającą im analizę ryzyka. Rodzaje metod analizy ryzyka to:
1. Podejście podstawowego poziomu bezpieczeństwa (ang. baseline).
W tej metodzie instytucje stosują podstawowy poziom bezpieczeństwa we wszystkich
systemach informatycznych, wybierając standardowe zabezpieczenia. Informacje
o standardowych zabezpieczeniach można uzyskać z dokumentów zawierających propozycje zabezpieczeń oraz zbiory praktycznych zasad.
Zalety metody:
• Szacowanie wymaga minimalnego zaangażowania, przez co wybór wymaga
mniej czasu, nakładów finansowych i wysiłku.
• Zabezpieczenia podstawowe mogą być rozwiązaniami efektywnymi pod
względem kosztów, ponieważ dla wielu systemów można bez większego wysiłku zastosować te same lub podobne zabezpieczenia.
Wady metody:
• Nieefektywność zabezpieczeń, tj. jeśli podstawowy poziom zostanie określony
zbyt wysoko, to w niektórych systemach informatycznych wystąpi nadmiar
zabezpieczeń i odpowiednio, jeśli poziom zostanie określony zbyt nisko, to zabezpieczenia mogą okazać się niewystarczające.
• Mogą wystąpić trudności w zarządzaniu zmianami mającymi związek
z bezpieczeństwem. Przykładowo, jeśli następuje wymiana wersji systemu na
nowszą, to mogą powstać trudności przy ocenie, czy aktualne zabezpieczenia
podstawowego poziomu są wciąż wystarczające.
Metoda tej strategii może być najbardziej efektywna pod względem kosztów
w przypadku, gdy wszystkie systemy informatyczne instytucji charakteryzują się niskim poziomem wymagań bezpieczeństwa. Zaleca się wybranie takiego poziomu, który będzie odzwierciedlać stopień ochrony wymagany przez większość systemów informatycznych. Większość instytucji zawsze będzie musiała spełniać pewne minimalne standardy, aby chronić informacje wrażliwe oraz przestrzegać przepisów prawa
(np. ochrona danych osobowych). W przypadku gdy systemy instytucji różnią się znaczeniem dla działalności biznesowej, wielkością i stopniem skomplikowania, zastosowanie wspólnego standardu dla wszystkich systemów może nie spełniać swoich
funkcji oraz nie stanowić rozwiązania efektywnego kosztowo.
4
2. Podejście nieformalne.
Metoda takiego szacowania służy do przeprowadzenia nieformalnych, pragmatycznych analiz ryzyka. Nieformalna analiza nie opiera się na metodach strukturalnych,
lecz wykorzystuje wiedzę i doświadczenie osób przeprowadzających analizę ryzyka.
Zalety metody:
• Nie wymaga angażowania wielu zasobów oraz czasu. Wykonuje się ją szybciej
niż szczegółową analizę ryzyka.
Wady metody:
• Bez podejścia formalnego lub wyczerpujących list kontrolnych może zwiększyć się prawdopodobieństwo pominięcia ważnych szczegółów.
• Trudność w uzasadnieniu wyboru zabezpieczeń przy tym szacowaniu ryzyka.
• Osoby posiadające małe doświadczenie w analizowaniu ryzyka mogą mieć
zbyt mało wskazówek, aby poprawnie wykonać to zadanie.
• Subiektywna analiza, w szczególności uprzedzenia osoby dokonującej analizy,
może wpłynąć na jej wynik.
• Możliwość zaistnienia problemów ze zrozumieniem słuszności analizy, po
odejściu osoby przeprowadzającej ją metodą nieformalną.
3. Szczegółowa analiza ryzyka.
Metoda ta polega na przeprowadzeniu szczegółowych przeglądów analizy ryzyka dla
wszystkich systemów informatycznych w instytucji. Szczegółowa analiza ryzyka wymaga dogłębnej identyfikacji i wyceny aktywów, oszacowania zagrożeń, na które są
one narażone oraz szacowania podatności. Wyniki szacowania są pomocne przy wyborze zabezpieczeń. Szczegółowe informacje na temat zasad przeprowadzania oraz
szablonu postępowania zostały zawarte w rozdziale poświęconemu analizie ryzyka informatycznego.
Zalety metody:
• Duże prawdopodobieństwo określenia właściwych zabezpieczeń dla każdego
systemu.
• Wyniki szczegółowej analizy można wykorzystać w zarządzaniu zmianami
związanymi z bezpieczeństwem.
Wady:
• Duże zaangażowanie czasu i wysiłku oraz potrzeba wiedzy eksperckiej w celu
uzyskania właściwych rezultatów.
4. Podejście mieszane.
Ostatnia metoda polega na przeprowadzeniu na początku szacowania ogólnej analizy
ryzyka dla wszystkich systemów informatycznych. Następnie dla systemów informatycznych, które zostały określone jako ważne dla działalności instytucji lub narażone
na wysokie ryzyko, jest przeprowadzana szczegółowa analiza ryzyka. Dla reszty systemów informatycznych, nie zakwalifikowanych jako ważne, jest przeprowadzana
analiza podstawowego poziomu bezpieczeństwa. Wariant ten jest w istocie połączeniem największych zalet wyżej wymienionych metod. Zapewnia właściwą równowagę
między optymalizacją poświęconego czasu oraz wysiłkami koniecznymi do zidentyfikowania zabezpieczeń, z jednoczesnym zapewnieniem odpowiedniej ochrony dla systemów o największym ryzyku.
Zalety:
• Wprowadzenie na początku szybkiej i prostej metody może ułatwić uzyskanie
akceptacji dla programu analizy ryzyka.
• Możliwość szybkiego uformowania strategicznego obrazu programu bezpieczeństwa instytucji (wariant pomocny przy planowaniu).
5
•
Zasoby i środki pieniężne mogą być użyte w miejscach, które przyniosą największe korzyści, a systemy najbardziej zagrożone mogą uzyskać odpowiednią
ochronę w pierwszej kolejności.
Wada:
• Niektóre systemy, które wymagają szczegółowej analizy ryzyka, mogą zostać
pominięte, ponieważ nie zostaną prawidłowo zidentyfikowane w początkowej
analizie ryzyka przeprowadzanej na wysokim poziomie ogólności.
Analiza ryzyka powinna ustalać miejsca w instytucji, najbardziej narażone na zagrożenia oraz wymagające dodatkowej ochrony. Efektem końcowym powinna być lista zabezpieczeń, które powinny skutecznie neutralizować zidentyfikowane zagrożenia i podatności.
Zaproponowane zabezpieczenia powinny oddziaływać na zagrożenia zmniejszając ich efektywność oraz prawdopodobieństwa występowania.
Wyniki analizy ryzyka powinny stanowić punkt wyjściowy do zdefiniowania polityki
bezpieczeństwa instytucji, w szczególności polityki drugiego poziomu tj. polityki bezpieczeństwa systemów informatycznych.
1.3. Polityka bezpieczeństwa instytucji
Polityka bezpieczeństwa jest formalnym wyrażeniem zasad, którym muszą podporządkować się osoby posiadające dostęp do technologii oraz zasobów informatycznych. Polityka bezpieczeństwa określa sposoby działania w celu ochrony krytycznych aktywów instytucji. Jej głównym celem jest zdefiniowanie zasad i wytycznych dla użytkowników określających pożądane postępowanie, obchodzenie się z aktywami instytucji. Polityka, powinna również określić niedozwolone działania, których użytkownicy nie mogą wykonywać i jeśli nie
podporządkują się regułom to spotkają ich odpowiednie konsekwencje. Zaproponowana polityka bezpieczeństwa wykorzystuje elementy metodyki TISM opracowanej przez firmę ENSI
[11].
Zaleca się stworzenie polityki bezpieczeństwa jako zbioru kilku powiązanych ze sobą
dokumentów. Poniżej zostały przedstawione korzyści z wielopoziomowej polityki bezpieczeństwa:
• Łatwość w rozpowszechnieniu tych dokumentów, ponieważ każdy z nich dotyczy innych dziedzin (procedur, instrukcji, bezpieczeństwa informacji, systemów).
• Łatwość w zachowaniu poufności informacji zawartych na różnych poziomach dokumentów (informacji w polityce bezpieczeństwa systemów nie należy ujawniać zwykłym pracownikom lub procedury dotyczące tworzenia hasła nie powinny być znane
współpracownikom bądź osobom niezaufanym).
• Łatwość w aktualizacji oraz utrzymaniu polityki bezpieczeństwa.
• Przejrzystość dokumentacji, łatwość wyszukiwania informacji przez zainteresowanych.
Na poniższym rysunku został przedstawiony trzypoziomowy model polityki bezpieczeństwa
instytucji.
6
Rysunek 1 Polityka bezpieczeństwa instytucji.
Poziomy polityki bezpieczeństwa:
• Pierwszy poziom. Na pierwszym poziomie definiuje się wymagania dla bezpieczeństwa informacji w instytucji. Na tym poziomie występują dwa typy dokumentów: polityka bezpieczeństwa informacji oraz szczegółowe polityki bezpieczeństwa informacji.
Dokument z polityką bezpieczeństwa informacji powinien zostać zatwierdzony przez
kierownictwo oraz zostać opublikowany i udostępniony dla wszystkich pracowników.
Zaleca się przedstawienie go w formie zrozumiałej dla każdego, niezależnie od pełnionych funkcji i wykonywanej pracy. Poziom szczegółowości polityki najwyższego
poziomu powinien być jak najniższy i zawierać małą ilość detali, tak, aby dokument
taki pozostawał aktualny, niezależnie od zmian technologicznych. Polityka bezpieczeństwa informacji powinna zawierać:
o Definicję bezpieczeństwa informacji, jej ogólne cele, wymagania, zakres oraz
znaczenie bezpieczeństwa.
o Oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji.
o Zdefiniowanie i określenie informacji chronionych w instytucji.
o Przedstawienie zasad bezpieczeństwa informacji.
o Krótkie wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań
zgodności mających szczególne znaczenie dla instytucji:
Zgodność z prawem i wymaganiami wynikającymi z umów.
Wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa.
Zarządzanie ciągłością działania biznesowego.
7
Konsekwencje naruszenia polityki bezpieczeństwa.
o Definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania
bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa.
o Odsyłacze do dokumentacji mogącej uzupełnić politykę, np. bardziej szczegółowych polityk bezpieczeństwa, procedur, instrukcji oraz wskazówek dotyczących poszczególnych systemów informatycznych lub zalecanych do przestrzegania przez użytkowników zasad bezpieczeństwa.
Zaleca się, aby każda grupa informacji chronionych posiadała własną, szczegółową
politykę bezpieczeństwa (polityka bezpieczeństwa grup informacji), która zawierałaby
dodatkowe wymagania, co do ochrony tej grupy. Taki dokument powinien zawierać
zakres informacji pozwalający na zidentyfikowanie informacji należących do tej grupy. Szczegółowa polityka grupy informacji powinna jasno definiować administratora
oraz administratora bezpieczeństwa tych informacji. Takie dokumenty powinny zawierać kryteria dopuszczania osób do informacji z grupy oraz listę ról wraz z zakresem
uprawnień do przetwarzania tych informacji. Przykładowy schemat szczegółowej polityki bezpieczeństwa:
o Zakres dokumentu.
o Cel i zakres polityki bezpieczeństwa danej grupy informacji.
o Dostęp do informacji – role dostępu.
o Struktura zarządzania informacjami z grupy.
o Przetwarzanie informacji – wykaz systemów oraz wymagania bezpieczeństwa
dla systemów przetwarzania danej grupy informacji.
o Zasady archiwizowania informacji z grupy.
o Zasady udostępniania informacji z grupy.
o Postępowanie w sytuacjach kryzysowych.
• Drugi poziom. Polityka bezpieczeństwa systemów opisuje spełnienie wymagań nałożonych na systemy przez politykę bezpieczeństwa informacji i szczegółową politykę
grup informacji, jeśli systemy przetwarzają informacje z tych grup. Polityka bezpieczeństwa systemu informatycznego powinna zawierać szczegóły dotyczące wymaganych zabezpieczeń oraz uzasadnić konieczność ich wprowadzenia. Zaleca się, aby polityka bezpieczeństwa systemu informatycznego zawierała:
o Definicję danego systemu informatycznego, opis jego komponentów i zakresu,
o Definicję celów biznesowych dla systemu – może mieć to następstwa dla polityki bezpieczeństwa dla danego systemu, wybraną metodę analizy ryzyka oraz
wybór i priorytety wdrażania zabezpieczeń,
o Identyfikację celów bezpieczeństwa systemu,
o Ogólny stopień uzależnienia od systemu informatycznego określony na podstawie tego, jak bardzo działalność instytucji byłaby narażona w wyniku utraty
lub poważnego incydentu związanego z bezpieczeństwem tego systemu.
o Aktywa systemu informatycznego, które instytucja zamierza chronić. Bardzo
wskazane jest umieszczenie wyceny tych aktywów dokonanych na podstawie
analizy ryzyka.
o Zagrożenia oraz podatności dla tego systemu zidentyfikowane na podstawie
analizy ryzyka.
o Listę zabezpieczeń wybranych do ochrony tego systemu oraz przybliżone ich
koszty.
Ważnym elementem polityki bezpieczeństwa systemu informatycznego jest ustalenie
planu bezpieczeństwa. Plan jest dokumentem koordynującym działania, które należy
podjąć w celu wdrożenia wymaganych zabezpieczeń w systemie informatycznym.
8
Plan ten powinien opisywać działania, które mają zostać podjęte w perspektywie krótko-, średnio- i długookresowej w celu osiągnięcia właściwego poziomu bezpieczeństwa, kosztów oraz harmonogramu wdrażania.
Zaleca się podział polityki bezpieczeństwa systemów na podsystemy. Zaleca
się tworzenie polityk szczegółowych w dużych i złożonych systemach oraz
w systemach przeprowadzających unikalne, krytyczne działania, niewystępujące
w innych systemach instytucji. Przykładem może być szczegółowa polityka bezpieczeństwa firewall-a lub polityka bezpieczeństwa systemu przetwarzania informacji
z grupy chronionych (np. kadrowo-płacowe). Uszczegółowianie wiąże się również
z odpowiedzialnością i tajnością pewnych informacji np. o systemach dostępnych wyłącznie dla pracowników IT. Polityka bezpieczeństwa systemu informatycznego powinna być zgodna z politykami najwyższego poziomu tj. polityką bezpieczeństwa informacji i odnosić się do kwestii w sposób bardziej szczegółowy niż opisanych w tym
dokumencie. Polityki szczegółowe powinny opierać się na przeglądach analizy ryzyka,
tj. zabezpieczenia systemów powinny być wybrane na podstawie oszacowanego ryzyka.
• Trzeci poziom. Na tym poziomie powinny zostać przedstawione wskazówki, instrukcje, procedury, standardy systemów dla pracowników i administratorów IT. Dokument
opisuje instrukcje, wskazówki, procedury postępowania użytkowników z zasobami
oraz usługami sieci instytucji. Dokument taki powinien szczegółowo opisywać postępowanie użytkownika (instrukcje krok po kroku), aby w sposób bezpieczny mógł on
korzystać z aktywów instytucji. Powinien przedstawić listę aktualnych usług oraz wyjaśnić zasady dostępu do nich. Wyjaśnić ewentualne ograniczenia dostępu do tych
usług tj. ograniczenia komputerów klientów (lokalizacja, adresacja), ograniczenia czasowe, listy dostępu. Dokument powinien być napisany językiem zrozumiałym dla
użytkowników. Taki dokument (skierowany dla pracowników) z racji tego, że powinien on zostać udostępniony dla każdego (pracownicy, współpracownicy, goście) nie
powinien przedstawiać zbyt dużej ilości informacji o sieci, ponieważ mógłby dostarczyć cennych danych dla intruza. Zaleca się ograniczyć ilość informacji do poziomu,
który jest niezbędny do prawidłowego wykonywania pracy użytkownika (zgodne
z metodą wiedzy uzasadnionej).
Podsumowując polityka bezpieczeństwa informacji powinna poruszyć dwa główne
aspekty działalności instytucji:
1. Aspekt prawny
• Ochrona informacji prawnie chronionych (danych osobowych klientów
i pracowników, informacji niejawnych i tajemnic zawodowych).
• Realizacja zobowiązań z mocy prawa administracyjnego i prawa lokalnego.
2. Aspekt biznesowy
• Dbałość o interesy instytucji.
• Ochrona tajemnicy przedsiębiorstwa.
• Ochrona tajemnic powierzonych.
• Zgodność z wymogami kontraktowymi.
• Zgodność z normami krajowymi i międzynarodowymi.
Do najczęstszych błędów polityki bezpieczeństwa należy:
• Brak zasad dotyczących informacji w instytucji.
• Brak założeń bezpieczeństwa dla systemów.
• Brak zasad stałego monitorowania systemów i usuwania błędów.
9
•
•
•
•
•
Brak zasad bezpieczeństwa korzystania z Internetu.
Brak przeprowadzenia analizy zagrożeń i ryzyka dla systemów.
Brak zdefiniowanych sytuacji kryzysowych.
Brak procedur postępowania w sytuacjach kryzysowych.
Brak szkoleń pracowników – niska kultura ochrony informacji.
Szablony polityk bezpieczeństwa dla każdego poziomu zostały przedstawione w kolejnych
rozdziałach.
1.4. Uświadamianie bezpieczeństwa
Zaleca się wdrożenie programu uświadamiania o bezpieczeństwie. Głównym celem
takiego programu jest podniesienie w instytucji poziomu świadomości bezpieczeństwa informatycznego. Program powinien dotyczyć, wyjaśniać następujące zagadnienia:
• Omówienia polityki bezpieczeństwa instytucji.
• Wyjaśnienie znaczenia bezpieczeństwa dla instytucji i pojedynczej osoby.
• Potrzeby w dziedzinie bezpieczeństwa, cele dla systemów informatycznych wyrażone
jako zachowanie poufności, integralności, dostępności, rozliczalności, autentyczności
i niezawodności.
• Skutki incydentów związanych z bezpieczeństwem dla instytucji i pojedynczych osób.
• Poprawne używanie systemów informatycznych, w tym sprzętu i oprogramowania.
• Niezbędna ochrona systemów informatycznych przed ryzykiem, na które są one narażone.
• Ograniczenia dostępu do obszarów, gdzie znajdują się systemy informatyczne
(uprawniony personel, zamki w drzwiach, identyfikatory, zapisy wejść) i do informacji (logiczna kontrola dostępu, uprawnienia do odczytu/aktualizacji) oraz dlaczego
ograniczenia te są niezbędne.
• Potrzeba zgłaszania naruszeń bezpieczeństwa lub ich prób.
• Procedury, instrukcje, zakresy odpowiedzialności i opisy stanowisk.
• Wszelkie zakazy obowiązujące personel informatyczny i użytkowników związane
z elementami bezpieczeństwa.
• Konsekwencje w przypadku, gdy personel naruszy zasady bezpieczeństwa.
• Plany bezpieczeństwa systemów informatycznych dotyczące wdrożenia i sprawdzenia
zabezpieczeń.
• Jakie środki są niezbędne i w jaki sposób prawidłowo je stosować
• Procedury związane ze sprawdzaniem zgodności z zasadami bezpieczeństwa.
• Zarządzanie zmianami i konfiguracją.
Zaleca się, aby program uświadamiania bezpieczeństwa wywodził się z przeglądu
strategii, celów i polityki bezpieczeństwa. Program powinien być szeroko rozpowszechniony
w różnych formach np. wydawnictwach periodycznych, biuletynach oraz poczcie wewnętrznej. Szkolenia powinny odbywać się na wewnętrznych kursach oraz w postaci rozmów
z użytkownikami instytucji.
Pomyślne przygotowanie programu uświadamiania bezpieczeństwa, powinno obejmować następujące zagadnienia:
• Analizę potrzeb. Analiza ma za zadanie określić istniejący poziom świadomości
w określonych grupach pracowników (dyrektorów, kierownictwa i pracowników) oraz
najbardziej odpowiednie metody przekazania im nowych informacji. Analiza powinna
10
obejmować politykę, procedury, instrukcje, sposób myślenia, wiedzę dotycząca zabezpieczeń i pożądaną wydajność w porównaniu z rzeczywistymi wynikami.
• Wykonanie programu. Program powinien obejmować zarówno techniki interaktywne,
jak i przekazy w formie prezentacji. Ta część programu powinna koncentrować się na
brakach, które zostały zidentyfikowane podczas analizy potrzeb. Należy uświadomić
pracownikom wartość aktywów oraz realne niebezpieczeństwa dla tych aktywów. Zaleca się szczególnie przedstawiać program w formie spotkań, kursów itp., ponieważ
umożliwiają one dwukierunkową komunikację, która pozwala uczestnikom
i wykładowcom zweryfikować koncepcje i wymagania wynikające z analizy potrzeb.
• Monitorowanie efektywności programu. Monitorowanie dokonuje się poprzez:
o Okresowe oceny wyników, które określają efektywność programu uświadamiania przez monitorowanie zachowań związanych z bezpieczeństwem
i wskazywać miejsca, gdzie mogą być konieczne zmiany.
o Zarządzanie zmianami w środowisku. Związane jest z występowaniem zmian
w ogólnym programie bezpieczeństwa (zmiany w polityce lub strategii), istnieć będzie potrzeba dokonania zmian w programie uświadamiania bezpieczeństwa, tak aby uwzględnić te zmiany, aktualizując poziom wiedzy
i umiejętności.
Świadomość użytkowników dotycząca konsekwencji za naruszenia bezpieczeństwa
przez ich czyny jest zwykle niewysoka. Użytkownicy sieci komputerowych, dla których sieć
stanowi narzędzie efektywnej pracy, często lekceważą środki bezpieczeństwa, traktując je
jako utrudnienie, a nie pomoc. Ważną, często lekceważoną kwestią w instytucjach jest zapewnienie pracownikom właściwego treningu, mającego na celu uświadomienie im wielu
problemów oraz aspektów związanych z bezpieczeństwem. Powszechnie uważane jest, że
człowiek stanowi najsłabsze ogniowo w łańcu bezpieczeństwa. Wiąże się to
z niedostatecznym wyszkoleniem oraz niewystarczającą wiedzą nt. bezpieczeństwa ze strony
użytkowników.
1.5. Czynności powdrożeniowe
Wdrożone zabezpieczenia mogą działać efektywnie tylko wówczas, gdy działanie ich
jest sprawdzane w warunkach rzeczywistej działalności biznesowej. Procesy powdrożeniowe
mają na celu zapewnienie prawidłowości używania zabezpieczeń, obsługiwania zmian oraz że
incydenty związane z bezpieczeństwem są wykrywane i odpowiednio obsługiwane. Podstawowym celem czynności powdrożeniowych jest zapewnienie zgodności oraz efektywności
działania zabezpieczeń przez cały czas zgodnie z ustalonymi wcześniej wymaganiami. Zazwyczaj systemy informatyczne systematyczne obniżają swoją efektywność. Celem tego procesu jest wykrywanie obniżenia efektywności oraz inicjowania działań korygujących. Należy
podkreślić, że zarządzanie bezpieczeństwem systemów informatycznych jest procesem ciągłym nie kończącym się w momencie zakończenia wdrażania planu bezpieczeństwa systemów informatycznych.
Wyróżnia się następujące elementy powdrożeniowe:
• Konserwacja. Wsparcie administracyjne i konserwacja jest niezbędna do zapewnienia
prawidłowego i właściwego działania zabezpieczeń. Czynności takie jak konserwacja
powinny być planowane i wykonywane regularnie, zgodnie z harmonogramem. Takie
postępowanie minimalizuje koszty oraz utrzymuje wartość zabezpieczeń. Okresowe
inspekcje zabezpieczeń są niezbędne do wykrywania nieprawidłowości w ich działaniu. Niekontrolowane zabezpieczenie posiada małą wartość, ponieważ nie można zweryfikować stopnia jego skuteczności. Do czynności związanych z konserwacją należą:
11
o sprawdzanie rejestrów zdarzeń,
o modyfikacja parametrów odzwierciedlająca zmiany i uzupełnienia,
o zerowanie wartości początkowych lub liczników,
o aktualizacje oprogramowania do nowych wersji.
• Zarządzanie zmianami. W systemach informatycznych są dokonywane nieustanne
zmiany. Zmiany powstają na skutek dostępności nowych funkcji oraz usług lub odkrycia nowych zagrożeń i podatności. Zmiany w systemach informatycznych obejmują:
o nowe procedury lub funkcje,
o aktualizacje oprogramowania,
o modyfikacje sprzętu,
o nowych użytkowników,
o dodatkowe sieci i wzajemne połączenia
Zaistnienie lub planowanie zmiany w środowisku IT powinno wiązać się z określeniem ewentualnych następstw tych zmian na bezpieczeństwo systemu. Zaleca się wyznaczenie osoby, która będzie ustalała, czy zmiany będą miały następstwa dla bezpieczeństwa oraz jeśli tak to, jakiego rodzaju. W przypadku dużych zmian, które wymagają zakupu nowego sprzętu, oprogramowania lub usługi, niezbędna będzie analiza
określająca nowe wymagania bezpieczeństwa.
• Zarządzanie konfiguracją. Zarządzenie konfiguracją jest procesem śledzenia zmian
w konfiguracji systemu, aby nie obniżyły one efektywności zabezpieczeń
i wymaganego poziomu bezpieczeństwa.
• Kontrola systemu oraz zgodności z zasadami bezpieczeństwa. Kontrola dotyczy przeglądu oraz analizy wdrożonych zabezpieczeń, systemów i usług informatycznych oraz
sprawdzenie spełniania przez nie wymagań bezpieczeństwa zdefiniowanych
w polityce oraz planie wdrażania bezpieczeństwa w systemach informatycznych.
Sprawdzenie to dotyczy:
o nowych systemów i usług po wdrożeniu,
o istniejących systemów i usług informatycznych, dla których upłynął czas przeglądu,
o istniejących systemów i usług informatycznych, po dokonaniu zmian
w polityce bezpieczeństwa systemów informatycznych, aby ocenić jakie modyfikacje są niezbędne do utrzymania wymaganego poziomu bezpieczeństwa.
Kontrola zgodności może być wykonana przez personel zewnętrzny oraz wewnętrzny
i opiera się głównie na korzystaniu z list kontrolnych powiązanych z polityką bezpieczeństwa systemu informatycznego. Listy kontrolne powinny dotyczyć ogólnych informacji identyfikacyjnych, na przykład, szczegółów konfiguracji, zakresów odpowiedzialności związanej z bezpieczeństwem, dokumentów polityki, otoczenia. Bezpieczeństwo powinno odnosić się do elementów zewnętrznych (np. zabudowania zewnętrzne, dostęp do włazów) oraz wewnętrznych (np. zamki, solidność konstrukcji,
wykrywanie wycieków, awarii zasilania). Uzyskanie pewności co do skuteczności
działania zabezpieczeń można uzyskać poprzez dwie metody kontroli:
o Audyt systemu, tj. jednorazowy lub okresowo powtarzający się przegląd wraz
z całościowym szacowaniem poziomu bezpieczeństwa. Audyt jest procesem,
w którym niezależna jednostka dokonuje przeglądu systemów informatycznych w celu zgodności oceny z ustaloną polityką, przyjętymi wytycznymi oraz
standardami. Wyniki audytu powinny być podstawą do działań prewencyjnych, zapobiegawczych lub wdrożenia stosownych mechanizmów zabezpieczeń. Audyt kontroluje efektywność istniejących zabezpieczeń, zapobiega
spadkowi ustalonego poziomu bezpieczeństwa.
12
Audyt można realizować:
Zautomatyzowane narzędzia wyszukiwania słabości systemu (np. skanery
bezpieczeństwa, narzędzia weryfikacji integralności plików, wyszukiwania
słabych haseł, kontroli aktualności modyfikacji w systemach i aplikacjach).
Wewnętrzne mechanizmy audytu (np. badania, ankiety, obserwacje, testy
zabezpieczeń).
Testy penetracyjne mające na celu symulować włamanie do systemu przy
użyciu różnych metod, w tym nielegalne uzyskanie informacji od użytkowników).
o Monitorowanie systemu, tj. działania o charakterze ciągłym, mające na celu
nadzór nad zmieniającym się systemem, jego użytkownikami i środowiskiem.
Czynność ta ma charakter działań stałych, które pozwalają sprawdzić, czy
elementy te utrzymują odpowiedni poziom bezpieczeństwa przewidziany
w planie bezpieczeństwa informatycznego. Monitorowanie jest ważną częścią
w utrzymaniu bezpieczeństwa systemów informatycznych, między innymi dlatego, że może wykryć zmiany mające związek z bezpieczeństwem. Monitorowanymi elementami są:
aktywa i ich wartość,
zagrożenia i podatności w stosunku do tych aktywów,
zabezpieczenia chroniące te aktywa.
Aktywa monitoruje się w celu wykrywania zmian ich wartości oraz zmian celów bezpieczeństwa systemu informatycznego. Zagrożenia i podatności są monitorowane w celu wykrycia zmian ich efektywności, prawdopodobieństwa
występowania oraz identyfikacji powstawania nowych na wczesnym etapie.
Monitorowanie zabezpieczeń ma na celu skontrolowanie ich efektywności
i skuteczności.
Więcej informacji na temat audytu, zasad jego przeprowadzenia znajduje się w części
rozdziału szóstego (patrz str.95) dotyczącego weryfikacji zabezpieczeń.
• Postępowanie w przypadku incydentów. Obsługa incydentów stanowi ważny element
w zapewnieniu odpowiedniego poziomu bezpieczeństwa instytucji. Informacje dotyczące incydentów związanych z bezpieczeństwem są bardzo istotne dla analizy ryzyka, ponieważ wpływają na dokładniejsze wyniki szacowania. Niezbędne jest, aby instytucja zbierała oraz analizowała wszystkie informacje o incydentach. Zaleca się
stworzenie specjalnej organizacji specjalizującej się w analizowaniu incydentów informatycznych (IAS ang. incydent analysis scheme). IAS powinien być skonstruowany w oparciu o wymagania użytkowników. Procedura zgłaszania incydentu, zakres
działalności oraz cele i korzyści istnienia IAS powinny być szeroko omówione
w programie uświadamiania wymagań bezpieczeństwa.
Obsługa incydentów oraz istnienie organizacji IAS wpływa na:
o poprawę przeglądów analizy i zarządzania ryzykiem,
o ułatwienie ochrony przed incydentami,
o podniesienie poziomu uświadamiania problemów związanych z systemami informatycznymi,
o dostarczenie informacji alarmowych do wykorzystania, na przykład przez zespoły szybkiego reagowania na awarie komputerowe CERT.
Działalność organizacji IAS powinna dotyczyć:
o Wcześniejszego opracowania planów postępowania w przypadku niepożądanych incydentów, spowodowanych zarówno zewnętrznym lub wewnętrznym
atakiem logicznym lub fizycznym, jak i przypadków losowych, z powodu niewłaściwego działania sprzętu lub błędu ludzkiego.
13
o Szkolenie wyznaczonych osób w zakresie postępowania wyjaśniającego awarie, na przykład w celu utworzenia zespołów reagowania na awarie systemów
komputerowych.
Zespół szybkiego reagowania na awarie ma za zadanie wyjaśnienie przyczyn incydentów informatycznych, badanie możliwości ich ponownego wystąpienia lub przeprowadzenie okresowych badań oraz analiz z wcześniej uzyskanymi danymi. Wnioski
z tych badań mogą spowodować podjęcie działań zaradczych.
Poniżej zostały przedstawione korzyści z posiadania planów oraz przeszkolonego personelu:
o unikanięcie pośpiesznych i nieprzemyślanych decyzji w czasie obsługiwania
incydentu,
o zachowanie dowodów, które mogą być wykorzystane w śledzeniu
i identyfikacji źródła incydentu,
o szybkość ochrony wartościowych aktywów podczas obsługi incydentu,
o obniżenie kosztów incydentu oraz kosztów reakcji,
o zminimalizowanie negatywnego efektu nadania rozgłosu incydentowi.
Obsługa oraz analiza incydentu może dostarczyć informacji na temat pojawienia się
nowych lub lepszego oszacowania efektywności już znanych zagrożeń i podatności
oraz sposobu wykorzystania podatności przez zagrożenie.
14
Rozdział 2
Analiza ryzyka informatycznego
Wzrost znaczenia Internetu oraz nieustanny rozwój technologii informatycznych,
w szczególności sieci komputerowych, ułatwia i rozpowszechnia dostęp do informacji. Instytucje posiadające różne aktywa, w szczególności informacje chronione oraz urządzenia, podłączone do sieci komputerowych, których stabilność i ciągłość działania jest niezbędna do
prowadzenia działalności, są bardziej niż kiedykolwiek narażone na różnego typu zagrożenia.
Rozwój techniki ułatwia pojawianie się coraz nowszych niebezpieczeństw jak również neutralizujących je, choć coraz droższych, zabezpieczeń. Wzrost kosztów ochrony oraz metod zabezpieczeń zmusza instytucje do zastosowania coraz bardziej skutecznych i efektywnych metod zarządzania systemami. Analiza ryzyka zapewnia optymalizację zabezpieczeń w celu
osiągnięcia odpowiedniego poziomu bezpieczeństwa w stosunku do dostępnych środków finansowych (budżetu) instytucji. Zarządzanie ryzykiem stanowi metodę, która pomaga instytucjom racjonalnie oraz efektywnie chronić swoje aktywa. Zarządzanie ryzykiem jest procesem identyfikacji, kontrolowania oraz eliminowania lub ograniczania prawdopodobieństwa
zaistnienia niebezpiecznych zdarzeń, które mogą mieć negatywny wpływ na zasoby systemu
informatycznego. Dodatkowo zarządzanie ryzykiem określa skalę zagrożeń i jako wynik końcowy przedstawia sposoby ograniczenia niebezpieczeństw (zalecane działania) oraz nieuniknione koszty, a także określa ich efektywność (zestawienie kosztów do korzyści).
Poniższy dokument przedstawia proces zarządzania ryzykiem, w szczególności wskazówki i praktyczne metody szacowania ryzyka oraz wskazuje kryteria wyboru odpowiednich
zabezpieczeń (ograniczenie lub wyeliminowanie ryzyka). Przedstawiony poniżej proces zarządzania ryzykiem zawiera pewne elementy analizy ryzyka znajdujące się w normie
ISO/IEC/TR 13335-3, w szczególności metod dotyczących jakościowego podejścia [10].
Wynikami procesu zarządzania powinno być:
• Przedstawienie skutecznych metod i zabezpieczeń środowiska IT.
• Zaproponowanie efektywnego budżetu oraz wydatków adekwatnych do potrzeb.
• Stworzenie dokumentacji i raportów z prac nad procesem zarządzania ryzykiem.
Korzyści analizy ryzyka:
• Możliwość wyboru zabezpieczeń uzasadnionych przez faktyczne przeciwdziałanie zagrożeniom oraz czynniki ekonomiczne (analiza kosztów do korzyści).
• Możliwość wpływu na decyzje dotyczące zakupów oprogramowania oraz sprzętu
i podzespołów.
• Pomoc instytucjom w określaniu miejsc, które powinny być szczególnie chronione.
2.1 Cel
Dostarczenie kierownictwu, w szczególności działów IT, informacji o możliwościach
zrównoważenia kosztów oraz osiągnięcia maksymalnej efektywności w procesie zabezpieczenia aktywów instytucji.
2.2 Analiza ryzyka
Szacowanie ryzyka jest pierwszym elementem w procesie zarządzania ryzykiem. Kadra kierownicza zleca oszacowanie ryzyka w celu identyfikacji zagrożeń, podatności systemów na te zagrożenia oraz skutków i rozmiarów wpływu na środowiska i zasoby IT. Wyniki
15
tego procesu są pomocne w wyborze odpowiednich systemów lub sposobów zabezpieczeń,
pomagają zminimalizować lub wyeliminować zidentyfikowane ryzyko.
Proces szacowania ryzyka składa się z następujących faz:
1. Określenie własności aktywów instytucji (stworzenie charakterystyki zasobów).
2. Identyfikacja zagrożeń.
3. Identyfikacja podatności.
4. Analiza zabezpieczeń.
5. Określenie prawdopodobieństwa występowania.
6. Analiza wpływu.
7. Określenie ryzyka.
8. Wybór zabezpieczeń (opis zalecanych zabezpieczeń).
9. Łagodzenie ryzyka.
10. Dokumentacja procesu i wyników końcowych.
2.2.1 Określenie zakresu przeglądu oraz zidentyfikowanie własności aktywów
instytucji
Pierwszym elementem w procesie szacowania ryzyka jest określenie zakresu przeglądu. Dokładne zdefiniowanie granic pozwoli uniknąć niepotrzebnej pracy i poprawić jakość
analizy ryzyka. Opis zakresu powinien definiować, który z poniższych punktów ma być brany
pod uwagę:
• aktywa informatyczne (np. sprzęt, oprogramowanie, informacja),
• osoby (np. personel, podwykonawcy, inni pracownicy spoza instytucji),
• środowisko (np. budynki, instalacje),
• działania (wykonywane czynności).
Należy określić zakresy oddziaływania systemów informatycznych na procesy biznesowe oraz zasoby i informacje znajdujące się w systemie.
Po wykonaniu powyższych czynności należy przystąpić do identyfikacji aktywów, dla jakich
zostanie przeprowadzana analiza ryzyka.
Przykładami aktywów są:
• informacje (dane instytucji),
• sprzęt i urządzenia informatyczne,
• oprogramowania,
• środki pieniężne,
• produkty gotowe,
• usługi (np. usługi informatyczne, zasoby komputerowe),
• zaufanie do usług (np. usługi płatnicze),
• wyposażenie środowiska,
• personel,
• wizerunek instytucji.
Po identyfikacji aktywów, tj. stworzeniu listy aktywów systemu informatycznego instytucji, które mają zostać objęte przeglądem, należy przypisać każdemu z nich wartość. Wartość
ta przedstawia znaczenie aktywów dla działalności biznesowej instytucji. Można je wyrazić
w kategoriach problemów związanych z bezpieczeństwem, takich jak np. potencjalne negatywne następstwo dla działalności biznesowej wynikające z ujawnienia, modyfikacji, braku
dostępności lub zniszczenia informacji oraz innych aktywów systemu informatycznego.
Ocena aktywów powinna być dokonywana dzięki informacjom uzyskanym od użytkowników, zarządców, administratorów, w szczególności osób zaangażowanych w planowanie
działalności biznesowej, finanse, systemy informatyczne. Przypisana wartość powinna być
16
związana z kosztem uzyskania i utrzymania zasobu oraz potencjalnego negatywnego następstwa dla działalności biznesowej. Konieczne jest również ustalenie wartości dla aktywu
w sensie pozafinansowym, tj. jakościowym (ustalenie ważności aktywów w skali: nieistotny/niski/średni/wysoki/bardzo wysoki).
Potencjalne straty mogą być spowodowane przez:
• naruszenie przepisów prawnych,
• pogorszenie wyników biznesowych,
• utratę reputacji, negatywny wpływ na reputację,
• naruszenie poufności związanej z danymi osobowymi,
• naruszenie bezpieczeństwa osobistego,
• negatywny wpływ na egzekwowanie prawa,
• naruszenie tajemnicy handlowej,
• naruszenie porządku publicznego,
• straty finansowe,
• zakłócenie działalności biznesowej,
• narażenie bezpieczeństwa środowiska.
Powodzenie tego procesu zależy od jakości i ilości informacji, dlatego należy zdobyć jak
najwięcej informacji o systemie, w jaki sposób działa, kto nim zarządza oraz w jaki sposób są
przesyłane dane. Identyfikacja ryzyka w systemach IT wymaga głębokiego zrozumienia procesów, jakie zachodzą w środowisku IT.
W sytuacji przeprowadzania analizy ryzyka dla systemów niewdrożonych, niezbędną informację należy pozyskać z dokumentacji wymagań dla tych systemów. Dla systemów istniejących i działających dane powinny być zbierane ze środowiska produkcyjnego (m.in. spotkania
z administratorami, istniejąca dokumentacja, rozmowy z użytkownikami) .
Techniki pozyskiwania informacji:
• Kwestionariusz. W celu zebrania istotnych informacji osoby przeprowadzające analizę
mogą przygotować kwestionariusze dotyczące środowiska IT. Taki kwestionariusz
powinien być rozprowadzony wśród technicznych oraz nietechnicznych pracowników
instytucji, w szczególności osób pełniących funkcje kierownicze.
• Spotkanie. Rozmowy z osobami, odpowiedzialnymi za zarządzanie oraz wsparcie systemów informatycznych mogą być wielce pomocne przy zbieraniu użytecznych informacji o systemach. Takie spotkania pozwalają zaobserwować i uzyskać informacje
o fizycznych i logicznych zabezpieczeniach środowiska IT.
• Przegląd dokumentów. Dokumenty polityki bezpieczeństwa informacji oraz systemów, instrukcje, procedury oraz aktualna dokumentacja systemów informatycznych
mogą dostarczyć użytecznych informacji dotyczących zasad, reguł przestrzegania
bezpieczeństwa w instytucji oraz informacji o aktualnie wykorzystywanych systemach
i ich zabezpieczeniach. Na podstawie ww. dokumentów można określić elementy krytyczne dla instytucji oraz zidentyfikować wykorzystywane informacje,
w szczególności chronione (prawnie chronione, stanowiące tajemnicę przedsiębiorstwa).
• Użycie automatycznych narzędzi skanujących. Narzędzia skanujące stanowią dobrą
praktykę do zbadania środowiska IT oraz uzyskania informacji o działających systemach. Skanery mogą np. wykryć usługi uruchomione na komputerach oraz określić
ich stopień zabezpieczania. Skanowania potrafią szybko zidentyfikować środowisko
IT. Należy być świadomym, że nieumiejętnie zastosowanie tej metody może być
szkodliwe dla środowiska IT.
17
Wynikiem końcowym tego etapu powinna być lista aktywów z ich wyceną w relacji do ich
ujawnienia, modyfikacji, niedostępności i zniszczenia oraz kosztów odtworzenia.
2.2.2 Oszacowanie zagrożeń
Zagrożenie jest to zaistnienie pewnej sytuacji, która może potencjalnie uszkodzić system informatyczny oraz jego aktywa. Wystąpienie zagrożenia ma negatywny wpływ na systemy informatyczne powodując niepożądane następstwa. Zagrożenia pojawiają się z przyczyn
naturalnych (np. zalania, trzęsienia ziemi, lawiny), na skutek nieumyślnych lub zamierzonych
działań człowieka (usunięcie danych, nieautoryzowany dostęp) lub z przyczyn środowiskowych (brak prądu elektrycznego, zanieczyszczenia). Zagrożenie mogą być spowodowane
przez rozczarowanego pracownika oraz przez zaniedbania, błędy, itp. Źródła zagrożeń, zarówno przypadkowych jak i umyślnych, należy zidentyfikować oraz oszacować prawdopodobieństwo ich wystąpienia (szczegółowy opis w punkcie 5). Identyfikacja zagrożeń należy do
jednych z głównych procesów w szacowaniu ryzyka. Przeoczenie zagrożenia może spowodować awarię lub lukę w bezpieczeństwie systemu informatycznego.
Dane do szacowania zagrożeń można uzyskiwać z różnych źródeł, np. od użytkowników oraz
administratorów aktywów, od osób odpowiedzialnych za bezpieczeństwo instytucji, z list
dyskusyjnych (m.in. http://securityfocus,com, http://sans.org) lub z raportów organizacji zajmujących się tworzeniem list zagrożeń. Należy jednak brać pod uwagę czynnik czasowy, który powoduje modyfikacje zagrożeń lub powstawanie nowych. Przy tworzeniu kompletnej
listy zagrożeń należy uwzględnić profil własnej instytucji, tzn. przeanalizować specyficzne
dla niej zagrożenia oraz rodzaj prowadzonej przez instytucję działalności. Instytucje powinny
posiadać kompletną listę zagrożeń, które mogą się wydarzyć w ich systemie. Najczęstsze zagrożenia zostały przedstawione w załączniku A (patrz str. 101).
Przy szacowaniu potencjalnych zagrożeń warto uwzględnić motywację osób, które potencjalnie mogą spowodować zagrożenie oraz mieć na uwadze wartość i atrakcyjność aktywów. Należy również uwzględnić takie czynniki, jak zysk finansowy, posiadanie informacji
niejawnych lub mających wpływ na konkurencyjność instytucji lub organizacji.
2.2.3 Oszacowanie podatności
Podatność można opisać jako słabość zasobów lub systemów, które mogą być wykorzystane przez zagrożenia oraz atrakcyjność aktywów informacji. Prawidłowe określenie podatności systemów wymaga intuicji, doświadczenia, zdolności uczenia się na błędach
i regularnej oceny obecnych zabezpieczeń.
Podatność jest ściśle związana z zagrożeniem, które aby zaistnieć wykorzystuje podatność, czyli słabość systemu. Podproces szacowania podatności obejmuje rozpoznanie słabości
w środowisku informatycznym, procedurach, personelu, zarządzaniu, administracji, sprzęcie
lub oprogramowaniu. Podatność niepowiązana z zagrożeniem, nie stanowi niebezpieczeństwa
dla instytucji. Takie zagrożenie może nie posiadać wdrożonego zabezpieczenia, jednak zaleca
się nieustanne monitorowanie podatności w celu wykrycia zmian. Źródłem podatności może
stać się źle skonfigurowany lub źle działający system lub zabezpieczenie. Podatności można
powiązać z właściwościami lub atrybutami aktywów, które mogą być wykorzystane w innym
celu niż tym, w jakim zostały stworzone.
Oszacowanie podatności, oprócz wskazania słabości, które są wykorzystywane przez
zagrożenia, powinno ocenić ich poziom, tj. łatwość ich wykorzystania. Podatność należy
oszacować w powiązaniu z każdym zagrożeniem, które może tę słabość wykorzystać
w konkretnej sytuacji.
18
Źródła podatności można pozyskiwać z takich samych miejsc, z jakich pozyskuje się
opisy zagrożeń, czyli: od użytkowników, administratorów, osób do spraw bezpieczeństwa, ze
stron internetowych, tj. stron producentów lub sprzedawców, zajmujących się tematyką bezpieczeństwa, itp. Informacje o źródłach podatności można czerpać również z aktualnej dokumentacji systemów, poprzednich raportów analizy ryzyka oraz audytu IT.
Systemy testowania bezpieczeństwa mogą zostać użyte do identyfikacji podatności
systemów informatycznych. Wyróżnia się następujące metody testujące:
• Skanowanie podatności przez skanery oraz oprogramowanie skanujące. Metoda ta polega na wykrywaniu podatności przez skanowanie pojedynczych komputerów lub sieci
w poszukiwaniu uruchomionych usług, które potencjalnie mogą stanowić słabość systemu informatycznego.
• Testy bezpieczeństwa oraz oceny (ST&E ang. Security Test and Evaluation). Metoda
ta polega na przetestowaniu procedur, skryptów, konfiguracji i działania zabezpieczeń
oraz sprawdzeniu wyników testów pod kątem zgodności z specyfikacjami, polityką
bezpieczeństwa. Celem takiego testowania bezpieczeństwa systemów jest zbadanie
efektywności zabezpieczeń dla systemów IT.
• Testy penetracyjne. Metoda ta może być używana jako uzupełnienie przeglądu istniejących zabezpieczeń oraz do uzyskania potwierdzenia prawidłowego działania systemów bezpieczeństwa oraz braku ukrytych w nich słabości. Testy penetracyjne mogą
zostać wykorzystane do oszacowania potencjalnych możliwości obejścia zabezpieczeń
systemu IT.
Przykłady typowych podatności oraz odpowiadające im zagrożenia zostały zawarte
w załączniku B (patrz str. 102).
Proces szacowania podatności powinien się zakończyć stworzeniem listy wszystkich podatności systemów (zgodnych z specyfiką oraz profilem prowadzenia działalności instytucji)
i odpowiadających im zagrożeń oraz poziomu łatwości wykorzystania tych słabości.
2.2.4 Analiza zabezpieczeń
Zabezpieczenia można zdefiniować jako praktyki, procedury lub mechanizmy, chroniące przed zagrożeniami, redukujące podatności, ograniczające negatywne następstwa. Efektywna ochrona wymaga zazwyczaj kombinacji różnych zabezpieczeń w celu skutecznej
ochrony zasobów.
Zabezpieczenia mogą spełniać następujące funkcje: wykrywanie, odstraszanie, zapobieganie, ograniczanie, poprawianie, odtwarzanie, monitorowanie i uświadamianie. Zabezpieczenia dotyczą poniższych obszarów:
• środowisko fizyczne,
• środowisko techniczne (sprzęt komputerowy, oprogramowanie, urządzenia komunikacyjne),
• personel oraz administracja.
Proces identyfikacji zagrożeń ma na celu określenie zabezpieczeń aktualnych oraz planowanych. Zabezpieczenia wskazane po przeglądzie analizy ryzyka powinny być określone jako
dodatkowe, w stosunku do wszystkich zabezpieczeń już istniejących i planowanych. Proces
identyfikacji zabezpieczeń ma na celu określenie zabezpieczeń aktualnych, w celu uniknięcia
niepotrzebnej pracy i kosztów. Proces ten również ma za zadanie potwierdzenie słuszności
stosowanych obecnie zabezpieczeń (uzasadnienie w stosunku do zagrożeń i podatności). Jeśli
zaistnieje podejrzenie niesłuszności wykorzystania zabezpieczenia, należy sprawdzić, czy
powinno ono zostać usunięte, zamienione na inne bardziej odpowiednie, czy pozostawione
(np. ze względu na koszty). Po ukończeniu analizy i przygotowaniu zalecanych zabezpieczeń
19
należy sprawdzić, czy wybrane zabezpieczenia są zgodne z już istniejącymi i/lub planowymi,
tj. czy zabezpieczenia będą mogły współpracować. Kolejnym ważnym elementem w procesie
identyfikacji zabezpieczeń jest przeprowadzenie kontroli w celu zbadania prawidłowości
działania istniejących zabezpieczeń, zgodnych ze specyfikacją i wymaganiami. Źle działające
zabezpieczenia mogą być źródłem potencjalnej podatności.
Zabezpieczeniami mogą być:
• mechanizmy kontroli dostępu,
• oprogramowanie antywirusowe,
• szyfrowanie w celu uzyskania poufności,
• podpisy cyfrowe,
• sieciowe zapory ogniowe,
• narzędzia monitoringu i analizy sieci,
• zasilanie rezerwowe,
• kopie zapasowe.
Wynikiem końcowym tego etapu jest lista wszystkich istniejących i planowanych zabezpieczeń oraz stanu ich wdrożenia i wykorzystania.
2.2.5 Określenie prawdopodobieństwa wystąpienia podatności i zagrożeń
Prawdopodobieństwo wystąpienia podatności stanowi ważny element w szacowaniu
analizy ryzyka. W celu określenia prawdopodobieństwa i częstotliwości wystąpień należy
rozważyć następujące czynniki:
• motywacje oraz potencjał źródeł zagrożeń,
• własność podatności (łatwość wykorzystania słabości),
• istnienie oraz efektywność mechanizmów zabezpieczających.
Poziom prawdopodobieństwa
Wysoki
Średni
Niski
Opis poziomu prawdopodobieństwa
Motywacja do zaistnienia zagrożenia jest bardzo wysoka, zastosowane
zabezpieczenia są całkowicie nieefektywne.
Motywacja do zaistnienia zagrożeń jest średnia lub zastosowane zabezpieczenia mogą utrudnić powodzenie wykorzystania podatności.
Brak motywacji lub zdolności do zaistnienia zagrożenia lub zastosowane
mechanizmy zabezpieczające, co najmniej mogą znacząco utrudnić wykorzystanie podatności.
Tabela 1 Prawdopodobieństwo wystąpień podatności.
2.2.6 Analiza wpływu (następstwa zagrożeń)
Konsekwencją niepożądanego incydentu (tzn. wystąpienia zagrożenia) jest powstanie
negatywnego wpływu na zasoby i aktywa instytucji. Negatywny wpływ może oznaczać
zniszczenie pewnych zasobów, zniszczenie części lub całości systemu informatycznego, utratę poufności, integralności, dostępności, rozliczalności, autentyczności lub niezawodności.
Przed przeprowadzeniem analizy wpływu warto rozważyć czynniki takie jak:
• Profil działania instytucji (jakie są główne zadania biznesowe instytucji, jakie usługi
i zasoby są wykorzystywane w instytucji).
• Stopień krytyczności danych oraz systemów (wartość systemów).
• Posiadanie informacji chronionych (np. prawnie chronionych, tajemnic przedsiębiorstwa).
Powyższe informacje można uzyskać z dokumentacji istniejącej w instytucji (raporty
z procesów działających w systemie, zadań jakie system powinien wykonywać, analizy kry20
tyczności zasobów). Analiza wpływu jest powiązana z analizą biznesową (ang. business impact analysis). Analiza biznesowa określa i klasyfikuje poziomy wpływów na zasoby informacji instytucji, przez jakościowe oraz ilościowe oszacowanie wrażliwości i krytyczności
tych zasobów.
Analiza jakościowa polega na oszacowaniu zagrożeń i potencjalnych strat za pomocą
wartości niemierzalnych. W tej metodzie wartości są podawane nie w walutach, lecz przedstawiane za pomocą przymiotników np. ‘mały’, ‘niski’, ‘wielki’. Analiza jest przeprowadzana
w celu pokazania wyników w postaci rankingów. Umożliwia to tworzenie przejrzystych raportów.
Przykładowa tabela kradzieży danych przez Internet (włamanie do systemu). Wartości
pochodzą z zakresu 1 (waga zagrożenia b. niska) do 10 (waga zagrożenia b. wysoka).
Źródło
Programiści
Kierownicy IT
Kierownicy operacyjni
Administratorzy systemowi
Ostrość – wartość
szkód
3
7
9
9
Prawdopodobieństwo
5
6
8
9
Mechanizm zabezpieczający
Honeypot
Firewall
Firewall
IDS
Efektywność metody
8
9
7
8
Tabela 2 Przykładowe zagrożenia i ich ocena - analiza jakościowa.
Analiza ilościowa polega na liczbowym oszacowaniu wpływu zagrożeń oraz potencjalnych strat. Wartości zazwyczaj są przedstawiane w walucie, przez co łatwiejsze staje się
uzmysłowienie szkód.
Wyliczenie analizy jakościowej dokonuje się przez:
• EF (ang. Explosure Factor). EF jest czynnikiem określającym procentową utratę aktywów pod wpływem pewnego zagrożenia. Ta wartość jest niezbędna do wyliczenia
SLE (ang. Single Loss Expectancy), wykorzystywanego do wyliczenia ALE (ang. Annualized Loss Expentancy). EF może być wyrażony niskimi wartościami dla zdarzeń
typu utrata sprzętu lub podzespołów komputerowych. Duże wartości EF (duża wartość
procentów) dotyczy zdarzeń np. utrata poufności zasobów.
• SLE (ang. Single Loss Expectancy). Wartość SLE jest określana jako wartość liczbowa
(waluta), przypisywana do pojedynczego zdarzenia. Wartość ta reprezentuje straty organizacji wynikłe z zaistnienia zagrożenia i jest określana jako iloczyn wartości aktywu oraz zmiennej EF. ( ‘Wartość aktywu’ X ‘Exposure Factor’ = SLE). Przykład:
Wartość aktywu wynosi 10 000 PLN, procentowa strata tego aktywu dla pewnego zagrożenia wynosi 30 %. SLE wynosi 3000 PLN.
• ARO (ang. Annualized Rate of Occurrance). ARO jest to liczba określająca częstotliwość, z jaką zagrożenie może występować w okresie 1 roku. Zakres tej liczby występuje od wartości 0,0 (nigdy) do dużych wartości. Prawidłowe określenie tej wartości
może być skomplikowane. Liczbę tą zazwyczaj tworzy się bazując na prawdopodobieństwie wystąpienia zdarzenia oraz liczbie pracowników, którzy mogą spowodować
wystąpienie błędu (wystąpienia zagrożenia). Przykład: Zniszczenie bazy danych przez
meteoryt szacunkowo może wydarzyć się raz na 100 000 lat, więc współczynnik ARO
może wynieść 0,00001 (liczba zdarzeń w okresie 1 roku). Innym przykładem może
być nieautoryzowany dostęp do zasobów, który może wydarzyć się 6 razy w ciągu roku u stu użytkowników, więc współczynnik ARO może wynieść 600.
• ALE (ang. Annualized Loss Expectancy). Współczynnik ALE jest przedstawiany jako
wartość pieniężna i jest iloczynem współczynnika SLE oraz ARO. ALE jest roczną
spodziewaną stratą finansową dla instytucji spowodowaną przez występowanie zagrożenia. Przykład: Zagrożenie jest oszacowane na wartość 10 000 PLN (SLE), spodzie-
21
wane wystąpienie tego zagrożenia jest oszacowane raz na tysiąc lat (ARO 0.001), stąd
ALE wynosi 100 PLN.
Aktywa
Zagrożenie
Budynek
Ogień
Wartość
aktywu
(tys.)*strata (%)
700 (tys.)*50%
Serwer plików
Wrażliwe dane
Awaria dysku
Kradzież
50 (tys.)*50%
200 (tys.)*90%
Połączenie
z Internetem
Utrata połączenia
40 (tys.)*100%
SLE (tys.)*ARO (liczba
na rok)
350 (tys.)*0.25(raz na
4 lata)
25 (tys.)*0.25
180 (tys.)*0.70 (siedem razy na 10 lat)
40 (tys.)*0.80 (4 razy
na 5 lat)
ALE (tys.)
87,5 (tys.)
6,25 (tys.)
126 (tys.)
32 (tys.)
Tabela 3 Przykład analizy ilościowej.
W celu przeprowadzenia skutecznej analizy wpływu należy rozważyć zalety oraz wady obydwu analiz (jakościowej oraz ilościowej). Główną zaletą analizy jakościowej jest
przedstawienie wpływu zagrożeń na zasoby w postaci przyjaznej dla czytelnika. Analiza ta
określa priorytety ryzyka oraz identyfikuje obszary najpilniejsze, które wymagają natychmiastowej uwagi. Wadą analizy jakościowej jest brak raportów przedstawiających wartości liczbowe, które w przypadku ilościowej są podawane w walucie. Dlatego trudne jest stworzenie
zestawienia analizy kosztów do korzyści (nie są podawane ceny zabezpieczeń oraz wartości
wpływu zagrożenia) i tym samym stworzenie efektywnego budżetu.
Główną zaletą analizy ilościowej jest określanie wartości wpływu, która może zostać
wykorzystana podczas analizy kosztów do korzyści. Wadą może okazać się niejasność
w określeniu wartości aktywów oraz wpływu zagrożeń (ustalenie wartości może być subiektywne).
Własność
Analiza kosztów do korzyści
Finansowe
Koszty
(przedstawione
w walucie)
Możliwość automatyzacji
Spekucje/domysły zawiłość
Złożoność liczenia
Objętość wymaganych informacji do
badania
Wymagania czasowe do przeprowadzenia analizy
Łatwość komunikacji/przedstawienia
Metoda ilościowa
Tak
Tak
Metoda jakościowa
Nie
Nie
Tak
Niska
Tak
Wysoka
Nie
Wysoka
Nie
Niska
Wysokie
Niskie
Wysoka
Niska
Tabela 4 Zestawienie metody ilościowej i jakościowej.
Wyliczenie stosunku kosztów do korzyści można uzyskać w następujący sposób (korzystając z wzoru): (ALE wyliczony przed wdrożeniem zabezpieczeń) – (ALE wyliczone po
wdrożeniu zabezpieczeń) – (roczny koszt zabezpieczeń) = (wartość zabezpieczeń
w organizacji).
Przykład: Jeśli współczynnik ALE dla zagrożeń wynosi 10 000 PLN, po wdrożeniu zabezpieczeń współczynnik ALE dla zagrożeń wynosi 1 000 PLN, coroczny koszt zabezpieczeń wynosi 500 PLN, wtedy wartość zabezpieczeń wynosi 8500 PLN. Ta wartość pieniężna jest porównywana do kosztów początkowych. Wynik porównania wskazuje czy zabezpieczenia są
korzystne czy nie.
Wynik końcowy powinien zawierać:
• oszacowanie prawdopodobieństwa wystąpień (częstotliwości) zagrożeń podanej
w jednostce czasu,
• przybliżone koszty dla każdego wystąpienia zagrożenia,
22
•
waga wpływu wystąpienia zagrożenia dla określonej podatności (łatwości wykorzystania podatności przez zagrożenie).
2.2.7 Określenie ryzyka
Celem tego etapu w procesie szacowania ryzyka jest rozpoznanie i określenie ryzyka,
na które jest narażony system informatyczny i jego aktywa. Ryzyko jest funkcją wartości zagrożonych aktywów, prawdopodobieństwa wystąpienia zagrożenia (potencjalnie powodującego negatywne następstwa), łatwości wykorzystania podatności przez rozpoznanie zagrożenia oraz wszystkich istniejących i planowanych zabezpieczeń mogących zredukować ryzyko.
Identyfikacja ryzyka może być dokonana na wiele sposobów, np. wartości przypisane aktywom, podatności i zagrożenia są łączone ze sobą, gdzie wynikiem jest pomiar ryzyka.
Poniżej zostały przedstawione czetry metody analizy ryzyka:
1. Macierz ze zdefiniowanymi wcześniej wartościami.
Metoda polega na wycenie według kosztów wymiany oraz odtworzenia (pomiary ilościowe) aktywów instytucji. Następnie koszty te są przekształcane na skalę jakościową. Rzeczywiste lub proponowane aktywa w postaci oprogramowania są wyceniane
w ten sam sposób, co aktywa fizyczne, z określeniem kosztów zakupu lub odtworzenia, a następnie przekształcane na skalę jakościową, tę samą, która została użyta dla
aktywów składających się z danych.
Wartości aktywów składających się z danych zostały określone zgodnie z punktem
pierwszym w procesie szacowania ryzyka.
Wartość poszczególnych aktywów oraz poziomy zagrożeń i podatności, odnoszące się
do każdego rodzaju następstwa łączone są w macierz, w celu określenia odpowiedniego poziomu ryzyka w skali od 1 do 8 dla każdej kombinacji.
Wartość
aktywu
Poziomy
zagrożenia
Poziomy
podatności
0
1
2
3
4
Niski
Niski
Niski
Średni
Średni
Średni
Wysoki
Wysoki
Wysoki
N
Ś
W
N
Ś
W
N
Ś
W
0
1
2
3
4
1
2
3
4
5
2
3
4
5
6
1
2
3
4
5
2
3
4
5
6
3
4
5
6
7
2
3
4
5
6
3
4
5
6
7
4
5
6
7
8
Tabela 5 Macierz poziomu ryzyka.
Dla każdego aktywu należy rozważyć odpowiednie podatności i odpowiadające im
zagrożenia. W przypadku, gdy zagrożenie nie ma swojego odpowiednika w postaci
podatności (i odwrotnie) zakłada się, że takie ryzyko nie istnieje.
Analiza polega na odnalezieniu odpowiedniego wiersza w macierzy – na podstawie
aktywu i odpowiednią kolumnę – na podstawie siły zagrożenia i podatności.
Przykład: Jeśli aktyw posiada wartość równą 3, zagrożenie jest wysokie, a podatność
niska, wówczas poziom ryzyka wynosi 5.
2. Uszeregowanie zagrożeń za pomocą stopni ryzyka.
W tej metodzie pierwszą czynnością, jaką należy przeprowadzić, jest oszacowanie następstwa dla aktywów według ustalonej skali (wartości z zakresu 1 do 5), dla każdego
zagrożonego aktywu. Następnie dokonuje się oszacowania prawdopodobieństwa wystąpienia zagrożenia według ustalonej skali (wartości z zakresu 1 do 5), dla każdego
z zagrożeń.
Kolejno przez iloczyn poprzednich wartości (tj. wartości aktywów – pierwsza kolumna oraz prawdopodobieństwo wystąpienia – druga kolumna) oblicza się stopnie ryzy-
23
ka. Ostatnią czynnością jest uszeregowanie zagrożeń według czynnika ‘narażenia’
(wyniki są zapisywane w ostatniej kolumnie). Powyższa procedura pozwala porównać
różne zagrożenia o różnych wartościach następstw i prawdopodobieństwa wystąpienia, a następnie uszeregować je zgodnie z hierarchią priorytetów. W niektórych przypadkach zaleca się powiązanie wartości jakościowych z ich odpowiednikami ilościowymi, wyrażonymi w wartości pieniężnej.
Opis zagrożenia
Wartość następstw
[WN] (dla aktywów)
Prawdopodobieństwo
wystąpienia zagrożenia [P]
Miara
ryzyka
[MR = WN*P]
Zagrożenie
Zagrożenie
Zagrożenie
Zagrożenie
Zagrożenie
Zagrożenie
5
2
3
1
4
2
2
4
5
3
1
4
10
8
15
3
4
8
A
B
C
D
E
F
Miara
zagrożenia
(pozycja
na
liście
uszeregowanych
wartości MR)
2
3
1
5
4
3
Tabela 6 Szeregowanie zagrożeń.
3. Oszacowanie wartości częstotliwości i ewentualnych szkód powodowanych przez
ryzyko.
Metoda ta kładzie nacisk na następstwa niepożądanych incydentów i na wskazanie,
którym systemom należy dać pierwszeństwo. Dokonuje się tego przez oszacowanie
dwóch wartości dla każdego aktywu i ryzyka, których kombinacja określi wynik dla
każdego z aktywów. Określenie miary ryzyka, na które narażony jest system, dokonuje się przez podsumowanie wszystkich wyników aktywów dla danego systemu.
Pierwszą czynnością w tej metodzie jest przypisanie wartości dla każdego z aktywów.
Przypisana wartość oznacza potencjalne straty, które mogą powstać na skutek zagrożeń dla danego aktywu. Wartość ta powinna być określona dla każdego zagrożenia, na
które dane aktywa mogą być narażone. Następną czynnością jest szacowanie wartości
częstotliwości, która wyrażona jest jako kombinacja prawdopodobieństwa wystąpienia
oraz łatwości wykorzystania tej podatności.
Poziom zagrożenia
Poziom podatności
Wartość
częstotliwości
Niski
N
0
Niski
Ś
Niski
W
Średni
N
Średni
Ś
Średni
W
Wysoki
N
Wysoki
Ś
Wysoki
W
1
2
1
2
3
2
3
4
Tabela 7 Wyznaczanie poziomu podatności i częstotliwości dla zagrożeń.
Kolejną czynnością w tej metodzie jest określenie wyniku kombinacji aktywu
i zagrożenia, poprzez odnalezienie w Tabela 8 punktu przecięcia się wartości aktywu
i wartości częstotliwości. W celu uzyskania całkowitego wyniku dla aktywu wyniki
dla kombinacji aktywów i zagrożeń są sumowane.
Wartość aktywu
Wartość częstotliwości
0
1
2
3
4
0
1
2
3
4
0
1
2
3
4
1
2
3
4
5
2
3
4
5
6
3
4
5
6
7
4
5
6
7
8
Tabela 8 Wyznaczanie ryzyka dla aktywu.
Ostatnią czynnością jest zsumowanie wszystkich pośrednich sum wyników dla aktywu
systemu, otrzymując wynik dla całego systemu. Można użyć go do rozróżnienia po24
szczególnych systemów i do określenia, dla którego z nich ochrona powinna mieć
pierwszeństwo.
Przykład:
System S posiada trzy aktywa: A1, A2, A3 o wartości odpowiednio 3,2,4. System jest
zagrożony dwoma zagrożeniami: Z1 oraz Z2.
Jeżeli dla A1 i Z1 prawdopodobieństwo wystąpienia zagrożenia jest niskie, łatwość
wykorzystania podatności jest średnia, to wartość częstotliwości wynosi 1 (Tabela 7).
Wynik kombinacji A1/Z1 znajduje się w Tabela 8, w miejscu przecięcia się wartości
aktywu 3 i wartości częstotliwości 1 i wynosi on 4.
Podobnie dla A1/Z2, gdzie prawdopodobieństwo wystąpienia zagrożenia jest średnie
a łatwość wykorzystania podatności jest wysoka, więc wartość częstotliwości jest
równa 3 (Tabela 7), a zatem kombinacja A1(wartość aktywu 3)/Z2(wartość 3) wynosi
6 (Tabela 8).
Ogólny wynik dla aktywu A1Z wynosi 10 (suma kombinacji zagrożeń dla aktywu
A1). Całkowity wynik dla systemu powstaje z sumy wszystkich zagrożeń dla każdego
aktywu w systemie i wyrażony jest w postaci A1Z+A2Z+A3Z.
4. Różnica między ryzykiem możliwym i niemożliwym do zaakceptowania.
Ostatnią metodą pomiaru ryzyka jest rozróżnienie ryzyka możliwego oraz niemożliwego do zaakceptowania. Metoda polega na uszeregowaniu miar ryzyka, wskazując
w ten sposób miejsca, gdzie należy najpilniej rozpocząć działania. Dokonanie tego
może być wykonane przy znacznie mniejszym wysiłku.
Macierz użyta w tej metodzie nie zawiera liczb, tylko symbole T i N oznaczające, czy
ryzyko jest akceptowalne, czy nie.
Wartość szkód
Wartość częstotliwości
0
1
2
3
4
0
1
2
3
4
T
T
T
T
N
T
T
T
N
N
T
T
N
N
N
T
N
N
N
N
N
N
N
N
N
Tabela 9 Akceptowalny poziom ryzyka.
Wynikiem tego etapu powinna być lista oszacowanych rodzajów ryzyka dla każdego
następstwa (negatywnego wpływu) dla danego systemu informatycznego. Przy wyborze zabezpieczeń, miary ryzyka pomagają określić, jakimi rodzajami ryzyka należy zająć się wcześniej.
2.2.8 Wybór zabezpieczeń
Kolejnym etapem w procesie szacowania ryzyka jest identyfikacja oraz wybór właściwych oraz uzasadnionych zabezpieczeń. Właściwy ich wybór jest możliwy przy uwzględnieniu istniejących oraz planowanych zabezpieczeniach. W celu dokonania wyboru efektywnych zabezpieczeń, należy rozważyć wyniki analizy ryzyka (dokładnie opisane w poprzednim
punkcie). Zidentyfikowane podatności i powiązane z nimi zagrożenia pokazują miejsca, gdzie
należy zastosować ochronę i jak powinna ona funkcjonować.
W tym podprocesie istniejące i planowane zabezpieczenia powinny ponownie zostać
przebadane pod kątem porównania kosztów, w tym kosztów utrzymania. Należy zastanowić
się, czy nie istnieją bardziej efektywne zabezpieczenia, czy można poprawić ich efektywność
oraz czy ma sens dodanie nowego, jeśli zamiana jest bardzo kosztowana.
Kolejnym ważnym aspektem wyboru zabezpieczeń jest czynnik kosztowy. Wdrożenie
zabezpieczenia, którego koszt instalacji i utrzymania przewyższa wartość aktywów instytucji
25
jest ekonomicznie nieefektywny. Wysokość budżetu może doprowadzić do zaakceptowania
wyższego poziomu ryzyka niż wcześniej planowano, gdy jego wielkość wpływa na ograniczenie liczby lub jakości zabezpieczeń, które mają zostać wdrożone. W przypadku niedowartościowania budżetu, ten fakt należy podkreślić w raportach końcowych.
Dokonując wyboru zabezpieczeń, zaleca się rozważanie czynników takich jak:
• łatwość użycia zabezpieczeń,
• przezroczystość dla użytkownika,
• pomoc dla użytkowników, w realizacji ich funkcji,
• względna siła zabezpieczeń,
• rodzaje wykonywanych funkcji: zapobieganie, odstraszanie, wykrywanie, odtwarzanie, poprawianie, monitorowanie i uświadamianie.
2.2.9 Łagodzenie/wyeliminowanie/akceptacja ryzyka
Łagodzenie ryzyka jest końcowym etapem w procesie analizy ryzyka. Całkowite wyeliminowanie ryzyka jest niemożliwe, zawsze pozostaje ryzyko szczątkowe, które wiąże się
z brakiem możliwości stworzenia systemu całkowicie bezpiecznego. Ryzyko szczątkowe
można podzielić na akceptowalne oraz nieakceptowalne dla instytucji. Podział ryzyka dokonuje się na podstawie analizy potencjalnie negatywnych następstw dla działalności biznesowej w powiązaniu z tym ryzykiem. Ryzyko nieakceptowalne nie może być tolerowane przez
instytucje i wymaga jego ponownego rozpatrzenia. Kierownictwo może podjąć decyzję
o zaakceptowania ryzyka ze względu na inne ograniczenia takie jak koszty lub niemożność
zapobiegania mu. Zaleca się ograniczenie ryzyka nieakceptowalnego nawet wtedy, gdy ta
operacja jest kosztowna.
Zmniejszenie ryzyka może być dokonane przez:
• Akceptacja/Przyjęcie ryzyka. Zaakceptowanie potencjalnego ryzyka oraz kontynuowanie dotychczasowego działania systemów IT lub zaimplementowanie mechanizmów kontrolujących bezpieczeństwo do niższego akceptowalnego poziomu.
• Unikanie ryzyka. Unikanie ryzyka jest związane z wyeliminowaniem powodów ryzyka (zrezygnowanie z pewnych funkcji, np. wyłącznie systemu, który jest powodem ryzyka).
• Ograniczanie ryzyka. Ograniczanie ryzyka dokonuje się poprzez zaimplementowanie
mechanizmów zabezpieczających, które minimalizują niekorzystny wpływ zagrożeń.
• Planowanie ryzyka. Stworzenie planu minimalizowania ryzyka, który ustala priorytety, harmonogram wprowadzania oraz zarządzania zabezpieczeniami.
• Przeniesienie ryzyka. Zrekompensowanie strat, będących konsekwencją zagrożeń,
przez użycie innych mechanizmów np. zakup ubezpieczenia.
• Ograniczanie zagrożeń, podatności.
2.2.10 Dokumentacja procesu i wyników końcowych
W celu zakończenia procesu szacowania ryzyka należy stworzyć raporty oraz dokumenty opisujące przebieg i wyniki końcowe z przeprowadzanego procesu. Dokumenty,
w szczególności wyniki oszacowanych miar ryzyka oraz zalecane działania, będą potrzebne
osobom zajmującym się bezpieczeństwem oraz zarządzaniem systemów. Dokumenty te mogą
zostać wykorzystane do następnych analiz ryzyka.
26
Celem tej dokumentacji jest pomoc przy podejmowaniu decyzji o polityce bezpieczeństwa,
procedurach, budżecie oraz skuteczności aktualnych zabezpieczeń i możliwych ich zmianach.
2.3 Uwagi końcowe
Pomyślne przeprowadzenie programu zarządzania ryzykiem zależy od:
• zaangażowania zarządu,
• pełnego wsparcia oraz udziału pracowników kluczowych działów,
• kompetencji osób przeprowadzających analizę ryzyka, które powinny posiadać wiedzę
w stosowaniu metodyki zarządzania ryzykiem dla określonych sieci oraz systemów,
identyfikowania ryzyka profilu działalności organizacji oraz dostarczenia raportów do
przedstawienia zabezpieczeń (dla konkretnej organizacji) z uzasadnieniem analizy
kosztów do ich efektywności,
• świadomości oraz współpracy pracowników organizacji, którzy muszą postępować
zgodnie z procedurami oraz stosować się do istniejących mechanizmów zabezpieczeń
w organizacji,
• okresowej oceny ryzyka w celu identyfikacji zmian, np. w środowisku IT.
W większości organizacji sieć komputerowa ciągle się rozwija oraz unowocześnia, zmieniają
się jej elementy, oprogramowanie jest zastępowane lub uaktualniane do nowszych wersji.
W szczególności częste są zmiany personelu oraz aktualizacje polityki bezpieczeństwa. Takie
zmiany mogą oznaczać powstawanie nowego ryzyka oraz dezaktualizację poprzednio wyliczonego oraz zredukowanego ryzyka, co może zniekształcać rzeczywisty wizerunek poziomu
zagrożeń. Dlatego proces zarządzania ryzykiem powinien być okresowo powtarzany
i modyfikowany.
27
Rozdział 3
Polityka bezpieczeństwa informacji – polityka pierwszego poziomu
Rozwój nowych technologii informatycznych, przekazu i dostępu do informacji wymusił wprowadzenie bardziej skutecznych metod, mechanizmów oraz procedur zarządzania
bezpieczeństwem informacji. Ochrona informacji i niezakłóconego dostępu do nich wymaga
zaangażowania się całego przedsiębiorstwa. Każda osoba niezależnie, czy jest to pracownik,
czy osoba współpracująca z instytucją powinna uczestniczyć w globalnej ochronie informacji.
Polityka bezpieczeństwa informacji stanowi zbiór dokumentów informacyjnych, regulaminów
i zasad określających szczegółowe postępowanie, zapewniające bezpieczny sposób uzyskania
dostępu do danych instytucji, sposób obchodzenia się z tymi danymi oraz zakończenia swojego dostępu do nich. Polityka bezpieczeństwa informacji informuje jak dane są zarządzane
oraz zabezpieczane. Określa, które informacje podlegają ochronie ze względu na dobro instytucji jak i wymogi prawa. Niezakłócone funkcjonowanie procesów przetwarzania informacji
w instytucji jest strategicznym czynnikiem działalności. Zapewnienie ciągłości działania instytucji i jej rozwoju zależy przede wszystkim od bezpieczeństwa informacji oraz systemów,
w których informacja jest przechowywana.
Bezpieczeństwo informacji dotyczy danych przechowywanych na papierze, elektronicznych
nośnikach, w systemach informatycznych, przesyłanych pocztą elektroniczną lub za pomocą
urządzeń elektronicznych oraz wypowiadanych w rozmowie.
Do tworzenia i rozwijania zasad polityki bezpieczeństwa informacji w instytucji wykorzystywane są obowiązujące w tym zakresie normy i standardy oraz doświadczenie płynące ze
sprawdzonych rozwiązań praktycznych. Zasady te są zgodne z obowiązującymi przepisami
prawa nakładającymi obowiązek ochrony określonych kategorii informacji w szczególności:
tajemnicy przedsiębiorstwa, danych osobowych, tajemnicy państwowej oraz tajemnicy służbowej.
3.1 Cel i zakres
Głównym celem polityki bezpieczeństwa jest osiągnięcie odpowiedniego poziomu organizacyjnego i technicznego, który umożliwi:
• zachowanie poufności w stosunku do informacji chronionych,
• zachowanie integralności, dostępności do informacji jawnych oraz chronionych,
• zagwarantowanie odpowiedniego poziomu bezpieczeństwa informacji na wszystkich
możliwych nośnikach informacji,
• analizę zagrożeń dla bezpieczeństwa informacji oraz maksymalne ograniczenie ich
wystąpienia,
• zapewnienie poprawnego i bezpiecznego działania wszystkich systemów informatycznych,
• identyfikację nadużyć oraz podjęcie odpowiednich działań w sytuacjach kryzysowych.
28
3.2 Zakres
Przedstawiona polityka bezpieczeństwa informacji ma zastosowanie do wszystkich
pracowników i współpracowników instytucji. Opracowanie to stanowi pewną wzorcową politykę mogącą stanowić szablon dla wszystkich zainteresowanych instytucji.
3.3 Strategia
W celu osiągnięcia sukcesu w procesie wdrażania polityki bezpieczeństwa informacji
w instytucji należy zastosować poniższe kroki:
• określić oraz sklasyfikować aktywa instytucji, pod względem ich ważności (między
innymi wprowadzić podział na informacje jawne i chronione),
• określić informacje stanowiące tajemnicę przedsiębiorstwa, tj. dane szczególnie ważne
dla instytucji mające wpływ na jego dobro, interes i pozycję na rynku,
• określić informacje chronione ze względu na wymogi prawne,
• pogrupować informacje chronione w celu ułatwienia sposobu ich zarządzania,
• zastanowić się nad dalszym pogrupowaniem informacji chronionych polegającym na
nadawaniu określonych klauzuli tajności,
• określić organizacyjne i techniczne wymogi bezpieczeństwa przetwarzania grup informacji chronionych,
• utworzyć struktury organizacyjne odpowiedzialne za zarządzanie bezpieczeństwem
i przetwarzaniem informacji,
• dokonać analizy ryzyka i obszarów jego oddziaływania dla poszczególnych grup informacji chronionych w celu zapewniania ciągłości i bezpieczeństwa,
• wdrożyć rozwiązania techniczne zapewniające wymagany poziom bezpieczeństwa
przetwarzanych informacji, tj. zabezpieczenia fizyczne oraz systemy zabezpieczające
sieci i systemy informatyczne,
• stworzyć dokumentację, procedury oraz instrukcje postępowania oraz plany awaryjne
dla systemów oraz informacji w nich przetwarzanych,
• organizować cykliczne szkolenia pracowników w zakresie bezpieczeństwa informacji,
• przeprowadzać okresowy audyt bezpieczeństwa oraz analizę ryzyka informatycznego
w celu identyfikacji nowych zagrożeń dla bezpieczeństwa informatycznego.
Polityka bezpieczeństwa informacji i związana z nią strategia ochrony muszą być na bieżąco
aktualizowane w celu dostosowania do zmian prawnych i uwzględnienia szybko postępującego rozwoju technologii i usług informatycznych.
3.4 Zgodność polityki bezpieczeństwa informacji z wymogami prawa
Informacje w instytucji są chronione zgodnie z wymogami prawa w zakresie ochrony informacji, w tym:
• ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93
z późniejszymi zmianami),
• ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. Nr 88, poz. 553 z późniejszymi
zmianami),
29
ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity: Dz. U. z 1998 r. Nr
21, poz. 94 z późniejszymi zmianami),
• ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 Nr 101,
poz. 926 z późniejszymi zmianami),
• ustawy z dnia 29 sierpnia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11,
• ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. Nr
• ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. Nr 114, poz. 740
• ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr 121, poz. 591
z późniejszymi zamianami),
• ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. Nr
• ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznych (Dz. U. Nr 112,
poz. 1198 z późniejszymi zmianami).
Dodatkowe informacje znajdują się w części „Akty prawne”, zawierające teksty wybranych
ustaw.
•
3.5 Podstawowe wymagania w zakresie ochrony informacji
1. Wszyscy pracownicy instytucji, stosownie do swoich obowiązków i zajmowanych
stanowisk, są odpowiedzialni za przestrzeganie zasad zawartych w niniejszej polityce
bezpieczeństwa informacji oraz zasad ujętych w regulaminie sieci komputerowej (o ile
taki regulamin istnieje) rozwiniętych w dokumentach towarzyszących, przedstawiających szczegółowe instrukcje, co potwierdzają własnoręcznym podpisem.
2. Polityka bezpieczeństwa jest wprowadzona w życie zarządzeniem dyrektora lub
uchwałą zarządu instytucji.
3. Dyrektor/zarząd instytucji mają obowiązek określenia zakresów informacji stanowiących tajemnicę przedsiębiorstwa.
4. Pracownicy, którzy mają dostęp do danych osobowych powinni być dopuszczeni do
nich na zasadach określonych w przepisach o ochronie danych osobowych (ustawa
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [Dz. U. Nr 11, poz. 95
z późn. zm.]).
5. Pracownicy, którzy mają dostęp do informacji niejawnych powinni być dopuszczeni
do nich na zasadach określonych w przepisach o ochronie informacji niejawnych
(ustawa z dania 22 stycznia 1999 r. o ochronie informacji niejawnych [Dz. U. Nr. 11,
poz. 95 z późn zm.]).
6. Ochrona informacji bazuje na restrykcyjnej kontroli dostępu do odczytu
i przetwarzania danych. W odniesieniu do informacji sklasyfikowanych jako chronione w instytucji obowiązuje zasada „wiedzy uzasadnionej”, zgodnie z którą dostęp do
tej kategorii informacji powinien być uzasadniony realizacją powierzonych zadań.
W przypadku braku takiego uzasadnienia odmawia się dostępu do danych chronionych i usług systemu.
7. Wszyscy pracownicy instytucji mający dostęp do informacji chronionych powinni być
okresowo szkoleni z zasad ich ochrony.
30
8. Osoby nie będące pracownikami instytucji składają pisemne zobowiązania
o zachowaniu poufności informacji chronionych, z którymi zapoznali się w związku
z wykonaniem pracy na rzecz instytucji.
9. Podmioty zewnętrzne świadczące usługi na rzecz instytucji podpisują umowę
o zachowaniu w poufności informacji chronionych, które zostały im przekazane lub
udostępnione w związku z realizacją określonych usług na rzecz instytucji.
10. Pomieszczenia, w których przetwarzane będą informacje chronione powinny być zabezpieczone przed nieautoryzowanym dostępem, wpływami środowiska zgodnie
z zapisami ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia [Dz. U. Nr. 114,
poz. 740 z późn zm.].
11. Urządzenia, na których są przechowywane i przetwarzane informacje chronione powinny być zabezpieczone przed niepowołanym dostępem, kradzieżą, wpływami środowiska.
12. Prawa autorskie oraz licencje zarówno pracowników, jak i osób trzecich powinny być
chronione zgodnie z zapisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim
i prawach pokrewnych [Dz. U. Nr 24m poz. 83 z późn. zm.].
3.6 Zasady polityki bezpieczeństwa
3.6.1 Postanowienia ogólne
1. Dokument obowiązuje pracowników instytucji oraz jej kooperantów.
Komentarz: w celu zapewnienia odpowiedniego poziomu bezpieczeństwa należy zapewnić,
przestrzeganie zasad oraz reguł polityki bezpieczeństwa informacji przez każdą osobę mającą
dostęp do informacji lub urządzeń przechowujących informacje. Wyłączenie jakieś grupy osób
z przestrzegania polityki może oznaczać zagrożenie dla zapewnienia odpowiedniego poziomu
bezpieczeństwa.
2.
Wszystkie informacje stanowiące tajemnicą przedsiębiorstwa są jednym
z najważniejszych elementów w funkcjonowaniu placówki oraz podlegają ochronie.
Komentarz: Obecnie szybki dostęp do informacji odgrywa dużą rolę w działaniu biznesu oraz
administracji państwowych. Globalizacja, Internet stwarza przed instytucjami ogromne szanse
rozwoju. W celu zapewnienia stałego rozwoju placówek dyrektorzy/zarządy chronią swoje aktywa, w szczególności informacje dotyczące sposobów działalności, organizacji, badań
i rozwoju ich instytucji. Także prawo państwowe jasno określa zasady ochrony tego typu informacji definiując reguły przekazywania i udostępniania tego typu informacji poprzez zapisy
ustawy o nieuczciwej konkurencji.
3. Wszystkie informacje zawarte na wszystkich rodzajach komputerowych nośników informacji w instytucji oraz wszelkie dokumenty papierowe adresowane do lub od instytucji są jego własnością. Wyjątek stanowią informacje objęte odrębnymi umowami
zawartymi z osobami trzecimi.
4. Programy, aplikacje, dokumenty, wyniki i analizy stworzone przez pracowników instytucji stanowią własność placówki, chyba, że co innego wynika z odrębnych umów.
31
5. Informacje w instytucji dzieli się na: informacje jawne i informacje chronione.
Komentarz: Zaleca się klasyfikowanie informacji na jawne i chronione oraz chronione bardziej szczegółowo, ponieważ jasne zdefiniowanie ułatwi ich identyfikację i własności przez
użytkowników.
6. Informacje chronione w instytucji dzieli się na informacje stanowiące tajemnicę przedsiębiorstwa oraz informacje prawnie chronione.
7. Wszystkie informacje w instytucji uznaje się za jawne, jeżeli nie zostały oznaczone jako chronione.
8. Klasyfikację informacji jako „tajemnica przedsiębiorstwa” w instytucji nadaje lub odbiera dyrektor/zarząd/kierownicy poszczególnych działów instytucji.
9. Informacje chronione w instytucji to:
• informacje finansowo-księgowe,
• informacje kadrowo-płacowe,
• informacje o klientach (tj. tajemnice przedsiębiorstwa, dane osobowe),
• informacje niejawne (tj. tajemnica służbowa i państwowa),
• informacje stanowiące tajemnicę przedsiębiorstwa (m. innymi informacje badawcze, techniczne, technologiczne, dot. ochrony informacji oraz systemów
informatycznych w instytucji).
Komentarz: Podział informacji chronionych jest uzależniony od struktury oraz działalności instytucji. Jednak można wyszczególnić takie obszary, które będą wspólne dla wszystkich przedsiębiorstw. Do nich można zaliczyć dane prawnie chronione takie jak: dane osobowe, dane finansowe, dane stanowiące tajemnicę przedsiębiorstwa. Dla przykładu danymi osobowymi
mogą być informacje o pracownikach znajdujące się w systemie kadrowo-płacowym, danymi
finansowymi mogą być informacje o przelewach, fakturach, płatnościach, sposobach rozliczania przeważnie zlokalizowane w systemach finansowo-księgowych. Dane stanowiące tajemnicę przedsiębiorstwa posiadają rozległą definicję (pełna definicja znajduje się w załączniku 1).
Do nich można zaliczyć informacje np. o strukturze, pracach, badaniach, zasadach organizacji instytucji. Zakres tych informacji jest wyznaczany przez ustawę o nieuczciwej konkurencji.
Pracodawca, co najmniej powinien określić zakres tych danych i powziąć środki ochrony. Instytucje mogą posiadać informacje niejawne. Ich ochrona jest zdefiniowana w ustawie
o ochronie informacji niejawnych.
10. Grupy informacji chronionych posiadają swoich administratorów odpowiedzialnych
za zarządzanie tymi aktywami oraz nadawanie odpowiednich uprawnień dostępu
użytkownikom do tych informacji. Użytkownicy powinni należycie dbać i obchodzić
się z tymi informacjami oraz być świadomi swojej odpowiedzialności za przetwarzanie wyżej opisanych danych.
Komentarz: Bezpieczeństwo informacji w głównej mierze powinno zależeć od użytkowników
rutynowo pracujących z tymi informacjami oraz zarządców/administratorów tych informacji.
Użytkownicy powinni być świadomi odpowiedzialności przy obchodzeniu się z informacjami.
Powinni charakteryzować się pilnością i ostrożnością podczas pracy z danymi chronionymi.
Administratorzy są odpowiedzialni za przydzielanie użytkownikom odpowiednich uprawnień
do tych informacji.
32
11. Instytucja zastrzega sobie prawo do okresowego audytu elementów systemów informatycznych zleconego przez dyrektora/zarząd w celu skontrolowania przestrzegania
zasad opisanych w niniejszym dokumencie.
Komentarz: Należy wprowadzić mechanizmy weryfikacji oraz kontroli przestrzegania zasad
Polityki bezpieczeństwa informacji przez pracowników instytucji. Powyższy zapis informuje
pracowników, że mogą być poddawani kontroli podczas pracy w instytucji w celu określenia
stopnia przestrzegania polityki.
3.6.2. Zasady wykorzystania informacji
1. Dostęp do informacji chronionych mają jedynie osoby upoważnione do takiego dostępu przez dyrektora/zarząd instytucji lub kierowników jednostek organizacyjnych zarządzających tymi informacjami. ISO 17799.2.4 Przegląd praw dostępu użytkowników.
2. Nieuprawnione ujawnienie, przekazanie lub pozyskiwanie informacji chronionych jest
ciężkim naruszeniem obowiązków pracowniczych w rozumieniu Art. 52 Kodeksu
Pracy oraz powoduje pociągnięcie do odpowiedzialności karnej i cywilnej sprawcy
szkody zarówno w reżimie odpowiedzialności kontraktowej, jak i deliktowej. ISO
17799.2.4 Przegląd praw dostępu użytkowników.
3.6.3. Zasady udostępniania i przekazywania informacji chronionych
Komentarz: Poniżej zostały przedstawione zasady i reguły określające, w jaki sposób informacja
może być przekazywana oraz udostępniana innym osobom.
1. Udostępnianie informacji prawnie chronionych możliwe jest jedynie wówczas, gdy odbiorcami są podmioty uprawnione do ich otrzymania na podstawie przepisów prawa
oraz upoważnione na podstawie umów zawartych z instytucją w sposób w nich określony.
2. Udostępnianie informacji stanowiących tajemnicę przedsiębiorstwa możliwe jest jedynie wówczas, gdy odbiorcami są uprawnieni pracownicy, współpracownicy upoważnieni przez dyrektora/zarząd instytucji lub kierownika jednostki organizacyjnej, podmioty uprawnione do ich otrzymywania na podstawie przepisów prawa oraz podmioty
upoważnione na podstawie umów zawartych z instytucją w sposób w nich określony.
3. W przypadku, gdy udostępnienie dotyczy danych osobowych ze zbioru przetwarzanego
w instytucji, wniosek ten musi być zgodny z wzorem formularza określonego
z załączniku nr. 1 do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji
z dnia 3 czerwca 1998 r. w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz innego upoważnienia
i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych
Osobowych (Dz. U. Nr 80, poz. 522 ze zm.).
4. Informacje chronione są przekazywane uprawnionym podmiotom lub osobom za potwierdzeniem odbioru w następujący sposób:
33
•
•
•
•
listem poleconym,
teletransmisją danych zgodnie z procedurami ochrony danych podczas transmisji,
kopiowaniem na inny nośnik (zaleca się zaszyfrowanie tych danych,
inny sposób określony konkretnym wymogiem prawnym lub umową.
5. Podmioty lub osoby, którym zostaną udostępnione informacje chronione instytucji zobowiązane są podpisać stosowne oświadczenia o zachowaniu poufności.
Komentarz: Podpis pracownika lub podmiotu współpracującego z instytucją stanowi dowód
dla pracodawcy na wypadek niedopilnowania obowiązku przez podwykonawcę lub pracownika. Takie oświadczenie jest szczególnie ważne dla współpracowników oraz podwykonawców.
Takie oświadczenie powinno nałożyć obowiązek niewyjawiania określonych informacji sklasyfikowanych jako chronione i stanowić dowód na wypadek wszczęcia postępowania.
6. Zawsze wymagane jest potwierdzenie tożsamości osoby chcącej uzyskać informacje
chronione w sposób opisany w instrukcji dotyczącej kontroli tożsamości osób uprawnionych do otrzymania takich informacji. Instrukcja znajduje się w dokumencie „Instrukcje oraz zasady dla użytkowników instytucji”.
7. Osoby posiadające dostęp do informacji chronionych powinny zostać przeszkolone
z zasad przeciwdziałania socjotechnice szczegółowo opisanej w instrukcjach zawartych w dokumencie „Instrukcje oraz zasady dla użytkowników instytucji”.
Komentarz: Socjotechnika (ang. socjal enginering) to działania, które mają na celu zdobycie/wyłudzenie drogą nietechniczną chronionych informacji. Umieszczenie powyższego zapisu
w polityce bezpieczeństwa informacji powinno być rozważane w dużych instytucjach,
w których występuje duża rotacja pracowników.
8. Zaleca się ochronę punktów wysyłania i odbierania poczty oraz urządzeń faksowych
pozostawionych bez nadzoru.
Komentarz: Powyższe miejsca powinny być szczególnie chronione. Może zdarzyć się sytuacja
błędnego wyboru drukarki, czy błędnego zaadresowania korespondencji. Taka sytuacja może
sprzyjać ujawnieniu informacji chronionych. Inną sytuacją jest wysłanie dokumentu chronionego do wydruku i chwilowa nieobecność przy drukarce. Jeśli drukarka znajduje się w miejscu
niestrzeżonym to wydrukowane informacje chronione mogą zostać ujawnione.
3.6.4. Zasady użytkowania nośników informacji chronionych
1. Termin nośniki oznacza nośniki magnetyczne, optyczne oraz papierowe.
2. Należy chronić nośniki z informacjami, w szczególności przed ich fizycznym uszkodzeniem lub zniszczeniem, co uniemożliwiłoby odczytanie lub odzyskanie z nich danych. Nośniki również powinny być chronione przed zagrożeniami ze strony otoczenia takimi jak kurz, promieniowanie elektromagnetyczne (dot. nośników magnetycznych), ogień, wyciek wody itp.
Komentarz: Zła polityka dotycząca archiwizacji danych, w szczególności wyboru nośnika oraz
miejsca przechowywania nośników może doprowadzić do problemów z prawem, utratą klien-
34
tów lub spadku prestiżu. Niemożność odzyskania danych z informacjami np. finansowymi dla
organu podatkowego jest naruszeniem prawa. Polityka dotycząca backupu danych powinna
stanowić ważny aspekt w zapewnieniu bezpieczeństwa informacji, w szczególności w jej dziedzinie określanej jako dostępność (ang. availability).
3. Nośniki z informacjami chronionymi powinny być fizycznie chronione przed kradzieżą, zniszczeniem lub niewłaściwym używaniem. ISO 17799: 7.1.3 Zabezpieczenie
biur, pomieszczeń i urządzeń.
Komentarz: Kradzież nośników informacji stanowi realne, stosunkowe łatwe do urzeczywistnienia (jeśli nie stosuje się odpowiednich mechanizmów ochronnych) zagrożenie dla instytucji.
Informacje na nośnikach backupu zawierają różne dane, włącznie z konfiguracją systemów
i urządzeń zabezpieczających. Zdobycie takich nośników przez osobę nieupoważnioną może
doprowadzić do złamania zabezpieczeń instytucji, czyli utraty poufności i integralności systemów informatycznych oraz informacji. Przykładem może być utrata (kradzież) nośnika zawierającą jedyną kopię backup-u danych, co może doprowadzić do problemów z dalszym funkcjonowaniem instytucji.
4. Nośniki z informacjami chronionymi pod koniec dnia pracy powinny być zamknięte
w odpowiednich szafach lub sejfach. ISO 17799: 7.3.1 Polityka czystego biurka
i czystego ekranu.
Komentarz: Powyższa reguła powinna dotyczyć szczególnie miejsc pracy, w których występuje
duża rotacja osób lub pokoje nie są chronione dodatkowymi fizycznymi systemami np. systemem kontroli dostępu oparty na kartach i czytnikach.
5. Wszystkie nośniki z informacjami chronionymi muszą być oznaczone dla ich identyfikacji. Inwentaryzacji i oznaczenia nośników dokonuje kierownik jednostki organizacyjnej lub wyznaczona przez niego osoba.
Komentarz: Identyfikacja każdego nośnika z informacjami chronionymi jest zalecana
w przypadku instytucji, które są narażone na duży stopień zagrożeń (tzn. wysoki poziom ryzyka
bezpieczeństwa). Zastosowanie zarządzania nośnikami informacji zmniejsza prawdopodobieństwo utraty poufności danych, lecz wiąże się z większym nakładem pracy administratorów.
6. Na terenie instytucji zabrania się kopiowania jakichkolwiek informacji chronionych
z nośników magnetycznych i optycznych oraz zawartych na dokumentach papierowych bez zgody kierownika jednostki organizacyjnej.
7. Nośniki z informacjami chronionymi nie mogą być wynoszone z terenu instytucji bez
wcześniejszej zgody kierownika jednostki organizacyjnej (tj. administratora) tych informacji.
8. Nośniki magnetyczne i optyczne wywożone do serwisu, przesyłane na zewnątrz
w innym uzasadnionym celu są przygotowywane przed dział informatyki i wywożone
przez uprawnione osoby.
9. Zniszczenie nośnika z informacjami chronionymi powinno odbywać się zgodnie
z instrukcjami określającymi zasady usunięcia takiego nośnika oraz poprzedzone pozwoleniem kierownika jednostki organizacyjnej.
35
10. Utrata lub kradzież nośnika magnetycznego, optycznego lub papierowego
z informacjami chronionymi powinna być niezwłocznie zgłaszania do kierownika jednostki organizacyjnej.
11. Wersje robocze dokumentów zapisane na nośnikach magnetycznych, optycznych lub
papierowych zawierające informacje chronione powinny być tak samo chronione, jak
nośniki zawierające ich pełne wersje.
12. Należy niezwłocznie zabierać z drukarki wydruki zawierające informacje chronione.
3.6.5. Zasady użytkowania systemu komputerowego oraz Internetu
A.
Podstawowa instrukcja bezpieczeństwa
1. Incydenty lub podejrzenia nadużyć systemów informatycznych powinny być niezwłocznie zgłaszane do swojego przełożonego lub pracowników działu informatyki.
ISO 17799: 6.3.1 Zgłaszanie przypadków naruszenia bezpieczeństwa.
Komentarz: Obsługa incydentu należy do jednych z najważniejszych elementów polityki bezpieczeństwa informacji. Identyfikacja incydentu może być dokonana przez analizę raportów
systemów informatycznych lub przez użytkowników tych systemów. Użytkownicy powinni natychmiast poinformować swoich przełożonych lub pracowników działu informatyki,
o zauważalnych nieprawidłowościach w funkcjonowaniu swojego komputera.
2. Wykryte słabości systemów informatycznych powinny być zgłaszane dla pracowników
działu informatyki. ISO 17799: 6.3.2 Zgłaszanie słabości systemu informatycznego.
Komentarz: Ważną kwestią w zapewnieniu bezpieczeństwa jest wczesne wykrywanie słabości
systemów. Systemy informatyczne przed wdrożeniem do eksploatowanego środowiska powinny
przejść kompleksowe testy. Niestety testy nie zawsze mogą wykryć wszystkie słabości systemów
informatycznych. Końcowy użytkownik podczas swojej pracy często znajduje podatności systemów, które nie zostały odkryte podczas fazy testowania oprogramowania. Fakt identyfikacji
słabości systemu informatycznego powinien zostać natychmiast zgłoszony do działu informatyki, który przekazuje te informacje do producenta oprogramowania, w celu poprawy go tak,
aby zapobiec wykorzystaniu słabości systemu przez osoby niepowołane.
3. Pracownicy działu informatyki maja możliwość pełnej kontroli i monitorowania użytkowników, sprzętu, podzespołów w instytucji.
Komentarz: Skuteczne zarządzanie bezpieczeństwem informacji powinno zawierać mechanizmy pełnej kontroli w celu określenia stopnia przestrzegania zasad i reguł polityki bezpieczeństwa informacji. Użytkownicy powinni być świadomi, że ich praca, dane, sprzęt i podzespoły
mogą być poddawane okresowej kontroli. Zastrzegając, że poczta użytkownika jest wyłącznie
wykorzystywana do pracy służbowej pracodawca może mieć wgląd do zawartości wiadomości
pocztowych użytkowników. Także zawartość danych gromadzonych na dysku twardym może
być okresowo sprawdzana w celu wykrycia nielegalnej zawartości. Podzespoły użytkownika
także mogą być sprawdzane w celu wykrycia niezgodności podzespołów z ich stanem faktycznym znajdującym się w dokumentacji.
4.
Użytkownikom korzystających z danych obowiązuje prawa autorskiego,
w szczególności zabrania się kopiowania, nagrywania, skanowania oraz rozprowadza36
nia danych lub nośników z danymi tzn. fotografii, książek, muzyki, oprogramowania,
filmów i innych materiałów. ISO 17799: 12.1 Zgodność z przepisami prawnymi.
5. Należy wprowadzić mechanizmy kontrolujące dostęp osób trzecich na teren, do budynku oraz do sieci informatycznej instytucji. Powyższe mechanizmy oraz wymogi bezpieczeństwa powinny być uzgodnione i określone w umowach z osobami trzecimi.
ISO 17799: 4.2 Bezpieczeństwo dostępu osób trzecich.
6. Uprawnienia dostępu użytkowników do systemów komputerowych powinny być przydzielane w myśl zasady ‘uzasadnionego dostępu’, która określa uprawnienia dla użytkowników
zgodnie
z zajmowanymi
funkcjami
oraz
zapotrzebowaniem
w niezakłóconej pracy.
Komentarz: Uzasadniony dostęp określa minimalne przywileje, jakie są niezbędne do prawidłowego wykonywania pracy (dostęp do danych i aplikacji) użytkowników. Ta zasada wynika
ze znanej reguły dotyczącej bezpieczeństwa: ‘wszystko, co nie jest jednoznacznie dozwolone
jest zabronione’. Zaleca się stosowanie tej reguły, ponieważ domyślnie reguluje ona odpowiednie poziomy przywilejów. Administratorzy często lekceważą takie podejście, bo wiąże się
ono ze sprzeciwem użytkowników lub z czasochłonnym rozwiązywaniem ewentualnych problemów konfiguracyjnych,.
B.
Zasady bezpieczeństwa dla urządzeń, okablowania, jednostek, serwerów, sprzętu komputerowego oraz sieciowego
1. Należy wprowadzić mechanizmy zapewniające, że sprzęt komputerowy będzie fizycznie chroniony przez kradzieżą, zniszczeniem lub niewłaściwym użytkowaniem. Powinny zostać wprowadzone mechanizmy fizycznej i logicznej kontroli dostępu, tak
aby zapewnić dostęp do systemów informatycznych tylko uprawnionym użytkownikom, stosując mechanizmy kontroli i raportowania dostępu. ISO 17799: 9.1.1 Polityka
kontroli dostępu, 7.1.2 Fizyczne zabezpieczenia wejścia.
2. Zakup sprzętu lub podzespołów komputerowych powinien być konsultowany z osobą
kompetentną z działu informatyki w celu sprawdzenia jego zgodności ze środowiskiem IT. Instalacja nowego sprzętu lub podzespołów odbywa się przez pracownika
działu informatyki.
Komentarz: Sprzęt lub podzespoły komputerowe nie zawsze poprawnie współpracują
z istniejącym sprzętem komputerowym instytucji. Administratorzy działu IT powinni sprawdzić
opinie oraz zalecenia producenta, dotyczące sprzętu, żeby ograniczyć prawdopodobieństwo
zaistnienia problemów i błędów podczas instalacji oraz wdrażania nowego sprzętu komputerowego. Polityka bezpieczeństwa informacji powinna ograniczać niebezpieczeństwa związane
z spadkiem wydajności i stabilności sieci i systemów informatycznych.
3. Zaleca się, aby główne podzespoły sprzętu komputerowego oraz jednostki komputerowe były oznaczone, zidentyfikowane oraz opisane. Inwentaryzacji i dokumentacji
sprzętu dokonuje osoba z działu informatyki lub z innego działu odpowiedzialnego za
inwentaryzację sprzętu komputerowego, która okresowo kontroluje stan poszczególnych stanowisk komputerowych. ISO 17799: 5.1.1 Inwentaryzacja aktywów, 8.6.4
Bezpieczeństwo dokumentacji systemu.
Komentarz: Zaleca się wprowadzenie inwentaryzacji i dokumentacji sprzętu oraz podzespołów
komputerowych. Działanie takie może skutecznie przeciwdziałać nieautoryzowanym czynno-
37
ściom jak np. wymianę lub podmianę podzespołów przez nieupoważnione osoby. Przykładem
zagrożenia tego typu może być wyniesienie twardego dysku z instytucji z informacjami chronionymi.
4. Za brak komponentów w powierzonym sprzęcie i za powiązany z nim sprzęt komputerowy odpowiada pracownik odpowiedzialny za stanowisko robocze.
5. Zabrania się, aby użytkownicy sami dokonywali jakichkolwiek zmian komponentów
sprzętu komputerowego. Zaleca się nie podłączania własnych komponentów do jednostek komputerowych instytucji. Wyjątek stanowią użytkownicy, którzy
w porozumieniu z kierownikiem działu informatyki mogą uzyskać specjalne zezwolenie na dokonywanie ww. zmian. Powyższemu działaniu powinna towarzyszyć aktualizacja stosownej dokumentacji.
6. Zabrania się, podłączania do sieci komputerowej instytucji jakichkolwiek prywatnych
urządzeń, w szczególności komputerów bez zgody kierownika działu informatyki
i swojego kierownika jednostki organizacyjnej lub przełożonego.
Komentarz: Wniesienie prywatnego urządzenia, w szczególności komputera przenośnego może
doprowadzić do przedostania się wirusa, robaka lub konia trojańskiego do sieci wewnętrznej
Instytutu. Poziom bezpieczeństwa komputerów prywatnych jest trudny do oszacowania, zaleca
się zabronić wnoszenia i podłączania prywatnych urządzeń przez użytkowników.
7. Podłączenie do sieci komputerowej instytucji sprzętu komputerowego będącego własnością innych podmiotów współpracujących z instytucją, powinno zostać zaakceptowane (wystawione pozwolenie) przez dział informatyki.
Komentarz: Jakakolwiek ingerencja dotycząca podłączania urządzeń komputerowych do sieci
wewnętrznej powinna być dokonywana po uzyskaniu pozwoleniu i za wiedzą działu informatyki. Zaniedbanie tej reguły może doprowadzić do zagrożenia bezpieczeństwa informacji instytucji przez działanie wirusa, robaka lub konia trojańskiego, albo do ujawnienia danych instytucji.
8. Sprzęt komputerowy nie może być wynoszony z instytucji. Informacja o zmianie miejsca podłączenia sprzętu komputerowego do sieci instytucji musi być przekazana do
działu informatyki.
9. Pracownicy działu informatyki powinni zweryfikować przygotowanie sprzętu, który
jest wywożony do naprawy, na prezentacje, szkolenia i konferencje. Wywóz sprzętu
powinien odbyć się z udziałem uprawnionych osób.
10. Jakikolwiek sprzęt komputerowy pożyczany przez inne firmy współpracujące może
być wydany po wcześniejszej zgodzie działu informatyki oraz podpisaniu specjalnego
dokumentu na wypożyczenie sprzętu.
11. Każdy sprzęt przeznaczony do usunięcia (złomowania) z biura musi zostać sprawdzony i przygotowany do usunięcia przez osobę odpowiedzialną z działu informatyki. ISO
17799: 7.2.6 Bezpieczne zbywanie sprzętu lub przekazanie do ponownego użycia.
12. Wszystkie informacje o awariach sprzętu komputerowego, potencjalnie zagrażających
bezpieczeństwu informacji, muszą zostać raportowane i udokumentowane. ISO
38
17799: 7.2.4 Konserwacja sprzętu, 8.4.3 Zapisywanie w dziennikach informacji
o błędach.
13. Utrata i kradzież sprzętu powinna być niezwłocznie zgłaszana do kierownika jednostki
organizacyjnej lub działu informatyki.
14. Sprzęt komputerowy musi zostać przetestowany i zaakceptowany zanim będzie wdrożony/zainstalowany w produkcyjnym środowisku. Instalacja powinna odbywać się
w czasie dogodnym dla użytkownika.
15. Strategiczne jednostki komputerowe powinny posiadać zabezpieczenia przed utratą
lub przerwami zasilania. Strategiczne serwery i urządzenia sieciowe powinny posiadać
urządzenia chronione przed przerwami i zmianami napięcia prądu elektrycznego.
16. Serwery oraz urządzenia sieciowe przesyłające ruch sieciowy powinny zostać umieszczone w specjalnych pomieszczeniach takich jak serwerownie lub węzły. Pomieszczenia te powinny być chronione przed nieupoważnionym dostępem przez dodatkowe zabezpieczenia takie jak wzmocnienie drzwi, dodatkowa autoryzacja, okratowane lub
wzmacniane okna.
17. Pomieszczenia typu serwerownia lub węzeł powinny być odporne przeciwko zagrożeniom naturalnym takim jak pożar, zalanie wodą. Zaleca się, aby temperatura w tych
pomieszczeniach była kontrolowana oraz spełniała wytyczne zgodnie z normami dla
znajdującego się w niej sprzętu informatycznego.
18. Sprzęt lub podzespoły komputerowe instalowane w serwerach lub urządzeniach sieciowych powinny być zainstalowane w czasie dogodnym dla użytkowników. Operację
instalacji należy przeprowadzić, w określonych wcześniej godzinach oraz
z wcześniejszym poinformowaniem o tym użytkowników. Wyjątek stanowi sytuacja
dotycząca awarii, podczas której administratorzy w jak najkrótszym czasie przywracają system lub sieć komputerową do prawidłowego działania.
19. Okablowanie sieciowe powinno być zarządzane przez pracownika działu informatyki.
Wskazane jest kontrolować integralność gniazdek, powinna istnieć aktualna dokumentacja o wykorzystaniu poszczególnych gniazdek oraz okresowa ich kontrola. ISO
17799: 7.2.3 Bezpieczeństwo okablowania.
Komentarz: Okablowanie strukturalne odgrywa ważną rolę w bezpieczeństwie informatycznym. Zaleca się stworzenie dokumentacji dotyczącej rozkładu okablowania sieci komputerowej oraz gniazdek sieciowych. Stworzenie dokumentacji ma za zadanie ułatwienie
i usprawnienie pracy administratorów sieciowych oraz zapewnienie łatwiejszej identyfikacji
nieprawidłowości, w szczególności wykrywanie snifferów oraz nieautoryzowanych podłączeń
urządzeń sieciowych.
20. Wszelkie zauważone przez użytkowników nieprawidłowości dotyczące okablowania
oraz gniazd sieciowych powinny być zgłaszane do pracowników działu informatyki.
ISO 17799: 7.2.3 Bezpieczeństwo okablowania.
Komentarz: Zaleca się, uświadomić użytkowników o znaczeniu wykrywania nieprawidłowości
w okablowaniu strukturalnym. Użytkownicy są bardzo pomocni przy identyfikacji nieprawidłowości, w szczególności podłączeń nieupoważnionych urządzeń sieciowych.
39
21. Zaleca się, aby użytkownicy posiadający dostęp do informacji chronionych ze swoich
komputerów zamykali aktywne sesje po zakończeniu pracy, chyba że są one zabezpieczone odpowiednimi mechanizmami blokującymi, np. wygaszasz ekranu chroniony
hasłem. ISO 17799: 7.1 Obszary bezpieczne, 9.3.2 Pozostawienie sprzętu użytkownika
bez opieki.
22. Zaleca się, aby użytkownicy posiadający dostęp do informacji chronionych ze swoich
komputerów logowali się wcześniej do serwera usług terminalowych i z tego serwera
otrzymywali dostęp do informacji chronionych. „ISO 17799: 9.3.2 Pozostawienie
sprzętu użytkownika bez opieki”.
23. Zabrania się pożyczenia kart identyfikacyjno-dostępowych. Takie karty do systemu
kontroli dostępu powinny zawsze znajdować się przy pracowniku.
24. Zaleca się, aby karta identyfikacyjno-dostępowa była widoczna u każdego pracownika
znajdującego na terenie instytucji, w szczególności w obszarach o zaostrzonym bezpieczeństwie. Na karcie powinny być umieszczone podstawowe dane pracownika oraz
jego zdjęcie.
Komentarz: Widoczny identyfikator użytkownika ułatwia rozpoznanie osoby przez innych pracowników. Zdjęcie służy do potwierdzenia tożsamości osoby. Zaleca się umieszczenie tej reguły w dokumencie polityki bezpieczeństwa, ponieważ reguluje ona kwestie związane z danymi
osobowymi tzn. umieszczeniem ich w widocznym miejscu. Brak powyższej reguły może prowadzić do złamania ustawy o ochronie danych osobowych.
25. Zgubienie karty identyfikacyjno-dostępowej powinno być niezwłocznie zgłoszone do
administratora systemu kontroli odstępu.
C.
Zasady bezpieczeństwa dla oprogramowania i systemów operacyjnych
1. Zakup nowego oprogramowania powinien być konsultowany z pracownikiem działu informatyki w celu sprawdzenia jego bezpieczeństwa, funkcjonalności oraz wpływu na
efektywność i stabilność sieci oraz systemu operacyjnego. Zakup nowego oprogramowania powinien być zgodny z aktualnymi procedurami w instytucji dotyczącymi
zasad zakupu sprzętu komputerowego i oprogramowania.
Komentarz: Dziedzina dostępności (ang. availability) w polityce bezpieczeństwa informacji
stanowi ważny aspekt dla prawidłowego i stabilnego funkcjonowania instytucji. Nowe nie testowane oprogramowanie może doprowadzić do spadku wydajności systemów i sieci informatycznych. Administratorzy przed zakupem nowego oprogramowania powinni sprawdzić zgodność z posiadanymi systemami operacyjnymi oraz aplikacjami w celu wykrycia błędnego oraz
niepoprawnego działania w środowisku IT. Po zakupie oprogramowanie powinno zostać przetestowane w środowisku testowym, dopiero po pomyślnych testach być wdrożone do eksploatowanego środowiska.
2.
Aktualizacje oprogramowania powinny zostać przeprowadzone zgodnie
z odpowiednimi instrukcjami tak, aby ograniczyć do minimum ryzyko spadku wydajności i stabilności systemów. Po aktualizacji system powinien zostać przetestowany
w celu wykrycia nieprawidłowości w szczególności jego negatywnego wpływu na inne oprogramowania. Każda powyższa zmiana musi wiązać się z aktualizacją
40
w dokumentacji oprogramowania. ISO 17799: 10.1 Wymagania bezpieczeństwa systemów, 10.5.1 Procedury kontroli zmian.
Komentarz: Aktualizacje oprogramowania mogą wpłynąć negatywnie na wydajność
i stabilność systemów informatycznych instytucji. Zaleca się wykonanie aktualizacji na jednostkach testowych. Wyłącznie po pomyślnym przeprowadzeniu takiej aktualizacji, można ją
przeprowadzić na jednostkach produkcyjnych.
3. Aktualizacje krytyczne powinny być zainstalowane na serwerach i urządzeniach dostępnych z Internetu niezwłocznie od chwili ukazania się poprawek. Aktualizacje krytyczne dotyczące serwerów i urządzeń, nieosiągalnych z Internetu powinny być instalowane w drugiej kolejności z szczególnym uwzględnieniem stabilności i ciągłości
działania aktualizowanego oprogramowania. ISO 17799: 10.1 Wymagania bezpieczeństwa systemów, 10.5.1 Procedury kontroli zmian.
Komentarz: Dokonywanie aktualizacji stanowi ważny element w zapewnieniu bezpieczeństwa
systemów i sieci informatycznych. Zaleca się, niezwłoczne przeprowadzenie aktualizacji oprogramowania, w szczególności, gdy dotyczy krytycznych poprawek. Czasami aktualizacje mogą
negatywnie wpłynąć na stabilność systemów informatycznych. Dlatego należy rozważyć,
w jaki sposób przeprowadzić aktualizację oraz określić priorytety, co w danej chwili jest ważniejsze bezpieczeństwo czy stabilność. Zaleca się szybką instalację aktualizacji na serwerach,
które są dostępne z Internetu. Zazwyczaj są to serwery znajdujące się w DMZ, które
w większości posiadają funkcję typu host bastion, proxy. Są one najbardziej narażone na ataki, więc czynnik bezpieczeństwa odgrywa tu szczególną rolę. Serwery w środku sieci specjalizujące się w dostarczaniu usług dla użytkowników powinny być aktualizowane w drugiej kolejności. Serwery z środka sieci powinny charakteryzować się maksymalna wydajnością
i stabilnością. Aktualizacja na tych serwerach powinna być przeprowadzona najpierw
w środowiskach testowych.
4. Zaleca się, aby przy procesie aktualizacji oprogramowania zawsze zachowywać poprzednie wersje oprogramowania oraz pliki konfiguracyjne, jako środek utrzymania
ciągłości działania. ISO 17799: 10.4.1 Kontrola eksploatowanego oprogramowania.
Komentarz: Zaleca się wykonywanie przed aktualizacją kopii bezpieczeństwa oprogramowania oraz plików konfiguracyjnych. Przy nieudanej próbie aktualizacji można powrócić do poprzednich ustawień i wersji aplikacji.
5. Wdrażanie nowego oprogramowania powinno być poprzedzone szkoleniami użytkowników z zakresu funkcjonalności i bezpieczeństwa.
6. Wykryte błędy oprogramowania powinny być zgłaszane do pracownika działu informatyki, który powinien dokumentować zaistniałe nieprawidłowości. ISO 17799: 8.4.3
Zapisywanie w dzienniku informacji o błędach.
7. Zaleca się wykorzystywanie wyłącznie oprogramowania dopuszczonego do eksploatacji przez pracownika działu informatyki. Chęć zainstalowania nowego oprogramowania powinna być skonsultowana i zaakceptowana przez pracownika działu informatyki.
Komentarz: Oprogramowanie może negatywnie wpłynąć na wydajność i bezpieczeństwo sieci
i systemów informatycznych. Zainstalowane oprogramowanie może okazać się spywarem lub
41
inną niebezpieczną aplikacją (np. koń trojański). Zaleca się sprawdzenie oraz przetestowanie
takiego oprogramowania przez pracowników działu informatyki.
8. Oprogramowanie wykorzystywane w instytucji musi być używane zgodnie z prawami
licencji.
9. Oprogramowanie posiadane przez instytucję jest przeznaczone wyłączone do użytku
wewnętrznego. Wyjątkiem jest oprogramowanie, którego zasady licencji pozwalają na
użytkowanie w innych celach.
10. Kopiowanie oprogramowania przez użytkowników musi być zgodne z zasadami licencji danego oprogramowania.
11. W przypadku zauważenia nieprawidłowości w działaniu stacji roboczej, a
w szczególności, gdy zachodzi podejrzenie o działaniu wirusa komputerowego, należy
ten fakt jak najszybciej zgłosić do pracowników działu informatyki.
12. Administrator z działu informatyki odpowiedzialny za usuwanie złośliwego oprogramowania (np. wirusa) powinien postępować zgodnie z odpowiednią instrukcją.
13. Wszystkie pochodzące z zewnątrz dyskietki lub inne media z danymi nie mogą być
użyte bez wcześniejszego sprawdzania ich przy pomocy odpowiedniego oprogramowania antywirusowego.
14. Użytkownicy instytucji muszą posiadać ograniczone uprawnienia do instalacji oprogramowania. Wyjątkami są osoby, którym uprawnienia administracyjne są niezbędne
do codziennej pracy.
Komentarz: Zalecane jest, aby użytkownicy nie posiadali przywilejów administratora. Posiadanie zbyt dużych uprawnień może doprowadzić do nieświadomej instalacji oprogramowania.
15. Dzienniki zdarzeń systemów operacyjnych i aplikacji powinny być regularnie monitorowane w celu identyfikacji ich błędnego działania, wykrywania nieprawidłowości,
nadużyć oraz prób nieuprawnionego dostępu.
D.
Zasady bezpieczeństwa dotyczące korzystania z Internetu, intranetu, sieci telefonicznej oraz użytkowania komputerów
1.
Instalacja oprogramowania przez użytkownika powinna być konsultowana
z pracownikiem działu informatyki. Administrator powinien sprawdzić nowe oprogramowanie pod kątem legalności, bezpieczeństwa i stabilności. Szczegółowe informacje o oprogramowaniu dozwolonym dla użytkownika są zawarte w dokumencie Instrukcje oraz zasady dla użytkowników instytucji.
2. Zabrania się instalować oprogramowanie pochodzące z nieznanych źródeł. Należy pobierać oprogramowanie z stron producenta dodatkowo sprawdzając integralność funkcjami skrótu. Szczegółowe informacje o miejscu pobrania takiego oprogramowania
można znaleźć w dokumencie Instrukcje oraz zasady dla użytkowników instytucji.
3. Użytkownik powinien zachować szczególną ostrożność podczas ściągania plików
z Internetu. Proces pobierania powinien być zgodny z zaleceniami opisanymi
42
w instrukcjach opisujących wskazówki korzystania ze stron internetowych w celu
ochrony przed złośliwym kodem oraz niebezpiecznym oprogramowaniem. ISO 17799:
8.3.1 Zabezpieczenie przed szkodliwym oprogramowaniem.
4. Poczta elektroniczna powinna być wykorzystywana wyłącznie w celach służbowych.
Kopie bezpieczeństwa wiadomości pocztowych powinny być zachowane przez określony okres w celu spełnienia wymagań biznesowych. ISO 17799: 12.1.3 Zabezpieczenie dokumentów instytucji.
5. Zabrania się użytkownikom otwierania załączników poczty elektronicznej oraz odpowiadania na takie wiadomości, jeśli pochodzą one z niewiadomego źródła. Zaistnienie
takiego faktu powinno zostać zgłoszone do administratorów działu informatyki. ISO
17799: 8.7.4 Bezpieczeństwo poczty elektronicznej.
6. Użytkownicy powinni uważnie wysyłać lub przesyłać dalej wiadomości pocztowe
szczególnie, gdy zawierają one informacje chronione. Adresat powinien być dokładnie
sprawdzony tak, aby wiadomość dotarła do oczekiwanej osoby. ISO 17799: 8.7.4 Bezpieczeństwo poczty elektronicznej.
7. Użytkownicy powinni zwrócić szczególną uwagę podczas odpowiadania na wiadomości pocztowe. Należy sprawdzić dokładnie adres odbiorcy lub stworzyć od początku
nową wiadomość. ISO 17799: 8.7.4 Bezpieczeństwo poczty elektronicznej.
8. Zabrania się otwierania załączników z plikami samorozpakowującymi się lub typu
„exe, js, vbs, bat, com, bin, prg, class, ini, dpl, pif, dll, lbk, scr, spl, cpl”, jeśli pochodzą one z wiadomego źródła wówczas, gdy nie spodziewamy się otrzymać takiej wiadomości. Wystąpienie takiej sytuacji należy zgłosić do pracownika działu informatyki,
który wyda zgodę otwarcie pliku.
9. Zabrania się otwierania stron internetowych poprzez linki umieszczone w treści wiadomości pocztowych, jeśli pochodzą z wiadomego źródła wówczas, gdy nie spodziewamy się otrzymać takiej wiadomości. Wystąpienie takiej sytuacji należy zgłosić do
pracownika działu informatyki, który wyda zgodę otwarcia pliku.
Komentarz: Zaleca się nie otwierać linków znajdujących się w treściach wiadomości pocztowych. Linki mogą wskazywać na niebezpieczne strony (zawierające złośliwy kod), które mogą
nieświadomie zainstalować złośliwe oprogramowanie.
10. Zabrania się rozpakowywania załączników chronionych hasłem, jeśli pochodzą
z wiadomego źródła wówczas, gdy nie spodziewamy się otrzymać takiej wiadomości.
Wystąpienie takiej sytuacji należy zgłosić do pracownika działu informatyki, który
wyda zgodę otwarcia pliku.
Komentarz: Załączniki chronione hasłem mogą zawierać wirusy. Systemy antywirusowe zlokalizowane na urządzeniach brzegowych nie skanują takich wiadomość, ponieważ musiałyby zastosować łamanie hasła, co zajęłoby bardzo dużą ilość czasu procesora.
11. Pracownikom zabrania się brania udziału w listach dyskusyjnych z konta firmowego,
jeśli listy dyskusyjne nie mają związku z pracą w instytucji.
43
12. Wysyłając pocztę z konta firmowego, która zawiera prywatne opinie, należy zaznaczyć, że wypowiedzi nie są oficjalnym stanowiskiem instytucji. ISO 17799: 12.1.1
Określenie odpowiednich przepisów prawnych.
13. Zabrania się używania poczty w sposób, który mógłby źle wpłynąć na wizerunek instytucji, na przykład wysyłania obraźliwych wiadomości pocztowych.
14. Przesyłanie informacji chronionych przez Internet za pomocą poczty, stron internetowych lub w inny sposób powinno odbywać w bezpiecznym kanale
z uwierzytelnieniem nadawcy i odbiorcy. W sytuacjach, gdy nie jest możliwe utworzenie bezpiecznego kanału należy zaszyfrować same dane korzystając
z zewnętrznych programów. ISO 17799: 10.3 Zabezpieczenia kryptograficzne.
15. Użytkownicy wykorzystujący szyfrowanie i podpis cyfrowy powinni zastosować się
do instrukcji określającej sposób wykorzystywania kryptografii. Operacje te muszą
być zgodne z wymogami prawa. ISO 17799: 12.1.6 Regulacje dotyczące zabezpieczeń
kryptograficznych, 10.3.2 Szyfrowanie, 10.3.3 Podpisy cyfrowe
16. Zaleca się, aby użytkownicy szczególnie staranie chronili poufność i integralności
swojego klucza prywatnego wykorzystywanego w podpisie elektronicznym. Szczegółowe informacje znajduję się w instrukcjach opisujących sposób wykorzystywania
kryptografii. ISO 17799: 12.1.6 Regulacje dotyczące zabezpieczeń kryptograficznych,
10.3.2 Szyfrowanie, 10.3.3 Podpisy cyfrowe.
17. Zaleca się, aby zdefiniować typ, jakość i minimalną długość używanych kluczy. Zaleca się, aby używać dwóch kluczy kryptograficznych do podpisu oraz do szyfrowania.
Szczegółowe informacje znajduję się w instrukcjach opisujących sposób wykorzystywania kryptografii. ISO 17799: 12.1.6 Regulacje dotyczące zabezpieczeń kryptograficznych, 10.3.2 Szyfrowanie, 10.3.3 Podpisy cyfrowe.
Komentarz: Zastosowanie dwóch par kluczy (do szyfrowania i podpisywania) jest konieczne,
jeśli instytucja chciałaby wykonywać kopie bezpieczeństwa swoich kluczy prywatnych wykorzystywanych do szyfrowania. Obecne prawo polskie nie pozwala na backup kluczy służących
do podpisu, dlatego należy posiadać dwa klucze (jeden klucz do szyfrowania drugi do podpisu).
18. Należy wprowadzić system zarządzania kluczami cyfrowymi. Zdefiniować miejsce
generowania certyfikatów, sposoby rozsyłania kluczy, miejsca gdzie należy przechowywać klucze, postępowanie z kluczami (utrata bezpieczeństwa kluczy), unieważnienie kluczy, odtwarzanie kluczy (w przypadku utraty), archiwizowanie kluczy oraz
niszczenie kluczy. Szczegółowe wyjaśnienie zagadnień dot. zarządzania kluczami
znajduję się w instrukcjach opisujących sposób wykorzystywania kryptografii opisanymi w dokumencie Instrukcje oraz zasady dla użytkowników instytucji. ISO 17799:
2.1.6 Regulacje dotyczące zabezpieczeń kryptograficznych, 10.3.5.2 Standardy, procedury, metody.
19. W czasie swojej pracy użytkownicy powinni stosować się do instrukcji określających
zasady bezpiecznej pracy (dobre zwyczaje, praktyki) na przykład określające sposoby
logowania, wylogowania się, zachowywania się z danymi oraz programami, które te
dane przetwarzają. ISO 17799: 9.2 Zarządzanie dostępem użytkowników.
44
20. Wybór hasła przez użytkowników powinien być ściśle określony przez instrukcje
określające złożoność, długość, okres ważności takiego hasła oraz zarządzanie nimi
tak, aby były one przez cały czas ważności poufne. Szczegółowe informacje zostały
zawarte w dokumencie „Instrukcje oraz zasady dla użytkowników instytucji”. ISO
17799: 9.3.1 Użytkowanie haseł, 9.5.4 System zarządzania hasłami.
21. Każde hasło użytkownika powinno być okresowo wymieniane, w szczególności hasła
dotyczące kont administratorów i użytkowników uprzywilejowanych. Okres wymiany
powinien zostać zdefiniowany w instrukcjach dotyczących bezpieczeństwa haseł.
Szczegółowe informacje zostały zawarte w dokumencie „Instrukcje oraz zasady dla
użytkowników instytucji”.
22. Zabrania się ujawniania haseł lub innych informacji dotyczących swojego konta lub
informacji dotyczących pracy. Szczegółowe informacje o sposobach zachowania poufności haseł zawarte są w instrukcjach dotyczących bezpieczeństwa haseł
w dokumencie „Instrukcje oraz zasady dla użytkowników instytucji”.
23. Wymagana jest zmiana hasła początkowego przy pierwszym logowaniu się użytkownika do systemu. Otrzymane hasło jest dostarczone przez pracowników działu informatyki i pochodzi z procesu zakładania konta użytkownika. Proces uzyskiwania hasła
początkowego musi być zgodny z instrukcją zakładania konta.
24. Powinny zostać przeprowadzane szkolenia pracowników w celu profilaktyki, unikania
zagrożeń, w szczególności uświadomienia użytkownikom ich wpływu na bezpieczeństwo całej placówki. Użytkownicy powinny przejść stosowne szkolenia w zależności
od pełnionej funkcji, dostępu do informacji lub systemów. ISO 17799: 6.2.1 Szkolenie
i kształcenie w zakresie bezpieczeństwa informacji.
25. Zabrania się przeprowadzania działań, które mogą mieć negatywny wpływ na całą
sieć lub jej elementy informatyczne. Czynnością taką może być: skanowanie, monitorowanie sieci, próby uzyskania większych uprawnień, omijanie zabezpieczeń, wykorzystanie słabości, czy nieautoryzowana zmiana konfiguracji sprzętu lub oprogramowania. Wyjątkami są działania administratorów lub działania związane ze zleconym
przed dyrektora/zarządu instytucji audytem informatycznym.
26. Zabrania się wysyłania wiadomości pocztowych będących spamem (tzn. zawierających informacje handlowe, reklamy lub inne materiały do osób nie zainteresowanych
otrzymywaniem takich informacji).
27. Wiadomości pocztowe zawierające informacje handlowe oraz reklamy mogą być wysyłane, jeśli odbiorca może w każdej chwili zrezygnować (wypisać się)
z otrzymywania takich wiadomości. Zaleca się, aby informacje o możliwości wypisania się z listy były umieszczone na końcu wiadomości pocztowej. Użytkownicy rozsyłający takie wiadomości, powinni zwracać uwagę na źródła pozyskiwania adresów,
w szczególności zgody osoby na posiadanie jej adresu do takiej korespondencji.
28. Zabrania się korzystać z programów umożliwiających fałszowanie lub wymazywanie
informacji znajdujących się w nagłówkach wiadomości pocztowych.
45
29. Zabrania się korzystania z komunikatorów internetowych, innych niż te, które zostały
dopuszczone przez administratorów działu informatyki. Szczegółowe informacje powinny zostać ustalone w instrukcjach dotyczących standardów komunikowania się
w Internecie przez użytkowników.
Komentarz: Zaleca się nie stosowanie komunikatorów internetowych, ponieważ mogą one stanowić osłabienie obrony sieci i systemów informatycznych. Przez takie komunikatory mogą
przedostawać się wirusy, konie trojańskie lub robaki, a także komunikator może dostarczyć
pewne informacje, które mogą być wykorzystywane przez hakerów.
E.
Zasady bezpieczeństwa dotyczące pracy zdalnej
1. Komputery przenośne podlegają takim samych ograniczeniom, jak jednostki stacjonarne znajdujące się w instytucji. Ograniczeniami są uprawnienia, prawa do instalacji
i legalności oprogramowania, zgłaszanie podejrzeń o wystąpieniach nieprawidłowości.
2. Użytkownicy posiadający komputery przenośne powinni zostać uświadomieni, jak zapewnić bezpieczeństwo tym urządzeniom oraz informacjom na nich przechowywanym. Użytkownicy powinni korzystać z instrukcji dotyczących bezpieczeństwa podczas pracy zdalnej. Szczegółowe informacje zostały zawarte w dokumencie Instrukcje
oraz zasady dla użytkowników instytucji. ISO 17799: 9.8.1 Komputery przenośne,
7.2.5 Zabezpieczenie sprzętu poza siedzibą.
3. Za instalację, konfigurację komputerów przenośnych są odpowiedzialni pracownicy
działu informatyki. W sytuacjach wyjątkowych pracownik może przejąć odpowiedzialność za swój komputer, jednak uzyska on mniejsze uprawnienia dostępu do zasobów i usług sieci instytucji. W celu uzyskania takiej możliwości należy uzyskać pozwolenie kierownika działu informatyki. ISO 17799: 9.8.1 Komputery przenośne,
7.2.5 Zabezpieczenie sprzętu poza siedzibą.
Komentarz: Zaleca się, aby konfiguracje oraz instalacje były dokonywane przez pracowników
działu informatyki. Delegowanie odpowiedzialności na użytkownika za wykonywanie ww. prac
może zagrozić zmniejszeniem poziomu bezpieczeństwa sieci i systemów informatycznych.
Przykładem może być użytkownik, który zaniedbując obowiązków wnosi do sieci wewnętrznej
niebezpieczne oprogramowanie.
4. Pracownik odpowiada za ochronę fizyczną komputerów przenośnych. Wskazówki dotyczące postępowania w celu unikania zagrożeń fizycznych znajdują się
w instrukcjach dotyczących bezpieczeństwa podczas pracy zdalnej. Szczegółowe informacje zostały zawarte w dokumencie Instrukcje oraz zasady dla użytkowników instytucji. ISO 17799: 9.8.1 Komputery przenośne, 7.2.5 Zabezpieczenie sprzętu poza
siedzibą.
5. Komputery przenośne powinny być okresowo kontrolowane przez administratorów sieci komputerowej w celu sprawdzenia bezpieczeństwa tych jednostek.
6. Użytkownicy pracujący z komputerów domowych lub z innych lokalizacji powinni
uzyskać ograniczony dostęp uzależniony od ryzyka, jaki wiąże się z ich lokalizacją
oraz dostępem do tych komputerów osób trzecich.
46
Komentarz: Praca zdalna zmniejsza poziom bezpieczeństwa systemów oraz sieci instytucji.
Nawet najnowsze rozwiązania techniczne nie są w stanie w stu procentach ochronić sieć wewnętrzną przy połączeniu komputera zdalnego. Dlatego zaleca się stosować ograniczony dostęp do usług i zasobów. Zaleca się udostępnić tylko te zasoby, które są niezbędne dla użytkownika oraz pozwalają zachować odpowiedni poziom bezpieczeństwa. Zdalny dostęp użytkowników powinien być sklasyfikowany według lokalizacji i miejsc, z jakich użytkownicy się
łączą, aby wyeliminować zagrożenia takich miejsc np. kafejka internetowa.
7. Zabrania się komputerom znajdującym się poza siecią komputerową instytucji korzystać z Internetu podczas zdalnego łączenia się z usługami i zasobami instytucji.
Komentarz: Podczas łączenia się z siecią instytucji należy pozamykać wszystkie otwarte sesje
z innym komputerami. Otwarte sesje z innymi sieciami mogą być aplikacjami routującymi dane wysyłane z sieci wewnętrznej do innych maszyn w Internecie.
8. Dostęp zdalny do środka sieci może być możliwy tylko dla połączeń szyfrowanych.
Komentarz: Połączenia VPN,IPSEC, SSL oraz SSL VPN.
9. Użytkownicy komputerów przenośnych lub domowych powinni zachować szczególną
ostrożność odnośnie zagrożeń typu nieupoważniony dostęp przez osoby znajdujące się
w pobliżu (np. rodzina, przyjaciele).
F.
Zasady bezpieczeństwa przy konfigurowaniu, administrowaniu i zarządzaniu
systemami oraz sieciami informatycznymi
Komentarz: Poniższy punkt przedstawia zasady i reguły określające wymagania dla systemów
informatycznych zapewniające odpowiedni poziom bezpieczeństwa systemom oraz sieciom informatycznym, w szczególności informacjom w nich przechowywanym. Oprócz wymagań zostały
przedstawione reguły polityki bezpieczeństwa pokazujące, w jaki sposób można poprawić bezpieczeństwo.
1. Przy zakupie systemów informatycznych powinien być brany pod uwagę aspekt bezpieczeństwa tych systemów. Należy przeprowadzić analizę słabości technologicznej
systemów informatycznych.
Komentarz: w większości przypadków głównym priorytetem przy tworzeniu oprogramowania
jest zapewnieniu jego maksymalnej funkcjonalności i efektywności. Często aspekt bezpieczeństwa jest mniej ważny i nie przywiązuje się do niego szerszej uwagi. Przy zakupie oprogramowania administratorzy sieci i systemów informatycznych powinni zwracać uwagę na zagadnienia związane z jego bezpieczeństwem.
2. Przy tworzeniu i wdrażaniu własnych projektów informatycznych należy zadbać
o zgodność z bezpieczeństwem informatycznym. Przed wdrożeniem własnego oprogramowania powinno ono spełniać określony poziom bezpieczeństwa oraz zapewniać
mechanizmy wspierające bezpieczeństwo.
Komentarz: Własne lub zamawianie u współpracowników oprogramowanie powinno być wyposażone w mechanizmy wspierające bezpieczeństwo. Aspekty bezpieczeństwa powinny zostać
wyróżnione na początku procesu powstawania oprogramowania tzn. w fazie określania wymagań oraz tworzenia specyfikacji.
47
3. Sieć komputerowa powinna być rozdzielona na mniejsze sieci w celu zwiększenia
efektywności przepustowości sieci oraz ułatwień w kontrolowaniu i filtrowaniu dostępu do chronionych zasobów.
Komentarz: Rozdzielenie sieci informatycznych tzn. tworzenie domen wpływa na poprawę wydajności oraz efektywności systemów i sieci informatycznych. Podzielenie sieci zwiększa przepustowość przez umożliwienie filtracji pakietów rozgłoszeń (broadcast) i innych powodujących niepotrzebny ruch sieciowy. Kolejna zaletą jest tworzenie możliwość kontroli ruchu pomiędzy sieciami.
4. Serwery z usługami powinny być umieszczane w najbardziej optymalnych oraz bezpiecznych miejscach sieci informatycznej. Wybór miejsca powinien być uzależniony
od usług dostępnych na serwerach, przepustowości, możliwych opóźnień od komputerów użytkowników oraz od bezpieczeństwa zasobów i usług znajdujących się na serwerach. Serwery z usługami publicznymi (osiągalne z Internetu) powinny znajdować
się w strefie zdemilitaryzowanej.
Komentarz: Serwery z usługami powinny być umieszczane w lokalizacjach najbardziej dla
nich korzystnych, blisko stacji klientów (optymalizacja przepływu danych tzn. ograniczenie do
minimum przesyłania przez urządzenia sieciowe, które powodują opóźnienie). Usługi powinny
być wystawiane do Internetu za pośrednictwem tzw. jednostek typu host bastion (proxy).
Ewentualny atak z Internetu na te serwery musi w pierwszej kolejności złamać zabezpieczenia
pośredników. Przy projektowaniu sieci należy uwzględnić czynniki bezpieczeństwa
w architekturze sieci, lokalizacji serwerów z usługami oraz jednostek klientów.
5. Zaleca się, aby usługi publicznie instytucji, które są dostępne z Internetu posiadały
mechanizmy uwierzytelniające, a o ile jest to możliwe zaleca się, aby ten mechanizm
był dostarczony przez specjalistyczne urządzenie lub oprogramowanie.
Komentarz: Wprowadzenie zewnętrznych mechanizmów uwierzytelniających (np. protokół
Radius) wpływa na poprawę poziomu bezpieczeństwa sieci informatycznych. Protokoły uwierzytelniające zapewniają rozbudowane i niezależne funkcje rozliczalności połączeń użytkowników. Przy wdrożeniu dodatkowych autoryzacji należy brać pod uwagę niezadowolenie użytkowników z powodu dodatkowego hasła i loginu. Zalecane jest jednak przekonanie zarządu
i wdrożenie takich mechanizmów. Przy przeprowadzaniu szkoleń dla pracowników należy
podkreślić konieczność dodatkowego uwierzytelniania w procesie kontroli bezpieczeństwa
usług i sieci informatycznych.
6. Urządzenia brzegowe (firewalle, routery) chroniące sieci wewnętrzne instytucji przed
dostępem z Internetu powinny posiadać skonfigurowaną, przetestowaną zaporę sieciową zgodnie z polityką kontroli dostępu ruchu sieciowego. Dla urządzeń brzegowych pełniących funkcję routera należy zdefiniować politykę tras routingu.
7. Zaleca się wprowadzenie na serwerach z usługami, lokalnej kontroli ruchu sieciowego
w postaci zapory sieciowej, zgodnie z polityką określającą uprawniony dostęp do
usług znajdujących się na tych serwerach.
Komentarz: o ile jest to możliwe i nie powoduje spadku wydajności pracy serwerów
z usługami zaleca się skonfigurowanie i uruchomienie personalnej zapory sieciowej. Wdrożenie personalnych firewalli ma sens w przypadku sieci charakteryzujących się wysokiem
współczynnikiem ryzyka bezpieczeństwa.
48
8. Zaleca się wprowadzenie na urządzeniach rozdzielających wewnętrzne sieci informatyczne kontroli ruchu sieciowego w postaci filtracji ruchu sieciowego zgodnie ze zdefiniowaną polityką określającą zasady komunikacji pomiędzy sieciami.
Komentarz: Zalecane jest uruchomienie filtracji ruchu sieciowego na elementach rozdzielających sieci w instytucjach charakteryzujących się wysokim poziomem ryzyka bezpieczeństwa.
Przy uwzględnieniu tego punktu należy brać pod uwagę złożoność sieci oraz wykorzystywane
w niej protokoły. Przy konfiguracji mogą pojawić się problemy z określeniem prawidłowych
portów biorących udział w komunikacji, co może spowodować przerwy pracy urządzeń sieciowych oraz zwiększone nakłady pracy administratorów sieciowych.
9. Zaleca się wprowadzenie mechanizmów głębokiej inspekcji ruchu sieciowego poprzez
systemy wykrywania włamań w kluczowych punktach przepływu ruchu sieciowego.
Komentarz: Systemy wykrywania włamań IDS oraz IPS mogą zidentyfikować wiele zagrożeń
dotyczących bezpieczeństwa informatycznego. Systemy tego typu są bardzo drogie, dlatego zaleca się stosowanie ich w przypadku instytucji, które charakteryzują się wysokim poziomem
ryzyka informatycznego.
10. Systemy informatyczne powinny zostać skonfigurowane tak, aby ograniczać możliwość ataku z wykorzystaniem słabości konfiguracji. Administratorzy działu informatyki powinni przygotować dokumentację określającą standardy konfiguracji usług,
systemów operacyjnych i urządzeń sieciowych. Dokument ten powinien stanowić
wzór dla każdej następnej instalacji i konfiguracji.
11. Systemy informatyczne powinny być poddawane okresowej zleconej przez dyrektora/zarządu kontroli i audytowi w celu wykrycia ewentualnych słabości konfiguracji
oraz błędów oprogramowania.
Komentarz: Audyt bezpieczeństwa stanowi ważny element w kontrolowaniu efektywności oraz
poziomu bezpieczeństwa sieci i systemów informatycznych. Audyt powinien być przeprowadzony za zgodą zarządu/dyrektora instytucji. Audyt bezpieczeństwa stanowi bardzo rozległą
dziedzinę, która szczegółowo zostanie opisana w załączniku dotyczącym audytu bezpieczeństwa.
12. Administratorzy działu informatyki zarządzający systemami informatycznymi są odpowiedzialni za monitorowanie wydajności i bezpieczeństwa działających usług
i systemów operacyjnych. ISO 17799: 4.1.3. Podział odpowiedzialności w zakresie
bezpieczeństwa.
13. Administratorzy powinni aktualizować dokumentację zarządzanych przez nich systemów informatycznych. ISO 17799: 8.6.4 Bezpieczeństwo dokumentacji systemów,
10.5.1 Procedury kontroli zmian.
14. Testowanie i sprawdzanie nowych aplikacji powinno odbywać się na specjalnie do tego przygotowanych komputerach i środowiskach. Tylko sprawdzone aplikacje powinny być wdrożone do produkcyjnego środowiska IT. ISO 17799: 8.1.2 Kontrola zmian
w eksploatacji.
15. Wszystkie urządzenia w sieci informatycznej powinny mieć zsynchronizowany czas.
ISO 17799: 9.7.3 Synchronizacja czasu.
49
16. Zaleca się wprowadzenie systemu badającego integralność oprogramowania, plików
systemów operacyjnych oraz plików konfiguracyjnych. ISO 17799: 10.2 Bezpieczeństwo systemów aplikacji, 12.1.3 Zabezpieczenie dokumentów instytucji.
Komentarz: Badanie integralności oprogramowania, plików systemowych i konfiguracyjnych
zapewnia skuteczny mechanizm wykrywania incydentów. Atak wirusa, robaka, konia trojańskiego, hakera musi zostawić swój ślad w systemie informatycznym (np. podmiana pliku, dopisanie do pliku, zmiana konfiguracji). Systemy badające integralność danych mogą stanowić
jedno z głównych źródeł identyfikacji ataków. Zaleca się je stosować na wszystkich serwerach,
w szczególności na serwerach znajdujących się w sieci DMZ.
17. Dostęp do struktury katalogów w systemach informatycznych dla użytkowników powinien być tak skonfigurowany, aby ograniczać dostęp tylko do zasobów wymaganych do prawidłowej pracy. ISO 17799: 9.1.1 Polityka kontroli dostępu.
18. Zaleca się regularne usuwanie plików tymczasowych z systemów informatycznych.
ISO 17799: 8.4 Procedury wewnętrzne.
19. Powinny zostać stworzone plany przeciwdziałania awarii w celu zapewnienia ciągłości działania sieci informatycznej. Plany powinny być regularnie testowane, audytowane w celu zidentyfikowania zmian środowiska. ISO 17799: 11.1.2 Ciągłość działania i analiza skutków dla działalności biznesowej.
Komentarz: Plany awaryjne stanowią ważny aspekt w polityce bezpieczeństwa informacji dotyczącej dziedziny bezpieczeństwa określanej jako dostępność (ang. availability). Stworzenie
skutecznych planów awaryjnych może zabezpieczyć instytucję przed przerwami w pracy sieci
informatycznej. Wysoki poziom dostępności jest zalecany w instytucjach, w których ważnym
czynnikiem prowadzenia działalności jest ciągłość działania. Tworzenie planów awaryjnych
musi odbyć się przy wsparciu zarządu/dyrektora instytucji. Do realizacji planów awaryjnych
często są potrzebne kopie systemów informatycznych, które współdziałają ze sobą poprzez tzw.
HA (high avability). Kopie urządzeń wymagają dużego budżetu. W celu oszacowania kosztów,
jakie należy przeznaczyć na tworzenie planów awaryjnych, zaleca się wykonanie analizy ryzyka bezpieczeństwa.
20. Antywirusowe oprogramowanie z aktualnymi definicjami musi być zainstalowane
i skonfigurowane na wszystkich komputerach i serwerach. ISO 17799: 8.3.1 Zabezpieczenie przed szkodliwym oprogramowaniem.
21. Dowody o zaistniałych incydentach dotyczących bezpieczeństwa informacji
i systemów informatycznych powinny zostać gromadzone i dokumentowane, przez
upoważnioną osobę. Powyższe dowody mogą zostać wykorzystane do badania korelacji z innymi incydentami albo stanowić dowód podczas ewentualnych spraw sądowych. ISO 17799: 6.3.1 Zgłaszanie przypadków naruszenia bezpieczeństwa, 12.1.7
Gromadzenie materiału dowodowego.
22. Administratorzy systemów informatycznych powinni śledzić informacje na temat wykrywania słabości ich systemów oraz o ukazujących się do nich poprawkach w celu
szybkiego wprowadzenia aktualizacji.
23. Systemy informatyczne powinny posiadać aktualną dokumentację stanu systemu, za
którą odpowiadają administratorzy tych systemów.
50
24. Zaleca się wyłączenie niewykorzystywanych usług oraz aplikacji na serwerach
i urządzeniach sieciowych.
25. Dostęp do zasobów informatycznych oraz usług systemowych powinien być uwierzytelniany. Uwierzytelnienie powinno dotyczyć użytkownika, komputera użytkownika
oraz miejsca, z którego nadchodzi prośba o dostęp. ISO 17799: 9.5 Kontrola dostępu
do systemów operacyjnych.
Komentarz: Zaleca się wprowadzenie dodatkowej autoryzacji bazującej na wielu parametrach
niż tylko na samej nazwie użytkownika. Przykładem takiej usługi jest domena active directory,
która oprócz autoryzacji nazwy użytkownika sprawdza nazwę komputera i tzw. SID. Wykorzystywanie takich systemów informatycznych zapewnia dodatkowe potwierdzenie tożsamości,
tworząc przez to bezpieczniejszą sieć komputerową.
26. O ile jest to możliwe zaleca się, aby dostęp do zasobów oraz usług instytucji był ograniczany przez ramy czasowe, kiedy użytkownicy mogą łączyć się z systemem. ISO
17799: 9.5 Kontrola dostępu do systemów operacyjnych.
27. O ile jest to możliwe zaleca się stosować systemy operacyjne posiadające mechanizmy
hierarchizujące uprawnienia dla użytkowników w systemie (administrator, użytkownik).
28. Użytkownicy uprzywilejowani nie powinni pracować na uprawnieniach administracyjnych podczas normalnej pracy w systemie. Zalogowanie się z prawami administratora powinno mieć miejsce wyłącznie, gdy występuje taka konieczność.
29. Zaleca się, aby zdalny dostęp do terminali odbywał się przez połączenia szyfrowane.
30. Zaleca się wprowadzenie dedykowanego serwera specjalizującego się
w przechowywaniu kopii dzienników zdarzeń z innych serwerów lub urządzeń sieciowych.
Komentarz: Dedykowany serwer przechowuje kopie dzienników zdarzeń z innych systemów informatycznych. Dzienniki zdarzeń stanowią główne informacje o działalności użytkowników,
administratorów oraz o pracy systemów operacyjnych i zainstalowanych na nich aplikacjach.
Dzięki dziennikom zdarzeń możliwy jest audyt systemów i użytkowników oraz zapewnienie rozliczalności. W przypadku ataku hakera dzienniki odnotowują takie zajście i przy obsłudze incydentu można określić rodzaj ataku oraz jego źródło. Po przejęciu systemu informatycznego
hakerzy kasują całą zawartość logów, przez co odtworzenie ataku jest niemożliwe. Stworzenie
dedykowanej jednostki z wyłączonymi usługami zapewnia ochronę kopii dzienników zdarzeń.
31. Backup danych oraz plików konfiguracyjnych powinien być wykonywany regularnie.
Należy wdrożyć mechanizmy okresowo weryfikujące poprawność zarchiwizowanych
danych (należy przeprowadzić proces odzyskiwania backup danych).
32. Usługi na serwerach oraz urządzeniach sieciowych powinny posiadać mechanizmy
kontrolujące stan otwartych sesji, a w przypadku wykrycia zbyt dużej liczby połączeń
lub przekroczenia zdefiniowanego okresu czasu połączenia automatycznie sesje zamykać.
51
Komentarz: Otwarte sesje mogą zabierać zasoby urządzenia sieciowego lub serwera
z usługami doprowadzając do ataku typu odmowa usługi (ang. denial of service). Otwarte sesję mogą zostać przejęte przez hakera (ang. session hijacking).
33. Zaleca się o ile jest to możliwe wyłączenie lub zmienienie nazw standardowych kont
systemowych. Ma to szczególne znaczenie przy kontach typu gość.
Komentarz: Standardowe konta lub hasła są wykorzystywane przez różnego typu skanery
w celu odkrycia dodatkowych informacji o systemie oraz wykrycia słabości systemów.
34. Nie należy używać standardowej konfiguracji systemów operacyjnych oraz aplikacji
dostępnych w systemach. Instalację z tzw. pudełka może stanowić potencjalne niebezpieczeństwo dla bezpieczeństwa.
35. Przed wdrożeniem, systemu informatycznego do eksploatowanego środowiska powinien on przejść kompleksowy audyt bezpieczeństwa.
36. Na serwerach eksploatowanych z działającymi usługami należy ograniczyć do minimum ilość dostępnego oprogramowania. Zaleca się usunięcie kompilatorów oraz interpretatorów skryptów. ISO 17799: 10.4.3 Kontrola dostępu do bibliotek źródłowych.
37. Na systemach eksploatowanych z działającymi usługami o ile jest to możliwe zaleca
się nie przechowywać kodów źródłowych aplikacji. ISO 17799: 10.4.3 Kontrola dostępu do bibliotek źródłowych.
38. Zainstalowane aplikacje i usługi w systemach informatycznych powinny posiadać jak
najmniejsze uprawnienia, niezbędne do prawidłowej pracy.
39. Zaleca się rejestrować próby logowania i wylogowania się użytkowników w systemie.
Zaleca się wdrożenie mechanizmów do wykrycia działań użytkowników mających na
celu zwiększenie ich uprawnień.
40. Przy łączeniach się do usług lub zdalnych terminali, o ile jest to możliwe, zaleca się
usunięcie standardowych powitalnych komunikatów. Jeśli występuje możliwość edycji pojawiającego się tekstu należy go zmienić na tekst informujący o zakazie nieuprawnionego dostępu do usługi oraz o ewentualnych konsekwencjach jego złamania.
41. Zaleca się, aby przy połączeniu do usług lub zdalnych terminali zablokować wyświetlanie informacji o systemach lub aplikacjach, aż do chwili pomyślnego zakończenia
procesu rejestrowania w systemie.
42. Zaleca się, o ile jest to możliwe, zmienić wyświetlane informacje przy połączeniach
do zdalnych terminali tak, aby przy porażce logowania nie wyświetlać informacji, która część wprowadzonych danych była niepoprawna.
43. Zaleca się wprowadzić ograniczenie, co do liczby nieudanych prób logowania przy
połączeniach do zdalnych terminali.
44. O ile jest to możliwe zaleca się wykorzystywanie dynamicznej translacji adresów dla
połączeń z komputerów pracowników do Internetu.
52
45. Zaleca się konfigurację usługi WWW tak, aby zabezpieczyć ją przed nieautoryzowany
dostępem i modyfikacją jej katalogów przechowujących strony).
46. Należy wprowadzić bezpieczne odpowiedniki protokołów do pobierania poczty elektronicznej (POP+SSL, IMAP+SSL).
47. Zaleca się, aby system poczty elektronicznej mógł filtrować wiadomości zawierające
wirusy, spam, nieprawidłowe konstrukcje oraz załącznikami o niebezpiecznych rozszerzeniach.
48. Zaleca się wprowadzenie ograniczeń, co do wielkości przesyłanych wiadomości pocztowych.
Komentarz: Brak tej zasady może zablokować systemy przez atak typu odmowa usługi.
49. Wymaga się, aby wysyłanie poczty elektronicznej z Internetu, było tylko możliwe po
wcześniejszym uwierzytelnieniu użytkownika.
Komentarz: Jeśłi systemy pocztowe nie będą posaidały autoryzacji mogą stać się open relay,
czyli miejscami wysyłania ogromnych ilości maili (spamu). Takie działanie może doprowadzić
do umieszczenia serwera poczty instytucji na czarnych listach.
50. Zaleca się blokowanie wiadomości pocztowych pochodzących od adresatów znajdujących się na tzw. czarnych listach.
51. Zalecane jest stworzenie awaryjnych planów krytycznych dla ważnych elementów
w systemie informatycznym, jak na przykład serwery z usługami, routery, urządzenia
zabezpieczające w celu zapewnienia ciągłości działania procesów biznesowych.
52. Zaleca się użytkowanie tylko takich przeglądarek internetowych, które zostały wymienione w instrukcjach określające standardy przeglądania stron internetowych.
53. Zaleca się, aby przeglądarka internetowa była skonfigurowana zgodnie z zalecanymi
standardami, opisanymi w instrukcjach dotyczących przeglądania stron internetowch.
54. Zabrania się przeglądania stron zawierającymi craki, gry losowe, oprogramowanie pirackie oraz treści erotyczne ze względu na wysoki stopień zagrożenia bezpieczeństwa
komputera.
55. Zaleca się, aby administratorzy prowadzili dzienniki wykonywanych przez siebie
czynności. Rejestrowane czynności powinny dotyczyć pracy administratorów, obsługi
incydentów, obsługi awarii. W dzienniku powinny znajdować się informacje takie jak:
czas rozpoczęcia i zakończenia sesji, błędy systemowe, działania naprawcze oraz nazwisko osoby wykonującej wpis do dziennika.
56. Zaleca się okresową kontrolę uprawnień kont użytkowników w systemach informatycznych. Kontrolę powinno wykonywać się poprzez porównanie aktualnych uprawnień użytkowników do uprawnień zawartych w dokumencie, określającym uprawnienia, jakie użytkownik powinien posiadać i jakie zostały mu przydzielone.
53
57. Wymaga się, by chronić bazy danych przed atakami typu sql injection. Zaleca się, aby
wykorzystywane oprogramowanie było testowane pod kątem poprawności parametrów przekazywanych do baz danych przez użytkowników.
G.
Zasady dotyczące zarządzania systemem wykonywania kopii bezpieczeństwa
danych
1. Kopie bezpieczeństwa danych muszą zawierać aktualne dane w sposób umożliwiający
ich odczytanie przez upoważnionych użytkowników. Backup danych powinien być
zabezpieczony przed kradzieżą lub zniszczeniem. ISO 17799: 8.6.3 Procedury postępowania z informacją.
2. Archiwizowanie i przechowywanie kopii dokumentów powinno być w zgodzie
z wymogami prawa oraz z zapewnieniem interesów/dobra instytucji. ISO 17799:
12.1.3 Zabezpieczenie dokumentów instytutu.
3. Użytkownik jest współodpowiedzialny za powodzenie wykonania kopii bezpieczeństwa danych, na których pracuje. Użytkownik powinien postępować zgodnie
z instrukcjami zawierającymi wskazówki jak wykonać, chronić oraz odzyskiwać backup. ISO 17799: 8.4.1 Zapasowe kopie informacji.
4. Administratorzy serwerów, na których są przechowywane informacje są odpowiedzialni za wykonywanie kopii bezpieczeństwa danych oraz za udostępnianie ich właścicielom zgodnie z wskazówkami opisującymi zasady przeprowadzania backupu. ISO
17799: 8.4.1 Zapasowe kopie informacji.
5. Media wykorzystywane do archiwizacji danych powinny być dobierane pod kątem ich
niezawodności i długiego okresu życia. Zaleca się, aby format zapisywanych danych
był pomocny przy przechowywaniu, zabezpieczaniu przez nieupoważnionym dostępem. ISO 17799: 8.4.1 Zapasowe kopie informacji.
6. Kopie bezpieczeństwa zawierające dane chronione powinny być zabezpieczone przed
utratą poufności. ISO 17799: 12.1.3 Zabezpieczenie dokumentów instytucji.
7. Zaleca się tworzenie, co najmniej dwóch kopii bezpieczeństwa istotnych danych
i umieszczanie ich w różnych miejscach.
8. Miejsce przechowywania kopii bezpieczeństwa powinno być starannie dobrane tak,
aby zapewnić maksymalne bezpieczeństwo przechowywanych w nim nośników
z informacjami.
H.
Zasady dotyczące bezpieczeństwa osobowego (rekrutacja, rozwiązywania
umów)
1. Warunki zatrudnienia w instytucji powinny być w zgodzie z wymaganiami dotyczącymi zgodności z polityką bezpieczeństwa. ISO 17799: 6.1.1 Uwzględnienie aspektu
bezpieczeństwa w zakresie obowiązków przepisanych do stanowisk.
54
2. Nowo zatrudnieni pracownicy muszą podjąć się zobowiązania w przestrzeganiu polityki bezpieczeństwa. ISO 17799: 6.1.2 Sprawdzanie podczas naboru.
3. Nowo zatrudnieni pracownicy powinni przejść krótki kurs, instruktaż wprowadzający
w tematykę bezpieczeństwa Instytutu Łączności. ISO 17799: 6.2.1 Szkolenie
i kształcenie w zakresie bezpieczeństwa informacji.
4. Goście instytucji oraz kandydaci udający się na rozmowę kwalifikacyjną powinni być
eskortowani w obydwie strony do miejsca spotkania przez osobę będącą pracownikiem. Osoby te powinni posiadać przy sobie dokument stwierdzający tożsamość. ISO
17799: 6.1.2 Sprawdzanie podczas naboru.
5. Przed planowanym rozwiązaniem umowy o pracę z pracownikiem należy maksymalnie
ograniczyć jego uprawnienia w systemie i zabezpieczyć przechowywane na nim dane,
w szczególności, gdy pracownik nie jest zadowolony z faktu rozwiązania umowy.
6. Konta byłych pracowników należy usunąć z systemów zgodnie z stosowną procedurą
opisującą mechanizmy zarządzania kont użytkowników. Dane byłych pracowników
powinny zostać zarchiwizowane.
3.6.6. Zasady odpowiedzialności za postępowanie sprzeczne z postanowieniami
polityki bezpieczeństwa informacji
1. Niezastosowanie do postanowień niniejszej polityki bezpieczeństwa oraz regulaminu
sieci komputerowej stanowi naruszenie obowiązków pracowniczych oraz powoduje
odpowiedzialność cywilno prawną i karną.
2. Dyrektor/zarząd instytucji może upoważnić wybrane osoby do kontrolowania postanowień niniejszej polityki bezpieczeństwa.
3. Polecenia osób wyznaczonych przez dyrektora/zarząd instytucji do działań w zakresie
ochrony informacji, traktowane jako polecenia służbowe w rozumieniu Kodeksu Pracy, muszą być bezwzględnie wykonywane przez wszystkich pracowników.
55
Rozdział 4
Polityka bezpieczeństwa systemów – polityka drugiego poziomu
4.1 Cel
Celem poniższej polityki bezpieczeństwa jest spełnienie założeń opisanych w polityce
bezpieczeństwa informacji instytucji oraz politykach bezpieczeństwa grup informacji. Dokument zawiera opis zabezpieczeń oraz mechanizmów kontroli systemów informatycznych
przechowujących i przetwarzających wszystkie informacje, z szczególnym uwzględnieniem
informacji chronionych przez instytucję tzn. finansowo-księgowych, kadrowo-płacowych,
niejawnych, informacji od klientów oraz informacji stanowiących tajemnicę przedsiębiorstwa1.
4.2 Zakres
Przedstawiona polityka ma zastosowanie w stosunku do wszystkich elementów i osób
uczestniczących we wszystkich systemach informatycznych instytucji. Dostęp do zawartości
tej polityki posiadają wszystkie osoby z działu informatyki odpowiedzialne za te systemy.
4.3 Schemat systemu
Komentarz: Poniższy punkt powinien szczegółowo opisywać schemat systemów i sieci zastosowanych w instytucji. Dokument ten jest skierowany dla administratorów działu informatyki, kierowników, audytorów i osób zarządzających systemami. Systemy zastosowane w instytucji można sklasyfikować pod względem:
• przechowywania i przetwarzanie pewnych grup informacji,
• architektury sieci komputerowych,
• usług, serwerów i urządzeń sieciowych.
Zaleca się szczegółowo opisać każdy z poniższych systemów. Poniższej została przedstawiona
lista przykładowych systemów oraz zasady opisu systemu.
Przykładowe systemy:
• finansowo-księgowy,
• kadrowo-płacowy,
• niejawny,
• klientów,
• homebanking,
• stanowiący tajemnicę przedsiębiorstwa,
1
Grupy informacji chronionych są uzależnione od profilu instytucji. Powyższe grupy zostały podane dla przykładu.
56
•
•
•
główny informatyczny system instytucji; w skład głównego system informatycznego
wchodzi kilka sieci informatycznych:
o główna sieć wewnętrzna,
o sieci oddziałowe,
o sieć telepraca,
system zdemilitaryzowany,
system zapór sieciowych.
Przykładowy opis systemów:
• System finansowo-księgowy.
System dotyczy przechowywania i przetwarzania informacji chronionych. Składa się
z wydzielonej podsieci informatycznej, w której znajduje się serwer z głównym oprogramowaniem do obsługi finansów oraz księgowości instytucji. Aplikacja przechowuje informacje w bazie danych umieszczonej na tym samym serwerze, na którym znajduje się główna usługa. Pracownicy łączą się z główną aplikacją w ramach wydzielonej podsieci informatycznej ze swoich jednostek komputerowych, na których uruchomione jest oprogramowanie klienckie. Na serwerze znajdują się narzędzia do wykonywania kopii bezpieczeństwa. Nośniki z kopiami zapasowymi są przechowywane
w bezpiecznej (innej niż serwer!) lokalizacji. Informacje z systemu są przenoszone za
pomocą dyskietek do systemu homebanking, który jest odpowiedzialny za wysyłanie
do banku instytucji zleceń przelewów bankowych.
• System kadrowo-płacowy.
System dotyczy przechowywania i przetwarzania informacji chronionych. Składa się
z elementów znajdujących się w wydzielonej podsieci informatycznej, w której znajduje się serwer z aplikacją kadrowo-płacową. Oprogramowanie przechowuje swoje
dane w bazie danych umieszczonej na tym samym komputerze. Pracownicy łączą się
z aplikacją serwera ze swoich jednostek roboczych, za pomocą oprogramowania typu
klient. Stacje robocze klientów znajdują się również w wydzielonej dla systemu podsieci. Na serwerze znajdują się narzędzia do wykonywania kopii bezpieczeństwa. Nośniki z kopiami zapasowymi są przechowywane w bezpiecznej lokalizacji. Elementy
sieci informatycznej mogą, spełniając określone warunki zdefiniowane w polityce dostępu, łączyć się z innymi sieciami instytucji. Szczegółowe informacje znajdują się
w punkcie niżej przy opisie kontroli dostępu. Informacje z tego systemu są przenoszone za pomocą dyskietek do systemu homebanking, odpowiedzialnego za wykonywanie przelewów bankowych.
4.4 Bezpieczeństwo systemu
Komentarz: Poniższy punkt szczegółowo powinien opisywać mechanizmy ochronne instytucji. W tym
punkcie zostały opisane mechanizmy oraz zabezpieczenia wpływające na bezpieczeństwo systemów
instytucji. Wyróżnia się pięć głównych kryteriów oceny bezpieczeństwa:
• kontrola dostępu,
• badanie integralności,
• sprawdzanie jednoznaczności operacji,
• zarządzenie bezpieczeństwem,
• zarządzanie informacją.
Do każdego z powyższych punktów należy się ustosunkować i określić, w jaki sposób jest realizowane
bezpieczeństwo w systemach instytucji. Poniżej dla przykładu zostały przedstawione takie opisy me-
57
chanizmów zabezpieczeń dla powyższych punktów. Wybór zabezpieczeń powinien być ściśle związany
z wynikami analizy ryzyka tzn. zabezpieczenia i zastosowane mechanizmy ochronne powinny być dopasowane do specyfiki działalności instytucji i jej systemów.
Bezpieczeństwo systemów zostało podzielone na następujące obszary:
4.4.1 Kontrola dostępu
Kontrola dostępu jest jednym z głównym mechanizmów zwiększenia bezpieczeństwa
systemów. Kontrolę dostępu można podzielić na podobszary:
A. Ochrona fizyczna:
• Bezpieczeństwo budynku instytucji jest zapewniane przez strażników.
Ochrona jest zlokalizowana przy wszystkich bramach prowadzących na
teren instytucji.
• Każdy upoważniony użytkownik uzyskuje specjalną kartę-identyfikator
pozwalającą na dostęp do pomieszczeń, niezbędnych do prawidłowego
wykonywania swoich obowiązków pracowniczych. W instytucji występują obszary o szczególnym znaczeniu dla bezpieczeństwa organizacji. Do tych obszarów zalicza się pomieszczenia przechowujące informacje chronione, urządzenia ważne ze względu na prawidłowe funkcjonowanie usług i sieci informatycznych. Dostęp do stref chronionych
mogą uzyskać jedynie administratorzy tych informacji i systemów oraz
użytkownicy na podstawie ról, jakie pełnią w systemie, opisanych
w dokumentach polityki bezpieczeństwa grup informacji.
• Dostęp do nośników z informacjami chronionymi tj. finansowoksięgowymi, kadrowo-płacowymi, niejawnymi, klientów oraz stanowiących tajemnicę przedsiębiorstwa jest regulowany przez zasady i reguły
dot. bezpieczeństwa informacji chronionych, szczegółowo opisane
w poszczególnych politykach bezpieczeństwa grup informacji2.
• Usuwanie dokumentów i nośników z informacjami chronionymi tj. finansowo-księgowymi, kadrowo-płacowymi, niejawnymi, klientów oraz
stanowiących tajemnicę przedsiębiorstwa odbywa się zgodnie
z zasadami dot. bezpieczeństwa informacji chronionych oraz instrukcjami określającymi sposób ich usuwania.
• Użytkownicy wszystkich systemów zobowiązani są do przestrzegania
zasad dotyczących kontroli dostępu określonych w dokumencie polityki bezpieczeństwa oraz regulaminie sieci informatycznej (np. uruchomienie wygaszaczy ekranu z blokadą, wylogowywanie się z systemu
podczas dłuższej nieaktywności, zamykanie drzwi, itp).
• Użytkownicy komputerów stacjonarnych i przenośnych są odpowiedzialni za zapewnienie im bezpieczeństwa fizycznego przez przestrzeganie zasad określonych w dokumencie polityki bezpieczeństwa informacji.
B. Ochrona logiczna:
• Dopuszczenie użytkowników do systemów informatycznych
w instytucji następuje po potwierdzeniu ich tożsamości. Każdy użytkownik otrzymuje login i hasło służące do ich identyfikacji w systemie.
Rozpoczęcie pracy odbywa się poprzez zalogowanie użytkownika do
systemu. Wpisanie poprawnego hasła umożliwia dostęp do systemu na
2
Grupy informacji są ściśle związane ze specyfiką oraz działalnością instytucji.
58
odpowiednich uprawnieniach uzyskanych przez pracownika. Dostęp
taki upoważnia tylko do pracy na dokumentach, do których użytkownik
został dopuszczony. Użytkownicy mogą uzyskać następujące rodzaje
kont:
Konto w systemie kadrowo-płacowym (dla użytkowników z tego
systemu, opisanych w załączniku ról dostępu w polityce tej grupy
informacji).
Konto w systemie finansowo-księgowym (dla użytkowników tego
systemu opisanego w załączniku o rolach w systemie w polityce
grup informacji).
Konto domenowe (serwer poczty, plików, terminali) dostępne dla
wszystkich pracowników.
Konto shell w systemie typu Unix dostępne dla wszystkich pracowników.
Konto intranetowe dostępne dla wszystkich pracowników.
Użytkownicy są zobowiązani do przestrzegania zasad bezpieczeństwa
dotyczących reguł posługiwania się hasłem, jego poufności oraz okresowej zmiany.
• Konta i hasła użytkownika są nadawane przez administratora systemu
zgodnie z procedurą określającą zasady tworzenia kont użytkownika,
w szczególności z uwzględnieniem zasad dla kont systemów przechowujących informacje chronione.
• Wszystkie konta w systemie mają określony czas ważności ustalany
podczas procedury tworzenia konta użytkownika w systemie
z uwzględnieniem zasad określonych dla poszczególnych systemów
przechowujących informacje chronione.
• Konfiguracja systemów kontroli dostępu została przeprowadzona
zgodnie ze standardami określającymi prawidłową konfigurację
i zabezpieczenie serwerów i usług. Konfiguracja wymusza zwiększenie
poziomu bezpieczeństwa podczas logowania oraz okresowej kontroli
tożsamości w systemie. Przykładami takich konfiguracji jest korzystanie z SSH zamiast telnetu podczas logowania się na powłokę Unix, zastosowanie domeny Windows dla komputerów użytkowników (szczegółowe informacje są zawarte w odpowiednich standardach konfiguracji).
• Dostęp do systemów informatycznych jest możliwy zgodnie z polityką
dostępową urządzeń brzegowych sieci. Elementami kontrolującymi dostęp są firewalle brzegowe i personalne umieszone na serwerach
z usługami, przełączniki oraz filtry na routerze. Oddzielanie sieci (systemów) informatycznych od siebie jest realizowane przez przełączniki
i odbywa się przez wirtualne sieci LAN (VLAN). Szczegółowa polityka poszczególnych zapór personalnych i sieciowych znajduje się
w Szczegółowej polityce bezpieczeństwa firewalli i routingu.
Wszyscy użytkownicy systemu finasowo-księgowego zapoznali się i podpisali regulamin ochrony informacji i regulamin sieci komputerowej.
4.4.2 Integralność systemu
Integralność wszystkich systemów instytucji można podzielić na obszary:
A. Integralność podzespołów.
59
Wszystkie elementy sprzętowe i podzespoły z poszczególnych systemów informatycznych przed dopuszczeniem ich do eksploatacji zostały oznaczone
i opisane zgodnie z zasadami opisanymi w polityce bezpieczeństwa
i regulaminie sieci komputerowej. Każda wymiana podzespołów dokonywana
jest przez wyznaczoną osobę, odpowiedzialną za udokumentowanie takiego
faktu oraz aktualizowanie dokumentów opisujących zmiany stanów
w poszczególnych systemach. Zapewnienie integralności podzespołów zapobiega nieautoryzowanej wymianie sprzętu, kradzieży podzespołów oraz nielegalnej instalacji nowych urządzeń.
B. Integralność oprogramowania, systemów operacyjnych oraz plików konfiguracyjnych.
Przed wdrożeniem nowego serwera do systemu informatycznego została wykonana kontrola systemu operacyjnego, stanu usług, oprogramowania oraz plików konfiguracyjnych uruchomionych w działającym systemie. Wyniki sum
kontrolnych programów, systemów operacyjnych i plików konfiguracyjnych
zostały bezpiecznie zarchiwizowane. Każda aktualizacja wersji, uruchomienie
nowego programu lub zmiana ustawień konfiguracyjnych wymusza równoczesne zaktualizowanie informacji dotyczących stanu systemu. W celu kontroli integralności oprogramowania oraz konfiguracji zostały wdrożone systemy
wspomagające. Są nimi oprogramowania badające integralność danych oraz
system antywirusowy.
Każdy system, a w szczególności serwery z usługami, przed dopuszczeniem ich do
eksploatacji przeszły pomyślne audyty bezpieczeństwa zgodnie z instrukcją audyt
bezpieczeństwa systemu, a zgodność ich konfiguracji została potwierdzona ze standardami konfiguracji serwerów i usług informatycznych. W celu kontroli bezpieczeństwa systemu informatycznego zostaną przeprowadzone okresowe kontrole
i audyty bezpieczeństwa. Administratorzy i użytkownicy muszą stosować się do
obowiązującej polityki dotyczącej oprogramowania opisanej w dokumentach polityki bezpieczeństwa i regulaminie sieci komputerowej.
4.4.3 Jednoznaczność oraz rozliczalność operacji
Użytkownik w systemach informatycznych jest identyfikowany na podstawie nazwy
konta logowania do systemu i hasła. Informacje te w jednoznaczny sposób umożliwiają identyfikację osób, które dokonały zmian w trakcie pracy w systemie. Informacje o dokonanych przez użytkownika zmianach uzyskuje się z logów systemów
operacyjnych, aplikacji finansowo-księgowej, kadrowo-płacowej, usług serwera plików oraz Intranetu3.
Dokumentacje i raporty dotyczące systemu i jego późniejszych zmian określają jednoznaczność operacji administratorów.
Administratorzy i użytkownicy korzystający z systemów informatycznych muszą
stosować się do obowiązującej polityki dotyczącej zachowania w poufności danych
identyfikujących oraz haseł opisanych w dokumentach polityki.
4.4.4 Zarządzanie bezpieczeństwem
Przed każdym wdrożeniem systemu informatycznego w instytucji powinna zostać
przeprowadzona analiza ryzyka systemu, która określa rodzaje potencjalnych zagrożeń, ich skali, obszarów oddziaływania oraz ewentualnych skutków ich działania.
3
Informacje na temat systemów operacyjnych oraz użytkowanych aplikacji ściśle wiążą się z rodzajem działalności instytucji. Powyższe dane zostały przedstawione w sposób poglądowy.
60
Wyniki takiej analizy pomagają w identyfikacji krytycznych miejsc w sieci, które
powinny zostać szczególnie zabezpieczone (nieautoryzowany dostęp, awaria, kradzież, zniszczenie, odmowa usługi itp.). W celu zachowania ciągłości działania procesów biznesowych zachodzących w instytucji pracownicy działu informatyki powinni opracować plany awaryjne.
W instytucji za zarządzanie bezpieczeństwem systemów odpowiadają administratorzy działu informatyki. Przed ostatecznym wdrożeniem systemy powinny zostać zabezpieczone przez administratorów zgodnie z standardami określającymi
wymagania dotyczące instalacji oraz zabezpieczenia serwerów oraz ich usług.
Systemy instytucji posiadają mechanizmy pozwalające wykryć nieautoryzowane próby dostępu do informacji oraz nieuprawnione operacje na systemach poprzez:
• kontrolę dzienników zdarzeń systemu operacyjnego, aplikacji serwerów oraz
usług: aplikacji serwera finansowo-księgowego, kadrowo-płacowego4,
• oprogramowanie badające integralność danych,
• codzienną kontrolę pracy systemów przez ich administratorów,
• wykonywanie kopii dzienników zdarzeń na zewnętrznym serwerze w celu zabezpieczenia przed ich nieautoryzowanym skasowaniem lub zniszczeniem.
Użytkownicy są zobowiązani informować administratorów o podejrzanych sytuacjach występujących w ich środowisku pracy. Szkolenia użytkowników dotyczą
zagadnień z zakresu: ochrona danych, bezpieczeństwo pracy, podwyższenie świadomość o zagrożeniach i sposobów ich unikania, informacje o bezpieczeństwie pracy zdalnej.
Administratorzy systemowi są odpowiedzialni za obsługę incydentów mających miejsce w systemach informatycznych. Przy obsłudze takiego zdarzenia administratorzy kierują się wskazówkami i instrukcjami opisanymi w odpowiednich procedurach i instrukcjach.
Administratorzy systemowi są odpowiedzialni za obsługę awarii systemów
w instytucji. W przypadku zaistnienia sytuacji awarii administratorzy powinni ją jak
najszybciej obsłużyć i przywrócić system do normalnej pracy. W tym celu stosują
się do odpowiednich instrukcji oraz procedur.
Pracownicy działu informatyki stosują się do obowiązującej polityki dotyczącej zasad i instrukcji ich pracy opisanych w dokumentach polityki bezpieczeństwa
oraz regulaminie sieci komputerowej5.
4.4.5 Zarządzenie informacją
Instytucja jest właścicielem wszystkich informacji przechowywanych
i przetwarzanych w systemach organizacji. Wyjątkami są informacje posiadające odrębne umowy własności. Instytucja jest zobowiązana do ochrony wszystkich posiadanych aktywów, zarówno własnych informacji, jak i informacji objętych odrębnymi umowami. Instytucja w celu ochrony tych aktywów musi powziąć odpowiednie
mechanizmy ochraniające posiadane informacje.
Instytucja ściśle reguluje zasady dostępu oraz przetwarzania informacji chronionych.
Role dostępu oraz przywileje do danych zostały zdefiniowane w dokumentach opi-
4
Systemy oraz aplikacje są ściśle związane z działalnością instytucji. Instytucja powinna wpisać własne rozwiązania.
5
Jeśli organizacja nie posiada regulaminu sieci komputerowej, należy taki regulamin stworzyć lub usunąć ten
zapis.
61
sujących polityki bezpieczeństwa poszczególnych grup informacji. W systemach instytucja wyróżnia trzy rodzaje użytkowników informacji:
• Administrator systemu przechowywania informacji. Osoba ta jest odpowiedzialna za zakładanie i zarządzanie kontami w systemie na podstawie ról opisanych w dokumentach polityki, za wykonywanie kopii danych oraz odzyskiwanie informacji znajdujących się na serwerach.
• Administrator informacji. Osoba odpowiedzialna za zarządzanie informacjami,
za przydzielanie i kontrolowanie dostępu do informacji. W instytucji taką rolę
pełnią kierownicy działów, którzy definiują rolę i odpowiedzialność za informacje u swoich pracowników.
• Użytkownicy. Posiadają oni uprawnienia w stopniu umożliwiającym im wykonywanie swoich obowiązków pracowniczych. Role i prawa dostępu zostają im
przydzielone zgodnie z polityką bezpieczeństwa danej grupy informacji,
w której użytkownik jest pracownikiem. Użytkownicy są zobowiązani do przestrzegania zasad dostępu, pracy z informacjami opisanymi w zasadach oraz instrukcjach zawartych w polityce bezpieczeństwa informacji i postępowania
według zaleceń zdefiniowanych w stosownych instrukcjach. Użytkownicy są
zobowiązani do należytej ostrożności podczas pracy z informacjami. Użytkownicy są odpowiedzialni za wykonywanie kopii bezpieczeństwa danych zawartych na ich stacjach roboczych zgodnie z instrukcją opisującą zasady backupu danych użytkowników.
Systemy informatyczne w instytucji zapewniają integralność danych przez cały czas
przechowywania i przetwarzani tych informacji poprzez:
• mechanizmy kontroli spójności danych dostępne w systemie operacyjnym,
• mechanizmy kontroli spójności baz danych,
• kontrolę pracy aplikacji z informacji zawartymi w dziennikach zdarzeń,
• zarządzanie aktualizacjami oprogramowania zgodnie z instrukcją zarządzanie
zmianami tj. aktualizacjami oprogramowania,
• systemy antywirusowe.
Usuwanie informacji z systemów informatycznych odbywa się zgodnie z instrukcją
określającą mechanizmy trwałego usunięcia danych chronionych opisaną
w instrukcjach w punkcie usuwanie danych chronionych.
Użytkownicy w celu zapewnienia poufności informacji chronionych przy przesyłaniu ich przez Internet powinni zastosować się do instrukcji określającej zasady bezpiecznego przesyłanie wiadomości.
4.5 Administrator systemu i administrator bezpieczeństwa
Komentarz: Określenie odpowiedzialności jest bardzo ważne w prawidłowym działaniu systemów
instytucji. Osoby zarządzające systemami powinny mieć jasno zdefiniowane zakresy ich obowiązków
oraz odpowiedzialności za niedopełnienie lub niedbalstwo swojej pracy. Zaleca się, aby poniższy
punkt określił stanowiska oraz przypisał do nich osoby. Poniżej zostały przedstawione przykłady ogólnego przypisania odpowiedzialności za systemy. Zaleca się jednak zdecydowanie dopisanie do stanowisk osób odpowiedzialnych ich imion i nazwisk.
Administratorem wszystkich wyżej zdefiniowanych systemów systemu są pracownicy działu
informatyki. Administratorem bezpieczeństwa wszystkich wyżej zdefiniowanych systemów
są pracownicy działu informatyki. Administratorem bezpieczeństwa danych wszystkich wyżej
zdefiniowanych systemach jest jednostka w postaci instytucji.
62
4.6 Audyt bezpieczeństwa
Komentarz: Audyt bezpieczeństwa stanowi ważny element w kontroli poziomu bezpieczeństwa
w systemach instytucji. Szczegółowe informacje na ten temat zostały umieszczone w rozdziale 6.8 Audyt bezpieczeństwa. Poniżej został przedstawiony przykład, co powinno znaleźć się w tym punkcie.
Wszystkie systemy informatyczne, a w szczególności serwery przechowujące
i przetwarzające informacje oraz krytyczne urządzenia sieciowe, przechodzą okresowe audyty
bezpieczeństwa zlecane przez dyrektora/zarząd instytucji nie rzadziej niż raz na 6 miesięcy.
Audytu dokonuje informatyk na podstawie instrukcji oraz procedur określających zasady
okresowego audytu bezpieczeństwa systemów instytucji.
Dokumenty z okresowych audytów są dołączane do dokumentu opisującego politykę bezpieczeństwa systemów.
4.7 Archiwizacja informacji w systemie
Komentarz: Archiwizacja danych jest bardzo ważna z punktu widzenia bezpieczeństwa. W poniższym
opisie należy określić zasady przeprowadzania backupu danych, osobę odpowiedzialną za wykonywanie i zarządzania tym procesem. Należy jasno zdefiniować, w jaki sposób jest dokonywany backup, tzn.
jakie urządzenia biorą w nim udział, jakie nośniki są wykorzystywane, jak często wykonuje się kopie
oraz gdzie są przechowywane nośniki backupu. Poniżej został przedstawiony przykładowy opis.
Systemy informatyczne w instytucji dokonują archiwizacji danych przez urządzenia nagrywające. Kopie bezpieczeństwa informacji są wykonywane codziennie. Kopie bezpieczeństwa
informacji z dzienników zdarzeń wykonywane są raz na miesiąc. Szczegółowy proces archiwizowania informacji określa procedura Archiwizacja informacji w instytucji.
4.8 Sytuacje kryzysowe
Komentarz: Obsługa sytuacji kryzysowych w działaniu instytucji stanowi ważny element
w zapewnieniu odpowiedniego poziomu bezpieczeństwa. Odpowiednie zachowanie w sytuacjach kryzysowych może minimalizować skutki takiej sytuacji, pomóc przy prawidłowej identyfikacji pary zagrożenia i podatności (i uwzględnienie w następnej analizie ryzyka), wyborze odpowiedniego zabezpieczenia, które wykluczy powstanie takiej sytuacji w przyszłości. Poniżej został przedstawiony przykładowy opis.
W przypadku wystąpienia sytuacji kryzysowej jest powoływany sztab kryzysowy i są podejmowane działania zgodnie z następującymi priorytetami:
• zachowanie ciągłości działania,
• zabezpieczenie informacji przed utratą,
• zabezpieczenie informacji przed nieautoryzowanym dostępem,
• analiza i rozpoznanie przyczyny incydentu oraz jego źródła (identyfikacja zagrożenia
i podatności),
63
próba identyfikacji sprawców,
planowanie i wprowadzenie środków zaradczych w celu zapobiegania powtórzeniu,
jeśli jest to potrzebne.
Sztab kryzysowy w celu obsługi sytuacji kryzysowej powinien postępować zgodnie
z instrukcją dotyczącą obsługi sytuacji kryzysowej.
•
•
64
Rozdział 5
Instrukcje, standardy oraz zasady bezpiecznego korzystania
z systemów i usług instytucji – polityka trzeciego poziomu.
Gwałtowny rozwój Internetu i technologii informatycznych zmienił zasady dostępu
i przepływu informacji. Organizacje, firmy i instytucje zaczęły przyłączać się do globalnej
sieci, udostępniając usługi oraz zasoby dla swoich pracowników oraz użytku publicznego.
Zaczęły tworzyć własne sieci informatyczne, które zostały następnie dołączone do jednej
wielkiej sieci – Internet.
Globalna sieć informatyczna, z równymi przywilejami dla wszystkich, z czasem zaczęła stanowić olbrzymie zagrożenie dla prawidłowego funkcjonowania sieci wewnętrznych
oraz wymiany informacji między nimi. Zdefiniowanie bezpieczeństwa informatycznego
i informacji stało się koniecznością. Administratorzy systemów i sieci komputerowych zaczęli
wprowadzać mechanizmy wymuszające uzyskanie odpowiedniego poziomu bezpieczeństwa.
Zastosowanie szyfrowania danych, VPN (wirtualne sieci prywatne tworzone przy pomocy
różnych technik), zapór sieciowych, systemów wykrywania włamań i innych zabezpieczeń
wpłynęły na znaczny wzrost bezpieczeństwa sieci. Niestety, nie likwidują one zagrożeń całkowicie i na zawsze. Urządzenia sieciowe zaczęły klasyfikować i filtrować ruch wprowadzając zaufane obszary dostępu dla swoich pracowników. Osoby chcące uzyskać nieautoryzowany dostęp, zaczęły baczniej przyglądać się jednostkom klienckim, posiadającym większe
przywileje dostępu do zasobów znajdujących się na serwerach niż niezaufane komputery.
Jednostki klientów z reguły posiadają mniejsze zabezpieczenia niż serwery usług,
a użytkownicy pracujący na nich często charakteryzują się mniejszą wiedzą i świadomością
z zakresu bezpieczeństwa informacji niż administratorzy systemów lub sieci.
Pełny model bezpieczeństwa informacji powinien dotyczyć zatem wszystkich pracowników (użytkowników) mających do czynienia z sieciami informatycznymi. Zdefiniowanie
dokumentu polityki bezpieczeństwa, może wprowadzić pełnowartościowy system zapewniający przeciwdziałanie zagrożeniom, jakie sieci niosą ze sobą i kradzieży informacji.
5.1 Cel i zakres
Komentarz: Celem poniższego dokumentu jest przedstawienie użytkownikom zasad korzystania z usług i zasobów instytucji, zapewniających wyższy stopień bezpieczeństwa tym zasobom
i użytkownikom. Dokument dostarcza instrukcji, wskazówek i procedur, jak prawidłowo obchodzić się z zasobami i usługami instytucji oraz jest najniższym poziomem opisującym politykę bezpieczeństwa informacji.
Celem poniższego dokumentu jest przedstawienie:
• instrukcji jak należy postępować przy dostępie do zasobów oraz jak korzystać z usług
instytucji,
• standardów oprogramowania używanych w instytucji,
• systemów bezpieczeństwa i usług dostępnych w instytucji,
• zasad bezpiecznego korzystania z systemów i zasobów instytucji,
• znaczenia bezpieczeństwa sieciowego dla instytucji i roli użytkowników
w utrzymywaniu bezpieczeństwa,
65
•
możliwych zagrożeń pochodzących z Internetu oraz wskazówek, jak ich unikać.
Poniższy dokument jest skierowany do wszystkich pracowników instytucji.
5.2 Schemat oraz relacje podsieci instytucji
Komentarz: Podział na podsieci stanowi ważny element w poprawie efektywności i bezpieczeństwa
sieci instytucji. Należy poinformować użytkowników o głównych sieciach instytucji, o zasadach dostępu do tych sieci i Internetu oraz ich ograniczeniach. Poniżej został przedstawiony poglądowy opis
wykorzystywanych sieci informatycznych. Warto zwrócić uwagę, że zostały przedstawione wyłącznie
sieci zauważane przez użytkownika, np. brak niewidocznej dla użytkownika sieci DMZ. Poniżej został
przedstawiony przykładowy podział sieci komputerowych.
Instytucja składa się z następujących sieci komputerowych:
• Główna sieć. Do sieci głównej jest podłączona większość użytkowników oraz główne
serwery z usługami6. Ta sieć umożliwia użytkownikom dostęp do Internetu, Intranetu
oraz za pomocą domeny Windows do serwera poczty, udziałów (dysków) sieciowych,
systemu antywirusowego.
• Sieć dla systemu kadrowo – płacowego i/lub finansowo-księgowego. Ta sieć umożliwia użytkownikom dostęp Intranetu oraz do niektórych stron Internetu, systemu kadrowego i/lub systemu finansowo-księgowego, systemu antywirusowego oraz przez
usługi terminalowe Windows 2003 dostęp do poczty, udziałów sieciowych.
• Sieci oddziałowe. Są to sieci filii instytucji zlokalizowane w innych miastach. Kanały
wirtualnych sieci prywatnych (VPN) za pomocą szyfrowanych połączeń umożliwiają
wzajemne łączenie się sieci głównej i sieci oddziałowych. Użytkownicy sieci oddziałowych mają możliwość dostępu do Internetu, Intranetu (serwer w sieci głównej),
poczty oraz plików (serwery lokalne w sieciach oddziałowych i w sieci głównej).
5.3 Usługi instytucji
Komentarz: Rodzaje usług oraz zasobów dostępnych w instytucji są uzależnione od profilu działalności organizacji. Pomimo iż niektóre z usług i zasobów wydają się być koniecznością w obecnych czasach (tj. poczta elektroniczna oraz Internet), technika ich realizacji może być wykonany na wiele sposobów. Przykład stanowi system poczty, który może składać się z usługi lub usług (POP, IMAP,
SMTP) uruchomionej na serwerze lub serwerach Linux/Windows/Unix. Dlatego opisanie ww. usług
jest ściśle związane z zastosowanym przez instytucję rozwiązaniem. Poniżej została przedstawiona
lista możliwych usług oraz kilka przykładów sposobów opisu takiej usługi.
6
Serwery z usługami mogą znajdować się w różnych miejscach w zależności od architektury sieci instytucji. Ze
względów wydajności nie zaleca się umieszczać ich w oddzielnych sieciach (vlan) komputerowych. Jednak
w celu dodatkowej ochrony przed użytkownikami z sieci wewnętrznej, zaleca się umieszczanie ich
w wydzielonych sieciach ograniczonych zaporą sieciową. z punktu widzenia użytkownika takie wydzielenie jest
całkowicie transparentne i niezauważalne, dlatego można uprościć prezentację sieci(informując, że znajdują się
w tej samej sieci, pomimo rozdzielenia ich przez administratorów). Takie podejście posiada dodatkowe znaczenie, ponieważ nie ujawnia zabezpieczeń oraz topologii sieci informatycznej.
66
Lista usług:
• poczta elektroniczna,
• Intranet,
• zewnętrzny serwer WWW,
• usługa terminalowa Unix,
• domena(y) Windows (autoryzacja użytkownika):
o dyski sieciowe,
o system kadrowo-płacowy,
o system finanse-księgowość.
Przykłady opisów usług:
• Usługa terminalowa Unix. Pracownicy instytucji mogą korzystać z serwera pracującego pod kontrolą systemu typu UNIX poprzez terminal linii komend lub środowisko X
Window. Dostępne na serwerze narzędzia to np. kompilatory systemu Unix, narzędzia
poczty elektronicznej, narzędzia diagnozowania sieci, itp. Dostęp do terminala jest
możliwy za pomocą protokołu Telnet lub jego bezpiecznego odpowiednika SSH (komunikacja szyfrowana). Dostęp z Internetu jest możliwy wyłącznie przez szyfrowany
protokół SSH.
• Logowanie do domeny (autoryzacja użytkownika). Logowanie do domeny jest usługą
dostarczaną przez Windows 2003 Serwer. Usługa ta jest dostępna dla komputerów:
o Windows 2000/XP, znajdujących się w sieciach wewnętrznych (sieć główna
i sieci oddziałów),
o Windows 95/98 raz komputerów znajdujących się w podsieci Payroll poprzez
logowanie do serwera usług terminalowych Windows 2003.
Po wprowadzeniu poprawnego hasła i loginu użytkownicy otrzymują dostęp do zasobów serwerów/domeny Windows 2000/2003. Udane zalogowanie do domeny umożliwia korzystanie z wielu usług (Exchange 2003 (Microsoft Outlook), MS Project, system anty-wirusowy) bez potrzeby kolejnej autoryzacji. Domena zapewnia scentralizowany model bezpieczeństwa w sieci informatycznej.
• Poczta. System pocztowy instytucji składa się z dwóch serwerów pocztowych (zewnętrznego oraz wewnętrznego). Każdy z systemów posiada własne mechanizmy antywirusowe oraz antyspamowe. Dostęp do serwera jest możliwy z sieci wewnętrznej,
poprzez VPN (zdalni użytkownicy) z poziomu programu klienta pocztowego, za pomocą interfejsu WWW poprzez szyfrowane połączenie SSL z Internetu.
5.4 Systemy i zabezpieczenia dostępne instytucji
Komentarz: Pomimo, iż wiedza z zakresu zabezpieczeń jest niezbędna głównie dla administratorów
i pracowników działu informatyki, zaleca się poinformowanie użytkowników o istniejących zabezpieczeniach, które są wdrożone w sieci instytucji. Jak wiadomo zwiększanie poziomu bezpieczeństwa ma
wpływ na ograniczenia możliwości pracy użytkowników. Sytuacją idealną jest osiągnięcie kompromisu
pomiędzy wysokim poziomem bezpieczeństwa a maksymalnymi możliwościami pracowników podczas
ich normalnej pracy Przedstawienie ważności oraz zastosowanych zabezpieczeń może mieć pozytywny
wpływ na zrozumienie potrzeby stosowanej ochrony. Wiedza z tego zakresu może być pomocna dla
użytkowników w pogłębieniu świadomości o bezpieczeństwie, dostarczeniu informacji o działaniu tych
zabezpieczeń ( sposób w jaki ograniczają pracę użytkowników), w zrozumieniu i akceptacji procesu
wdrożenia polityki bezpieczeństwa oraz systemów zabezpieczających, przy wyrobieniu zdania
o skuteczności zabezpieczeń w stosunku do ograniczeń użytkowników oraz przy identyfikacji błędów
w omijaniu procedur bezpieczeństwa. Wybór zabezpieczeń powinien być ściśle związany z rodzajem
67
oraz specyfiką działalności instytucji, w szczególności z wynikami analizy ryzyka przeprowadzonej dla
tej instytucji. Poniżej zostaną przedstawione podstawowe mechanizmy zabezpieczeń.
Przykładowe zabezpieczenia:
• Zapory sieciowe. Są to urządzenia lub aplikacje monitorujące „wchodzące”
i „wychodzące” połączenia sieciowe. Ich głównym zadaniem jest blokowanie dostępu
połączeniom uznanym za niebezpieczne lub zbędne, czyli niezgodne z przyjętymi
przez IŁ regułami. Polityka zapór sieciowych dotyczy:
o brzegowych urządzeń zlokalizowanych przy punktach wyjściowych lub wejściowych, z lub do sieci wewnętrznych. Głównym zadaniem tych urządzeń jest
monitorowanie i filtrowanie tych połączeń jak również kontrola połączeń między sieciami wewnętrznymi, np. sieć ogólna i podsieć systemu kadrowego,
podsieć DMZ,
o serwerów z usługami; zapory sieciowe określone są w tym przypadku jako
personalne. Ich głównym zadaniem jest monitorowanie i filtrowanie ruchu
przychodzącego do serwerów i dopuszczanie połączeń tylko do akceptowalnych usług, z akceptowanych sieci,
o jednostek klienckich posiadających zainstalowane oprogramowanie VPN.
Aplikacje, oprócz zestawiania szyfrowanego połączenia, posiadają personalny
firewall. Za politykę ruchu odpowiadają reguły dostępu, znajdujące się na zaporach sieciowych oraz na komputerach zdalnych (aplikacja kliencka posiada
personalną zaporę, którą konfiguruje administrator zapory sieciowej).
• Wirtualne sieci prywatne (VPN). Wirtualne sieci prywatne tworzą w sieci internetowej bezpieczne kanały transmisji, które łączą zdalne oddziały z główną siedzibą instytucji oraz zdalnych użytkowników z siecią główną instytucji. W tej komunikacji
biorą udział następujące urządzenia (posiadają mechanizm umożliwiający ustabilizowanie bezpiecznego połączenia VPN):
o zapory sieciowe (posiadają mechanizm zestawiający połączenia),
o komputery zdalnych użytkowników posiadające oprogramowanie klienckie,
umożliwiające zestawienie połączenia VPN.
Komunikacja pomiędzy zdalnymi stronami jest szyfrowana, uwierzytelniana. Proces
ten odbywa się w sposób niezauważalny dla użytkownika w przypadku połączeń sieci
oddziału z siecią główną. Ruch w kanałach wirtualnych podlega również regułom
ograniczającym dostęp do poszczególnych zasobów w sieci.
• Systemy antywirusowe, antyspamowe. Instytucja posiada kilka systemów antywirusowych w celu skutecznego przeciwdziałania atakom wirusów oraz innemu złośliwemu oprogramowaniu. Kontrola antywirusowa występuje w kilku miejscach:
o na serwerach poczty elektronicznej (oraz na urządzeniach typu brama) . Działanie ich jest niezauważalne dla użytkownika,
o na jednostkach roboczych użytkowników. Aplikacja znajdująca się na komputerach pracowników, działa w postaci rezydentnego programu skanującego. Ze
względu na cogodzinną aktualizację definicji wirusów, ta aplikacja powinna
mieć zawsze aktualne bazy danych wirusów. Rezydentny program skanuje
wszystkie programy uruchamiane przez użytkownika w trakcie pracy komputera.
• VLAN. Mechanizm wykorzystywany do logicznego rozdzielania sieci na podsieci,
ograniczając tym samym komunikację między nimi. Polityka dostępu między podsieciami jest dokonywana na przełącznikach rutujących. Podsieć księgowość-finanse jest
68
•
całkowicie zablokowana, podsieć kadrowo-płacowa i główna mają ograniczoną komunikację pomiędzy sobą.
PKI. Dane chronione w instytucji o szczególnym znaczeniu należy wysyłać przez
pocztę elektroniczną używając infrastruktury klucza publicznego. Użytkownicy,
w szczególności administratorzy informacji uprawnieni do przesyłania informacji
chronionych, uzyskują parę kluczy prywatnych do podpisu cyfrowego oraz szyfrowania.
5.5 Warunki oraz zasady dostępu do systemów i usług instytucji
Komentarz: polityka bezpieczeństwa powinna jasno definiować zasady postępowania użytkowników
podczas dostępu do zasobów i usług instytucji. Użytkownik powinien mieć świadomość
o zastosowanych ograniczeniach oraz warunkach, na jakich może on uzyskać dostęp. Zasady dostępu
do zasobów i usług są uzależnione od profilu instytucji, tzn. organizacje muszą już wcześniej przeprowadzić analizę ryzyka i na podstawie szacowania określić stopień niebezpieczeństwa dla ich zasobów.
Warunki dostępu użytkowników są uzależnione od środowiska, do jakiego się łączą (informacje chronione, krytyczność zasobów i urządzeń) oraz z miejsca, z jakiego nawiązują połączenie (zaufane, niezaufane).
Bardziej restrykcyjne warunki dotyczą środowiska, które jest najmniej znane, tzn. nie ma informacji na
temat zabezpieczeń, osób odpowiedzialnych oraz zainstalowanego oprogramowania, np. kawiarnie
internetowe. Zaleca się opisanie wszystkich wykorzystywanych środowisk. Poniżej zostały przedstawione przykładowe miejsca.
Możliwość korzystania z zasobów systemów i usług instytucji jest uzależniona od lokalizacji
użytkownika:
• Sieci wewnętrzne instytucji, czyli komputery znajdujące się w sieciach (sieci oddziałów, podsieć systemu kadrowego, główna sieć).
Dostęp do zasobów sieciowych znajdujących się w sieci odbywa się za pośrednictwem
domeny Windows. Po poprawnym zalogowaniu się użytkownicy uzyskują dostęp do
zasobów i usług sieciowych:
o Poczty elektronicznej oraz do książki adresowej (Exchange) przez uruchomienie Microsoft Outlook 2000/XP/2003.
o Udziałów sieciowych przez otoczenie sieciowe.
o Uaktualnień systemu antywirusowego.
o Internetu oraz Intranetu przez uruchomienie przeglądarki internetowej. Intranet
wymaga początkowego uwierzytelnienia użytkowników a komunikacja serwera z użytkownikami zawsze odbywa się przez bezpieczny protokół https. Korzystanie z Internetu jest możliwe na pewnych warunkach zdefiniowanych
w polityce dostępu brzegowej zapory sieciowej. Dozwolone jest łączenie się
z dowolnymi serwerami zewnętrznymi przez:
protokół zdalnego dostępu Telnet,
protokół terminalu SSH,
protokół FTP działającego w trybie pasywnym,
protokóły POP3, POP3-SSL, IMAP, IMAP-SSL (pobieranie poczty
z zewnętrznych serwerów),
protokoły HTTP, HTTPS - dostęp do stron Internetowych jest możliwy
przez standardową komunikację (standardowe porty),
o Usługi terminalowej Unix, linia komend (shell) systemu Unix. Usługa wymaga
uwierzytelniania. W celu uzyskania dostępu do tej usługi, należy połączyć się
69
•
•
za pomocą protokołu Telnet lub bezpieczniej SSH (połączenie szyfrowane
z dodatkową autoryzacją maszyn).
Zasady bezpieczeństwa. Połączenie w sieci lokalnej oznacza mniejsze ryzyko, ponieważ sieć znajduje się w zaufanej strefie zarządzanej przez administratorów instytucji. Bezpieczeństwo w sieci lokalnej wspierają: domena Windows, vlany, zapory sieciowe (personalne na serwerach usług, zapory brzegowe).
Dostęp zdalny. Dotyczy komunikacji komputerów znajdujących się poza sieciami instytucji. Komputery te są podłączone do różnych sieci i dostęp do instytucji odbywa
się przez Internet, który powinien być uważany za strefę niebezpieczną lub
o ograniczonym zaufaniu. Transmisja danych w Internecie odbywa się przez elementy
łączące (tzw. routery). Podczas przesyłania danych routery podejmują decyzję, którędy przesyłać dane transmisji tak, aby najszybciej dotarły do punktu docelowego. Jeśli
transmisja danych zostanie skierowana do niebezpiecznego komputera, to dane mogą
zostać zmodyfikowane, odczytane lub zniszczone. Niebezpieczeństwa mogą być minimalizowane przez systemy wspierające bezpieczeństwo lub przez poprawne zachowanie użytkowników. Dodatkowo użytkownik jest odpowiedzialny za administrację
i zarządzanie osobistym komputerem. Zagadnienia związane z system antywirusowym, aktualizacją aplikacji, zabezpieczeniem komputera całkowicie są uzależnione od
wiedzy i umiejętności użytkownika. Wszelkie modyfikacje wynikające z aktualnych
praw dostępu nie mogą jednak zmniejszać stopnia zabezpieczeń komputera ustalonego
przez administratorów instytucji. Występuje klika sposobów zdalnego łączenia się
z instytucją:
o VPN. Użytkownicy korzystający z połączeń wirtualnej sieci prywatnej uzyskują szyfrowane połączenie do sieci instytucji. Połączenie uzyskane za pośrednictwem szyfrowania całej transmisji nie jest tak niebezpieczne jak przypadki
opisane poniżej. Dlatego użytkownik ma większe prawa dostępu do zasobów
sieci wewnętrznej instytucji. Użytkownik może korzystać z poczty (dostęp do
własnej skrzynki pocztowej) Windows Exchange 2003 przez przeglądarkę internetową (WebAccess) lub klienta protokołu IMAP. Użytkownicy mogą łączyć się z wewnętrznym serwerem intranetowym oraz z usługą terminalową
Unix.
Bezpieczeństwo: Komunikacja pomiędzy zdalnymi użytkownikami a siecią
główną jest szyfrowana, dane są wymieniane z zachowaniem poufności
i integralności (mechanizmy kontrolujące modyfikacje danych podczas przesyłania). W trakcie zestawiania VPN aplikacja kliencka aktywuje zaporę sieciową (zgodnie z regułami zdefiniowanymi przez administratora). Dopuszczony
jest ruch wyłącznie pomiędzy klientem zdalnym a bramą VPN. Zdalny dostęp
niesie ze sobą większe ryzyko naruszeń bezpieczeństwa. Pomimo szyfrowanej
komunikacji, po ustabilizowaniu się połączenia VPN, należy zachować świadomość, że przed uzyskaniem połączenia komputer łączył się z Internetem.
Atakujący mógł już wcześniej zainstalować oprogramowanie, które uaktywniając się w chwili zestawiania połączenia, może dostać się do sieci wewnętrznej.
Użytkownik mógł również pobrać ważny dokument i nagrać go na dysku, po
czym skasować. Atakujący za pomocą specjalnego oprogramowania mógłby
odzyskać ten plik. Kolejnym problemem jest zarażenie robakami internetowymi. Jeśli komputer użytkownika jest zarażony, po zestawieniu połączenia internetowy robak będzie próbował zarazić inne komputery z sieci wewnętrznej.
o Zaufany komputer. W tym przypadku rozważani będą zdalni użytkownicy
chcący połączyć się ze swojego komputera domowego lub notebooka do sieci
instytucji. Ten przypadek dotyczy komputerów nie posiadających oprogramo-
70
wania VPN i administrowanych przez właścicieli. Dostęp do sieci wewnętrznej
jest bardzo ograniczony gdyż dozwolony jest jedynie odbiór i wysyłanie poczty elektronicznej. W celu uzyskania dostępu do skrzynki pocztowej użytkownika, należy wpisać odpowiedni adres internetowy Outlook Web Access lub
odpowiednio skonfigurować klienta protokołu IMAP z szyfrowaniem
SSL/TLS.
Bezpieczeństwo: Poziom bezpieczeństwa w tym przypadku zależy od stopnia
zabezpieczenia komputera przez jego administratora/właściciela. Osoba powinna być świadoma, jakie mechanizmy bezpieczeństwa posiada komputer.
W tym połączeniu nie występuje automatyczne zestawienie kanału VPN pomiędzy komputerem użytkownika (brak zainstalowanej aplikacji) a bramą instytucji. Aby połączenie było bezpieczne należy skorzystać z protokołów aplikacyjnych oferujących połączenie szyfrowane.
o Nieznany komputer: Użytkownicy, korzystający z komputerów, o których nie
posiadają żadnej wiedzy dotyczącej bezpieczeństwa (jakie są zainstalowane
aplikacje, czy komputer nie jest zarażony wirusami, aplikacjami trojańskimi,
robakami). W tej sytuacji użytkownik otrzymuje prawa dostępu jak i
w przypadku powyższym (dostęp jedynie do poczty elektronicznej, za pomocą
przeglądarki internetowej lub klienta pocztowego obsługującego protokół
IMAP).
Bezpieczeństwo: Poziom bezpieczeństwa na nieznanym komputerze jest trudny do ustalenia. Użytkownik nie jest w stanie ocenić, jakie aplikacje są na nim
zainstalowane oraz czy komputer ma wirusy, konie trojańskie lub robaki internetowe. Szczególnym zagrożeniem mogą być aplikacje uruchomione na tym
komputerze, np. aplikacje typu sniffer (rejestrujące i zapisujące komunikację),
pobierające znaki wprowadzane przez klawiaturę (umożliwiłoby to odkrycie
hasła i innych cennych informacji wprowadzanych przez użytkownika), aplikacje typu przeglądarka Internetowa, która ma ukryte dodatkowe funkcje.
Wpisanie hasła i loginu na takim komputerze oznacza utratę poufności danych
identyfikujących osobę i mogą być wykorzystane do nieautoryzowanego dostępu. Należy unikać korzystania z nieznanych komputerów.
5.6 Wskazówki oraz instrukcje postępowania użytkowników instytucji
Instrukcje i zasady bezpieczeństwa, obowiązujące użytkowników będących administratorami
oraz użytkowników zdalnych komputerów, łączących się z siecią instytucji.
Komentarz: Poniżej zostały przedstawione wskazówki oraz instrukcje opisujące zasady prawidłowego
postępowania użytkowników podczas dostępu do zasobów i usług instytucji.
Należy być świadomym roli użytkownika w zachowaniu bezpieczeństwa informacji. Niezależnie od tego, jak dobrze przygotowana jest infrastruktura bezpieczeństwa w sieci informatycznej (zapory sieciowe, systemy wykrywania włamań, VPN). Bez odpowiedniej wiedzy
użytkowników, taki system jest wciąż źle zabezpieczony oraz podatny na ataki. Użytkownik
stanowi ważne ogniowo w systemie bezpieczeństwa. Jego działania wpływają na poziom
bezpieczeństwa informatycznego. Poniżej zostały przedstawione zagadnienia, instrukcje oraz
wytyczne, w jaki sposób użytkownik bezpiecznie powinien korzystać z aplikacji klienckich
71
dostępnych na swojej stacji roboczej oraz z usług i zasobów znajdujących się na serwerach
instytucji:
• Bezpiecznie przesyłanie danych. Każdy użytkownik, wysyłając chronione dane
przez Internet, powinien się upewnić, że ich zawartość będzie przez cały czas transmisji poufna. Poufność danych zapewniają mechanizmy szyfrowania. Jeśli dane zostaną
zaszyfrowane odpowiednimi algorytmami to przyjmuje się, że ich treść nie zostanie
ujawniona dla osób postronnych. Ewentualna modyfikacja tych danych zostanie wówczas natychmiast zauważona. Zaufanie poufności danych podczas przesyłania jest
możliwe na dwa sposoby. Pierwszym sposobem jest skorzystanie z funkcjonalności
aplikacji korzystających z nowszych protokołów wspierających szyfrowanie danych
oraz uwierzytelnienie drugiej strony występującej w komunikacji. Przykładem takich
aplikacji jest klient pocztowy „Microsoft Outlook” korzystający z protokołu SMIME/POPS/IMAPS, usługi terminalowe korzystające z protokołu SSH czy przeglądarka Internetowa korzystająca z protokołu HTTPS. Drugim sposobem na zachowanie
poufności danych jest skorzystanie z zewnętrznych aplikacji (w przypadku, gdy aplikacje nie zachowują poufności). Dane szyfruje się inną aplikacją niż ta, którą wykorzystuje się do ich wysyłania. Poniżej zostały pokazane instrukcje jak korzystać
z poszczególnych aplikacji, wspierających szyfrowanie:
o S/MIME. Przesyłanie danych chronionych przez pocztę elektroniczną odbywa
się przez format kryptograficzny S/MIME. Wspiera on mechanizm szyfrowania (algorytm 3DES) i badania integralności (algorytm SHA1) danych oraz
uwierzytelnienie nadawcy i odbiorcy. Bezpieczna poczta w instytucji jest realizowana przy wykorzystaniu dwóch certyfikatów cyfrowych: jednego do
szyfrowania danych, drugiego do podpisywania danych. Ważnym aspektem
przy tym jest mechanizm zarządzania kluczami. Klucze są identyfikatorami
użytkowników. Należy zwrócić szczególną uwagę na miejsce ich przechowywania. Zaleca się przechowywanie kluczy w miejscach trudno dostępnych.
Przykład to użycie zewnętrznych urządzeń np. eTokeny, które mogą zagwarantować bezpieczeństwo kluczy przez mechanizm jednokierunkowy tj. klucz zaimportowany nie może z eTokena zostać wyeksportowany. Dodatkowo dostęp
do kluczy eTokena jest możliwy tylko przez podanie hasła. Użytkownicy powinni niezwłocznie informować administratorów w przypadku podejrzenia
utraty poufności klucza np. zgubienie klucza, możliwość podejrzenia hasła
eTokena.
o POPS/IMPS. Odbieranie poczty z komputerów znajdujących się poza siecią
instytucji powinno odbywać się poprzez szyfrowane połączenia. W tym celu
należy użyć bezpiecznych odpowiedników protokołów POP oraz IMAP.
W celu skonfigurowania takich protokołów należy skontaktować się
z administratorami działu informatyki. Aktualnie zalecane jest przeglądanie
poczty przez Outlook Web Access. W tym celu należy skorzystać
z przeglądarki internetowej i połączyć się z adresem serwera poczty za pomocą
szyfrowanego połączenia HTTPS.
o HTTPS. Niektóre strony Internetowe umożliwiają przesyłanie dokumentów za
pomocą przeglądarek internetowych do serwera WWW. Użytkownicy chcący
skorzystać z takiej usługi powinni być świadomi, że normalny protokół przesyłania dokumentów do serwera WWW wykonuje tę operację nie zachowując
poufności danych. W celu zabezpieczenia danych należy skorzystać z jego
bezpiecznej wersji, która korzysta z protokołu SSL. Użytkownik może z niej
skorzystać wpisując w pasku adresu w przeglądarce internetowej adres rozpoczynający się od „https://”. Jeśli serwer WWW umożliwia taką usługę to prze-
72
syłanie dokumentów za pomocą stron internetowych dokonywane jest całkowicie bezpiecznie, zapewniając szyfrowanie danych oraz uwierzytelnienie, co
najmniej serwera WWW. Pracownicy mogą zidentyfikować bezpieczne połączenie sprawdzając ikonę kłódki występującą po prawej-dolnej stronie ekranu
przeglądarki internetowej oraz informacje o certyfikacie serwera, z którym są
połączeni.
o SSH. Dostęp do usług terminalowych systemów Unix powinien odbywać się
za pomocą protokołu SSH. Często używany protokół Telnet nie wspiera poufności przesyłanych do serwera danych. Protokół SSH wykorzystuje szyfrowanie oraz mechanizm uwierzytelnienia stron komunikujących maszyn się ze sobą. Przy pierwszym zestawieniu połączenia klucze dwóch stron są wymieniane
w bezpiecznym kanale. Mechanizm ten przeciwdziała atakom typu man-in-themiddle.
• Przeciwdziałanie inżynierii socjalnej (ang. social engineering). Osoby, które chcą
uzyskać nieautoryzowany dostęp do systemów, mogą wykorzystywać nietechniczne
metody ataku. Socjotechnika polega na zdobywaniu poufnych informacji, takich jak
hasła, informacje, dokumenty drogą nietechniczną, przy wykorzystaniu wiedzy
z psychologii oraz podstawowych danych personalnych ludzi zatrudnionych
w miejscu będącym obiektem ataku. W przykładowym scenariuszu haker może użyć
telefonu lub e-maila i przedstawiając się jako ktoś inny (np. kierownik, administrator
systemu), zażądać informacji (danych konta, dokumentów). Użytkownik, opisany
w powyższej sytuacji, powinien przestrzegać zasad bezpieczeństwa i nie ujawniać takich informacji (patrz poniższy punkt „bezpieczeństwo haseł”). Dobrym rozwiązaniem jest potwierdzenie takiej prośby drogą nieinformatyczną (np. dzwoniąc do osoby, która zażądała informacji, o ile nie jest to prośba o hasła, które bezwzględnie powinno być chronione).
• Bezpieczeństwo haseł. Osoba, która chce uzyskać nieautoryzowany dostęp do systemu, może wykorzystać słabe lub domyśle hasła. W celu odkrycia takiego hasła wykorzystuje ona oprogramowanie, które z listy haseł (np. hasła słownikowe, popularne nazwy) lub poprzez kombinacje ciągów liter, cyfr (atak brutalny) zgaduje hasło używane
przez użytkownika. Dlatego ważną kwestią jest tworzenie trudnych haseł.
Trudne hasło:
o powinno być dłuższe niż 7 znaków (im dłuższe hasło, tym większa liczba
kombinacji do odgadnięcia),
o powinno zawierać małe i duże litery, cyfry i znaki specjalne,
o nie powinno składać się wyłącznie z wyrazów, np. nazw przedmiotów, imion,
filmów, piosenek itp. (takie słowa są b. łatwe do odgadnięcia),
o nie powinno być słowem, które może znajdować się w słownikach lub jego
anagramem,
o nie powinno zawierać informacji o właścicielu np. data urodzenia, imiona osób
bliskich (atakujący może je wykorzystać).
Użytkownicy nie powinni tworzyć zbyt trudnych haseł, których nie są w stanie zapamiętać. Hasło powinno zawierać powyższe wskazówki, ale jednocześnie być logiczne
i łatwe do przypomnienia.
Zasady użytkowania haseł:
o Bezwzględnie wymaga się nie ujawniania haseł i loginów dla innych osób. Hasło jest ściśle związane z osobą i służy do identyfikacji takiej osoby np.
w systemie informatycznym. Hasła nie należy ujawniać nikomu, nawet gdyby
taka prośba została zgłoszona przez administratora czy przełożonego. Próba
73
wyłudzenia hasła przez inną osobę często powiązana jest z zagadnieniami socjotechniki. Szczegółowe informacje na temat inżynierii zawarte są w punkcie
D.
o Zabrania się korzystać z programów zarządzających hasłami, chyba że takie
programy zostaną sprawdzone przez administratorów.
o Zabrania się także przesyłania haseł drogą pocztową lub elektroniczną, chyba
że zostało one zaszyfrowane i mechanizm wymiany jest bezpieczny.
o Zaleca się tworzenie różnych haseł do każdego systemu, z którego korzysta
użytkownik.
o Zabrania się wykorzystywania haseł z systemów instytucji poza nią.
o Zabrania się używania tych samych haseł przez różne osoby.
Zasady wymiany haseł:
o Hasła użytkowników powinny być wymieniane raz na 6 miesięcy.
o Hasła do kont administratorów i użytkowników uprzywilejowanych należy
wymieniać raz na 2 miesiące.
• Bezpieczeństwo e-mail. Poczta elektroniczna stała się jednym z głównych mechanizmów wymiany danych w Internecie. Poniżej zostały przedstawione wskazówki
zwiększenia bezpieczeństwa pracy przy korzystaniu z tej drogi komunikacji. Pełna lista reguł znajduje się w głównym dokumencie polityki bezpieczeństwa, poniżej zostają przedstawione najważniejsze z nich z objaśnieniami:
o należy pamiętać o tym, że zawarte w wiadomościach dane mogą być zmienione przez osoby trzecie. Osoby takie, np.spamerzy posiadają oprogramowanie
umożliwiające fałszowanie informacji m.in. o nadawcy, dlatego użytkownik
nie może być całkowicie pewien źródła wysyłania wiadomości,
o nie zaleca się otwierania linków internetowych, znajdujących się w treściach
wiadomości pochodzących z nieznanych źródeł. Kliknięcie na takim linku może np. otworzyć stronę internetową i jeśli strona zawiera złośliwy kod, jego
uruchomienie może spowodować np. instalację podejrzanego oprogramowania,
o nie należy rozpakowywać załączników chronionych hasłem w wiadomościach
od nieznanych osób lub znanych, jeżeli nie spodziewaliśmy się otrzymać takiego załącznika. Załączniki chronione hasłem nie są skanowane przez systemy antywirusowe i najczęściej zawierają wirusy komputerowe.
o nie należy otwierać załączników w wiadomościach z podejrzanych lub nieznanych źródeł. Załączniki są często wykorzystywane do przenoszenia wirusów
lub robaków internetowych,
o wykonywalne pliki (programy) w załącznikach wiadomości pocztowych mogą
być niebezpieczne. Zaleca się unikania otwierania plików z rozszerzeniem exe,
js, vbs, bat, com, pif, scr, spl, cpl, ponieważ mogą zawierać wirusy lub inne
szkodliwe oprogramowania,
o załączniki w wiadomościach pocztowych mogą specjalnie dawać mylne skojarzenia, co do typu załącznika. Należy zwracać uwagę na pełne nazwy tych plików. Przykładowymi naruszeniami są pliki ‘zdjecie.jpg.exe’, ‘zdjecie.jpg___________________.exe’, itp.,
o wiadomości pocztowe zawierające zwroty takie jak np. kliknij tutaj, moje zdjęcie, żądany plik, gry, wyświetlacze ekranu, zdjęcia, filmy mogą zawierać wirusy i należy zachowywać ostrożność przy ich otwieraniu,
o zaleca się wyłączenie okienka podglądu. Wirusy makr mogą zostać uruchomione nawet, jeśli użytkownik nie otworzy zainfekowanego pliku. Wirusy te
wykorzystują własność okienka podglądu poczty w programach Microsoft
74
•
•
•
Outlook lub Express (umożliwia podgląd wiadomości pocztowej bez podwójnego klikania w wiadomość),
o należy zwrócić uwagę na konfigurację wyświetlania treści wiadomości pocztowej w programie do odbioru/wysyłania poczty. Opcją bezpieczną jest wyświetlanie każdej wiadomości jako plik tekstowy. Wyświetlanie treści wiadomości jako strony html może doprowadzić do niechcianej instalacji złośliwego
oprogramowania lub wirusa (Patrz punkt ‘Przeglądarka Internetowa’),
o zachowanie wiedzy, że wirusy w celu powielania się wykorzystują pocztę
elektroniczną. Jeśli użytkownik zauważy dużą ilość wysłanej poczty
w folderze wiadomości wysłanych, widoczne spowolnienie pracy komputera
z nieznanych powodów, oznacza to, że prawdopodobnie jego komputer jest zainfekowany. Użytkownik powinien zgłosić taki incydent do administratora
w celu stwierdzenia przyczyny takiego działania.
Backup. Zagadnienia związane z kopiami bezpieczeństwa danych mają duży wpływ
na bezpieczeństwo informacji. Użytkownik często lekceważy profilaktykę związaną
z archiwizacją oraz tworzeniem systematycznych kopii bezpieczeństwa. Utrata danych
stanowi realne zagrożenie i dotyczy zarówno ataku wirusa, awarii dysku, niepoprawnego działania programu, jak i przypadkowego usunięcia z dysku przez użytkownika.
Administratorzy sieci nie są w stanie tworzyć backupu każdej stacji klienckiej, ich rola
ogranicza się do pełnego backupu serwerów, na których przechowywane są informacje o poczcie oraz o danych znajdujących się na dyskach sieciowych. Proces tworzenia
kopii bezpieczeństwa powinien być wykonywany systematycznie.
Komunikatory internetowe. Są to programy, które umożliwiają komunikację pomiędzy dwoma użytkownikami znajdującymi się na różnych komputerach. Oprogramowanie tego typu stanowi zmniejszenie poziomu bezpieczeństwa w sieci informatycznej. Zabrania się używania komunikatorów do wymiany ważnych danych.
W szczególności zaś do wysyłania ważnych dokumentów instytucji. Nie ma komunikatorów oficjalnie wspieranych przez dział informatyki. Generalnie należy pamiętać,
że używanie komunikatorów może stanowić niebezpieczeństwo, gdyż:
o użytkownik nie może być całkowicie pewien, kto znajduje się po drugiej stronie. Druga strona komunikacji może stosować różne formy techniki ataku jak
socjotechnika (próba wyłudzenia informacji), przesyłanie plików (na przykład
zdjęcia), które mogłyby zawierać szkodliwe oprogramowanie (wirusy, konie
trojańskie, itp.),
o niektóre typy komunikatorów mogą zmniejszyć poziom bezpieczeństwa naszego komputera, instalując lokalną usługę sieciową, która może być wykorzystana do nieautoryzowanego dostępu,
o współczesne komunikatory oprócz rozmowy posiadają dodatkową funkcjonalność, jak możliwość przesyłania plików. Przez komunikator mogą być przesyłane pliki zawierające wirusy, konie trojańskie i inne złośliwe oprogramowania,
o komunikatory są programami, które mogą zawierać błędy programistyczne.
Powyższe dziury w oprogramowaniu mogłyby być wykorzystane przez hakerów (na przykład starsze wersje ICQ posiadały błąd umożliwiający nieautoryzowany dostęp do każdego pliku na komputerze),
o komunikacja w komunikatorach internetowych odbywa się przez Internet.
Transmisja danych przy takim połączeniu nie jest poufna, może zostać podsłuchana, a zdobyte informacje wykorzystane do nieautoryzowanego dostępu.
Przeglądarka Internetowa. Strony internetowe stały się głównym mechanizmem
szybkiego wyszukiwania informacji w Internecie. W celu ułatwienia dostępu do in-
75
formacji oraz zwiększenia funkcjonalności przeglądania, autorzy stron internetowych
wprowadzili tzw. aktywną zawartość stron (Active-X, aplety Java, języki skryptowe
VBScript oraz JavaScript), które mogą poważnie zagrozić bezpieczeństwu komputerów oraz sieci informatycznych. Najgroźniejszymi z powyższych jest technologia firmy Microsoft - Active-X. Kontrolka Active-X po ściągnięciu przez przeglądarkę internetową, instaluje się i uzyskuje od systemu operacyjnego pełną kontrolę (może zmienić hasła, usunąć dane, wysłać dane przez e-mail, skanować sieć, pobrać z Internetu
i zainstalować dodatkowe oprogramowanie itp.). Microsoft ograniczając skalę zagrożenia wprowadził cyfrowo podpisane kontrolki Active-X informujące, że pochodzą
z zaufanego źródła. Należy zachować świadomość, że certyfikaty mogą zostać skradzione, nazwy firm podpisujących łudząco podobne do znanych wystawców certyfikatów, a niebezpieczne kontrolki podpisane nimi są uważane przez komputery osobiste
jako niegroźne. Kolejnym niebezpiecznym mechanizmem aplety java. Aplety są bezpieczniejsze od Active-X, ponieważ wprowadzają strukturę bezpieczeństwa
tzw.sandbox. Aplety zaklasyfikowane przez użytkownika jako nieznane, są uruchamiane w obiekcie sandbox, w którym posiadają ograniczone możliwości naruszania
bezpieczeństwa systemu. Niestety bezpieczeństwo obiektu sandbox nie jest gwarantowane i ściągnięty kod może wydostać się z obiektu lub naruszyć model bezpieczeństwa powodując realne zagrożenia. Niebezpieczeństwa pochodzące ze stron internetowych można ograniczać stosując poniższe wskazówki i zalecenia:
o Użytkownik powinien zachować świadomość, że przeglądarki mogą pobierać
i instalować programy bez jego wiedzy. W opcjach internetowych zabezpieczeń Internet Explorer użytkownik może zdefiniować modele bezpieczeństwa,
upewnić się, że modele nie posiadają zbyt szerokich uprawnień. Dobrą praktyką jest wpisanie do stref zaufanych wszystkich znanych stron internetowych
oraz zastosowanie ograniczeń przy przeglądaniu stron nieznanych.
o Korzystając z Internet Explorer użytkownik musi zainstalować niektóre Active-X dla poprawnego działania pewnych stron internetowych. Zaleca się instalację activex dotyczącą strony WindowsUpdate, OfficeUpdate, Maromedia
Flash lub innych niezbędnych użytkownikowi (należy zwrócić przy tym uwagę
na podpisy cyfrowe instalowanych programów).
o Komunikacja pomiędzy przeglądarką internetową i zewnętrzną stroną internetową w większości przypadków odbywa się za pomocą niezaszyfrowanego połączenia. Wysyłanie danych za pomocą formularzy na takich stronach nie zapewnia poufności danych (możliwość podglądu przez osoby postronne). Użytkownik chcąc przesłać dane za pomocą bezpiecznego protokołu powinien skorzystać z protokołu https. Bezpieczną komunikację można rozpoznać
w przeglądarce internetowej przez różnego rodzaju oznaczenia (w zależności
od producenta przeglądarki internetowej), np. kłódki po prawej stronie na dole
okna przeglądarki, oraz przez oznaczenie https:// w pasku nawigacyjnym,
o Należy zachować szczególną ostrożność przy wyskakujących okienkach internetowych (ang. pop up). Zaleca się wyłącznie tej opcji (najnowsza wersja Internet Explorer oraz Firefox wpierają opcje umożliwiającą wyłączenie).
Okienka mogą spowodować instalację Active-X lub złośliwego oprogramowania, na przykład spyware poprzez zaakceptowaniu pytania pojawiającego się
w treści. Zaleca się unikania odpowiedzi na pytania i zamykania takich okienek przez krzyżyk (górny-prawy róg okienka, czasami występują mylne krzyżyki w środku okienka). Autor stron internetowych często w zamyśle tworzy
zawiłe pytania, często przekręcając szyk pytania (wybranie ‘nie’ może ozna-
76
czać zgodę). Okienka mogą zawierać linki przekierowujące do niebezpiecznych stron,
o użytkownik przeglądający Internet powinien unikać stron z crakami, grami (losowymi), treściami erotycznymi, ponieważ większość z ich jest zbudowana
przy wykorzystaniu niebezpiecznych kodów źródłowych,
o nie zaleca się klikania linków prowadzącymi do programów antyspyware. Linki takie mogą zawierać strony lub oprogramowania złośliwe, na przykład spyware,
o użytkownik powinien zachować szczególna ostrożność przy pobieraniu
z Internetu plików z rozszerzeniem exe, js, vbs, bat, com, pif, scr, spl, cpl, ponieważ zawierają one najczęściej wirusy lub inne szkodliwe programy.
Jeśli, podczas pracy komputera:
o nieustannie wyskakują okienka pop up,
o występują przekierowania stron internetowych (otwieranie się innej strony niż
ta, które została wpisana),
o niespodziewane pojawi się dodatkowy pasku narzędzi na pasku przeglądarki
internetowej,
o zmieni się strona startowa,
o często pokazują się komunikaty o błędach,
o nastąpiło zwolnienie pracy komputera w szczególności przy otwieraniu programów lub menadżera procesów,
o występuje możliwość zarażenia komputera złośliwym oprogramowaniem,
to powyższy fakt należy niezwłocznie zgłosić do administratora sieci.
•
Kontrola tożsamości. Dostęp do informacji chronionych możliwy jest tylko dla upoważnionych osób. Przekazywanie czy udostępnianie danych chronionych innej osobie
powinno być zawsze poprzedzone weryfikacją osoby, która występuje z prośbą
o przekazanie jej takich informacji. Przykładem sytuacji jest prośba o wystawienie zaświadczenia o zarobkach lub innego zawierającego dane osobowe. Osoba wydająca
takie informacje powinna być świadoma, że informacje takie są ściśle chronione przez
ustawę o ochronie danych osobowych, która określa prawną odpowiedzialność za niedopilnowanie swoich obowiązków. Weryfikacja tożsamości zawsze powinna stanowić
podstawę do przekazania informacji chronionych. Poniżej są przedstawione instrukcje
jak należy weryfikować osobę:
o Zaleca się, aby odbiór dokumentów zawierające dane chronione odbywał się
osobiście przez osobę, której te dane dotyczą. Odbiór powinien być potwierdzony przez dokument tożsamości np. dowód osobisty, lub poprzez sprawdzenie zdjęcia na karcie-identyfikatorze systemu kontroli dostępu.
o Udostępnienie danych osobowych powinno być poprzedzone złożeniem podania.
o Należy zachować szczególną ostrożność przy udostępnianiu danych chronionych przez pocztę elektroniczną. Potwierdzenie osoby przez pocztę elektroniczną jest możliwe przez jej podpis cyfrowy. Jeśli osoba nie posiada takiego
podpisu należy zweryfikować najlepiej korzystając z innego kanału transmisyjnego jak na przykład oddzwonienie do takiej osoby przez telefon. Poczta
elektroniczna stanowi duże zagrożenie pod względem ataków typu socjotechnika (patrz punkt Przeciwdziałanie socjotechnice),
77
•
•
o Rozmowa telefoniczna może być wykorzystywana do pozyskiwania pewnych
informacji wykorzystując socjotechnikę. Użytkownik z dostępem do informacji chronionych powinien być świadomy, że wyświetlany numer nie może być
używany do zweryfikowania osoby (kradzież telefonu przenośnego, lub podszywanie się pod osobę).
Trwałe usunięcie danych. Użytkownicy powinni być świadomi, w jaki sposób są
usuwane dane z dysków twardych. W uproszczeniu, dyski twarde składają się z dwóch
części. Pierwsza do przechowywania wskaźników do danych, w drugiej znajdują się
fizycznie dane (pliki z informacjami). Przy wybraniu kasowania plików w systemie
operacyjnym usuwany jest tylko wskaźnik, natomiast faktyczny plik z danymi zostaje
nadal na dysku. Formatowanie dysków też nie powoduje trwałego usunięcia danych
znajdujących się na dyskach twardych. W celu usunięcia takiego pliku należy skorzystać z programów, które nadpisują losowymi danymi miejsce na dysku, gdzie znajduje
się plik z danymi. Programy tą czynność nadpisywania wykonują kilkakrotnie losowymi danymi o różnych wielkościach. Jeśli zachodzi potrzeba trwałego usunięcia danych z dysku twardego należy użyć ww. programów7. W przeciwnym przypadku, jeśli
dysk zostanie przejęty przez osoby trzecie jego dane mogą zostać odzyskane za pomocą programów typu recovery.
Dobre praktyki pracy przy stanowisku. Użytkownicy systemów powinni być świadomi bezpieczeństwa komputerów używanych do pracy. Większość obecnych systemów pracuje na zasadzie klient – serwer. Użytkownik z swojej stacji roboczej ma dostęp do zasobów umieszczonych na serwerach instytucji. Poniżej są przedstawione instrukcje dla użytkowników jak zwiększyć poziom bezpieczeństwa swoich jednostek
komputerowych, a przez to serwerów z usługami i zasobami instytucji:
o Zaleca się, aby użytkownicy zamykali sesje na swoich komputerach w chwili,
gdy zamierzają przerwać pracę na dłuższy okres albo po skończonej pracy całkowicie się wylogować z stanowiska. Otwarte sesje obciążają systemy informatyczne wpływając na ich wydajność. Otwarte sesje mogą być wykorzystane
przez inne nieupoważnione osoby, które podszywając się pod prawowitego
użytkownika mogą wykonać niedozwolone akcje, wykraść poufne informacje
lub zainstalować oprogramowanie. Szczególnie zaleca się, aby ta instrukcja
była wypełniana w pomieszczeniach, w których występuje duży ruch osób lub
pomieszczenia są niedaleko miejsc gdzie mogą pojawić się nieupoważnione
osoby.
o Zaleca się, aby zamykać drzwi do swojego pokoju podczas wyjścia na dłuższy
czas. Ta instrukcja jest powiązana z poprzednią instrukcją (zamykanie sesji).
Jeśli użytkownicy opuszczą swój pokój i zostawią otwarte sesje to postronna
osoba ma całkowity dostęp do systemu i może przeprowadzić dowolnie każdą
akcję, na jaką był upoważniony prawowity użytkownik. Szczególnie zaleca
się, aby ta instrukcja była wypełniana w pomieszczeniach, w których występuje duży ruch osób lub pomieszczenia są niedaleko miejsc gdzie mogą pojawić
się nieupoważnione osoby.
o Zaleca się nie pozostawianie nośników z informacjami chronionymi
w pomieszczeniach, gdy użytkownik planuje dłuższe wyjście lub kończy pracę. Szczególnie zaleca się, aby ta instrukcja była wypełniana
w pomieszczeniach, w których występuje duży ruch osób lub pomieszczenia są
niedaleko miejsc gdzie mogą pojawić się nieupoważnione osoby.
7
Administratorzy powinni wcześniej ustalić, który z programów będzie używany do tego typu operacji. Dział IT
powinien wybrać ten program po przeprowadzeniu kompletnych testów takiego oprogramowania w celu osiągnięcia zamierzonego efektu.
78
•
•
Zakładanie konta. Użytkownicy chcący uzyskać konto do systemów informatycznych muszą złożyć wniosek z podpisem kierownika swojej komórki organizacyjnej do
administratorów. Wniosek powinien zawierać informacje o użytkowniku i jego stanowisku pracy. Dostęp do zasobów powinien być potwierdzony przez kierownika komórki organizacyjnej.
Praca zdalna. Rozwój Internetu, w szczególności systematyczne zwiększanie przepustowości połączeń z komputerów domowych do sieci Internet, stwarza nowe możliwości dla rozwoju firm. Jedną z zalet pracy zdalnej jest możliwość stałego kontaktu pracownika z siecią informatyczną firmy w dowolnym miejscu na świecie, która jest podłączona do Internetu. Inną zaletą pracy zdalnej jest możliwość zatrudnienia pracownika poza siedzibą firmy, co znacznie redukuje koszty pracy. Jednak praca zdalna stanowi realne zagrożenia dla bezpieczeństwa informatycznego. Umożliwiając połączenia z Internetu do sieci instytucji dla pracowników, naraża się sieć wewnętrzną na ataki osób podszywających się pod uprawionych użytkowników. Jeszcze trudniejszą
dziedziną do ochrony przy tej formie pracy jest zapewnienie bezpieczeństwa fizycznego komputerów, w szczególności komputerów przenośnych. Użytkownik
w przypadku „pracy zdalnej” powinien sam zadbać o zapewnienie odpowiedniego poziomu bezpieczeństwa, tak aby ograniczyć możliwość kradzieży jego komputera lub
nieautoryzowanego dostęp. Dobrym zwyczajem przy zabezpieczeniu fizycznym jest
ocenienie, kto może potencjalnie mieć dostęp do komputera użytkownika. Dla przykładu, jeśli komputer jest w domu to mogą to być znajomi lub rodzina. Należy określić jaki poziom zagrożeń mogą one spowodować poprzez np. pobranie nielegalnego
lub złośliwego oprogramowania, przez niczego nie podejrzewające dziecko. Na komputerach łączących się z instytucją, z których korzystają inne osoby niezwiązane
z pracą, należy stosować autoryzację kilkuczłonową tzn. wykorzystując jednocześnie
certyfikat, klucz, bezpieczny nośnik. Użytkownik komputera przenośnego powinien
być świadomy niebezpieczeństwa ujawnienia danych chronionych znajdujących się na
jego dysku twardym komputera. Zalecane jest nie kopiowanie na komputery przenośne informacji chronionych, ponieważ są one szczególnie narażone na ujawnienie np.
poprzez kradzież. Jeśli występuje konieczność pracy na takich dokumentach to należy
je zaszyfrować i tylko w takiej formie przechowywać na dyskach (również CD, PenDrive, inne). Użytkownicy powinni być świadomi, że skopiowanie dokumentu
z informacjami chronionymi na dysk komputera oraz późniejsze jego usunięcie (korzystając z polecenia systemu operacyjnego) nie oznacza całkowitego usunięcia takiego dokumentu. Wciąż jest możliwość odzyskania całego lub części takiego dokumentu. W celu trwałego usunięcia należy posłużyć się programami, które kilkakrotnie nadpisują miejsce na dysku gdzie znajdował się ten dokument. Poniżej zostaną przedstawione instrukcje i wskazówki jak zabezpieczać zdalny komputer, którego użytkownik
jest administratorem (reguły i zasady zostały przedstawione w głównym dokumencie
polityki bezpieczeństwa):
o Aktualizacje poprawek krytycznych
Posiadanie aktualnego systemu stanowi jedną z kluczowych reguł bezpieczeństwa jednostek komputerowych. z tego powodu jest zalecana stała aktualizacja.
W celu przeprowadzenia okresowej aktualizacji użytkownik powinien odwiedzić stronę ‘Windows Update’, zeskanować swój komputer, pobrać
i zainstalować potrzebne poprawki istniejących aplikacji. Zaniedbanie wykonywania aktualizacji może prowadzić do uzyskania nieuprawnionego dostępu
do komputera lub być wykorzystane przez wirusy i robaki internetowe. Zalecane jest również włączenie automatycznego sprawdzania i pobierania dostępnych uaktualnień.
79
o Instalacja, konfiguracja systemu antywirusowego
Jest zalecane zainstalowanie oprogramowania antywirusowego oraz zapewnienie jego poprawnego funkcjonowania. Program antywirusowy powinien posiadać aktualne definicje wirusów, dlatego jest zalecana konfiguracja automatycznego, jak najczęstszego, pobierania definicji wirusów. Program antywirusowy jest w stanie odnaleźć wirusa tylko, jeśli posiada informację o jego istnieniu. Algorytmy heurystyczne zaimplementowane w tego typu oprogramowaniu mają niską wykrywalność nowych wirusów.
Informacje na temat instalacji i ochrony antywirusowej:
komputerów stacjonarnych i przenośnych - bezpieczeństwo antywirusowe komputerów w instytucji powinno być realizowane za pomocą
oprogramowania firmowego.
komputerów domowych - korzystanie z darmowego oprogramowania
może nie przynosić spodziewanego efektu, dlatego najlepiej korzystać
z aplikacji znanych firm. Do zeskanowania komputera można również
korzystać
z darmowych
stron
dostępnych
w Internecie
http://www.symantec.com/cgi(http://skaner.mks.com.pl,
bin/securitycheck.cgi). W tym celu należy kliknąć na jedną
z powyższych stron, zaakceptować okienko Active-X oraz przystąpić do
skanowania. Jeśli system antywirusowy nie jest w stanie usunąć zainfekowanego pliku, należy zapisać nazwę wirusa, otworzyć stronę symantec http://securityresponse.symantec.com/avcenter/vinfodb.html oraz
odnaleźć informację o usunięciu wirusa. W większości przypadków należy użyć programu usuwającego (ang. removal tool), który można pobrać ze strony oraz uruchomić w trybie awaryjnym.
Bardziej szczegółowe informacje o wirusach znajdują się w dalszej części
dokumentu.
o Instalacja systemu antyspyware
Większość aplikacji typu spyware powinna zostać usunięta przez systemy antywirusowe. Istnieją również oprogramowania specjalizujące się wyłącznie
w usuwaniu spyware. Jednym z nich jest darmowy program dla domowego
użytku
Ad-ware,
który
znajduje
się
na
stronie
http://www.lavasoftusa.com/software/adaware/. Bardziej szczegółowe informacje o spyware można znaleźć w dalszej części dokumentu.
o Instalacja, konfiguracja personalnej zapory sieciowej
O ile jest to możliwe, zalecane jest zainstalowanie oprogramowania typu personalny firewall (zwłaszcza na komputerach domowych). Instalacja takiego
oprogramowania wiąże się z większą wiedzą użytkowników, jednak ostatnie
wersje znanych programów posiadają prawie automatyczną, domyślną konfigurację, która wystarcza na potrzeby domowe. Zapora sieciowa składa się
z dwóch mechanizmów kontroli dostępu do Internetu: reguł bezpieczeństwa
oraz kontroli aplikacji, które chcą nawiązać połączenie z Internetem. Użytkownik może nie tylko zdefiniować typy protokołów, przy pomocy których
aplikacje mogą komunikować się z Internetem, ale również określić, które
aplikacje mogą w tym ruchu uczestniczyć.
o Audyt
Zalecane jest wprowadzenie mechanizmu audytu, czyli kontroli bezpieczeństwa pod kątem błędów konfiguracyjnych i aktualizacji krytycznych. Aplikacja
audytująca jest w stanie wychwycić błędnie zainstalowane poprawki krytyczne, omyłkowe błędy powstałe przy konfiguracji firewalla oraz sprawdzić po-
80
o
o
o
o
ziom haseł użytkowników. Firma Microsoft udostępnia w tym celu darmową
aplikację
MBSA
dostępną
pod
adresem
http://www.microsoft.com/technet/security/tools/mbsahome.mspx.
Korzystanie z profilu użytkownika podczas normalnej pracy
Jest zalecane nie korzystanie z profilu administratora (systemy Windows
2000/XP) podczas standardowej pracy, lecz używanie konta administratora
wtedy, gdy istnieje potrzeba zainstalowania lub konfiguracji oprogramowania
(korzystanie z opcji: „run as” lub „uruchom jako”). Praca w profilu użytkownika zabezpiecza komputer przed przypadkową instalacją oprogramowania,
która może nastąpić podczas korzystania z Internetu. Wirusy, robaki i inne
szkodliwe oprogramowania, które mogą w tym czasie dostać się do komputera,
nie zostaną zainstalowane w folderach systemowych lub innych wrażliwych
miejscach systemu, z których podczas startu komputera uruchamiają się aplikacje.
Wyłączenie lub zmiana nazw użytkowników standardowych
Zalecane jest wyłączenie lub zmiana nazw użytkowników standardowych
(konto gość, administrator). Szkodliwe aplikacje często wykorzystują profile
standardowych użytkowników oraz ich domyślne hasła do zdobycia dostępu
do komputerów. Konto gość jest używane do udostępniania plików i folderów.
Nie należy bez potrzeby włączać mechanizmu udostępniania.
Instalacja przeglądarki internetowej.
Zalecanie jest korzystanie z dwóch przeglądarek internetowych Internet Explorer oraz Mozilla Firefox. W standardowej dystrybucji Windows występuje Internet Explorer. Mozilla Firefox należy pobrać z strony producenta
i zainstalować. Koncepcja architektury Firefixa jest bezpieczniejsza od Internet
Explorer, ponieważ nie wykorzystuje on mechanizmu Active-X używanego
przy IE (mechanizmu umożliwiającego automatyczną instalację oprogramowania, który może bez wiedzy użytkownika zainstalować niebezpieczne oprogramowanie). Zaletą Internet Explorera jest bardzo dobra współpraca z innymi
rozwiązaniami firmy Microsoft jak np. Web Access Exchange. Zalecane jest
używanie przy przeglądaniu nieznanych stron Firefoxa, natomiast używanie
Internet Explorer do obsługi stron Internetowych Microsoft oraz zaufanych
stron Instytutu jak na przykład Outlook Web Access.
Instalacja programów, aplikacji i sterowników
Zalecana jest instalacja programów, aplikacji i sterowników pochodzących
z zaufanych źródeł lub ze stron producentów. Zainstalowanie oprogramowania
nieznanego pochodzenia naraża komputer na to, że oprócz żądanej funkcjonalności program może podejmować nieznane działania (aplikacje typu koń trojański, spyware). Większość autorów darmowego oprogramowania udostępnia
kody źródłowe swoich programów. Jawność kodów źródłowych może zostać
wykorzystana przez inne osoby, które modyfikując i kompilując oryginalny
kod tworzą programy z ukrytą funkcjonalnością rozpowszechniając je potem
w sieci pod taką samą nazwą jak niemodyfikowany oryginał. Użytkownik powinien dobrze rozważyć konieczność instalacji darmowego oprogramowania
lub skonsultować się z administratorami sieci. Instalacja oprogramowania bez
licencji jest zabroniona na komputerach będących własnością instytucji oraz
komputerach podłączonych do sieci instytucji. Zaleca się, aby pobrane oprogramowanie sprawdzić funkcjami skrótu i porównać wynik z wynikami przedstawionymi na stronie producenta.
81
5.7 Złośliwe oprogramowanie
Wirusy. Programy, który posiadają zdolność samoczynnego powielania się
i przenoszenia z jednego komputera na drugi bez wiedzy i poza kontrolą użytkownika.
W zależności od typu wirusa, mogą być różne sposoby ataku, powielania się oraz
działania. Większość wirusów ma destrukcyjne zamiary. Podejmuje działania takie jak
uszkodzenie danych, przesyłanie plików. Nawet, jeśli wirus nie ma złośliwych zamiarów, to jego powielanie się i tak stanowi realne straty w postaci spadku wydajności
pracy komputera oraz zmniejszenia dostępnego w sieci pasma do transmisji danych.
Aby stać się wirusem, program musi spełniać dwa główne kryteria: automatycznie się
rozmnażać oraz uruchamiać. Występują cztery główne typy wirusów:
o boot rekord viruses – wirusy, które do powielania się wykorzystują początkowe miejsca nośników takich jak dyskietki, dyski twarde,
o wirusy plikowe – wirusy, które są przenoszone w plikach wykonywalnych
(exe, js, vbs, bat, com, pif, scr, spl, cpl). Jeśli zainfekowany plik zostanie uruchomiony, wirus załaduje się do pamięci i będzie infekować inne pliki wykonywalne, używane w tym czasie przez użytkownika,
o wirusy makr – to program wirusa napisany w języku Microsoft Visual Basic
for Aplications. Wirus makra do powielania się wykorzystują Microsoft Office
oraz pocztę internetową. Wirusy makra uruchamiają się przez otwarciu dokumentu na przykład Microsoft Word,
o kombinacyjne wirusy - wirusy infekujące BOOT sektory oraz mogące się powielać się przez pliki.
Wirusy mogą dostać się do komputera z kilku źródeł: poprzez przeglądarkę internetową, pocztę oraz nośniki ruchome płyty CD-R, CD-RW, dyskietki, napęd flash).
• Spyware. Spyware jest oprogramowaniem, stworzonym do zbierania informacji
o użytkowniku, zasobach jego komputera, danych zgromadzonych przez aplikacje
działające na komputerze. Działa niezauważalnie dla użytkownika i stara się zbierać
informacje w szczególności dotyczące zachowania się użytkownika w Internecie. Najniebezpieczniejsze spyware zostały zaprojektowane do zbierania historii wciskanych
klawiszy, umożliwiając tym samym uzyskanie loginu i hasła. Instalacja takiego oprogramowanie powinna odbyć się za zgodą użytkownika, jednak autorzy podstępnie
(poprzez zawiłe pytania lub mylące informacje) doprowadzają do zaakceptowania instalacji. Niektóre programy spyware instalują się bez wiedzy użytkownika. Spyware
można usunąć z systemu, korzystając z programów antywirusowych lub antyspywareowych.
• Worms. Robaki internetowe są niebezpiecznymi programami, które do powielania
wykorzystują dziury w oprogramowaniu systemu operacyjnego. Robaki nie posiadają
cech takich jak wirusy, czyli automatycznego uruchamiania i powielania. Ich ataki
mogą odbywać się zupełnie niezauważalnie dla użytkownika. Robaki atakują bezpośrednio komputery, wykorzystując protokoły sieciowe (komputer włączony do sieci
bez zalogowania użytkownika może zostać zarażony robakiem sieciowym). Usunięcie
robaka internetowego jest trudniejszym zadaniem. W pierwszej kolejności należy pobrać i zainstalować poprawkę oprogramowania, przez którą robak dostał się do komputera. Kolejną czynnością jest usunięcie zainfekowanych plików. Można to osiągnąć
poprzez pobranie specjalnego programu typu ang. remove tool.
•
82
5.8 Uwagi końcowe
W razie wystąpienia jakikolwiek z wymienionych problemów lub do pogłębienia wiedzy zapraszamy do bezzwłocznego zwrócenia się osób odpowiedzialnych za administrację
lub do zarządzającym bezpieczeństwem w instytucji.
83
Rozdział 6
Zespół dobrych praktyk bezpieczeństwa teleinformatycznego –
zasady tworzenia zabezpieczeń, weryfikacja zabezpieczeń
Obecnie, w dobie społeczeństwa informacyjnego, następują szybkie zmiany
w funkcjonowaniu oraz zasadach prowadzenia działalności w instytucjach. W celu poprawy
efektywności działania oraz ułatwienia funkcjonowania instytucje wdrożyły lub planują
wdrożyć systemy informatyczne, wspomagające ich pracę. Wdrożenie systemów informatycznych, jak również połączenie tych systemów z siecią Intranetową i Internetową powoduje
wzrost liczby niebezpieczeństw spowodowanych np. przez nieautoryzowany dostęp do zasobów i usług, celową lub przypadkową modyfikację oraz różnego rodzaju zakłócenia. Niebezpieczeństwa te mogą niwelować korzyści płynące z zastosowania tych systemów. Koniecznością staje się wprowadzenie zarządzania bezpieczeństwem informacji, z precyzyjnym określeniem zabezpieczeń, które będą je efektywnie chronić. Zazwyczaj proces zapewnienia
ochrony aktywom instytucji jest traktowany jako proces podrzędny, często pozostający na
marginesie. Zastosowanie właściwych zabezpieczeń ma miejsce dopiero po wystąpieniu zagrożenia powodującego utratę poufności, integralności lub dostępności posiadanych aktywów.
Wzrost utrudnień oraz wprowadzenie dodatkowych ograniczeń dla pracowników często kojarzy się z systemem zapewniającym bezpieczeństwo instytucji. Niechęć kadry zarządzającej do wdrażania zabezpieczeń skutkuje brakiem lub podjęciem jedynie minimalnych
środków zapewniających bezpieczeństwo instytucji. Takie postępowanie wynika z braku zrozumienia i może doprowadzić do poważnych zaniedbań lub narazić aktywa instytucji na niebezpieczeństwa. Wzrost zabezpieczeń nie zawsze powoduje wzrost utrudnień. Można wyróżnić uniwersalne elementy ochrony: identyfikację użytkowników, ochronę (izolowanie) zasobów oraz monitorowanie działań, które w niewielkim stopniu wpływają na wydajność pracowników. Umiejętnie przeprowadzone wdrożenie zabezpieczeń, z uwzględnieniem szkoleń
oraz procesu uświadamiania pracowników może przyczynić się do wprowadzenia wysokiego
stopnia ochrony, nie powodując znaczącego wzrostu obciążeń lub niechęci ze strony użytkowników.
Bezpieczeństwo systemów informatycznych powinno podlegać ocenie, w celu ciągłej
weryfikacji poziomu bezpieczeństwa jaki jest potrzebny do ochrony aktywów instytucji.
6.1 Wybór zabezpieczeń
Wdrożenie zabezpieczeń powinno uwzględniać specyfikę oraz działalność instytucji.
Niezbędne jest przeprowadzenie analizy funkcjonowania oraz identyfikacja procesów zachodzących w organizacji. W trakcie doboru zabezpieczeń ważnym elementem jest zdefiniowanie celów bezpieczeństwa, a sam wybór zabezpieczeń powinien wiązać się z przeprowadzeniem analizy ryzyka. Celem bezpieczeństwa może być, np. zapewnienie ochrony i integralności informacji. Efektem końcowym analizy powinien być raport wskazujący zabezpieczenia,
które należy wybrać i wdrożyć. Proces analizy powinien zawierać identyfikację aktywów oraz
ich wartość, możliwe zagrożenia i prawdopodobieństwo ich wystąpień, podatności
w systemie oraz wielkość wpływu zagrożeń na aktywa instytucji.
84
Do przeprowadzenia analizy ryzyka niezbędna jest doświadczona kadra, posiadanie
danych statystycznych (pochodzących zarówno z instytucji, jak i z całego rynku), informacji
o przedsiębiorstwie (dane o działaniu, funkcjonowaniu oraz procesach zachodzących). Alternatywą dla analizy ryzyka jest zastosowanie podstawowego poziomu bezpieczeństwa, który
definiuje minimalny zestaw zabezpieczeń, służący do ochrony wszystkich lub niektórych systemów informatycznych w instytucji. Poziom podstawowy można uzyskać, stosując się do
katalogów zabezpieczeń, zawierających zalecane zbiory środków ochrony, przeciwdziałających większości zagrożeń. Przed zastosowaniem sugerowanych zabezpieczeń należy zidentyfikować aktualnie wykorzystywany poziom ochrony w instytucji. Wiąże się to
z porównaniem sugerowanych środków ochrony do zastosowanych. Następnie wdrożeniem
tych, które nie zostały jeszcze zastosowane w instytucji. Katalog zabezpieczeń można wdrożyć w podobnych instytucjach, działających w tych samych sektorach gospodarki. Katalogi
zabezpieczeń są dostępne w międzynarodowych lub krajowych instytucjach normalizacyjnych, zaleceniach branżowych.
Efektem końcowym wyboru środków ochrony powinna być akceptacja zabezpieczeń.
Akceptacja jest procesem, w efekcie którego podejmuje się decyzję, czy ryzyko jest dostatecznie małe, aby można było je pominąć. Akceptacji dokonuje kadra zarządzająca, na podstawie świadomej decyzji, co do poziomu ryzyka, akceptowanego przez instytucję.
6.2 Definicja zabezpieczeń
Zabezpieczenia są stosowane w celu redukcji potencjalnych strat oraz ograniczenia ryzyka ich wystąpienia do akceptowalnego poziomu. Poziom zastosowanych zabezpieczeń jest
uzależniony od decyzji kadry zarządzającej i opiera się na ocenie finansowej, wartości zasobów oraz kosztach strat, poniesionych przy potencjalnym wystąpieniu niebezpieczeństw.
Zabezpieczenia mogą być zarówno prewencyjne (ang. preventative), jak również detekcyjne (ang. detective). Grupa zabezpieczeń prewencyjnych ma za zadanie powstrzymanie
zagrożeń (szkodliwych zdarzeń lub sytuacji, mających negatywny wpływ na aktywa instytucji) oraz zmniejszenia ich skuteczności w momencie wystąpienia. Zagrożenie (ang. threat)
może wystąpić jedynie w instytucjach na to podatnych (ang. vulnerability), posiadających
pewną słabość w systemie. Podatność jest pewnym uwarunkowaniem, słabością lub brakiem
procedur bezpieczeństwa, błędem programisty, brakiem technicznych zabezpieczeń, fizycznych środków ochrony lub innych mechanizmów. Głównym celem zabezpieczeń jest wyeliminowanie tego typu podatności systemów. Zaleca się, aby procesowi wdrożenia zabezpieczeń prewencyjnych towarzyszył program podnoszenia świadomości użytkowników. Wdrożenie takiego programu może zarówno poprawić efektywność funkcjonowania zabezpieczeń,
jak również spowodować wzrost tolerancji do ewentualnych utrudnień.
Drugą grupą zabezpieczeń są narzędzia typu detekcyjnego, mające na celu identyfikowanie (wyszukiwanie) wystąpień szkodliwych zdarzeń (inaczej: zagrożeń). Zabezpieczenia
powinny:
• stanowić ochronę przed nieautoryzowanymi, nieprzewidywalnymi, niezamierzonymi
modyfikacjami informacji,
• zachowywać spójność danych
• chronić poufność informacji,
• zapewniać dostęp do informacji
• wspierać rozliczalność - zapewniać możliwość rozliczenia osoby, która uzyskała dostęp do informacji na podstawie mechanizmów identyfikacji i uwierzytelnienia. Osoba
uzyskująca dostęp do zasobów może w późniejszym czasie ponieść odpowiedzialność
85
za przeprowadzenie określonych działań na informacjach. Rozliczalność realizuje się
poprzez śledzenie zdarzeń (ang. audit trails) w systemie lub sieci informatycznej.
Stosowanie zabezpieczeń w instytucji musi być zgodne z polityką bezpieczeństwa oraz systemem prawnym państwa, w którym dana instytucja działa.
6.3 Charakterystyki zabezpieczeń
Proces wdrożenia zabezpieczeń powinien być zgodny z ich specyfikacją i zostać przeprowadzony zgodnie z instrukcjami producenta. Należy zadbać o ich odpowiednie utrzymanie
oraz zarządzanie podczas normalnej pracy. Przy doborze zabezpieczeń ważnym kryterium
powinna być łatwość ich użycia, instalacji oraz obsługi. Zabezpieczenia powinny być trudne
do przełamania oraz charakteryzować się łatwością integracji z innymi zabezpieczeniami, jak
również z oprogramowaniem wykorzystywanym przez instytucję.
Przy rozważaniu wyboru konkretnego zabezpieczenia należy uwzględnić wiele czynników. Głównym z nich są koszty zabezpieczeń, które muszą być współmierne do wartości
aktywów instytucji. Wartości aktywów są określane przez analizę ryzyka, tj. metody jakościowe oraz ilościowe i mogą dotyczyć takich czynników jak:
• koszt wytworzenia, utrzymania, rozszerzenia oraz odtworzenia,
• stopień ważności oraz krytyczności informacji,
• koszty związane z utratą reputacji,
• straty finansowe, które mogłaby ponieść instytucja w przypadku niezastosowania odpowiedniego środka zabezpieczającego.
Poniżej zostały przedstawione czynniki, które warto rozważyć przy wyborze konkretnego
zabezpieczenia:
• Ponadczasowość.
Dobór zabezpieczeń powinien uwzględnić ich ponadczasowy charakter. Uwzględnienie tej cechy przy wyborze produktu wymaga od kupującego obszernej wiedzy
o rynku zabezpieczeń. Kupujący powinien uwzględniać takie czynniki jak: reputację
producenta, perspektywy rozwoju jego produktów (zwłaszcza tych, które są w sferze
zainteresowań) oraz czas istnienia na rynku. Zakup niewłaściwego zabezpieczenia lub
nawiązanie kontaktów handlowych z niewłaściwą firmą może doprowadzić do sytuacji, w której po roku istnienia firma zbankrutuje lub wstrzyma rozwój bądź wsparcie
danego produktu. Ważnym czynnikiem jest możliwość kontaktu z osobami technicznymi, odpowiedzialnymi za dane rozwiązania. Wiedza tych ekspertów może być pomocna przy rozwiązywaniu problemów powstałych w czasie eksploatacji produktu.
Uwzględnienie powyższego czynnika może przynieść organizacji redukcję lub nawet
wyeliminowanie dodatkowych kosztów finansowych.
• Spójność.
Cecha oznaczająca możliwość poprawnego współdziałania zabezpieczenia w różnych
środowiskach. Przykładem jest zabezpieczenie, które może być uruchomione na różnych systemach operacyjnych (Unix, Windows). Spójność odpowiada za możliwość
uruchomienia zabezpieczeń tego typu w różnych miejscach sieci informatycznej.
• Kompletność (kompleksowość).
Cecha zabezpieczenia, oferująca dużą funkcjonalność produktu, tj. możliwość jednoczesnego wykonywania wielu czynności zabezpieczających. Decydent powinien posiadać dogłębną wiedzę na temat trendów aktualnie obowiązujących w systemach zabezpieczeń dostępnych na rynku. Niebezpieczeństwem może okazać się kupno urządzenia, wspierającego małą liczbę funkcji lub posiadającego wiele funkcji
86
o ograniczonych lub podstawowych możliwościach. Kompletność systemu bezpieczeństwa oznacza osiągnięcie identycznego poziomu ochrony bezpieczeństwa każdego
systemu instytucji. Wdrożenie bezpieczeństwa w każdym elemencie systemu często
wiąże się z zaangażowaniem osób z różnych szczebli instytucji. Kompleksowość to
także efektywne, równoczesne używanie różnych typów zabezpieczeń (technicznych,
organizacyjnych, fizycznych).
• Elastyczność.
Cecha umożliwiająca dostosowanie się do zmieniających się warunków. Elastyczność
można rozumieć jako możliwość bezkonfliktowej współpracy z innym oprogramowaniem lub innymi zabezpieczeniami.
• Efektywność kosztowa.
Oznacza, że nakłady poniesione na ochronę odzwierciedlają wartość informacji, działań powziętych z jej obsługą oraz szacowane koszty utraty poufności, integralności
i dostępności.
6.4 Cechy dobrego systemu bezpieczeństwa (reguły przy tworzeniu
zabezpieczeń)
Główną zasadą, którą powinien kierować się administrator tworzący i konfigurujący zabezpieczenia, jest zapewnienie prostoty. Złożone zabezpieczenia zazwyczaj oznaczają trudności w ich funkcjonowaniu oraz mogą powodować problemy z ich skuteczną oceną. Poniżej
zostały przedstawione główne zasady, jakimi powinny się cechować dobrze zaprojektowane
i wdrożone systemy zabezpieczeń:
• Systemy należy zaprojektować tak, aby architektura sieci oraz dostępne w niej informacje i usługi były maksymalnie niedostępne dla nieupoważnionych użytkowników.
Podczas planowania zabezpieczeń założenie to jest szczególne ważne. Zasadę tę można zrealizować poprzez odpowiednie skonfigurowanie firewalli lub list dostępowych,
stosując zasadę wszystko, co nie jest jednoznacznie dozwolone, jest zabronione.
W praktyce oznacza to zabronienie dostępu dla wszystkich, a następnie tworzenie reguł dopuszczających wybranych użytkowników lub odpowiedni ruch sieciowy.
• Zapewnienie jedynie niezbędnego dostępu (do usług i informacji) wyłącznie dla
uprawnionych użytkowników. Inna nazwa tej zasady: stosowanie najmniejszych uzasadnionych przywilejów. Oznacza ona zastosowanie takiego dostępu dla użytkowników i administratorów, który rzeczywiście jest im potrzebny do wykonywania pracy.
Przydzielenie zbyt dużych, nieuzasadnionych uprawnień prowadzi do wzrostu niepotrzebnego ryzyka dla instytucji.
• Ochrona kolejnych warstw, traktując każdą z nich jak ostatnią linię obrony. Zasada
definiuje przyjęcie takiej konfiguracji oraz utworzenia takiej architektury zabezpieczeń, która każdemu systemowi ochrony (warstwie) zapewnia maksymalne bezpieczeństwo. Każda warstwa powinna działać z założeniem braku innych środków
ochrony. Zastosowanie takiego podejścia może zabezpieczyć instytucje na wypadek
awarii lub zdobycia przez agresora pierwszych linii obrony. Przykładem jest zastosowanie personalnych firewalli oraz wyłączenie zbędnych usług serwerów, które mogłyby skutecznie chronić zasoby instytucji na wypadek złego funkcjonowania, przejęcia lub awarii głównej zapory sieciowej zlokalizowanej na styku sieci instytucji
i innych sieci np. Internet.
87
•
•
•
Rejestrowanie oraz monitorowanie próby dostępu do informacji (zapewnienie rozliczalności). Zasadę realizuje się poprzez zapewnienie tzw. ścieżki audytu (ang. audit
trail) umożliwiającej prześledzenie czynności wykonywanych przez użytkowników
oraz aplikacje. W praktyce zasadę tę można zrealizować poprzez przeglądanie oraz
analizę dzienników zdarzeń systemów. Przeprowadzenie takiej analizy może pomóc
w identyfikowaniu nieprawidłowości, w szczególności wykrycia prób lub skutecznego
ataku na system, aplikacje. Zastosowanie najlepszych zabezpieczeń, bez ich monitorowania, nie zapewni odpowiedniego poziomu bezpieczeństwa, ponieważ nie będzie
możliwa ocena takiego systemu. Zaleca się utworzenie odpowiedniej reguły
w polityce bezpieczeństwa definiującej zasady przechowywania oraz analizowania takich dzienników (miejsce oraz długość czasu przechowywania). Zalecane jest również
stworzenie odpowiednich instrukcji dla administratorów określających zasady analizowania dzienników oraz reagowania na wykryte nieprawidłowości. Informacje
z dzienników zdarzeń są pomocne podczas przeprowadzania audytu bezpieczeństwa.
Rozdzielenie oraz maksymalne odizolowanie zasobów. Zasadę tą można zrealizować
poprzez:
o Uproszczenie architektury sieciowej. Zarządzanie małymi sieciami (segmentacja sieci) oraz odseparowanie elementów strukturalnych jest w stanie uprościć
i ułatwić ich późniejszą administrację. Logiczna, posegmentowana architektura
może uprościć drogi komunikacyjne w sieci, wpływając na przejrzystość reguł
filtracji, np. dokonywanych przez firewall lub router. Prostota i przejrzystość
reguł list kontroli dostępu zmniejsza ryzyko wystąpienia błędów lub przeoczeń
ze strony administratorów, jak również ułatwia przeprowadzenie audytu bezpieczeństwa. Stworzenie takiej architektury umożliwia odizolowanie części
sieci, w przypadku wystąpienia zagrożenia, np. infekcji wirusowej lub innego
ataku. Wąskie przejścia umożliwiają niezależne odłączenie fragmentów sieci,
jeśli nastąpi złamanie ich zabezpieczeń lub powstanie zagrożenie. Projektanci
powinni również rozważyć stworzenie zastępczych urządzeń, na wypadek
awarii głównego urządzenia filtrującego.
o Wprowadzenie stref o różnym poziomie zaufania. Bardzo ważną kwestią podczas budowy architektury sieci oraz rozmieszczania zabezpieczeń jest zastosowanie podziału sieci pod względem ważności, tzn. krytyczności dla instytucji. W praktyce realizuje się to poprzez oddzielenie sieci i serwerów, które
wymagają odmiennych poziomów zaufania. Przykładem może być stworzenie
oddzielnej sieci dla kadr lub księgowości zawierających poufne informacje,
lub wyizolowanie serwerów publicznych od intranetowych.
Unikanie błędów popełnionych przez innych. Dobrą praktyką przy tworzeniu zabezpieczeń jest prześledzenie błędów u innych instytucji lub osób, które doprowadziły do
złamania zabezpieczeń. Dobrą praktyką jest śledzenie list dyskusyjnych, np. securityfocus [2] lub zakup literatury.
6.5 Rodzaje zabezpieczeń
Istnieją trzy główne kategorie zabezpieczeń:
• Administracyjno - organizacyjne.
Do nich są zaliczane środki zabezpieczające, wynikające z odpowiedniego przygotowania organizacyjnego. Jest to odpowiednie zorganizowanie procesów pracy wraz
z określeniem kompetencji pracowników oraz ich wzajemnych zależności. Przygoto88
wanie administracyjne określa odpowiednie kierowanie procesami zachodzącymi
w przedsiębiorstwie. Przykłady zabezpieczeń administracyjnych to: certyfikacje, odpowiedzialne zarządzanie dostępem do pomieszczeń, odpowiednie zarządzanie procesami pracy, administrowanie systemem informatycznym. Zabezpieczenia administracyjne dotyczą również polityki bezpieczeństwa, procedur bezpieczeństwa, szkoleń
w zakresie podwyższania świadomości o bezpieczeństwie, procesu sprawdzania pracowników (np. podczas rekrutacji).
• Logiczno - techniczne.
Zabezpieczenia dotyczące rozwiązań informatycznych (programowych lub sprzętowych), które ograniczają lub monitorują zdalny dostęp do informacji lub usług znajdujących się w systemach teleinformatycznych Przykład zabezpieczeń to: szyfrowanie,
odpowiednie protokoły przesyłania, zapory ogniowe, systemy wykrywania włamań.
• Fizyczne.
Zabezpieczenia dotyczące ochrony fizycznej oraz bezpieczeństwa budynków. Typowe
zabezpieczenia: zamki do drzwi, ochrona serwerów lub laptopów, ochrona kabli, archiwizacja danych.
Poniżej zostały szczegółowo przedstawione grupy zabezpieczeń (administracyjne, techniczne,
fizyczne) z uwzględnieniem podziału dotyczącego działalności prewencyjnej oraz detekcyjnej.
Do zabezpieczeń Prewencyjno – Administracyjnych można zaliczyć:
• Szkolenia techniczne oraz podwyższenia świadomości o bezpieczeństwie. Głównym celem szkoleń jest ograniczenie zagrożeń związanych z ludzkim błędem. Szkolenia uczą użytkowników prawidłowego sposobu korzystania z systemów oraz sposobów reagowania na podejrzane sytuacje. Szkolenia ułatwiają użytkownikom zrozumienie korzyści związanych z bezpieczeństwem oraz potrzebę stosowania zabezpieczeń. Rozumiejący powyższe zagadnienia użytkownicy są bardziej skłonni do przestrzegania zasad polityki bezpieczeństwa. W ten sposób użytkownicy podwyższają
efektywność zabezpieczeń oraz poziom bezpieczeństwa.
• Podział obowiązków (ang. Separation of Duties). Metoda polega na podziale obowiązków kluczowych procesów biznesowych i zaangażowaniu do ważnego projektu
więcej niż jednej osoby. Rozsądny podział obowiązków może zapobiec zagrożeniu
fałszerstwa, manipulacji lub popełnieniu omyłkowego błędu przez pracownika. Podział obowiązków zapobiega uzyskaniu przez pojedynczą osobę całkowitej kontroli
nad procesem biznesowym.
• Procedury dot. zatrudnienia oraz zwolnienia pracowników. Metoda polega na
opracowaniu i przestrzeganiu odpowiednich procedur dotyczących rekrutacji oraz
zwalniania pracownika. Mogą one zapobiec zatrudnieniu nieuczciwych osób, które
w późniejszym okresie mogłyby naruszyć bezpieczeństwo instytucji. Procedura powinna zawierać zasady weryfikacji pracowników, np. przez sprawdzenie referencji,
wykształcenia oraz historii kandydata. Procedury zwalniania pracowników powinny
dotyczyć zasad odebrania im uprawnień do systemów instytucji oraz tworzenia kopii
bezpieczeństwa.
• Polityka bezpieczeństwa, procedury, wytyczne. Metoda polega na przygotowaniu
dla pracowników zasad bezpiecznego sposobu korzystania z informacji oraz usług
w instytucji. Odpowiednio przygotowana polityka oraz szczegółowe procedury są kluczem do wdrożenia efektywnego programu zapewnienia bezpieczeństwa informacji.
Dokumenty te powinny obejmować zasady korzystania z zasobów komputerowych,
określać postępowanie użytkowników podczas procesów wytwarzania i przetwarzania
89
•
•
informacji. Określać również zasady alarmowania w przypadku wykrycia podejrzeń
zajścia incydentów.
Plany awaryjne, plany obsługi incydentów. Metoda polega na przygotowaniu oraz
przećwiczeniu planów związanych z przywracaniem systemu po awarii. Plany powinny zawierać procedury postępowania, definiować jakie operacje pomocnicze należy
podjąć, aby przywrócić systemowi całkowitą sprawność w jak najkrótszym czasie lub
ograniczyć ponoszenie dalszych strat. Kluczową kwestią jest zapewnienie zapasowych
urządzeń, ich wcześniejsza konfiguracja oraz przetestowanie. Procedury awaryjne
powinny opisywać konkretne zagrożenia.
Rejestracja użytkownika w systemie. Metoda polega na przygotowaniu
i wykonywaniu procedury formalnego rejestrowania użytkownika w systemie. Proces
rejestracji ma na celu przydzielenie uprawnień oraz określenie zasad uwierzytelnienia
użytkownika. W trakcie rejestracji użytkownik jest informowany o odpowiedzialności
za bezpieczeństwo zasobów komputerowych oraz przechodzi krótki instruktaż dotyczący zasad polityki bezpieczeństwa.
Zabezpieczenia Detekcyjno - Administracyjne służą do określenia stopnia przestrzegania
polityki i procedur bezpieczeństwa oraz wykrywania nieprawidłowości. Do zabezpieczeń z tej
grupy należą:
• Przeglądy oraz audyty bezpieczeństwa. Metoda polega na przeprowadzeniu działań
oraz czynności mających na celu identyfikację procedur, które nie są należycie przestrzegane lub nie dostarczają zamierzonych korzyści. W celu wykrycia nieprawidłowości, a w szczególności niezgodności w przestrzeganiu polityki z celami bezpieczeństwa w instytucji, audytorzy mogą korzystać z formalnych lub nieformalnych działań.
Działaniami administratorów mogą być np. rozmowy, kwestionariusze, użycie skanerów bezpieczeństwa.
• Oceny wykonania. Metoda polega na regularnym ocenianiu wykonywania procedur
oraz zasad polityki bezpieczeństwa. Regularne ocenianie może być czynnikiem motywującym, zachęcającym do podnoszenia jakości przestrzegania procedur przez pracowników. Wystawianie ocen może uzmysłowić kadrze zarządzającej rzeczywiste
przestrzeganie procedur przez pracowników, a w przypadku niewystarczających rezultatów zarząd będzie mógł powziąć działania korygujące lub naprawcze.
• Obowiązkowe urlopy. Metoda polega na wysyłaniu pracowników na okresowe urlopy, w celu wykrycia nieprawidłowości na ich stanowiskach pracy. Sprawdzanie stanowiska pracy jest szczególnie ważne w instytucjach finansowych lub u pracowników
przeprowadzających kluczowe operacje. Dodatkową zaletą w promowaniu urlopów
jest przeciwdziałanie zagrożeniom związanym z błędami ludzkimi, tzn. zmniejszenie
prawdopodobieństwa wystąpień omyłkowych błędów popełnianych przez przemęczonych pracowników.
• Sprawdzanie lub dochodzenie środowiskowe. Metoda polega na przygotowaniu
oraz przeprowadzeniu sprawdzania pracowników, którzy mają być przeniesieni na
kluczowe stanowiska (dostęp do informacji chronionych, przeprowadzanie kluczowych operacji).
• Rotacja obowiązków, rotacja stanowiska. Metoda polega na przeprowadzaniu okresowej zmiany stanowisk pracy. Takie działanie może być pomocne przy wykrywaniu
nielegalnych działań dokonanych przez osoby, które poprzednio zajmowały dane stanowisko pracy. Zabezpieczenie działa odstraszająco i może obniżyć liczbę naruszeń ze
strony pracowników. Dodatkową korzyścią takiego zabezpieczenia jest zmniejszenie
stopnia uzależnienia procesu biznesowego od pracownika.
90
Wyróżniane są następujące zabezpieczenia Prewencyjno – Fizyczne:
• Kopie bezpieczeństwa danych. Metoda polega na tworzeniu kopii informacji na nośniku umożliwiającym ich odzyskanie w przypadku zniszczenia oryginału. Zniszczenie danych może być spowodowane wieloma czynnikami, np. zalaniem wodą, awarią
sprzętu lub oprogramowania, przypadkowym lub celowym zniszczeniem. Zaleca się,
aby nośniki zawierające kopie informacji były przechowywane wystarczająco daleko
od oryginalnych danych. Należy zadbać o bezpieczeństwo takich nośników oraz lokalizacji, w której takie nośniki są gromadzone. Należy zadbać, aby nośnik kopii informacji był odpowiedniej jakości oraz umożliwiał bezpieczne i długotrwałe przechowywanie.
• Fizyczne zabezpieczania. Są to płoty, strażnicy, wzmacniane drzwi oraz okna, zamki.
• System znacznika (ang. Badge System). Metoda służąca do lokalizacji osób za pomocą plakietek lub naklejek, w szczególności wyposażonych w nadajniki wysyłające sygnały radiowe. Zabezpieczenie te wykorzystuje się do kontrolowania pracowników
oraz gości, np. w przypadku dostępu do obszarów o ograniczonym zaufaniu.
• Zasilanie awaryjne. Zabezpieczenie ma za zadanie podtrzymywać napięcie oraz
przeciwdziałać przepięciom elektrycznym. Zastosowanie takiego zabezpieczenia jest
szczególnie istotne w przypadku krytycznych urządzeń instytucji (np. serwerów, przełączników, routerów, firewalli).
• Biometryczna kontrola dostępu. Metoda polega na wzmocnieniu kontroli dostępu do
urządzeń lub pomieszczeń o szczególnym znaczeniu. Zabezpieczenie wykorzystuje
skomplikowane metody rozpoznawania tożsamości, np. odcisk palca, mowę, podpis,
skanowanie soczewki. Ten rodzaj zabezpieczenia zapewnia wysoki stopień bezpieczeństwa.
• System kontroli dostępu. Metoda służąca potwierdzaniu tożsamość pracowników lub
gości za pomocą kart identyfikacyjnych przez zbliżenie takiej karty do czytnika lub
wpisaniu odpowiedniego pinu.
• Gaśnice przeciwogniowe, hydranty. Zabezpieczenia służą do przeciwdziałania zagrożeniom wywołanym przez pożar. Metoda gaszenia źródeł ognia powinna przebiegać zgodnie z odpowiednią procedurą, opisującą zasady użycia gaśnic lub hydrantów.
Zalecane jest przeciwdziałanie pożarom przy użyciu materiałów niezawierających
substancji łatwopalnych (ściany pokryte specjalną powłoką). Procedury gaszenia powinny uwzględniać sposoby unikania gaszenia, które mogą spowodować straty związane z nieumiejętnym gaszeniem urządzeń informatycznych.
• Wybór lokalizacji. Metoda polega na umiejętnym zaprojektowaniu, stworzeniu odpowiedniej architektury bezpieczeństwa (np. wydzielenie obszarów chronionych, odpowiednie usytuowanie serwerów, routerów, firewalli), która efektywnie przyczyni się
do zwiększenia bezpieczeństwa.
• Klimatyzacja. Metoda polega na zapewnieniu odpowiednich warunków klimatycznych dla krytycznych urządzeń w instytucji, np. serwerów, routerów. Duża wilgotność
(możliwe wyładowania elektrostatyczne) lub nadmierna temperatura mogą spowodować awarie. Nie przestrzeganie zaleceń producenta może spowodować utratę gwarancji lub przyczynić się do awarii podzespołu w sprzęcie komputerowym. W celu
utrzymania stałej temperatury i odpowiednich warunków pracy systemów informatycznych są stosowane systemy pełnej klimatyzacji.
Do zabezpieczeń Detekcyjno – Fizycznych należą:
91
•
•
•
Detektory ruchu. Zastosowanie tej metody ma za zadanie identyfikować nieautoryzowane osoby, które uzyskały dostęp do wrażliwych miejsc w instytucji. Zastosowanie takich urządzeń ma szczególne znaczenie w przypadku miejsc, w których przebywa ograniczona liczba osób lub dostęp do miejsc jest ograniczony w określonych porach dnia.
Czujniki dymu oraz ognia. Zabezpieczenia służące do wykrywania zagrożeń spowodowanych pożarem. Czujki muszą być poddawane okresowemu testowaniu w celu
wykrycia nieprawidłowości w ich działaniu.
Monitorowanie kamerami. Metoda jest wykorzystywana do monitorowania miejsc
o ograniczonym stopniu zaufania w instytucji. Metoda pomaga w identyfikacji podejrzanych sytuacji oraz nielegalnych działań podejmowanych przez pracowników lub
osoby trzecie.
Zabezpieczenia Prewencyjno – Techniczne i Logiczne to różnego rodzaju zabezpieczenia
teleinformatyczne, które mogą być oprogramowaniem lub mogą być wbudowane w system
operacyjny Mogą też być rozwiązaniami sprzętowymi. Przykładowe zabezpieczenia to:
• Techniczne środki kontroli dostępu. Zabezpieczenia te mogą występować w formie
oprogramowania lub urządzeń. Służą do kontrolowania udostępnianych danych, programów lub usług pomiędzy użytkownikami. Dostęp do określonych zasobów (np.
sieci informatycznej, informacji) jest możliwy za pomocą tzw. list dostępu, które decydują czy ruch sieciowy lub użytkownik może zostać do nich dopuszczony. Kontrola
dostępu jest wykonywana za pomocą identyfikacji (określenia użytkownika lub rodzaju ruchu), uwierzytelniania (potwierdzenia tożsamości użytkownika lub miejsca pochodzenia ruchu) oraz autoryzacji (określenia uprawnienia użytkownika lub miejsca,
do którego ruch będzie dopuszczony).
• Oprogramowanie antywirusowe. Zabezpieczenia używane w celu identyfikacji oraz
neutralizacji złośliwego oprogramowania. System antywirusowy może być zarówno
aplikacją umieszczoną na stacji roboczej lub serwerze, jak też rozwiązaniem sprzętowym (ang. appliance). Systemy antywirusowe wykorzystują dwie metody identyfikacji wirusów: heurystykę oraz bazowanie na wzorcach wirusów. Metody heurystyczne
identyfikują wirusa na podstawie jego zachowywania w wirtualnym środowisku. Metoda oparta na definicjach wirusów wymaga częstych aktualizacji baz danych zawierających wzorce znanych wirusów. Polega ona na porównywaniu plików w systemie
operacyjnym z wzorcami wirusów w celu wykrycia szkodliwego oprogramowania.
• Programy do badania integralności. Zabezpieczenia te mają za zadanie identyfikację zmian w środowisku informatycznym. Badanie integralności można stosować np.
do plików zawierających konfigurację, zainstalowanego oraz uruchomionego oprogramowania w celu wykrycia nieautoryzowanych zmian w tych plikach.
• Hasła. Metoda polega na wykorzystywaniu haseł w celu weryfikowania użytkowników. Proces potwierdzenia tożsamości może być realizowany na wiele sposobów, np.
poprzez oprogramowanie lub zewnętrzne urządzenia sprzętowe.
• Szyfrowanie. Jest techniką przekształacenia danych z postaci jawnej do postaci zaszyfrowanej, przesłaniu takich danych przez niebezpieczny kanał (np. Internet) oraz deszyfracji ich do postaci jawnej. Zastosowanie takiej metody ma zapobiec utracie poufności informacji. Szyfrowanie może być realizowane przez oprogramowanie lub przez
rozwiązania sprzętowe. Rozróżnia się dwie metody szyfrowania: symetryczne (szyfrowanie i deszyfrowanie odbywają się za pomocą takiego samego klucza) oraz niesymetryczne (szyfrowanie i deszyfrowanie odbywają się za pomocą różnych kluczy).
92
•
Protokoły. Metoda polega na odpowiednim doborze protokołów w celu ochrony sieci
i systemów instytucji. Wybór odpowiednich zabezpieczeń w postaci protokołów może
zwiększyć bezpieczeństwo chronionego środowiska.
Celem zabezpieczeń Detekcyjno – Technicznych jest wykrywanie naruszeń bezpieczeństwa
w systemach teleinformatycznych. Do zabezpieczeń są zaliczane:
• Ścieżka audytu (ang. Audit Trails). Metoda polega na odtworzeniu wydarzeń, które
miały miejsce w systemie lub w sieci. Może to być np. odtworzenie pracy użytkownika i jego działań podjętych w systemie. Metoda zazwyczaj wykorzystuje specjalistyczne narzędzia analizujące dzienniki zdarzeń systemów, urządzeń oraz aplikacji.
Stworzony końcowy raport może posłużyć do zapewniania rozliczalności (odpowiedzialności) konkretnego użytkownika w systemie.
• Systemy wykrywania włamań. Zabezpieczenia tego typu mają na celu wykrywanie
podejrzanych działań zachodzących w sieci lub w systemach informatycznych. Można
wyróżnić dwie główne metody działania tych systemów: na podstawie znanych definicji ataków oraz na podstawie nienormalnego zachowania. W pierwszym przypadku
system zauważy zagrożenie w chwili, gdy atak będzie przypominał jeden z już wcześniej rozpoznanych i opisanych zagrożeń. Druga metoda polega na wykrywaniu anomalii, tzn. nienormalnego zachowania. Wykrycie ataku jest możliwe, gdy środowisko
będzie zachowywało się odmiennie niż przy jego normalnym zachowaniu. Stan normalny system określa przez monitorowanie środowiska w dłuższym okresie czasu.
Zapisuje wówczas wszelkie charakterystyki ruchu, typy używanych aplikacji
i protokołów. Systemy wykrywania włamań mogą być zarówno programowe jak
i sprzętowe (ang. appliance).
6.6 Przyczyny nieskuteczności zabezpieczeń
Wiedza dotycząca zagadnienia związanych z bezpieczeństwem informatycznym powinna być ważna zarówno dla specjalisty tworzącego je (daje to możliwość poprawienia ich,
uzyskania lepszej funkcjonalności), jak również audytora (znajomość potencjalnych miejsc,
w których mogą wystąpić nieprawidłowości lub podatności). Poniżej zostaną przedstawione
obszary, w których może wystąpić potencjalne zagrożenie:
• Czynnik ludzki.
Najczęstszą przyczyną naruszenia bezpieczeństwa są pracownicy instytucji: użytkownicy, programiści, menadżerowie oraz administratorzy. Mogą oni przyczynić się do
naruszenia bezpieczeństwa poprzez tworzenie słabych haseł, niewłaściwe ich używanie, np. powodujące utratę ich poufności. Oprócz haseł ważną kwestią jest nieodpowiednie obchodzenie się użytkownika z urządzeniami lub systemami informatycznymi. Zagadnienia związane z czynnikiem ludzkim dotyczą również bezpieczeństwa fizycznego, np. pozostawienie otwartych drzwi, niezamknięte sesje, brak właściwiej
opieki oraz obchodzenie się z laptopem poza siedzibą instytucji. Ważnym zagadnieniem dotyczącym czynnika ludzkiego są zagrożenia związane z użyciem socjotechniki. Socjotechnika wykorzystuje przede wszystkim słabości ludzi, które powodują
u nich wzbudzenie zaufania w stosunku do agresora.
• Czynnik związany z zasadami.
Zasady bezpieczeństwa zebrane w dokumencie polityki bezpieczeństwa stanowią
ważny element w zapewnieniu bezpieczeństwa instytucji. Jakość i zupełność tych zasad są ściśle związane z ogólną efektywnością zabezpieczeń. Niedoskonałości zasad
93
•
•
•
•
mogą spowodować błędy w planowaniu i konfiguracji zabezpieczeń. Czynniki wpływające na nieefektywność zasad:
o Brak uwzględnienia pewnego elementu ryzyka – stworzenie zasady, która go
nie uwzględnia w rezultacie zapewnia taki poziom bezpieczeństwa, który byłby równoważny sytuacji nieistnienia takiej zasady. W praktyce może to oznaczać skonstruowanie idealnej zasady, której ludzie nie będą w stanie użyć lub
jej zrealizowanie będzie wiązało się z dużym poświęceniem czasu
i zaangażowania ludzi.
o Niejasność lub zbytnia ogólnikowość. - taka zasada może doprowadzić do
niemożności jej spełnienia, np. z powodu jej niezrozumienia przez wykonawców, posiadanie niewystarczających środków do jej zastosowania lub dwuznaczność zawartych w niej zapisów. Zasada zbyt ogólnikowa może powodować upraszczanie jej przez administratorów, powodując zmianę jej głównego
celu oraz funkcjonalności.
o Brak zawarcia kryteriów zgodności - taka zasada (lub szczegółowa instrukcja)
nie zawiera wskazówek opisujących, w jaki sposób należy taką zasadę zrealizować. Dobrym przykładem jest wymuszenie stosowania szyfrowania, bez
wskazania, w jaki sposób to należy przeprowadzić oraz jakich narzędzi użyć.
Przerzucenie ciężaru podejmowania decyzji na niedoświadczonych użytkowników może spowodować w rezultacie pominięcie takiej zasady.
o Przestarzałość zasad - posiadanie nieaktualnych zasad bezpieczeństwa jest
równoważne z ich całkowitym nieistnieniem. Nieustanny, dynamiczny rozwój
technologii wymusza stosowanie coraz to nowszych rozwiązań w celu przeciwdziałaniu nowym zagrożeniom. Zasady bezpieczeństwa powinny być aktualizowane i dostosowane do wymagań tak, aby zapewniały pełną funkcjonalności i bezpieczeństwo.
o Brak egzekwowania zasad - brak lub słabość egzekucji zasad bezpieczeństwa
może prowadzić do ich lekceważenia oraz w rezultacie do całkowitego niestosowania.
o Brak zaakceptowania zasad - zasady bezpieczeństwa powinny być przeczytane, zrozumiane oraz zaakceptowane przez ich odbiorców. Brak zobowiązania
się do przestrzegania zasad może doprowadzić do ich lekceważenia lub całkowitego nie stosowania w praktyce.
Niewłaściwa konfiguracja
Konfiguracja urządzeń lub oprogramowania powinna być ściśle związane
z wymaganiami zabezpieczeń danej organizacji. Konfiguracje nieprzemyślane, błędne
lub domyślne mogą naruszyć bezpieczeństwo instytucji powodując nową podatność.
Bezpieczeństwo konfiguracji można osiągnąć stosując odpowiednie szkolenia, prowadząc dokumentację oraz wprowadzając jej systematyczną kontrolę. Zaleca się wprowadzenie w instytucjach procesu znanego jako zarządzanie konfiguracją.
Błędne założenia
Przyjęcie błędnych, nieprzemyślanych lub nieusprawiedliwionych założeń może stanowić przyczynę wielu słabości zabezpieczeń. Czynniki powodujące takie błędy mogą
wynikać z np. błędnego przewidzenia zachowania się użytkowników lub działania
technologii.
Niewiedza
Brak świadomości o zagrożeniach, podatnościach lub niewiedza o popełnionych błędach przy tworzeniu zabezpieczeń może doprowadzić do powstania słabości systemów
zabezpieczeń lub ich całkowitego pominięcia.
Nieaktualny system lub oprogramowanie
94
Ważnym czynnikiem w stosowanych zabezpieczeniach oraz systemach informatycznych jest systematyczne przeprowadzanie aktualizacji. Systemy nieaktualne mogą stanowić źródło podatności i przyczynić się do złamania ich zabezpieczeń. Instytucje
powinny określić jasne zasady zarządzania aktualizacjami. Ważnym czynnikiem jest
uwzględnienie faktu, iż aktualizacje bez testowania mogą spowodować zakłócenia
w działaniu systemów, czyli zagrozić zapewnieniu dostępności usługi i informacji
w instytucji.
6.7 Wstęp do oceny bezpieczeństwa oraz audytu bezpieczeństwa
Wdrożenie zabezpieczeń nie stanowi zakończenia procesu zapewnienia odpowiedniego
poziomu bezpieczeństwa dla sieci i systemów informatycznych w instytucji. Po wdrożeniu
odpowiednich narzędzi należy zadbać (skontrolować), czy zastosowane środki zabezpieczające działają prawidłowo oraz zgodnie z oczekiwaniami, jak również, czy postępowanie pracowników jest zgodne z zasadami polityki bezpieczeństwa.
Uzyskanie pewności o prawidłowym funkcjonowaniu zabezpieczeń jest możliwe poprzez
dokonanie odpowiedniego ich sprawdzenia. Możliwe jest zastosowanie dwóch metod kontroli:
• Audytu bezpieczeństwa, tj. czynności jednorazowej lub okresowej, która poddaje
kompleksowej, niezależnej kontroli poziom bezpieczeństwa w całej instytucji lub jej
części,
• Monitorowania i oceny bezpieczeństwa systemu przez wewnętrzną kontrolę, tj. działanie o charakterze ciągłym, kontrolującym funkcjonowanie zabezpieczeń w celu wykrycia nieprawidłowości oraz zmian w systemie, środowisku informatycznym, jak
również zmian technologicznych. Monitorowanie wiąże się z stosowaniem zabezpieczeń detekcyjnych, tzn. takich, które umożliwiają identyfikację nieprawidłowości
w systemach oraz podejrzane działania użytkowników, jak również intruzów. Monitorowanie może być dokonywane przez te same osoby, które konfigurowały lub planowały zabezpieczenia w instytucji. W tym celu administratorzy mogą używać, tych samych lub podobnych narzędzi, np. skanerów bezpieczeństwa, konfiguracji.
6.8 Audyt bezpieczeństwa
Audyt w środowisku informatycznym powinien być niezależnym przeglądem systemów
w instytucji oraz zachowań pracowników do oceny zgodności z ustaloną polityką, przyjętymi
wytycznymi oraz standardami. Przeprowadzenie audytu bezpieczeństwa ma na celu obiektywną kontrolę faktycznego stanu zabezpieczeń, przestrzegania zasad bezpieczeństwa oraz
wykrycie nieprawidłowości, które mogłyby zagrozić bezpieczeństwu instytucji. Audyt bezpieczeństwa obejmuje następujące obszary:
• przegląd istniejących zabezpieczeń i stwierdzenie ich zgodności z polityką bezpieczeństwa,
• kontrolę polityki, procedur oraz instrukcji bezpieczeństwa i ocenę stopnia ich przestrzegania,
• kontrolę spełnienia wymagań bezpieczeństwa.
95
Końcowy wynik audytu powinien przedstawiać raport, który powinien zawierać:
• szczegóły kontroli, tzn. dokładny opis procesu kontroli, zastosowanych metod
i procedur testujących, zastosowanych technicznych rozwiązań, wydruków
z programów badających,
• wnioski dotyczące stopnia przestrzegania oraz stosowania się do zasad bezpieczeństwa oraz ochrony informacji w instytucji,
• ewentualnie zidentyfikowane podatności i słabości instytucji.
Ważnym elementem podczas przeprowadzania audytu są tzw. szablony dokumentów.
Są nimi dokumenty powstające w jego trakcie. Powinny one towarzyszyć wszystkim akcjom
audytorów podejmowanym w instytucji poddającej się kontroli. Dokumenty powinny powstawać zgodnie z wcześniej ustalonymi zasadami.
W audycie można wyróżnić dwie metody analizy: statyczną (formalną) oraz dynamiczną
(techniczną).
Analiza statyczna polega na nieaktywnym sposobie oceniania wdrożonych zabezpieczeń.
Proces ten powinien zbadać miejsca podatne na uszkodzenia i błędy administracyjne (np.
przegląd plików konfiguracyjnych, zezwoleń, wersji oprogramowania). Przykładowym działaniem może być analiza dokumentacji w celu stwierdzenia, czy w system nie zawiera miejsc
podatnych na zagrożenia. Kolejnym działaniem może być ocena procesów instalowania, administrowania oraz przydzielania uprawnień w celu stwierdzenia, czy zostały one wykonane
poprawnie nie powodując podatności. Statyczne metody znane są również jako nietechniczne
metody (wewnętrzne mechanizmy) audytu, które można przeprowadzić przez zastosowanie
np. badań, ankiet, obserwacji oraz analizy dokumentacji. Kwestionariusze ankietowe (np.
opracowane na podstawie normy ISO/IEC 17799) powinny zostać wypełnione
i zweryfikowane na podstawie wywiadów i wizji lokalnych. Ankiety powinny stanowić podstawę do wydania sądów na temat stopnia spełniania wymagań (np. stopnia spełnienia normy
ISO/IEC 17799).
Analiza dynamiczna (techniczna) jest aktywnym, ingerującym w działające systemy procesem testowania, za pomocą którego próbuje się określić miejsca podatne na uszkodzenia.
Taka analiza składa się z podjęcia dwóch działań:
I. Użycie zautomatyzowanych narzędzia wyszukiwania słabości systemów (błędów konfiguracyjnych, słabych haseł, nieaktualnych systemów). Narzędzia mogą być zarówno
rozwiązaniem sprzętowym, jak i programowym. Jest to zazwyczaj mechanizm przeglądający pewien zbiór obiektów w ustalonym porządku, uruchomiony w celu wyszukiwania podatności w tych obiektach. Wyróżnia się trzy rodzaje skanerów:
o skanery bezpieczeństwa - są to narzędzia powodujące wykonanie pewnych
procedur, skryptów lub programów w odpowiedniej kolejności w celu identyfikacji podatności, które mogłyby spowodować wystąpienie zagrożenia (ataku). Skanery bezpieczeństwa wykorzystują zbiór sygnatur podatności
i wzorców ataków, dlatego takie urządzenia powinny być często aktualizowane. Wynikiem działania skanera jest raport, który dla każdego elementu przedstawia wykaz zidentyfikowanych podatności. Opisowi podatność często towarzyszą inne informacje takie jak: identyfikator (według pewnej klasyfikacji, np.
producenta, bugtraq[2]), szczegółowy opis, stopień zagrożenia oraz sposób
usunięcia. Popularne skanery bezpieczeństwa to, np.: Satan[3], Nessus[4], Internet Security Scaner firmy ISS[5], Retina firmy eEye[6].
96
o skanery inwentaryzacyjne- narzędzia służące do identyfikacji i sporządzania
spisów wszystkich usług, sprzętu, oprogramowania występującego w podanym
środowisku. Program tego typu są: Languard Network Security Scanner firmy
GFI Software Ltp[7].
o skanery konfiguracji - są programami służącymi do automatycznego, zdalnego
badania ustawień konfiguracyjnych (w tym tzw. zasad zabezpieczeń) generując
odpowiednie raporty. Programy te należy uruchomić bezpośrednio na komputerze analizowanym lub zdanie dysponując uprawnieniami administratora.
Skanerami tego typu są: Microsoft Baseline Security Analyzer[8]
II. Przeprowadzając test penetracyjny, czyli przeprowadzenie symulacji włamania lub ataku na systemy, wykorzystując różne metody (identyczne, jakie używa haker), np. nielegalne uzyskanie informacji od użytkowników. Test penetracyjny jest w istocie atakiem na system informatyczny. Działania penetracyjne dotyczą dwóch obszarów bezpieczeństwa systemu:
o Bezpieczeństwa informatycznego - testowanie polega na sprawdzeniu możliwości wymuszenia w systemie elektronicznym nieautoryzowanego dostępu do
informacji, usług lub spowodowania odmowy usługi. Symulacja ataku może
nastąpić z wewnątrz lub z zewnątrz sieci. Testowanie bezpieczeństwa dotyczy
znanych miejsc podatnych na uszkodzenia oraz jest przeprowadzane w oparciu
o scenariusze standardowych ataków.
o Bezpieczeństwa fizycznego - testowanie polega na obejściu zabezpieczeń fizycznych w celu zdobycia informacji oraz wyniesienia ich poza siedzibę instytucji. Symulacja polega na próbie wejścia, łamiąc zabezpieczenia, unikając
wykrycia (np. podszycie się pod tożsamość, mieszanie różnych tożsamości,
socjotechnika). Bezpieczeństwo fizyczne porusza informację dostępną na różnych nośnikach przenośnych (w tym papierowych), testowaniu podlegają również zasady przetwarzania informacji, zasady usuwania oraz niszczenia dokumentów.
Testy penetracyjne często dotyczą czynnika ludzkiego, np. zastosowania socjotechniki,
czyli wyłudzenia poufnych informacji za pomocą inżynierii społecznej.
Audyt bezpieczeństwa może być przeprowadzony na wiele sposobów. Najpopularniejszymi metodykami audytu są:
• Użycie normy brytyjskiej BS 7799 (norma polska: PN-I-17799:2003, PN-I-077992:2005). Dokument składa się z dwóch części zawierających zespół dobrych praktyk,
które można wykorzystać do zbudowania oraz zarządzania bezpieczeństwem informacyjnym. Pierwsza część opisuje zagadnienia dotyczące takich dziedzin, jak:
o Polityka bezpieczeństwa (rozdział 3),
o Organizacja bezpieczeństwa (rozdział 4),
o Klasyfikacja i kontrola aktywów (rozdział 5),
o Bezpieczeństwo osobowe (rozdział 6),
o Bezpieczeństwo fizyczne i środowiskowe (rozdział 7),
o Zarządzanie systemami i sieciami (rozdział 8),
o Kontrola dostępu do systemu (rozdział 9),
o Rozwój i utrzymanie systemu (rozdział 10),
o Zarządzanie ciągłością działania (rozdział 11),
o Zgodność (rozdział 12).
Część druga dokumentu definiuje System zarządzania bezpieczeństwem informacji
(SZBI), który składa się z czterech etapów:
o
Planuj (Ustanowienie SZBI),
97
o
Wykonaj (Wdrażanie i eksploatacja SZBI),
o
Sprawdzaj (Monitorowanie i przegląd SZBI),
o
Działaj (Utrzymanie i doskonalenie SZBI).
Etapy te powinny być cyklicznie powtarzane. Audytu dokonuje się z uwzględnieniem
127 punktów kontrolnych (ang. checklist).
• Standard COBIT (ang. Control Objectives for Information and related Technology),
który jest otwartym standardem kontroli technologii informatycznej rozwijanym przez
IT Governance Institute. Metodyka Cobit zawiera zbiór zasad i wytycznych, stanowiących podstawę audytu, kontroli i nadzoru systemów informatycznych. Metodyka
Cobit identyfikuje:
o 4 domeny informatyczne:
PO – Planowanie i organizacja,
AI – Nabywanie i wdrażanie,
DS – Dostarczenie i obsługa,
M – Monitorowanie.
34 procesy informatyczne przypisane poszczególnym domenom,
318 szczegółowych celów kontrolnych i wskazówek dla audytorów przypisanym
poszczególnym procesom.
6.9 Przykładowy proces audytu bezpieczeństwa
Zaproponowany audyt jest wzorowany na procesie audytu LP-A opracowanego przez Krzysztofa Lidermana oraz Adama Patkowskiego[1]. Etapy przykładowego audytu:
• Przygotowania. W etapie tym następuje ustalenie zakresu oraz obszaru audytu. Ustalenie możliwości osób przeprowadzających audyt. Ustala się termin oraz sposoby
zbierania i dostępu do informacji z systemów badanych. Określa się zasady komunikacji z pracownikami instytucji badanej.
• Wykonanie testów i badań. Audyt dokonuje się za pomocą ścieżek:
o Ścieżki formalnej, w której audytorzy badają zarządzanie bezpieczeństwem teleinformatycznym w instytucji w celu stwierdzenia zgodności z określonym
w umowie wzorcem audytowym (np. zgodność z zaleceniami BS 7799 lub
normą ISO/IEC 17799). Audytorzy powinni sporządzić listę kontrolną (ang.
checklist) według wybranego standardu, np. dla BS 7799 lista zawiera 127
punktów, dla COBIT zawiera 302 punkty, pogrupowanych w 34 tematy. Kwestionariusze powinny zawierać pytania dla każdego punktu oraz zawierać odpowiedzi w formie: spełnione, niespełnione, spełnione częściowo, nie dotyczy.
Procesy dotyczące ścieżki formalnej powinny dotyczyć:
Uzyskania oraz analizy uzyskanej od instytucji badanej dokumentacji
opisującej porządek prawny instytucji, tj. podległość, odpowiedzialność
oraz uprawnienia w zakresie bezpieczeństwa teleinformatycznego (statut, regulaminy, stanowiskowe karty pracy, umowy itp).
Uzyskania oraz analizy uzyskanej od badanej instytucji dokumentacji
ustanawiającej zależności między zleceniodawcą a podmiotami zewnętrznymi, np. dokumenty zawierające odpowiedzialność za zasoby
(obce oraz własne) określone w umowach zewnętrznych
i wewnętrznych, umowy określające współprace firm zewnętrznych
oraz warunkowych dopuszczeń do zasobów instytucji.
98
•
Rozprowadzenia kwestionariuszy audytowych (listy audytowej) dla
pracowników w celu ich uzupełnienia.
Przeprowadzenia wizji lokalnych oraz wywiadów w siedzibie instytucji
badanej. Proces ten powinien dostarczyć informacji w celu wyrobienia
wstępnej opinii na temat stosowanych w praktyce sposobów zarządzania bezpieczeństwem teleinformatycznym w instytucji.
Analizy kwestionariuszy oraz przeprowadzenia ewentualnych spotkań
z pracownikami w celu wyjaśnienia wątpliwości.
Opracowania raportu końcowego stwierdzającego zgodności np.
z normą ISO/IEC 17799.
o Ścieżki technicznej. Pierwszą czynnością wykonywaną w tej metodzie jest
przeprowadzenie analizy dokumentacji systemów i sieci informatycznych oraz
zabezpieczeń fizycznych i technicznych. Taka analiza ma na celu:
wykrycie błędów w dokumentacji,
przygotowanie testów penetracyjnych,
próbę identyfikacji błędów architektury oraz koncepcji w sieci, systemów informatycznych oraz zabezpieczeń,
przygotowanie danych do raportu końcowego z badań przeprowadzonych w ramach ścieżki technicznej.
Kolejnym elementem ścieżki technicznej jest kontrola oraz analiza stanu
ochrony zabezpieczeń fizycznych oraz technicznych. Można tego dokonać za
pomocą:
przeglądu zabezpieczeń fizycznych i technicznych,
przeglądu systemów zasilania urządzeń,
próby wyszukania urządzeń podsłuchowych.
Efektem końcowym powyższej analizy powinno być opracowanie wstępnego
raportu z badań systemów ochrony fizycznej i technicznej.
Kolejny etap ścieżki technicznej powinien dotyczyć kontroli i analizy stanu
ochrony informatycznej. Dokonuje się go za pomocą:
przeprowadzenia wyrywkowego badania konfiguracji wybranych komputerów,
badania podatności oraz stanu dokonywanych aktualizacji zautomatyzowanymi narzędziami (skanerami bezpieczeństwa) dla wybranych lub
wszystkich elementów informatycznych,
badania ustawień konfiguracyjnych zautomatyzowanymi narzędziami
(skanerami konfiguracji) dla wybranych lub wszystkich elementów informatycznych.
Analiza stanu ochrony informatycznej na podstawie wyników otrzymanych
w powyższych testach powinna być wstępem do próby przeprowadzenia testu penetrującego. Ostatnim elementem ścieżki technicznej jest opracowanie raportu końcowego
oraz przekazanie go instytucji badanej wraz z raportami cząstkowymi (np. wydrukami
skanerów) oraz z listą wykrytych podatności instytucji.
Przygotowanie raportów końcowych. Etap ten polega na przygotowaniu dokumentacji
końcowej oraz przekazaniu zboru dokumentów powstałych w trakcie audytu, np. raportów cząstkowych, wydruków z narządzi skanujących.
99
6.10 Zakończenie
Bezpieczny i zweryfikowany system zabezpieczeń powinien uwzględniać wszystkie wyżej opisane procesy z zakresu planowania, budowy oraz kontroli zabezpieczeń. Bezpieczny
system informatyczny powinien składać się z czterech nieustannie powtarzanych po sobie
procesów: planowania, wdrażania, monitorowania oraz korygowania. Każdy z tych czterech
procesów jest ważnym elementem systemu bezpieczeństwa instytucji. Pominięcie lub podjęcie niewystarczających działań może doprowadzić do osłabienia całkowitego bezpieczeństwa
instytucji.
Pierwszym procesem bezpieczeństwa jest odpowiednie zaplanowanie systemu informatycznego instytucji z uwzględnieniem koniecznych zabezpieczeń. Wykorzystanie analizy ryzyka lub zastosowanie podstawowego zbioru zabezpieczeń jest niezbędne w celu wyboru odpowiednich zabezpieczeń, które powinny uwzględniać rzeczywiste wymagania instytucji.
Błędy popełnione przy planowaniu są trudne do wykrycia i poprawienia, dlatego zaleca się,
aby ten proces był dokładnie zrealizowany.
Proces wdrażania systemów oraz zabezpieczeń wiąże się z ich poprawną konfiguracją,
odpowiednimi programami uświadamiania użytkowników oraz zapewnieniem stabilności
działalności procesów instytucji.
Proces monitorowania ma za zadanie dokonać oceny bezpieczeństwa informatycznego instytucji. Polega on na dokonaniu kontroli efektywności, oceny bezpieczeństwa zastosowanych
środków zabezpieczeń jak i odpowiedniego zachowywania się użytkowników systemów. Zaleca się, aby proces był przeprowadzony dwojako, z zastosowaniem nieustannego monitorowania oraz okresowych, niezależnych audytów bezpieczeństwa. Oba środki kontroli są bardzo
istotne, pominięcie jednego z nich może znacząco obniżyć stopień bezpieczeństwa instytucji.
Monitorowanie może w krótkim czasie skorygować nieprawidłowości w funkcjonowaniu
zabezpieczeń. Audyt dokonany przez niezależne osoby może zidentyfikować błędy lub nieprawidłowości, które byłyby pominięte przez administratorów. Zastosowanie obydwu metod
kontroli jest w stanie efektywnie zapewnić wysoki poziom bezpieczeństwa instytucji.
Ostatnim procesem jest korygowanie, które polega na poprawieniu wszystkich wykrytych błędów. Po ukończeniu procesu korygowania należy rozpocząć kolejny cykl.
100
Załącznik A
Przykładowa lista zagrożeń
Przykładowe zagrożenia:
• Oszustwa i kradzież (CZ8).
• Sabotaż ze strony pracownika (CZ).
• Utrata wsparcia ze strony innych systemów i infrastruktury (CZ).
• Hakerstwo (CZ).
• Złośliwe oprogramowanie (CZ).
• Nieupoważniony dostęp oraz użytkowanie (CZ)
• Umyślna szkoda tj. zniszczenie danych, atak typu odmowa usługi (CZ).
• Szpiegostwo Przemysłowe (CZ).
• Zalanie (CZ, N, S).
• Atak bombowy (CZ).
• Użycie broni (CZ).
• Pożar (CZ, S, N).
• Trzęsienie ziemi (N).
• Zalanie (CZ, N, S).
• Huragan (N).
• Uderzenie pioruna (N).
• Awaria prądu (S, CZ).
• Wahania prądu (N, S).
• Awaria wodociągów (S, CZ).
• Awaria klimatyzacji (S, CZ).
• Awaria sprzętu (S, CZ).
• Zanieczyszczenie (S, CZ).
• Kurz (N).
• Promieniowanie elektromagnetyczne (CZ, N, S).
• Zużycie nośników (N).
• Błąd personelu obsługującego (N, CZ).
• Błąd konserwacji (CZ, N).
• Awaria oprogramowania (CZ, N).
• Użycie oprogramowania przez nieuprawnionych użytkowników (CZ).
• Użycie oprogramowania w nieuprawniony sposób (CZ).
• Podszywanie się pod innego użytkownika (CZ).
• Nielegalne użycie oraz obchodzenie się z oprogramowaniem (CZ).
• Awaria techniczna składników sieci (CZ, naturalna).
• Błąd transmisji (CZ, N).
• Uszkodzenie lub przeciążenie linii (CZ, N).
• Podsłuch (CZ).
• Niewłaściwe wykorzystanie z zasobów (CZ).
• Błędy, nieuwaga, niedbalstwo użytkowników (CZ).
8
Wyróżnia się trzy źródła pochodzenia zagrożeń: spowodowane przez człowieka (CZ), naturalne (N), środowiskowe (S).
101
Załącznik B
Lista podatności oraz odpowiadające im zagrożenia
1. Środowisko i infrastruktura:
• Brak fizycznej ochrony budynku, drzwi i okien (np. kradzież, nieupoważniony dostęp
do informacji).
• Niewłaściwe lub nieuważne użycie fizycznej kontroli dostępu do budynków, pomieszczeń (np. umyślna szkoda).
• Niestabilna sieć elektryczna (np. wahania napięcia prądu).
• Lokalizacja na terenie zagrożonym powodzią (np. zalanie).
2. Sprzęt:
• Brak planów okresowej wymiany (np. zużycie nośników).
• Podatność na zmiany napięcia (np. wahania napięcia prądu).
• Podatność na zmiany temperatury (np. zagrożenie ekstremalnymi temperaturami).
• Podatność na wilgotność, kurz, zabrudzenie (awarie przez kurz).
• Wrażliwość na promieniowanie elektromagnetyczne (promieniowaniem elektromagnetycznym).
• Niewłaściwa konserwacja lub wadliwa instalacja nośników (błędy konserwacji).
• Brak sprawnej kontroli zmian w konfiguracji (błędy personelu obsługującego).
3. Oprogramowanie
• Niejasny lub niekompletny opis techniczny dla użytkowników (awaria oprogramowania).
• Brak lub niedostateczne przetestowanie oprogramowania (użycie oprogramowania
przez nieuprawnionych użytkowników).
• Skomplikowany interfejs użytkownika (błędy personelu obsługującego).
• Brak mechanizmów identyfikacji i uwierzytelnienia takich jak uwierzytelnienie użytkowników (podszywanie się pod tożsamość użytkownika).
• Brak śladów dla audytu (użycie oprogramowania w nieuprawniony sposób).
• Dobrze znane wady dla oprogramowania (użycie oprogramowania przez nieuprawnionych użytkowników).
• Niechronione tablice haseł (podszywanie się pod tożsamość użytkownika).
• Złe zarządzenie hasłami tj. słabe hasła, przechowywanie haseł w postaci jawnej, zbyt
rzadkie zmiany (maskarada tożsamości użytkownika).
• Niewłaściwy przydział uprawnień do dostępu (użycie oprogramowania
w nieuprawniony sposób).
• Brak kontroli pobierania i używania oprogramowania (złośliwe oprogramowanie).
• Brak konieczności wylogowania się po opuszczeniu stanowiska pracy (użycie oprogramowania przez nieuprawnionych użytkowników).
• Brak efektywnej kontroli zmian (awaria oprogramowania).
• Brak dokumentacji (błędy personelu obsługującego).
• Brak kopii zapasowych (złośliwe oprogramowanie i lub zagrożenie pożarem).
• Usuwanie lub ponowne użycie nośników bez odpowiedniego kasowania ich zawartości (użycie oprogramowania lub informacji przez nieuprawnionych użytkowników).
3. Łączność:
• Niechronione linie łącznoći – np. linie telefoniczne (zagrożenie podsłuchem).
• Złe łączenie kabli (infiltracja łączności).
102
Brak identyfikacji i uwierzytelnienia nadawcy i odbiorcy (podszycie się pod użytownika).
• Przesyłanie haseł w postaci jawnej (dostęp do sieci przez nieuprawnionych użytkowników).
• Brak dowodu wysłania lub odebrania wiadomości (zaprzeczenia).
• Linie komutowane (dostęp do sieci przez nieuprawnionych użytkowników).
• Niechroniony wrażliwy ruch (podsłuch).
• Nieodpowiednie zarządzanie siecią – odporność routingu na uszkodzenia (przeciążenie ruchu).
• Niechronione połączenia do sieci publicznej (użycie oprogramowania przez nieuprawnionych użytkowników).
4. Dokumenty:
• Niechronione przechowywanie (kradzież).
• Nieodpowiednie niszczenie (kradzież, ujawnienie danych chronionych).
• Niekontrolowane kopiowanie (kradzież).
5. Personel:
• Nieobecność prersonelu (niedobór personelu).
• Praca personelu zewnętrznego lub sprzątającego bez nadzoru (kradzież).
• Niedostateczne szkolenia w zakresie bezpieczeństwa (błędy personelu obsługującego).
• Niewyszkoleni użytkownicy (błędy personelu obsługującego).
• Brak świadomości bezpieczeństwa (błędy użytkwonika).
• Niewłaściwe użycie oprogramowania i sprzętu (błędy personelu obsługującego).
• Niewłaściwy wybór i użycie haseł (nieautoryzowany dostęp, ujawnienie informacji
chronionch, kradzież).
• Brak mechanizmów monitorowania (użycie oprogramowania w niewłaściwy sposób).
• Brak polityk właściwego użycia środków łączności i komunikowania się (użycie instalacji sieciowych w nieuprawniony sposób).
• Niewłaściwe procedury zatrudnienia (umyślna szkoda).
6. Podatności mające zastosowanie ogólne.
• Pojedynczy punkt uszkodzenia (awaria usług łączności).
• Niewłaściwa reakcja serwisu dokonującego konserwacji (awaria sprzętu).
•
103
Załącznik C
Jakościowa analiza ryzyka Instytutu
Poniższa tabela przedstawia jakościową analizę ryzyka dla Instytutu. W pierwszej kolumnie
zostały przedstawione główne zagrożenia dla zasobów i usług. Dla każdego zagrożenia jest
wyliczane trzykrotnie (patrz niżej) ryzyko (MR), które jest iloczynem poziomu zagrożenia
(Poz. Zagrożenia) i częstotliwości wystąpienia takiego zagrożenia (Częst. Wyst.). Poziom
zagrożenia oznacza wpływ takiego zagrożenia na zasoby instytucji i jest wyznaczony jako
liczba z zakresu 1-10. Wartość 1 oznacza minimalny, prawie niezauważalny wpływ niebezpieczeństwa, natomiast poziom 10 oznacza katastrofalny wpływ, rozumiane jako stuprocentowe zniszczenie zasobów lub kompletne zablokowanie procesów zachodzących w instytucji.
Częstotliwość występowania jest wyznaczana jako iloczyn liczby wystąpień takich zagrożeń
w okresie czasu liczonym w latach (wartość 50 oznacza 50 wystąpień w jednym roku, 0,2
oznacza wystąpienie zagrożenia raz na pięć lat). Miara ryzyka została wyznaczana trzykrotnie:
• Pierwsza wartość ryzyka znajduje się w kolumnach 2,3,4 i oznacza sytuację, w której
nie występują żadne zabezpieczenia.
• Drugie wyliczenie ryzyka, znajdujące się w kolumnach 6,7,8 uwzględnia istniejące
zabezpieczenia wylistowane w kolumnie 5 (Inst.).
• Ostatnie wyliczanie ryzyka, znajdujące się w kolumnach 9,10,11 uwzględnia zabezpieczenia dodatkowe wylistowane w kolumnie 6 (Sug.), które mogłyby zostać wdrożone w celu zwiększenia bezpieczeństwa w instytucji.
Miarę ryzyka można próbować obniżyć dwoma sposobami: poprzez ograniczenie ich wpływu
na zasoby Instytutu lub redukując częstotliwość ich wystąpień. Zabezpieczenia mogą redukować obie te wartość. Należy jednak mieć na uwadze, że źle wdrożone, skonfigurowane lub
nieaktualne zabezpieczenia mogą spowodować wzrost ryzyka dla określonego zagrożenia
(wzrost poziomu zagrożenia lub/oraz częstotliwości ich wystąpienia). Poniżej w tabeli zostały
rozwinięte skróty zabezpieczeń oraz dokładnie opisana ścieżka dla zagrożenia Wirusowego.
Tabela 10 Analiza jakościowa Instytutu
Miara Ryzyka
Zabezpieczenia
Wpływ zabezpieczeń
Inst.
Sug.
Poz.
Zagrożenia
Częst.
MR
Inst.
Sug.
Zagrożeń
Poz.
Częst.
Poz.
Częst.
Wyst.
-efektyw.
Zagrożeń Wyst. MR Zagrożeń Wyst. MR
Kradzież
Sprzętu
10
SKD,
50 Ochr.
SP
2
SP, SZ
PF, GW,
IDP, SP
PF, GW,
IDP, SP
3
9
UPS,
klimat.
3
9 Serwis
Sys.
500 5000 AntyVir.
Sys.
200 1800 AntyVir.
Awaria
Oprogram.
4
100
Serwis.
Szkol.
400 Adm.
Łamanie
Praw
Licencji
7
50
350 OPU
Awaria
Sprzętu
Zarażenie
Wirusami
Zarażenie
Spyware
5
3
10
0,2
0,4
2
3
9
2
1
2
10
30
300
6
15
90
9
20
180
7
10
70
SP, OPU
4
100
400
3
40 120
SP, SZ
7
50
350
7
30 210
104
0,1 0,2
Przejęcie
Kontroli
(hacking)
Nieaut.
Użycie
Oprog.
Kradzież
informacji
Zniszcz.
informacji
Ujawnienie
informacji
Modyf.
informacji
Przerw.
Dział.
Sieci
Podsłuch
Brak
Rozliczal.
SID, IDP,
SP
PF, PSSL,
GW
10
3
30
7
0,5 3,5
Uwierz.
Domeny,
400 SKD
SP, 802.1x
2
1
2
2
0,5
1
10
SKD,
FW, FP,
100 1000 OPU
SP, 802.1x,
PF, IDP,
ARW
10
0,5
5
10
0,2
2
10
SKD,
FW, FP, SP, 802.1x,
150 1500 OPU, BK PF, IDP
10
10
100
10
0,5
5
10
SKD,
FW, FP,
100 1000 OPU
SP, 802.1x,
PF, IDP,
ARW
10
0,5
5
10
0,3
3
10
SKD,
FW, FP, SP, 802.1x,
200 2000 OPU, BK PF, IDP
10
0,5
5
8
0,2 1,6
6
2
12
6
0,5
5
0,3
1,5
3
0,2 0,6
8
140 1120
6
50 300
10
2
10
8
5
9
9
Przeciąż.
Ruchu
5
Nieaut.
Połącz.
Zewnątrz
9
Atak Sql
200
6
Nieupraw.
Dostęp
DoS
OPU,
150 1500 FW, FP
10
6
UPS,
STP,
60 2*ISP
HTTPS,
40 IPSEC
150 1350 SysLog
PA, Dok,
HA
SP, ZKS,
SMIME
SZ, SAL
FW,
OPU,
SP, 802.1X,
150 1350 FP, SKD PF, IDP, PX
STP, FP,
FW.
200 1000 BAS
IDP, SZ, SP
FW, FP,
300 2700 OPU
FW,
200 2000 BKU
FW,
30 180 BKU
IDP, 802.1x,
PX, PBX
IDP, PX,
ZKS
IDP, PX
7
20
140
7
10
3
2
6
3
0,5 1,5
9
150 1350
9
30 270
10
100 1000
10
70 700
6
20
120
5
Zabezpieczenia:
• SKD – System kontroli dostępu.
• Ochr. – Ochrona fizyczna budynku, pomieszczeń (np. strażnicy, bramy).
• OPU – Ograniczenie praw użytkowników. Logiczne systemy zarządzające prawami
dostępu do usług i zasobów Instytutu.
• FW – Firewall
• FP – Filtry pakietów zrealizowane na urządzeniach sieciowych takich jak przełączniki,
routery, oprogramowanie na serwerach.
• STP – Spanning Tree Protocol. Protokół dostępny na przełącznikach, umożliwiający
komunikację w sieci w przypadku awarii przełącznika.
• BAS – Bezpieczna architektura sieci. Przemyślane, kompletne i bezpieczne stworzenie
architektury sieci; rozmieszczenie serwerów z usługami; wdrożenie zabezpieczeń.
105
3
10
70
50
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
BKU – Bezpieczna konfiguracja usług. Wdrożenie systemu zarządzania konfiguracją
oraz weryfikacja słuszności i efektywności konfiguracji urządzeń i serwerów sieciowych.
SP – Szkolenia pracowników. Stworzenie programów uświadamiających
o bezpieczeństwie jak i wytycznych postępowań dla pracowników.
SZ – System zarządzania. Wdrożenie systemu zarządzania zmianami.
GW – Brama Antywirusowa. Niezależne urządzenia skanujące ruch sieciowy pod kątem obecności wirusów i innego złośliwego oprogramowaniami np. spyware.
IDP – Systemy wykrywania i przeciwdziałania włamań (IDS/IPS). Systemy analizujące ruch sieciowy oraz zachowanie urządzeń w celu wykrycia ataków lub nieprawidłowości.
SID – System integralności danych. Wdrożenie systemu do badania nieautoryzowanych zmian w konfiguracji, plikach systemowych lub oprogramowaniu.
PSSL – Proxy SSL. Wdrożenie systemu pośredniczącego dostępem do usług znajdujących się w sieci wewnętrznej oraz zapewnienia poufności i autentyczności dla przychodzących połączeń.
ARW – Autoryzacja ruchu wejściowego. System dodatkowo autoryzujący użytkowników łączących się do sieci Instytutu z Internetu.
BK – Backup. System zarządzania archiwizacją danych.
PA – Plany awaryjne (BCP) i procedury odzyskiwania (PR). Wdrożenie planów
i procedur zapewniający ciągłość działania głównych procesów zachodzących
w instytucji oraz sposobów określających jak należy się zachować w przypadku awarii.
ZKS – Zawansowana konfiguracja sieci.
SAL – System analizy logów. Wdrożenie urządzenia analizującego dzienniki zdarzeń
z różnych systemów i urządzeń z sieci Instytutu.
PX – Proxy. System pośredniczący połączeniom z sieci zaufanej do sieci niezaufanej.
SMIME – Szyfrowanie i podpis elektroniczny dla poczty elektronicznej.
PBX – Konfiguracja centrali telefonicznej.
Szczegółowy opis ścieżek dla wybranych zagrożeń:
• Wirusy oraz inne złośliwe oprogramowanie np. robaki, konie trojańskie, spyware.
Wyznaczenia ryzyka (MR) dla:
o Braku zabezpieczeń. Wpływ zagrożeń został oszacowany na wartość 10, ponieważ
autorzy tego dokumentu uważają że obecnie ataki są bardzo prawdopodobne
i niebezpieczne. Podobne opinie przedstawiają statystyki prowadzone przez czołowe firmy zajmujące się problematyką bezpieczeństwa. Atak robaka internetowego może doprowadzić do zablokowania systemów oraz sieci internetowych (np.
robak Sasser, który skutecznie zablokował ogromną liczbę komputerów w sieci Internet). Możliwość szybkiej infekcji na inne komputery to kolejny argument, że
zagrożenie jest bardzo niebezpieczne. Także częstotliwość występowań tego typu
oprogramowania jest duża. Autorzy niniejszej pracy oszacowali wartość na 500
wystąpień w roku, tj. ok 1,4 dziennie dla wszystkich komputerów z Instytutu. Miara ryzyka została wyliczona na 5000.
o Istniejących zabezpieczeń. Po zastosowaniu Systemu Antywirusowego na wszystkich jednostkach komputerowych oraz serwerach w Instytucie poziom zagrożenia
został obniżony. Redukcja miary ryzyka została dokonana przez obniżenie wartości częstotliwości występowań (obniżenie z 5000 do 30 w skali roku). Znaczące
obniżenie jest związane z faktem, że systemy antywirusowe mają aktualne bazy
106
danych szczepionek antywirusowych. Miara ryzyka wyniosła 300. Jeśli taki poziom ryzyka jest za duży należy rozważyć zastosowanie dodatkowych środków
zabezpieczeń.
o Sugerowanych zabezpieczeń. Jeśli w Instytucie zostałyby wdrożone zabezpieczenie w postaci bramki antywirusowej, systemu wykrywania włamań oraz programów szkoleniowych, poziom ryzyka uległby redukcji. Zastosowanie centralnej
bramki antywirusowej przyspieszyłoby czas pobierania aktualizacji definicji wirusów oraz dawało niezależność od konfiguracji stacji roboczych i serwerów. Jeden
system centralny skracałby czas, w stosunku do systemu rozproszonego posiadającego około 300 komputerów do aktualizacji, w którym sieć Instytutu byłaby niezabezpieczona przed nowymi wirusami. Zastosowanie bramki powinno być wyłącznie traktowane jako dodatkowe zabezpieczenie. Oprogramowanie antywirusowe na jednostkach klientów powinno być przez cały czas utrzymywane na wypadek dostania się wirusa z innego źródła niż Internet np. przez sieć wewnętrzną
lub zewnętrzny nośnik. Systemy wykrywania włamań mogą skutecznie stwierdzić
fakt ataku robaka internetowego lub innego złośliwego oprogramowania poprzez
mechanizmy analizowania ruchu sieciowego. Rozwiązania techniczne nie zapewnią skutecznej walki z zagrożeniem wirusowym. Elementem dopełniającym powinno być przeszkolenie pracowników. Wiedza i umiejętność rozpoznawania zagrożeń związanych z atakami złośliwego oprogramowania może przyczynić się do
wczesnego ich identyfikowania oraz eliminowania. W powyższej tabeli miara ryzyka została obniżona przez dwa czynniki. Poziom zagrożenia został zmniejszony
z 10 do 6. Spadek wartości jest związany głównie z programem szkoleniowym,
ponieważ wczesna identyfikacja ataku złośliwego oprogramowania może skutecznie wyeliminować niebezpieczeństwo zanim zdoła ona wyrządzić szkody. Oprócz
poziomu zagrożenia została zmniejszona wartość częstotliwości wystąpień z 30 do
15. Miara ryzyka w ostatnim przypadku wyniosła 90. Nie jest możliwe zmniejszenie tej wartości do 0 ponieważ zawsze istnieje ryzyko szczątkowe, którego nie jesteśmy w stanie wyeliminować.
107
Załącznik D
Polityka bezpieczeństwa informacji w Instytucie
Wstęp
Rozwój nowych technologii informatycznych, przekazu i dostępu do informacji wymusza wprowadzenie bardziej skutecznych metod, mechanizmów oraz procedur zarządzania
bezpieczeństwem informacji. Ochrona informacji i niezakłóconego dostępu do nich wymaga
zaangażowania się całego przedsiębiorstwa. Każda osoba niezależnie, czy jest to pracownik,
czy osoba będąca w współpracy z Instytutem powinna uczestniczyć w globalnej ochronie
informacji. Polityka bezpieczeństwa informacji stanowi zbiór dokumentów informacyjnych,
regulaminów i zasad określających szczegółowe postępowanie, zapewniające bezpieczny sposób uzyskania dostępu do danych Instytutu, sposób obchodzenia się z tymi danymi oraz zakończenia swojego dostępu do nich. Polityka bezpieczeństwa informacji informuje jak dane
są zarządzane oraz zabezpieczane. Określa, które informacje podlegają ochronie ze względu
na dobro Instytutu jak i wymogi prawa. Niezakłócone funkcjonowanie procesów przetwarzania informacji w Instytutu jest strategicznym czynnikiem jego działalności. Zapewnienie ciągłości działania Instytutu i jej rozwoju zależy w dużej mierze również od bezpieczeństwa informacji oraz systemów, w których informacja jest przechowywana. W związku z powyższym ustanawia się politykę bezpieczeństwa informacji, której podstawowe założenia określa
niniejszy dokument.
Dokument określa bezpieczeństwo informacji danych przechowywanych na nośnikach elektronicznych, w systemach informatycznych, przesyłanych pocztą elektroniczną lub za pomocą
urządzeń elektronicznych.
Do tworzenia i rozwijania zasad polityki bezpieczeństwa informacji w Instytucie wykorzystywane są obowiązujące w tym zakresie normy i standardy oraz doświadczenie płynące ze
sprawdzonych rozwiązań praktycznych. Zasady te są zgodne z obowiązującymi przepisami
prawa nakładającymi obowiązek ochrony określonych kategorii informacji w szczególności:
tajemnicy przedsiębiorstwa, danych osobowych, tajemnicy państwowej oraz tajemnicy służbowej.
Cele
Głównym celem niniejszej polityki bezpieczeństwa jest osiągnięcie odpowiedniego poziomu
organizacyjnego i technicznego, który umożliwi:
• zachowanie poufności w stosunku do informacji chronionych,
• zachowanie integralności, dostępności do informacji jawnych oraz chronionych,
• zagwarantowanie odpowiedniego poziomu bezpieczeństwa informacji znajdujących
się nośnikach elektronicznych,
• analizę zagrożeń dla bezpieczeństwa informacji oraz maksymalne ograniczenie ich
wystąpienia,
• zapewnienie poprawnego i bezpiecznego działania wszystkich systemów informatycznych,
• identyfikację nadużyć oraz podjęcie odpowiednich działań w sytuacjach kryzysowych.
108
Zakres
Poniższa polityka bezpieczeństwa informacji ma zastosowanie do wszystkich pracowników, współpracowników Instytutu Łączności oraz do wszystkich urządzeń podłączonych do
sieci komputerowej Instytutu Łączności.
Strategia
W celu osiągnięcia sukcesu w procesie wdrażania polityki bezpieczeństwa informacji
w Instytucie zastosowano poniższe kroki:
• określono oraz sklasyfikowano aktywa informatyczne Instytutu, pod względem ich
ważności (między innymi wprowadzono podział na informacje jawne i chronione),
• określono informacje stanowiące tajemnicę przedsiębiorstwa, tj. dane szczególnie
ważne dla Instytutu mające wpływ na jego dobro, interes i pozycję na rynku,
• określono informacje chronione ze względu na wymogi prawne,
• pogrupowano informacje chronione w celu ułatwienia sposobu ich zarządzania,
• określono organizacyjne i techniczne wymogi bezpieczeństwa przetwarzanych informacji,
• utworzono struktury organizacyjne odpowiedzialne za zarządzanie bezpieczeństwem
i przetwarzaniem informacji,
• dokonano analizy ryzyka i obszarów jego oddziaływania dla poszczególnych informacji chronionych w celu zapewniania ciągłości i bezpieczeństwa,
• wdrożono rozwiązania techniczne zapewniające wymagany poziom bezpieczeństwa
przetwarzanych informacji, tj. zabezpieczenia fizyczne oraz systemy zabezpieczające
sieci i systemy informatyczne,
• stworzono plany i strategie dotyczące dalszego wdrażania zabezpieczeń,
• stworzono dokumentację, procedury oraz instrukcje postępowania oraz plany awaryjne dla systemów oraz informacji w nich przetwarzanych,
W celu zapewnienia pełnego rozumienia reguł polityki bezpieczeństwa, jak również podnoszenia świadomości z zakresu bezpieczeństwa informatycznego będą organizowane szkolenia
pracowników.
Przeprowadzanie okresowych audytów bezpieczeństwa będzie pomocne w procesie sprawdzania egzekwowania polityki bezpieczeństwa, jak również w identyfikacji nowych zagrożeń
bezpieczeństwa informatycznego.
Polityka bezpieczeństwa informacji i związana z nią strategia ochrony będą na bieżąco aktualizowane w celu dostosowania do zmian prawnych i uwzględnienia szybko postępującego
rozwoju technologii i usług informatycznych.
Zgodność polityki bezpieczeństwa informacji z wymogami prawa
Informacje w Instytucie są chronione zgodnie z wymogami prawa w zakresie ochrony informacji, w tym:
I. ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93
II. ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. Nr 88, poz. 553 z późniejszymi
zmianami),
109
III. ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity: Dz. U. z 1998 r. Nr 21,
IV. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 Nr 101,
V. ustawy z dnia 29 sierpnia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz.
95 z późniejszymi zmianami),
VI. ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. Nr 47,
VII. ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. Nr 114, poz. 740
VIII. ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr 121, poz. 591
z późniejszymi zamianami),
IX. ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. Nr 24,
X. ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznych (Dz. U. Nr 112,
poz. 1198 z późniejszymi zmianami).
Podstawowe wymagania w zakresie ochrony informacji
1. Wszyscy pracownicy Instytutu, stosownie do swoich obowiązków i zajmowanych stanowisk, są odpowiedzialni za przestrzeganie zasad zawartych w niniejszej polityce
bezpieczeństwa informacji oraz zasad ujętych w regulaminie sieci komputerowej,
zgodnie z zarządzeniem nr 7 Dyrektora Instytutu Łączności z dnia 10 maja 1998 roku,
rozwiniętych w dokumentach towarzyszących, przedstawiających szczegółowe instrukcje, co potwierdzają własnoręcznym podpisem.
2. Polityka bezpieczeństwa jest wprowadzona w życie zarządzeniem Dyrektora Instytutu.
3. Pracownicy, którzy mają dostęp do danych osobowych muszą być dopuszczeni do
nich na zasadach określonych w przepisach o ochronie danych osobowych (ustawa
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [Dz. U. Nr 11, poz. 95
z późn. zm.]).
4. Pracownicy, którzy mają dostęp do informacji niejawnych muszą być dopuszczeni do
nich na zasadach określonych w przepisach o ochronie informacji niejawnych (ustawa
z dania 22 stycznia 1999 r. o ochronie informacji niejawnych [Dz. U. Nr. 11, poz. 95
z późn. zm.]).
5. Ochrona informacji bazuje na restrykcyjnej kontroli dostępu przetwarzanych danych.
W odniesieniu do informacji sklasyfikowanych jako chronione w Instytucie obowiązuje zasada „wiedzy uzasadnionej”, zgodnie z którą dostęp do tej kategorii informacji
powinien być uzasadniony realizacją powierzonych zadań. W przypadku braku takiego uzasadnienia odmawia się dostępu do danych chronionych i usług systemu.
6. Wszyscy pracownicy Instytutu mający dostęp do informacji chronionych powinni być
okresowo szkoleni z zasad ich ochrony.
7. Osoby nie będące pracownikami Instytutu składają pisemne zobowiązania
o zachowaniu poufności informacji chronionych, z którymi zapoznali się w związku
z wykonaniem pracy na rzecz Instytutu.
8. Podmioty zewnętrzne świadczące usługi na rzecz Instytutu podpisują umowę
o zachowaniu poufności informacji chronionych, które zostały im przekazane lub udostępnione w związku z realizacją tych usług.
9. Pomieszczenia, w których przetwarzane będą informacje chronione muszą być zabezpieczone przed nieautoryzowanym dostępem, wpływami środowiska zgodnie
110
z zapisami ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia [Dz. U. Nr. 114,
poz. 740 z późn zm.].
10. Urządzenia, na których są przechowywane i przetwarzane informacje chronione muszą być zabezpieczone przed niekontrolowanym i niepowołanym dostępem, kradzieżą,
wpływami środowiska.
11. Prawa autorskie oraz licencje zarówno pracowników, jak i osób trzecich muszą być
chronione zgodnie z zapisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim
i prawach pokrewnych [Dz. U. Nr 24m poz. 83 z późn. zm.].
Zasady polityki bezpieczeństwa
Postanowienia ogólne
1. Niniejszy dokument obowiązuje pracowników Instytutu Łączności i jego gości, czasowo przebywających w Instytucie oraz osób współpracujących.
2. Wszystkie informacje stanowiące tajemnicą przedsiębiorstwa podlegają ochronie.
3. Wszystkie informacje zawarte na wszystkich rodzajach komputerowych nośników informacji w Instytucie są jego własnością. Wyjątek stanowią informacje objęte odrębnymi umowami zawartymi z osobami trzecimi.
4. Programy, aplikacje, dokumenty, wyniki i analizy stworzone przez pracowników Instytutu stanowią własność placówki, chyba, że co innego wynika z odrębnych umów.
5. Informacje w Instytucie dzieli się na: informacje jawne i informacje chronione.
6. Wszystkie informacje w Instytucie uznaje się za jawne, jeżeli nie zostały oznaczone
jako chronione.
7. Informacje chronione dzieli się na informację stanowiące tajemnicę przedsiębiorstwa
oraz informacje prawnie chronione.
8. Klasyfikację informacji jako „tajemnica przedsiębiorstwa” w Instytucie nadaje lub odbiera Dyrektor lub Kierownicy Jednostek Organizacyjnych Instytutu.
9. Informacje chronione w Instytucie to:
•
Informacje finansowo-księgowe.
•
Informacje kadrowo-płacowe.
•
Informacje o klientach (tj. tajemnice przedsiębiorstwa, dane osobowe).
•
Informacje stanowiące tajemnicę przedsiębiorstwa (m. innymi informacje
badawcze, techniczne, technologiczne, dot. ochrony informacji oraz systemów informatycznych w Instytucie),
Niniejsza polityka bezpieczeństwa nie obejmuje informacji niejawnych. Za ich ochronę odpowiada pełnomocnik do spraw ochrony informacji niejawnych zgodnie
z zarządzeniem nr. 1 Dyrektora Instytutu Łączności z dnia 26 stycznia 2005.
111
10. Informacje chronione posiadają swoich administratorów odpowiedzialnych za zarządzanie tymi aktywami oraz nadawanie odpowiednich uprawnień dostępu użytkownikom do tych informacji. Użytkownicy powinni należycie dbać i obchodzić się z tymi
informacjami oraz być świadomi swojej odpowiedzialności za przetwarzanie wyżej
opisanych danych.
11. W Instytucie będą przeprowadzane okresowe audyty bezpieczeństwa teleinformatycznego Instytutu zlecone przez Dyrektora lub kierownika Ośrodka Informatyki.
Zasady wykorzystania informacji
1. Dostęp do informacji chronionych mają jedynie osoby upoważnione do takiego dostępu przez Dyrektora lub Kierowników Jednostek Organizacyjnych zarządzających tymi
informacjami. ISO 17799 9.2 Zarządzanie dostępem użytkowników.
2. Nieuprawnione ujawnienie, przekazanie lub pozyskiwanie informacji chronionych jest
ciężkim naruszeniem obowiązków pracowniczych w rozumieniu Art. 52 Kodeksu
Pracy oraz powoduje pociągnięcie do odpowiedzialności karnej i cywilnej sprawcy
szkody. ISO 17799 12.1 Zgodność z przepisami prawnymi, 6.3 Reagowanie na naruszenie bezpieczeństwa (...).
Zasady udostępniania/przekazywania informacji chronionych
1. Udostępnianie informacji prawnie chronionych możliwe jest jedynie wówczas, gdy
odbiorcami są podmioty uprawnione do ich otrzymania na podstawie przepisów prawa
oraz upoważnione na podstawie umów zawartych z Instytutem w sposób w nich określony. ISO 17799 12.1 Zgodność z przepisami prawnymi, 4.2 Bezpieczeństwo dostępu
osób trzecich.
2. Udostępnianie informacji stanowiących tajemnicę przedsiębiorstwa możliwe jest jedynie wówczas, gdy odbiorcami są:
uprawnieni pracownicy,
współpracownicy upoważnieni przez Dyrektora Instytutu lub Kierowników
Jednostek Organizacyjnych,
podmioty uprawnione do ich otrzymywania na podstawie przepisów prawa,
podmioty upoważnione na podstawie umów zawartych z Instytutem w sposób
w nich określony.
ISO 17799 12.1 Zgodność z przepisami prawnymi, 4.2 Bezpieczeństwo dostępu osób
trzecich, 9.2 Zarządzenie dostępem użytkowników.
3. W przypadku, gdy udostępnienie dotyczy danych osobowych ze zbioru przetwarzanego w Instytucie, wniosek ten musi być zgodny z wzorem formularza określonego
w załączniku nr. 1 do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji
z dnia 3 czerwca 1998 r. w sprawie określenia wzorów wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz innego upoważnienia
i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych
Osobowych (Dz. U. Nr 80, poz. 522 ze zm.). ISO 17799 12.1 Zgodność z przepisami
prawnymi.
112
4. Informacje chronione są przekazywane uprawnionym podmiotom lub osobom za potwierdzeniem odbioru w następujący sposób:
listem poleconym,
teletransmisją danych zgodnie z procedurami ochrony danych podczas transmisji,
kopiowaniem na inny nośnik (zalecane jest użycie szyfrowania),
inny sposób określony konkretnym wymogiem prawnym lub umową.
ISO 17799 12.1 Zgodność z przepisami prawnymi, 5.2.2 Oznaczenie i postępowanie
z informacją.
5. Podmioty lub osoby, którym zostaną udostępnione informacje chronione Instytutu zobowiązane są podpisać stosowne oświadczenia o zachowaniu poufności. ISO 17799
12.1 4.2 Bezpieczeństwo dostępu osób trzecich, 4.3 Zlecenie przetwarzania na zewnątrz..
6. Wymagane jest potwierdzenie tożsamości osoby chcącej uzyskać informacje chronione. ISO 177995.2.2 Oznaczenie i postępowanie z informacją.
Zasady użytkowania nośników informacji chronionych
1. Termin nośniki oznacza nośniki magnetyczne, optyczne.
2. Należy chronić nośniki z informacjami chronionymi przed ich fizycznym uszkodzeniem, zniszczeniem, kradzieżą, ujawnieniem ich zawartości lub niewłaściwym używaniem. ISO 17799 7 Bezpieczeństwo fizyczne i środowiskowe.
3. Nośniki z informacjami chronionymi pod koniec dnia pracy powinny być zabezpieczone przed dostępem osób trzecich. ISO 17799 7.3.1 Polityka czystego biurka i czystego
ekranu, 7.3.2 Wynoszenie mienia.
4. Wszystkie nośniki z informacjami chronionymi muszą być oznaczone. ISO 17799
5 Klasyfikacja i kontrola aktywów.
5. Nośniki z informacjami chronionymi nie mogą opuszczać terenu Instytutu bez wcześniejszej zgody Kierownika Jednostki Organizacyjnej lub administratora tych informacji. ISO 17799 5.2.2 Oznaczenie i postępowanie z informacją.
6. Zniszczenie nośnika z informacjami chronionymi musi uniemożliwiać odtworzenie
oryginalnych danych. ISO 17799 8.6.2 Niszczenie nośników.
7. Utrata lub kradzież nośnika z informacjami chronionymi musi być niezwłocznie zgłaszania do Kierownika Jednostki Organizacyjnej lub administratora tych informacji.
ISO 17799 6.3.1 Zgłaszanie przypadków naruszenia bezpieczeństwa.
Zasady użytkowania systemu komputerowego oraz Internetu
113
1. Podstawowa instrukcja bezpieczeństwa
1. Incydenty lub podejrzenia nadużyć systemów informatycznych należy niezwłocznie
zgłaszać do swojego przełożonego lub pracowników Ośrodka Informatyki. ISO 17799
6.3.1 Zgłaszanie przypadków naruszenia bezpieczeństwa.
2. Wykryte słabości i nieprawidłowości w działaniu systemów informatycznych należy
niezwłocznie zgłaszać do pracowników Ośrodka Informatyki. ISO 17799 6.3.2 Zgłaszanie słabości systemu informatycznego.
3. Uprawnienia dostępu użytkowników do systemów komputerowych są przydzielane
w myśl zasady „uzasadnionego dostępu”, która określa maksymalne uprawnienia dla
użytkowników zgodnie z zajmowanymi funkcjami oraz zapotrzebowaniem
w niezakłóconej pracy. ISO 17799 9.2 Zarządzanie dostępem użytkowników.
2. Zasady bezpieczeństwa dla urządzeń, okablowania, sprzętu komputerowego oraz
sieciowego
1. Instytut Łączności musi posiadać system kontroli dostępu wykorzystywany do ochrony fizycznej sprzętu komputerowego oraz okablowania. ISO 17799 7.1 Obszary bezpieczne, 7.2 Zabezpieczenie sprzętu.
2. Zakup sprzętu lub podzespołów komputerowych musi odbywać się zgodnie
z zarządzeniem nr 4 Dyrektora Instytutu Łączności z dnia 25 stycznia 2001 r., w celu
sprawdzenia jego zgodności ze środowiskiem IT. ISO 17799 8.2 Planowanie i odbiór
systemu.
3. Instalacja oraz reinstalacja sprzętu lub podzespołów musi być dokonana przez pracownika Ośrodka Informatyki. ISO 17799 8.1 Procedury eksploatacji oraz zakresy
odpowiedzialności.
4. Za inwentaryzację sprzętu komputerowego odpowiada dział wskazany w regulaminie
organizacyjnym Instytutu Łączności. ISO 17799 5.1.1 Inwentaryzacja aktywów.
5. Za brak komponentów w powierzonym sprzęcie i za powiązany z nim sprzęt komputerowy odpowiada pracownik, któremu ten sprzęt został przypisany. ISO 17799 8.1
Procedury eksploatacji oraz zakresy odpowiedzialności.
6. Zmiana osoby odpowiedzialnej, użytkującej dany sprzęt musi być zgłoszona do działu
odpowiedzialnego za inwentaryzację sprzętu komputerowego w Instytucie. ISO 17799
8.1 Procedury eksploatacji oraz zakresy odpowiedzialności.
7. Zabrania się, aby użytkownicy sami dokonywali jakichkolwiek zmian komponentów
w sprzęcie komputerowym. Zabrania się w Instytucie podłączania własnych komponentów do jednostek komputerowych oraz podłączania do sieci komputerowej jakichkolwiek zewnętrznych urządzeń, w szczególności komputerów. Wyjątek stanowią
użytkownicy, którzy w porozumieniu z kierownikiem Ośrodka Informatyki mogą uzy-
114
skać specjalne zezwolenie na dokonywanie ww. zmian. ISO 17799 8.1 Procedury eksploatacji oraz zakresy odpowiedzialności.
8. Podłączenie sprzętu komputerowego do sieci lub zmiany jego lokalizacji odbywa się
przy obecności pracownika Ośrodka Informatyki. ISO 17799 7.2 Zabezpieczenie
sprzętu.
9. Korzystanie przez pracownika z usług serwisowych sprzętu komputerowego musi być
skonsultowane z pracownikiem Ośrodka Informatyki. ISO 17799 8.6.1 Zarządzanie
wyjmowanymi nośnikami komputerowymi.
10. Jakikolwiek sprzęt komputerowy pożyczany innym firmom, współpracującym
z Instytutem, może być wypożyczony po wcześniejszej zgodzie kierownika Ośrodka
Informatyki oraz podpisaniu specjalnego dokumentu na wypożyczenie sprzętu. ISO
17799 7.2 Zabezpieczenie sprzętu.
11. Każdy sprzęt przeznaczony do złomowania musi zostać sprawdzony i przygotowany
do usunięcia przez pracownika z Ośrodka Informatyki. ISO 17799 7.2.6 Bezpieczne
zbywanie sprzętu lub przekazanie do ponownego użycia.
12. Utrata i kradzież sprzętu musi być niezwłocznie zgłaszana do kierownika jednostki
organizacyjnej lub kierownika Ośrodka Informatyki. ISO 17799 6.3.1 Zgłaszanie
przypadków naruszenia bezpieczeństwa.
13. Sprzęt komputerowy musi zostać zaakceptowany zanim będzie wdrożony
w środowisku produkcyjnym. Instalacja powinna odbywać się w czasie dogodnym dla
użytkownika. ISO 17799 8.2 Planowanie i odbiór.
14. Strategiczny sprzęt komputerowy i sieciowy musi posiadać zabezpieczenia przed utratą, przerwami lub zmianami zasilania elektrycznego. ISO 17799 7.2.2 Zasilanie.
15. Serwery oraz urządzenia sieciowe przesyłające ruch sieciowy muszą być umieszczone
w specjalnych pomieszczeniach takich jak serwerownie lub węzły. Pomieszczenia te
są chronione przed nieupoważnionym dostępem przez dodatkowymi zabezpieczeniami
takimi jak wzmocnienie drzwi, dodatkowa autoryzacja, okratowane lub wzmacniane
okna. ISO 17799 7.1 Obszary bezpieczne.
16. Pomieszczenia typu serwerownia lub węzeł powinny być odporne na zagrożenia naturalne takie jak pożar, zalanie wodą, itp. Temperatura w tych pomieszczeniach powinna
być kontrolowana oraz spełniać wytyczne zgodnie z normami dla znajdującego się
w niej sprzętu informatycznego. ISO 17799 7.2.4 Konserwacja sprzętu.
17. Wszelkie zauważone przez użytkowników nieprawidłowości dotyczące okablowania
oraz gniazdek sieciowych muszą być zgłaszane do pracowników Ośrodka Informatyki. ISO 17799: 7.2.3 Bezpieczeństwo okablowania.
18. Wymaga się przestrzegania zasad systemu kontroli dostępu określonych
w zarządzaniu nr 8 Dyrektora Instytutu Łączności z dnia 8 listopada 2004. Zabrania
się pożyczenia kart identyfikacyjnych. Wymaga się, aby identyfikator znajdował się
przy pracowniku, umożliwiając jego identyfikację (na podstawie podstawowych da-
115
nych pracownika i jego zdjęcia) na terenie Instytutu Łączności. ISO 17799 7.1 Obszary Bezpieczne.
3. Zasady bezpieczeństwa dla oprogramowania i systemów operacyjnych
1. Wymaga się, aby zakup nowego oprogramowania był konsultowany z kierownikiem
Ośrodka Informatyki zgodnie z zarządzeniem nr 4 Dyrektora Instytutu Łączności
z dnia 25 stycznia 2001 dotyczącego „Zasad zakupu sprzętu komputerowego
i oprogramowania”. ISO 17799 8.2 Planowanie i odbiór systemu.
2. Aktualizacje krytyczne powinny być instalowane na serwerach i urządzeniach brzegowych (dostępnych z Internetu) niezwłocznie od chwili ukazania się poprawek. Aktualizacje krytyczne dotyczące serwerów i urządzeń oraz stacji roboczych nieosiągalnych z Internetu są instalowane w drugiej kolejności ze szczególnym uwzględnieniem
stabilności i ciągłości działania aktualizowanego oprogramowania. ISO 17799 10.1
Wymagania bezpieczeństwa systemów, 10.5.1 Procedury kontroli zmian.
3. Proces aktualizacji musi być przeprowadzany przy zastosowaniu środków ostrożności
mających na celu zachowanie dostępności aplikacji lub systemu operacyjnego. ISO
17799 10.4.1 Kontrola eksploatowanego oprogramowania.
4. Zainstalowanie oprogramowania musi być skonsultowane i zaakceptowane przez pracownika Ośrodka Informatyki. ISO 17799 8.2 Planowanie i odbiór systemu, 10.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej.
5. Oprogramowanie posiadane przez instytucję jest przeznaczone wyłączone do użytku
wewnętrznego, niekomercyjnego. Wyjątkiem jest oprogramowanie, którego zasady licencji pozwalają na użytkowanie w innych celach. ISO 17799 12.1 Zgodność
z przepisami prawnymi.
6. Wszystkie pochodzące z zewnątrz dyskietki lub inne media z danymi nie mogą być
użyte bez wcześniejszego sprawdzania ich przy pomocy odpowiedniego oprogramowania antywirusowego. ISO 17799 8.3 Ochrona przed szkodliwym oprogramowaniem.
7. Użytkownicy Instytutu posiadają ograniczone uprawnienia do instalacji oprogramowania. Wyjątkami są osoby, którym zwiększone uprawnienia są niezbędne do codziennej
pracy. Za przydział zwiększonych uprawnień odpowiedzialny jest kierownik Ośrodka
Informatyki. ISO 17799 9.2 Zarządzanie dostępem użytkowników.
4. Zasady bezpieczeństwa dotyczące korzystania ze stron internetowych:
1. Użytkownik powinien zachować ostrożność podczas przeglądania stron Internetowych, w szczególności zawierającymi gry losowe, oprogramowanie pirackie, mogące
zawierać treści o wysokim stopniu zagrożenia bezpieczeństwa komputera, m.in. wirusy komputerowe, trojany, oprogramowanie spyware. ISO 17799 8.3.1 Zabezpieczenie
przed szkodliwym oprogramowaniem.
2. Użytkownik powinien zachować szczególną ostrożność podczas ściągania plików
(w szczególności exe, js, vbs, bat, com, pif, scr, spl, cpl) oraz instalowania certyfika-
116
tów i programów. Użytkownik powinien zachować szczególna ostrożność przy wyskakujących okienkach internetowych (ang. pop up). W przypadku wątpliwości należy
skontaktować się z pracownikiem Ośrodka Informatyki ISO 17799 8.3.1 Zabezpieczenie przed szkodliwym oprogramowaniem.
3. Oprogramowanie wykorzystywane przy przeglądaniu stron internetowych musi być
odpowiednio skonfigurowane pod kątem bezpieczeństwa informatycznego. ISO 17799
10.1 Wymagania bezpieczeństwa systemów, 8.3.1 Zabezpieczenie przed szkodliwym
oprogramowaniem.
5. Zasady bezpieczeństwa dotyczące korzystania ze poczty elektronicznej:
1. Wymaga się, aby poczta elektroniczna była wykorzystywana wyłącznie w celach służbowych. ISO 17799 12.1 Zgodność z przepisami prawnymi.
2. Zabrania się użytkownikom otwierania załączników poczty elektronicznej, otwierania
stron poprzez linki umieszczone w treści lub odpowiadania na takie wiadomości, jeśli
pochodzą one z niewiadomego źródła. ISO 17799 8.7.4 Bezpieczeństwo poczty elektronicznej, 8.3 Ochrona przed szkodliwym oprogramowaniem.
3. Użytkownicy muszą uważnie wysyłać, odpowiadać lub przesyłać dalej wiadomości
pocztowe. Adresat powinien być dokładnie sprawdzony tak, aby wiadomość dotarła
do oczekiwanej osoby. ISO 17799 8.7.4 Bezpieczeństwo poczty elektronicznej, 8.3
Ochrona przed szkodliwym oprogramowaniem.
4. Zabrania się otwierania załączników z plikami samorozpakowującymi się lub typu
„exe, js, vbs, bat, com, bin, prg, class, ini, dpl, pif, dll, lbk, scr, spl, cpl” oraz otwierania linków umieszczonych w treści, nawet jeśli pochodzą one z wiadomego źródła
wówczas, gdy nie spodziewamy się otrzymać takiej wiadomości. Wystąpienie takiej
sytuacji należy zgłosić do pracownika Ośrodka Informatyki. ISO 17799 8.7.4 Bezpieczeństwo poczty elektronicznej, 8.3 Ochrona przed szkodliwym oprogramowaniem.
5. Zabrania się rozpakowywania załączników chronionych hasłem, jeśli pochodzą
z wiadomego źródła wówczas, gdy nie spodziewamy się otrzymać takiej wiadomości.
Wystąpienie takiej sytuacji należy zgłosić do pracownika Ośrodka Informatyki. ISO
17799 8.7.4 Bezpieczeństwo poczty elektronicznej, 8.3 Ochrona przed szkodliwym
oprogramowaniem.
6. Wysyłając pocztę z konta firmowego, która zawiera prywatne opinie, należy zaznaczyć,
że wypowiedzi nie są oficjalnym stanowiskiem Instytutu. ISO 17799 12.1 Zgodność
z przepisami prawa.
7. Zabrania się używania poczty w sposób, który mógłby źle wpłynąć na wizerunek Instytutu, na przykład wysyłania obraźliwych wiadomości pocztowych. ISO 17799 12.1
Zgodność z przepisami prawa.
117
8. Przesyłanie informacji chronionych przez Internet za pomocą poczty, stron internetowych lub w inny sposób powinno odbywać w bezpiecznym kanale
z uwierzytelnieniem nadawcy i odbiorcy. ISO 17799 10.3 Zabezpieczenia kryptograficzne.
9. Zabrania się wysyłania wiadomości pocztowych będących spamem (tzn. zawierających
informacje handlowe, reklamy lub inne materiały do osób nie zainteresowanych
otrzymywaniem takich informacji). ISO 17799 12.1 Zgodność z przepisami prawnymi.
10. Wiadomości pocztowe zawierające informacje handlowe oraz reklamy mogą być wysyłane, jeśli z odbiorcą był nawiązany wcześniejszy kontakt oraz może on w każdej
chwili zrezygnować (wypisać się) z otrzymywania takich wiadomości. Zaleca się, aby
informacje o możliwości wypisania się z listy były umieszczone na końcu wiadomości
pocztowej. Użytkownicy rozsyłający takie wiadomości, powinni zwracać uwagę na
źródła pozyskiwania adresów, w szczególności zgody osoby na posiadanie jej adresu
do takiej korespondencji. ISO 17799 12.1 Zgodność z przepisami prawnymi.
11. Zabrania się korzystać z programów umożliwiających fałszowanie lub wymazywanie
informacji znajdujących się w nagłówkach wiadomości pocztowych. ISO 17799 12.1
Zgodność z przepisami prawnymi.
12. Wielkość przesyłek pocztowych przekazywanych przez sieć Instytutu jest ograniczona. ISO 17799 11.1.1 Proces zarządzania ciągłości działania.
6. Zasady bezpieczeństwa dotyczące korzystania ze stanowiska komputerowego:
1. Należy stosować się do zasad bezpiecznego korzystania ze stanowiska komputerowego. ISO 17799 9.2 Zarządzanie dostępem użytkowników 9.3 Zakres odpowiedzialności
użytkowników.
2. Zabrania się przeprowadzania działań, które mogą mieć negatywny wpływ na całą
sieć lub elementy informatyczne Instytutu, jak również dla sieci i urządzeń zewnętrznych. Czynnością taką może być: skanowanie, monitorowanie sieci, próby uzyskania
większych uprawnień, omijanie zabezpieczeń, wykorzystanie słabości, czy nieautoryzowana zmiana konfiguracji sprzętu lub oprogramowania. Wyjątkami są działania
administratorów lub działania związane z zleconym przed Dyrektora Instytutu audytem teleinformatycznym. ISO 17799 12.1 Zgodność z przepisami prawnymi.
3. Wymaga się, aby użytkownicy podczas swojej nieobecności zamykali lub blokowali
sesje na swoich komputerach. ISO 17799 9.2 Zarządzanie dostępem użytkowników 9.3
Zakres odpowiedzialności użytkowników.
4. Wymaga się, aby użytkownicy zamykali na klucz drzwi podczas opuszczania pomieszczeń ze stanowiskami komputerowymi. ISO 17799 9.2 Zarządzanie dostępem
użytkowników 9.3 Zakres odpowiedzialności użytkowników.
7. Zasady bezpieczeństwa dotyczące haseł:
118
1. Hasła użytkowników muszą być tak dobrane, aby nie mogły być łatwo rozszyfrowane
przez osoby trzecie. Użytkownik jest zobowiązany do stosowania haseł charakteryzujących się odpowiednią złożonością oraz długością. Wymagania dotyczące hasła:
• hasło musi być dłuższe niż 7 znaków,
• hasło musi zawierać małe i duże litery, cyfry i znaki specjalne,
• hasło nie może być słowem słownikowym,
• hasło nie może zawierać informacji o właścicielu np. data urodzenia, imiona
osób bliskich.
ISO 17799 9.3.1 Używanie haseł.
2. Hasła muszą być okresowo wymieniane, przy czym okres zmiany hasła zależy od
uprawnień konta powiązanego z tym hasłem. ISO 17799 9.2.3 Zarządzanie hasłami
użytkowników.
3. Zabrania się ujawniania osobom trzecim haseł lub narażenia ich na utratę poufności na
przykład zapisując je na kartce papieru lub innym nośniku, który mógłby być łatwo
odczytany przez osoby trzecie, jak również przesyłaniu haseł przez sieć informatyczną
nie korzystając z bezpiecznego kanału transmisji. ISO 17799 9.3.1 Używanie haseł
4. Zabrania się wykorzystywania haseł, które służą do weryfikacji użytkownika
w Instytucie, w innych celach lub miejscach niezwiązanych z pracą w IŁ. ISO 17799
9.3.1 Używanie haseł
5. Początkowe hasła uzyskane przez pracownika podczas procedury zakładania konta
muszą być zmienione przy pierwszym logowaniu się użytkownika do systemów Instytutu. Hasła domyślne stosowane przez producentów sprzętu lub oprogramowania muszą być zmienione. ISO 17799 9.2.3 Zarządzanie hasłami użytkowników.
8. Zasady bezpieczeństwa dotyczące pracy zdalnej oraz komputerów przenośnych
1. Komputery przenośne podlegają takim samych ograniczeniom, jak jednostki stacjonarne znajdujące się w Instytucie. ISO 17799 9.8 Komputery przenośne i praca na odległość.
2. Użytkownicy posiadający komputery przenośne muszą zapewnić bezpieczeństwo fizyczne swoim urządzeniom. ISO 17799 9.8.1 Komputery przenośne, 7.2.5 Zabezpieczenie sprzętu poza siedzibą.
3. Użytkownicy korzystający z komputerów przenośnych są zobowiązani do zachowania
szczególnej ostrożności podczas łączenia się do sieci IŁ spoza Instytutu. ISO 17799
9.8.1 Komputery przenośne, 7.2.5 Zabezpieczenie sprzętu poza siedzibą.
4. Dostęp zdalny do sieci wewnętrznej Instytutu jest możliwy tylko przez serwisy oferowane przez Ośrodek Informatyki. ISO 17799 9.8.2 Praca na odległość..
5. Użytkownicy korzystający z pracy zdalnej muszą zapewnić bezpieczeństwo podczas
połączenia z siecią Instytutu, ochronę danych firmowych oraz bezpieczeństwo dostępu
do usług znajdujących się w sieci IŁ. ISO 17799 9.8.2 Praca na odległość..
119
9. Zasady dotyczące wykonywania kopii bezpieczeństwa danych
1. Nośniki kopii bezpieczeństwa z danymi muszą być chronione przed zniszczeniem
i kradzieżą. Nośniki kopii bezpieczeństwa zawierających dane chronione podlegają
takim samym ograniczeniom dostępu i ochrony jak nośniki przechowujące informacje
chronione. ISO 17799 8.6.3 Procedury postępowania z informacją, ISO 17799 12.1.3
Zabezpieczenie dokumentów instytucji.
2. Archiwizowanie danych musi być zgodne z obowiązującym stanem prawnym
w Instytucie oraz w Polsce. ISO 17799 12.1.3 Zabezpieczenie dokumentów instytutu,
12.1 Zgodność z przepisami prawa.
3. Użytkownik ma dostęp do dysków sieciowych serwerów podlegających okresowej archiwizacji. Użytkownik jest odpowiedzialny za wykonanie kopii bezpieczeństwa swoich istotnych danych. Użytkownik powinien okresowo kopiować istotne dane na swój
dysk sieciowy. ISO 17799 8.4.1 Zapasowe kopie informacji.
4. Administratorzy serwerów są odpowiedzialni za wykonywanie kopii bezpieczeństwa
danych oraz za udostępnianie danych ich właścicielom. ISO 17799 8.4.1 Zapasowe
kopie informacji.
10. Zasady bezpieczeństwa przy konfigurowaniu, administrowaniu i zarządzaniu
systemami oraz sieciami informatycznymi
1. Przy tworzeniu i wdrażaniu projektów informatycznych lub tworzeni i rozbudowie
sieci komputerowej należy zadbać o ich zgodność z bezpieczeństwem informatycznym. ISO 17799 8.2 Planowanie i odbiór systemu.
2. Kluczowe usługi Instytutu muszą posiadać mechanizmy kontroli dostępu,
w szczególności dotyczy to usług dostępnych przez Internet. ISO 17799 9.4 Kontrola
dostępu do sieci.
3. Sieć Instytutu musi być chroniona przez odpowiednio skonfigurowane urządzenia
brzegowe. ISO 17799 9.4 Kontrola dostępu do sieci.
4. Serwery z krytycznymi usługami muszą posiadać mechanizmy zabezpieczające przed
zagrożeniami naruszającymi bezpieczeństwo. ISO 17799 9.5 Kontrola dostępu do systemów operacyjnych.
5. Sieć Instytutu musi posiadać dokumentację opisującą jej budowę oraz działające
w niej systemy. ISO 17799 11.1 Aspekty zarządzania ciągłością działania.
6. Antywirusowe oprogramowanie z aktualnymi definicjami musi być zainstalowane
i skonfigurowane na wszystkich komputerach i serwerach, które tego wymagają. ISO
17799 8.3.1 Zabezpieczenie przed szkodliwym oprogramowaniem.
7. Administratorzy systemów informatycznych są zobowiązani do śledzenia informacji
na temat wykrywania błędów ich systemów oraz o ukazujących się do nich poprawkach w celu szybkiego wprowadzenia aktualizacji. ISO 17799 8.1.2 Kontrola zmian
w eksploatacji.
120
8. Sieć Instytutu musi posiadać dedykowany serwer specjalizujący się
w przechowywaniu kopii dzienników zdarzeń z innych serwerów oraz urządzeń sieciowych. ISO 17799 9.7 Monitorowanie dostępu do systemu i jego użycia.
9. Wymaga się, aby zainstalowane aplikacje i usługi w systemach informatycznych posiadały jak najmniejsze uprawnienia systemowe, niezbędne do prawidłowej pracy. ISO
17799 10.2 Bezpieczeństwo systemów aplikacji.
10. Sieć Instytutu musi posiadać środki do ochrony poczty elektronicznej, umożliwiające
filtrowanie wiadomości zawierających wirusy, spam, nieprawidłowe wiadomości oraz
załączniki o niebezpiecznych rozszerzeniach. ISO 17799 8.3 Ochrona przed szkodliwym oprogramowaniem.
11. Konfiguracja urządzeń sieciowych przez administratorów sieci Instytutu musi odbywać się z wykorzystaniem bezpiecznych kanałów transmisji. ISO 17799 8.5 Zarządzanie sieciami.
12. Prace administracyjne powinna odbywać się w czasie dogodnym dla użytkowników.
Wyjątek stanowią działania mające na celu utrzymanie ciągłości pracy usług krytycznych oraz sprzętu ważnego dla funkcjonowania sieci. ISO 17799 8.5 Zarządzanie sieciami.
13. Wszystkie informacje o awariach serwerów, sprzętu sieciowego, potencjalnie zagrażających bezpieczeństwu informacji, muszą zostać raportowane i udokumentowane. ISO
17799 7.2.4 Konserwacja sprzętu, 8.4.3 Zapisywanie w dziennikach informacji
o błędach.
Zasady odpowiedzialności za postępowanie sprzeczne z postanowieniami polityki
bezpieczeństwa informacji
1. Niezastosowanie do postanowień niniejszej polityki bezpieczeństwa oraz regulaminu
sieci komputerowej stanowi naruszenie obowiązków pracowniczych oraz powoduje
odpowiedzialność cywilno prawną i karną.
2. Dyrektor Instytutu może upoważnić osoby fizyczne do kontrolowania postanowień niniejszej polityki bezpieczeństwa.
3. Polecenia osób wyznaczonych przez Dyrektora Instytutu do działań w zakresie ochrony informacji, traktowane jako polecenia służbowe w rozumieniu Kodeksu Pracy, muszą być bezwzględnie wykonywane przez wszystkich pracowników.
121
Załącznik E
Weryfikacja systemu zabezpieczeń Instytutu
Weryfikacja zabezpieczeń Wrocław
Założenia
Poniższy schemat obrazuje badaną sieć.
Rysunek 2 Schemat sieci Instytutu – Wrocław
Przed audytem zostały poczynione założenia, według których przeprowadzane będą
testy. z sieci Internet dostępne będą usługi: SMTP (ang. Simple Mail Transfer Protocol) oraz
SSH (ang. Secure Shell). Usługa SSH dostępna jest jedynie dla wybranych adresów IP.
Aktualizacje oprogramowań są wykonywana regularnie, przez co systemy są odporne na
błędy. Oprogramowanie powinno być skonfigurowane zgodnie z zaleceniami producentów
zapewniającymi największe bezpieczeństwo. W sieci nie powinny zostać wykryte
oprogramowanie szkodliwe, nielegalne lub takie, które zostało zainstlowane bez wiedzy
administratora.
122
Tabela 11 Scenariusz przeprowadzania testów.
Penetracja
wewnętrzna
Penetracja
zewnętrzna
Akcja
Narzędzie
Wyszukanie usług sieciowych dostępnych dla sieci publicznej
Nessus
Sprawdzenie odporności na znane błędy znalezionych usług
Nessus
Wyszukanie usług dostępnych dla sieci lokalnej
Nessus
Kontrola odporności na błędy powyższych usług
Nessus
Sprawdzenie odporności na luki systemowe serwerów
Nessus, MBSA
Sprawdzenie zainstalowanego oprogramowania, łatek systemowych na stacjach
roboczych
sftAudit
Monitorowanie i analiza logów systemowych
SNARE,Lire
.
Przebieg z kontroli bezpieczeństwa systemów
I. Sprawdzenie serwera Unixowego z sieci Internet
Cel i zakres
Próba identyfikacji zbędnych usług oraz podatności systemu operacyjnego
i zaisntalowanych na nim aplikacji.
Opis testu
Do testowania sieci wykorzystano program Nessus z pozycji zewnętrznej. Badanie
zostało przeprowadzone przy włączonych wszystkich testach Nessusa. Zostały wykonane
wszystkie testy, które mogły dotyczyć testowanego środowiska.
123
Wyniki testu
Wyniki są zadowalające, usługi udostępnione nie są podatne na żadne ze znanych
błędów. Poniżej został przedstawiony raport z programu skanującego.
Rysunek 3 Wynik programu Nessus przy skanowaniu z zewnątrz.
Wnioski
Przedstawiony powyżej test został wykonany z adresu, dla którego usługa SSH była
udostępniona. Jednakże podobna próba przeprowadzona z nieuprawnionego IP pokazała
jedynie dostępność usługi SMTP, co jest zgodne z wcześniejszymi założeniami.
II. Test dostępnych usług sieciowych dla sieci lokalnej oraz test odporności systemów na
znane podatności (Nessus)
Cel i zakres
Wykrycie uruchomionych zbędnych usług. Sprawdzenie odporności komputerów na luki
systemowe. Analiza konfiguracji oprogramowania pod kątem bezpieczeństwa.
Opis testu
Analizie poddano wszystkie komputery w sieci lokalnej. Zaznaczono wszystkie opcje i testy
w konfiguracji programu Nessus, aby dostać jak najpełniejszy obraz stanu sieci.
124
Wyniki testu
Program nie wykrył żadnej dziury systemowej. Wykazał kilka ostrzeżeń o małym stopniu
ryzyka, ale ze względu na specyfikę badanego środowiska nie da się ich wyeliminować.
Rysunek 4 Wynik skanowania programu Nessus z sieci wewnętrznej.
Wnioski
Ostrzeżenia oraz błędy wykryte przez program typu Nessus wymagają kontroli
administratora. Osoba zarządzająca tym środowiskiem powinna poddać je szczegółowej
analizie w celu wykrycia faktycznej słabości tych systemów lub określeniu, że są jedynie
przekłamaniami (ang. false positives) i nie stanowią realnego zagrożenia dla sieci oraz
systemów. Administrator powinien oszacować wagę wykrytych podatności i uwzględniając
specyfikę środowiska podjąć decyzję czy należy taką słabość systemu poprawić czy ryzyko
wynikające z jej istnienia zaakceptować.
III. Test zgodności ustawień zabezpieczeń z zaleceniami Microsoftu
Cel i zakres
Wyszukiwanie słabych haseł, niebezpiecznych ustawień, luk działających serwisów oraz
sprawdzenie aktualności oprogramowania.
125
Opis testu
Do sprawdzenia aktualności systemów, zainstalowanych poprawek oraz poprawności
konfiguracji wykorzystano program Microsoft Baseline Security Analyzer. MBSA został
uruchomiony dla wszystkich komputerów w badanej sieci, z opcjami:
•
wyszukiwanie słabych haseł,
•
wyszukiwanie błędnych ustawień dla kont administracyjnych,
•
wyszukiwanie luk serwera HTTP IIS,
•
wyszukiwanie luk serwera baz danych MS SQL,
•
sprawdzenie, czy są zainstalowane wszystkie dostępne poprawki.
Rysunek 5 Parametry skanowania programu MBSA.
126
Wyniki testu
Zostały znalezione ustawienia niezgodne z zaleceniami Microsoftu. Chodzi
w szczególności o działający silnik baz danych (MSDE) na kontrolerze domeny. Należy
skontaktować się z administratorem w celu stwierdzenia czy taka konfiguracja jest niezbędna,
a podatność nie zagraża bezpieczeństwu systemu. Ponadto nie stwierdzono większych
uchybień w konfiguracji systemów. Poniżej został umieszczony raport z programu.
Rysunek 6 Wyniki programu MBSA.
Wnioski
Podatność związana z działającym silnikiem baz danych (MSDE) nie może zostać
wyeliminowana, ponieważ serwer oprogramowania antywirusowego Sophos korzysta z niej.
Podatność ta jest znana administratorowi systemów, a jej niebezpieczeństwo jest zmniejszone
przez odpowiednie skonfigurowanie innych zabezpieczeń (np. firewall). Nie zawsze
konfiguracja systemów jest zgodna z zaleceniami producenta. Czasem niezbędna jest
niestandardowa instalacja oraz konfiguracja oprogramowania.
IV. Sprawdzenie aktualności zainstalowanego oprogramowania
127
Cel i zakres
Próba znalezienia zainstalowanego szkodliwego oprogramowania. Sprawdzenie
aktualności zainstalowanego oprogramowania. Próba znalezienia zainstalowanego
oprogramowania nielegalnego
Opis testu
Do sprawdzenia legalności zainstalowanego oprogramowania oraz poprawek systemowych
wykorzystano skrypt sftAudit. Został on uruchomiony z następującymi ustawieniami:
do pliku devices wpisano adresy komputerów z sieci lokalnej, które pracują pod kontrolą
systemów Windows 2k/XP/2k3
zaznaczono opcję ScanForViruses=No, dzięki czemu test został zakończony szybciej
do pliku software wpisano listę oprogramowania powszechnie uważanego za szkodliwe,
jak np. eMule, 123search itp.
upewniono się, aby na komputerach na których przeprowadzony zostanie test,testowanych
komputerach była włączona usługa WMI (ang. Windows Management
Instrumentation)
upewniono się, aby konto, z którego przeprowadzono test, posiadało uprawnienia
administracyjne na badanych komputerach
Wyniki testu
Raport nie zawiera żadnych nieprawidłowości. Zainstalowane oprogramowanie jest aktualne,
liczba programów zgadza się z liczbą posiadanych licencji. Raport w postaci pliku HTML
został przedstawiony poniżej.
128
Rysunek 7 Wyniki programu sftAudit Report.
Wnioski
Zgodnie z założeniami, nie znaleziono żadnego oprogramowania szkodliwego ani też
zainstalowanego bez posiadanej licencji.
V. Monitorowanie i analiza logów systemowych serwerów z rodziny Windows przy pomocy pakietu Snare
Cel i zakres
Analiza bieżącego stanu systemów z rodziny Windows. Monitorowanie, czy serwisy
działają poprawnie na systemach Windows
Opis testu
Do monitorowania komputerów pracujących pod kontrolą systemów z rodziny Windows
użyto pakietu Snare. Na jednym komputerze zainstalowano MicroServer, który nasłuchuje na
porcie UDP 6161 i przyjmuje zdarzenia z innych hostów,. zapisując je do pliku, zgodnie
z poniższymi ustawieniami:
129
Rysunek 8 Raport programu SNARE.
W celu uzyskania pełnej analiza z raportów, została zmniejszona liczba zdarzeń
dostarczanych przez agentów. Agentami są programy zainstalowane na komputerach
klienckich, który przechwytują wpisy z dzienników zdarzeń i wysyłają je do serwera
MicroServera. Analizie poddano rekordy uwzględniające kluczowe informacje takie jak
ostrzeżenia oraz błędy o stanie systemów.
Rysunek 9 Konfiguracja programu SNARE.
Wyniki testu
W przypadku badanej sieci, analiza dostarczonych logów nie wykazała niepożądanych
zdarzeń w testowanych systemach. Poniżej został przedstawiony fragment raportu.
130
Rysunek 10 Wyniki programu SNARE.
131
Wnioski
Przeprowadzona analiza nie wykazała nieprawidłowości. Ze względu na zastosowanie
filtrowania jak również nie pełnej wersji systemu nie możliwe było przeprowadzenie pełnej
analizy.
VI. Monitorowanie i analiza logów systemowych serwerów z rodziny Unix przy pomocy
pakietu Lire
Cel i zakres
Analiza bieżącego stanu systemów Unix/Linux. Monitorowanie poprawności działania
serwisów na systemach Unix/Linux.
Opis testu
Do analizy logów i statystyk na systemach linuxowych wykorzystano pakiet lireLire.
Skonfigurowano tak ten program, aby codziennie wysyłał tworzył raporty odnośnie systemu
pocztowego na wyznaczonego adres poczty elektronicznej. Oprócz dostarczania statystyk
dotyczących systemu pocztowego, Lire raportuje stan podstawowych usług (DNS, DHCP,
Apache) oraz dokonuje monitorowania ogólnego stanu systemu.
Wyniki testu
Poniżej został przedstawiony fragment raportu z programu.
Largest Volume Sent To Domain, Top 10
Recipient's Domain
Volume % Total
--------------------------------------------------------- ------ ------il.wroc.pl
42.8M 43.7
itl.waw.pl
28.8M 29.3
pg.siemens.com
10.6M 10.8
onet.pl
10.4M 10.6
urtip.gov.pl
4.7M 4.8
promise.com.pl
200.5k 0.2
rydercup.biz
118.9k 0.1
il01.il.wroc.pl
76.1k 0.1
ero.dk
73.6k 0.1
wp.pl
63.3k 0.1
--------------------------------------------------------- ------ ------Total for 1156 records
98.1M 100.0
Raporty są przesyłane do osoby zarządzającej za pomocą poczty elektronicznej. Oprócz
części dotyczącej domen odbiorców maili, są zawarte inne istotne informacje (np. liczba maili
dostarczonych i wysłanych, najbardziej aktywni nadawcy i odbiorcy listów). Informacje te
zostały wykorzystane w celu identyfikacji potencjalnych problemów z serwerem pocztowym.
132
Korzystając bezpośrednio z programu Lr_log2report wygenerowano raport w formacie pliku
PDF, zawierający kilkanaście rozdziałów, zawierających dane w postaci tabelarycznej oraz
wykresy, jak na przykładzie:
Rysunek 11 Przykładowe raporty programu Lire.
Analiza tych raportów nie wykazała żadnych anomalii w funkcjonowaniu badanych
systemów.
Wnioski
Raporty z programu nie zawierają żadnych nieprawidłowości w działaniu dostępnych
serwisów. Pełniejsza analiza jest możliwa przez regularne używanie tego programu lub przez
większą ilość danych.
133
Wnioski z przeprowadzonej kontroli bezpieczeństwa systemów we Wrocławiu
Po przeprowadzeniu oceny bezpieczeństwa można stwierdzić, że badana sieć
zapewnia odpowiedni poziom bezpieczeństwa zgodnie z wcześniej ustalonymi założeniami.
Raporty z powyższych programów nie zawierają żadnych krytycznych podatności.
Zauważone nieprawidłowości są związane ze specyfiką środowiska i nie mogą zostać
całkowicie wyeliminowane.
Systemy operacyjne oraz zainstalowane oprogramowanie jest aktualne. Badane
środowisko sieciowe nie zawiera programów zainstalowanych bez zezwolenia oraz
programów niebezpiecznych takich jak programy szpiegujące, konie trojańskie.
134
Weryfikacja zabezpieczeń Warszawa
Poniższy schemat prezentuje poglądowo sieć IŁ w Warszawie.
Rysunek 12 Schemat sieci Instytutu - Warszawa.
I. Test zgodności ustawień zabezpieczeń z zaleceniami Microsoftu
Cel i zakres
Wyszukiwanie słabych haseł, niebezpiecznych ustawień, błędów w konfiguracji tych
systemów oraz oprogramowania. Dodatkowo zostanie sprawdzona aktualność systemów
operacyjnych oraz oprogramowania zainstalowanego w tych systemach. Badaniu zostaną
podane serwery znajdujące się wewnątrz sieci IŁ: Bert, Borsuk, Jogi oraz Orlik.
Opis i wyniki testu
Do sprawdzenia aktualności systemów, zainstalowanych poprawek oraz poprawności
konfiguracji wykorzystano program Microsoft Baseline Security Analyzer. MBSA został
uruchomiony dla serwerów Windows w badanej sieci, z opcjami:
Wyszukiwanie słabych haseł
Wyszukiwanie błędnych ustawień dla kont administracyjnych
135
Wyszukiwanie luk serwera HTTP IIS
Wyszukiwanie luk serwera baz danych MS SQL
Sprawdzenie, czy są zainstalowane wszystkie dostępne poprawki
Raporty z programu MBSA nie wykazały, żadnych istotnych nieprawidłowości. Wszytskie
serwery posiadały aktualne systemy operacyjne oraz oprogramowanie Microsoft zainstlowane
na tych serwerach.
Rysunek 13 Raporty programu MBSA po skanowania serwerów.
W badanych systemach nie stwierdzono słabych haseł. Konfiguracja kont administracyjnych
jest prawidłowa. Konta gościa zostały wyłączone na wszystkich komputerach, konfiguracja
nie dopuszcza do wejścia użytkowników anonimowych. Poniżej został przedstawiony raport
z serwera Orlik dotyczący ustawień dostępu użytkowników.
136
Rysunek 14 Przykładowy raport programu MBSA.
Usługa ISS jest skonfigurowana prawidłowo na serwerach Bert, Orlik, Borsuk. Na serwerze
Jogi nie została uruchomiona. Oprogramowanie zgłosiło zastrzeżenie do działającego silnika
baz danych (MSDE) na serwerze Borsuk. Należy skontaktować się z administratorem w celu
stwierdzenia czy taka konfiguracja jest niezbędna, a podatność nie zagraża bezpieczeństwu
systemu. Ponadto nie stwierdzono większych uchybień w konfiguracji systemów. Poniżej
zostały przedstawione wyniki programów z analizy usługi IIS w kolejności Jogi, Bert, Orlik
i Borsuk (zgodnie z pierwszym wynikiem programu MBSA).
137
Rysunek 15 Raport MBSA z usług ISS oraz MSDE.
Wnioski
Podatność związana z działającym silnikiem baz danych (MSDE) nie może zostać
wyeliminowana, ponieważ serwer oprogramowania antywirusowego Sophos korzysta z niej.
Podatność ta jest znana administratorowi systemów, a jej niebezpieczeństwo jest zmniejszone
przez odpowiednie skonfigurowanie innych zabezpieczeń (np. firewall, odpowiednia
architektura). Konfiguracja usługi jest niezbędna do prawidłowej pracy systemu
antywirusowego Sophos i nie może zostać wyłączona.
II Test zabezpieczeń sieci IŁ z sieci Internet.
Cel i zakres
Próba identyfikacji zbędnych usług oraz podatności serwerów IŁ z zaisntalowanymi
na nich aplikacjach.
Opis testu
Do testowania sieci wykorzystano program Nessus z pozycji zewnętrznej. Badanie
zostało przeprowadzone przy włączonych wszystkich testach Nessusa. Zostały wykonane
wszystkie testy, które mogły dotyczyć testowanego środowiska.
Wynik testu
Skanowanie całej sieci IŁ nie wykazuje dostępności z sieci Internet zbędnych usług.
Bez określenia konkretnego serwera, który ma zostać poddany testom z zewnątrz sieci nie ma
dostępu do jakichkolwiek usług. Zostało jedynie podane ostrzeżenie o możliwości użycia
zapytań protokołu ICMP do jednego adresu. Prezentuje to poniższy raport skanera.
138
Rysunek 16 Wyniki skanowania sieci za pomocą programu Nessus.
Wnioski
Ostrzeżenie dotyczy adresu wirtualnego interfejsu routera sieci IŁ. Reguły firewalla,
który stanowi kluczowe zabezpieczenie, skutecznie uniemożliwiają próby masowego skanowania sieci w poszukiwaniu oprogramowania zawierającego znane błędy. Widać, też że skanery bezpieczeństwa mimo włączenia wszystkich opcji skanowania nie zawsze potrafią wskazać uruchomione w sieci serwisy.
III Test zabezpieczeń serwera poczty IŁ z sieci Intranet.
Cel i zakres
Próba identyfikacji zbędnych usług oraz podatności serwera poczty elektronicznej IŁ
z wnętrza sieci Instytutu.
Opis testu
Do testowania sieci wykorzystano program Nessus ze stacji roboczej dołączonej do
sieci wewnętrznej. Badanie zostało przeprowadzone przy włączonych wybranych testach
Nessusa. Zostały pominięte testy związne z systemami operacyjnymi innymi niż używany
przez skanowany serwer. Reszta testów została włączona.
Wynik testu
Skanowanie serwera wykazało, że nie ma z sieci Intranet dostępu do usług, które
możnaby uznać za zbędne. Dla dostępnych usług skaner znalazł uwagi, związane z ich
ustawieniami. W szczególności raport zaleca wymianę części oprogramowania na nowsze
wersje. Inne zostały zaraportowane jako obecne z uwagami o możliwych błędnych
139
ustawieniach, których skaner nie mógł wykryć a są one często występującymi błędami.
Raport prezentuje poniższy rysunek.
Rysunek 17 Raport końcowy programu Nessus.
Wnioski
Wskazane przez skaner podatności dotyczą usług i występujących w nich błędów,
które mogą być potencjalnie groźne dla badanego serwera. Są one uruchomione za wiedzą
administratorów serwera. Dostęp do nich jest ograniczony do wybranych komputerów
z wnętrza sieci, między innymi dla komputera ze skanerem Nessus. Wyłączenie usług wskazanych przez skaner jest niemożliwe gdyż służą one do zarządzania serwerem, tworzenia kopii zapasowych z tego i innych serwerów.
Widać również, że zawężenie zakresu testów skanera daje lepsze rezultaty w postaci
dokładniejszego wykrywania dostępnych usług i związanych z nimi podatności.
140
Załącznik F
Zalecenia w zakresie organizacji infrastruktury teleinformatycznej
dla jednostek administracji
1. Wstęp
Obecnie brak jest brak jest jednolitych standardów oraz dobrych praktyk do zastosowania przez jednostki administracji publicznej w zakresie bezpieczeństwa systemów informatycznych.. Obecne przepisy prawne publicznej administracji pozwalają na dowolność rozwiązań. Wobec braku takich standardów jednostki te samodzielne decydują o rozwiązaniach
technicznych, co powoduje zróżnicowanie poziomu technicznego, organizacyjnego, a także
bezpieczeństwa teleinformatycznego. Dlatego też w ramach niniejszej pracy podjęto próbę
określenia wymagań dla: węzła teleinformatycznego, serwerowi oraz zaproponowano architekturę systemu zabezpieczeń sieci LAN instytucji od sieci Internet. Należy przy tym podkreślić, że załącznik ten stanowi rozszerzenie części głównej niniejszego dokumentu. Znalazła
się w nim specyfikacja kluczowych elementów bezpieczeństwa systemów teleinformatycznych, trzeba jednak pamiętać, że informacje na temat bezpieczeństwa teleinformatycznego w
części głównej obowiązują również w odniesieniu do jednostek administracji publicznej.
2. Zalecenia techniczne dla serwerowi i węzła teleinformatycznego
Projektowanie serwerowni, a także węzłów teleinformatycznych jest zadaniem złożonym, wymagającym zaangażowania specjalistów z kilku branż. Każdy projekt jest rozwiązaniem indywidualnym, wynikającym z analizy potrzeb i możliwości realizacji w konkretnych
warunkach, powinien być dostosowany do parametrów zainstalowanego sprzętu, istniejących
warunków w obiekcie i możliwości finansowych inwestora.
Niniejsze opracowanie nie ma charakteru kompleksowego leksykonu obejmującego
wszystkie możliwe aspekty związane projektowaniem i wyposażaniem serwerowi czy węzła
teleinformatycznego, głównym jego celem jest prezentacja zagadnień, jakie należy wziąć pod
uwagę przy wyborze lokalizacji, projektowaniu i wyposażaniu pomieszczenia.
2.1. Zalecenia dla węzła teleinformatycznego
Węzeł teleinformatyczny jest to miejsce, gdzie łączą się sieci teleinformatyczne wewnętrzne oraz także może występować połączenie z sieciami zewnętrznymi. Stanowi on zespół urządzeń telekomunikacyjnych i teleinformatycznych przeznaczonych do transmisji głosu, danych itp. zlokalizowanych, zależnie od potrzeb i możliwości w osobnym pomieszczeniu, wnęce ściennej lub w szafie teleinformatycznej.
Ze względu na wymagane bezpieczeństwo teleinformatyczne przesłanych i przetwarzanych danych wszystkie węzły muszą być chronione przed dostępem osób postronnych.
Środki zastosowane do ochrony danego węzła muszą być dostosowane do potrzeb i możliwości ośrodka, np. węzły piętrowe, ulokowane w strefie chronionej przed dostępem osób postronnych mogą być umieszczone we wnęce ściennej lub w szafie teleinformatycznej zamykanej wzmocnionymi drzwiczkami z zamkiem z trudnym do podrobienia kluczem. Wskazane
jest umieszczenie ich w strefie chronionej i objęcie systemem kontroli i rejestracji dostępu (co
najmniej opieczętowanie).
141
Zależnie od potrzeb i możliwości ośrodka węzły piętrowe mogą być zainstalowane w
zamykanych wnękach ściennych lub w specjalnych szafkach naściennych.
Dla dużych rozbudowanych węzłów teleinformatycznych, w których zainstalowano
urządzenia aktywne sieci LAN i inne urządzenia telekomunikacyjne np. centralę telefoniczną,
pomieszczenie węzła powinno spełniać takie jak dla pomieszczeń serwerowi.
2.2. Zalecenia dla serwerowni
Wybór pomieszczenia na serwerownię nie jest rzeczą łatwą, zwłaszcza w istniejącym
budynku. Trzeba pogodzić wiele wymagań organizacyjno-technicznych. Pomieszczenie powinno bezpieczne i łatwe do utrzymania w czystości, a w szczególności należy zapewnić:
- całodobowy dostęp dla obsługi we wszystkie dni w roku (24/7/365),
- powierzchnię zapewniającą właściwe rozmieszczenie urządzeń, odpowiedni dostęp do
urządzeń dla obsługi i drogę transportu dla urządzeń i wyposażenia,
- wytrzymałość stropów > 350 kg/m2,
- wydzielenie trwałymi przegrodami budowlanymi o odporności ogniowej min. 1 godziny,
- bezpieczeństwo od: pożaru, wybuchu, wandalizmu, zalania wodą, zanieczyszczenia kurzem, pyłem, dymem, wibracjami, oddziaływaniem chemicznych substancji i silnych
pól elektromagnetycznych,
- zabezpieczenie okien przed włamaniem i kradzieżą np. kratami jeśli występują do wysokości 1. piętra budynku włącznie lub na poddaszu,
- minimalną wysokość pomieszczenia 2,6 m,
- podłogę łatwo zmywalną, antyelektrostatyczną, trudnopalną, uziemioną,
- drzwi antywłamaniowe o wymiarach min. 200x 120 cm z zamkami klasy „C”, łatwe
ograniczenie dostępu dla osób postronnych,
- możliwie krótkie odległości do pionowych i poziomych traktów telekomunikacyjnych
(szybów kablowych, istniejących korytek i drabinek kablowych oraz skraplaczy urządzeń klimatyzujących,
- brak wewnętrznych instalacji nie związanych z funkcjonowaniem pomieszczenia
(zwłaszcza wodnych i c.o.),
- oświetlenie min. 500 Luksów,
- temperaturę wewnętrzną w zakresie 21°C ± 4°,
- wilgotność względną w zakresie 50% ±10%,
- autonomiczną instalację elektryczną niskiego napięcia wykonaną w układzie TN-S
podłączoną do wewnętrznej tablicy rozdzielczej niskiego napięcia zasilanej bezpośrednio z rozdzielni głównej budynku,
- autonomiczną instalację uziemiającą doprowadzoną do wszystkich szaf i stojaków z
urządzeniami teleinformatycznymi podłączoną do wewnętrznej tabliczki rozdzielczej
uziemień podłączonej do uziemienia głównego w rozdzielni głównej budynku,
- instalacje sygnalizacji alarmowo-pożarowej, antywłamaniowej i kontroli dostępu z rejestracją zdarzeń.
142
- wyposażenie oraz odzież roboczą dla pracowników w wykonaniu antyelektrostatycznym,
- stałą instalację gaszenia gazem (w przypadku przechowywania szczególnie ważnych i
trudnych do odtworzenia dokumentów),
Wskazane jest, aby w pomieszczeniu serwerowni znajdował się węzeł dystrybucyjny
sieci LAN.
Duże serwerownie (powyżej 4 szaf teleinformatycznych) powinny zostać wyposażone
w podłogę techniczną.
W pomieszczeniu serwerowni nie powinno się przechowywać materiałów łatwopalnych, agresywnych chemicznie, brudzących itp. więcej niż jest to konieczne do aktualnie wykonywanych czynności związanych z obsługą i konserwacją urządzeń. Pomieszczenie nie
powinno służyć do magazynowania materiałów i urządzeń niezwiązanych bezpośrednio
z funkcjonowaniem serwerowni.
2.2.1. Instalacje elektryczne
Instalacje elektryczne powinny spełniać następujące wymagania:
- instalacje elektryczne w serwerowni powinny być wykonane w układzie TN-S,
- do zasilania urządzeń serwerowni w energię elektryczną powinna być doprowadzona,
z rozdzielni głównej niskiego napięcia budynku, niezależna wewnętrzna linia zasilająca
(WLZ) oraz oddzielna linia uziemienia technologicznego o oporności <1Ω,
- WLZ powinna zostać zakończona tablicą rozdzielczą z wyłącznikiem głównym
i z zabezpieczeniami przeciw przepięciowymi i nadmiarowo-różnicowo prądowymi,
- linia uziemienia technologicznego powinna zostać zakończona tabliczką rozdzielczą
uziemień,
- do każdej szafy teleinformatycznej należy doprowadzić przynajmniej jeden obwód zasilania 230V, 50 Hz,
- od tabliczki uziemień do każdej szafy teleinformatycznej należy doprowadzić oddzielną linię uziemiającą,
- do zasilania bezprzerwowego urządzeń teleinformatycznych w energię elektryczną należy zainstalować zasilacz UPS wyposażony w automatyczny układ obejściowy (baypass),
- zalecany czas autonomii UPS’a wynosi min 30 min.,
- oprogramowanie UPS’a powinno automatycznie zamykać systemy operacyjne zasilanych komputerów w przypadku zaniku napięcia na czas dłuższy od ustalonego, a po
powrocie napięcia powodować automatyczny restart urządzeń.
- wymagane natężenie oświetlenia wynosi min. 500 Luksów,
- wymagana jest instalacja oświetlenia awaryjnego min 200 Luksów i oświetlenia ewakuacyjnego min. 2 Luksy.
W uzasadnionym przypadku np., gdy przerwy zasilania w sieci elektrycznej występują
często i dezorganizują pracę należy rozpatrzyć możliwość zainstalowania centralnego zasilacza UPS o odpowiednio dużej mocy i czasie podtrzymania napięcia, do którego będą podłączone wszystkie szczególnie wrażliwe na zaniki napięcia urządzenia. Jeżeli przerwy zasilania
są częste i utrzymują się długo warto będzie zainstalować agregat prądotwórczy stały lub
przewoźny.
143
2.2.2. Instalacje teleinformatyczne
Serwerownia powinna być wyposażona w szafy teleinformatyczne 19”, 42U o wym. h
x w x d = 220 x 60 x 80 cm w ilości stosownej do potrzeb. W jednej szafie powinny się znajdować zakończenia LAN, elementy aktywne tej sieci i zakończenia kabli telekomunikacyjnych (symetrycznych i optycznych) oraz urządzenia dostępowe do sieci telekomunikacyjnej.
Instalacje LAN powinny być wykonane w standardzie 5e lub wyższym. W pozostałych szafach powinny być zainstalowane serwery i UPS.
Szafy powinny być wyposażone w specjalne, uziemione antyelektrostatyczne opaski na
ręce.
2.2.3. Instalacje klimatyzacji i wentylacji
Temperatura i wilgotność pomieszczenia powinny być stale monitorowane. W przypadku, gdy wilgotność spadnie poniżej 20% istnieje niebezpieczeństwo gromadzenia się niebezpiecznych ładunków elektrostatycznych. Wzrost temperatury powyżej 25ºC grozi lokalnym przegrzaniem urządzeń.
Zaleca się wyposażenie serwerowni w instalacje klimatyzacji, aby uzyskać następujące
parametry powietrza:
- temperatura 21ºC +/- 3ºC,
- wilgotność względna 50% +/- 10%.
2.2.4. Instalacje sygnalizacji pożaru
Zaleca się żeby cały budynek był wyposażony w instalacje automatycznego wykrywania pożaru podłączoną do centralnej stacji monitoringu. W pomieszczeniu serwerowni powinny zostać zainstalowane optyczne czujki dymowe.
2.2.5. Instalacje sygnalizacji włamania i napadu
Zaleca się żeby cały budynek był wyposażony w instalacje sygnalizacji włamania
i napadu podłączoną do centralnej stacji monitoringu.
W pomieszczeniu serwerowni nie należy instalować mikrofalowych czujek ruchu.
3. Instalacje kontroli dostępu
Pomieszczenie serwerowni powinno być wyposażone w instalację kontroli dostępu.
Dostęp do serwerowni powinien być chroniony zamkiem z ryglem magnetycznym wyzwalanym z czytnika kart magnetycznych lub chinowych z manipulatorem kodowym.
W pomieszczeniu serwerowni nie powinny przebywać osoby postronne.
144
4. Architektura systemu zabezpieczeń od sieci Internet
System zabezpieczeń sieci LAN od sieci Internet jest jednym z kluczowych elementów bezpieczeństwa informacji w odniesieniu do zasobów wewnętrznych instytucji administracji publicznej. W dniu dzisiejszym przy tak rozpowszechnionym Internecie, usługach
eGoverment, nie dopuszczalne jest planowanie sieci teleinformatycznej danej instytucji zakładając, że nie będzie ona mieć styku z Internetem. Ze względu na wrażliwość danych jakie
są w posiadaniu administracji publicznej i potencjalne duże zagrożenie ze strony użytkowników Internetu, należy zwrócić szczególną uwagę przy projektowaniu systemu zabezpieczeń.
Istnieje wiele rozwiązań zarówno sprzętowych jak i programowych oferowanych przez różne
firmy. Każde z rozwiązań ma zawsze jakieś wady i zalety. Intencją autorów niniejszego opracowania nie jest wskazanie „idealnego rozwiązania” uwzględniającego specyfikację konkretnego sprzętu i oprogramowania, gdyż nie ma uniwersalnego rozwiązania sprawdzającego się
w każdej sytuacji. Opracowano zatem zalecenia dla projektowania takiego systemu zabezpieczeń, poprzez określenie logicznej architektury systemy.
Zaleca się, by system zabezpieczeń składał się z 5 zintegrowanych i modularnych
warstw ochrony, które uzupełniają i ubezpieczają się wzajemnie. Modułowa budowa systemu
zabezpieczeń umożliwi sprawne dokonywanie zmian w środowisku sieciowym, aplikacyjnym
i usługowym oraz formach dostępu tak jakościowych (protokoły, łącza) jak i ilościowych
(liczba jednoczesnych połączeń, przepustowość).
Komponenty systemu zabezpieczeń powinny być administrowane ze stacji zarządzającej,
zlokalizowanej w dobrze zabezpieczonym obszarze sieci.
Z punktu widzenia bezpieczeństwa systemu można w systemie zabezpieczeń wyróżnić następujące warstwy ochrony :
145
INTERNET
Intruzi
Router WAN
/Filtr Pakietów
Firewal
1
2
4
In-Line IDS
Serwer Antywirusowy/
Kontrola Zawartości
3
Zasoby Centralne
Firewal
5
Użytkownicy Instytucji
Warstwy ochrony w planowym systemie informatycznym
-
-
Warstwa Nr 1: System zaporowy zaimplementowany na routerze WAN – spełnia zadania ochrony przed atakami (szczególnie atakami destrukcyjnymi DoS) i innymi niedozwolonymi działaniami z obszaru Internetu. W najprostszym i najtańszym wydaniu
zapewnia on ochronę na poziomie list kontroli dostępu ACL oraz filtrowania pakietów. System zaporowy w tej warstwie nie powinien przepuszczać żadnych pakietów
kierowanych do dalszej części systemu GWD za wyjątkiem połączeń jednoznacznie
ustalonych jako dozwolone (np. połączeń wymaganych do zestawienia VPN). i odwołań/zapytań do ogólnie dostępnych usług typu np. WWW. Wszystkie odrzucone w tej
warstwie ochrony pakiety powinny być rejestrowane w logu centralnej stacji zarządzającej. Urządzenie w tej warstwie powinno pracować w konfiguracji odpornej na awarie np. High Availability lub Fault Tolerant.
Warstwa Nr. 2. System zaporowy o zasadniczym znaczeniu dla bezpieczeństwa systemu. Jego zasadniczym celem jest ochrona sieci wewnętrznej przed wyrafinowanymi
atakami typu Exploit, DoS, itp. przychodzącymi z obszaru Internetu. Do jego zadań
należy również separowanie ważnych i kluczowych zasobów informatycznych insty146
-
tucji przed nieupoważnionymi działaniami z sieci zarówno zewnętrznej jak i wewnętrznej W szczególności system zaporowy w tej strefie powinien blokować i alarmować wszelkie próby połączeń ze strefy DMZ zawierającej serwery publiczne
WWW, DNS i E-Mail (potencjalnie najbardziej narażonej na włamania) do sieci prywatnej za wyjątkiem połączeń jednoznacznie ustalonych jako dozwolone (tzn. połączeń z serwerem poczty w sieci wewnętrznej). Warstwa druga ściśle współpracuje z
warstwą 3 systemu ochrony GWD. Zastosowanie odpowiedniej klasy systemu zaporowego może zapewnić praktycznie całkowite zabezpieczenie serwerów poczty i
WWW oraz innych zlokalizowanych w sieci wewnętrznej instytucji. Wymagane jest,
aby system zaporowy posiadał w swojej funkcjonalności zaimplementowane i poprawnie skonfigurowane mechanizmy bezpieczeństwa protokołu wymiany poczty internetowej SMTP oraz WWW. Zadaniem tych mechanizmów jest poprawne wychwycenie żądań i poddane bezpośrednio kontroli zawartości lub też przekazane do innych
mechanizmów zabezpieczeń (np. skanery, bramy antywirusowe i antyspamowe, systemy kontroli zawartości) celem poddania kontroli zawartości i poprawności przesyłanych pakietów poprawności przesyłek pocztowych.
3 Warstwę ochrony stanowi system kontroli zawartości w skład którego wchodzą
różnego rodzaju mechanizmy kontrolne. W najprostszym przypadku system kontroli
zawartości jest po prostu serwerem/bramą antywirusową rozszerzoną o dodatkowe
możliwości filtrowania, skanowania i blokowania przesyłanych informacji takich jak
ruch SMTP czy też WWW czy też spam.. Brama/Serwer antywirusowy stanowiący 3
warstwę ochrony powinien być zainstalowany w dedykowanej strefie systemu zaporowego, (chociaż dopuszcza się również instalowanie jej poza systemem zaporowym
np. na serwerach pocztowych). Najbezpieczniejszym jest rozwiązanie, w którym system zaporowy i brama antywirusowa komunikują się ze sobą za pomocą dedykowanego protokołu np. CVP lub OPSEC. Ważną rolę w takiej konfiguracji pełni serwer DNS
– jego rekordy pocztowe MX powinny wskazywać bezpośrednio system zaporowy (
pośrednio bramę antywirusową) Poczta nadchodząca z Internetu jest obsługiwana
przez mechanizmy bezpieczeństwa SMTP zaimplementowane na firewallu i przesyłana do serwera antywirusowego celem kontroli zawartości. Po wykonaniu kontroli i odrzuceniu przesyłek niewłaściwych i zawirusowanych serwer antywirusowy przesyła z
powrotem przesyłki do systemu zaporowego, który z kolei kieruje je do odpowiedniego serwera poczty w sieci wewnętrznej (lub serwera relay mail w strefie DMZ).
Ochrona przesyłanej poczty polega na skanowaniu załączników w poszukiwaniu wirusów i zatrzymywaniu niepożądanych treści, takich jak spam, przy wykorzystaniu
kombinacji wielu technologii. Należą do nich antyspamowe technologie heurystyczne,
„czarne listy” analizowane w czasie rzeczywistym oraz czarne i białe listy dostosowane do potrzeb użytkownika. Niepożądane treści można zatrzymać na podstawie typowych cech wiadomości, takich jak temat, nazwa załącznika, rozszerzenie i maksymalny rozmiar wiadomości. Administratorzy mogą definiować elastyczne reguły, tworzyć
harmonogramy uaktualnień, otrzymywać ostrzeżenia systemowe i dotyczące bezpieczeństwa oraz generować raporty dla celów zarządzania z poziomu bezpiecznej przeglądarki internetowej. Ochrona ruchu internetowego HTTP oraz FTP polega na wysokowydajnym, zintegrowanym wyszukiwaniu wirusów oraz filtrowaniu treści. Rozwiązanie to maksymalizuje wydajność pracowników oraz wydajność sieci poprzez blokowanie niedozwolonego ruchu internetowego. Rozwiązanie to powinno integrować
analizę opartą na liście słów zakazanych, analizę heurystyczną oraz analizę kontekstową, zapewniając serwerom WWW ochronę przed wirusami i niebezpiecznym kodem. Do celów podwyższenia wydajności i niezawodności kontroli możliwe jest zainstalowanie wielu serwerów antywirusowych i antyspamowych Warunkiem koniecz-
147
-
-
nym jest tutaj posiadanie przez system zaporowy mechanizmów realizujących dynamiczne równoważenie obciążenia serwerów.
4 warstwa ochrony na którą składają się systemy IPS (In-Line IDS) na styku strefy
DMZ i styku sieci korporacyjnej jest elementem systemu zabezpieczeń sieciowych,
który stanowi wzmocnienie i uzupełnienie innych środków bezpieczeństwa istniejących w systemie informatycznym a głownie zabezpieczeń systemu zaporowego i bramy antywirusowej. Jest ona kolejną linią obrony, która ma zatrzymać ewentualne ataki, które wykorzystały luki we wcześniejszych systemach ochrony. Systemy IPS funkcjonujące w tej warstwie mają za zadanie identyfikować nieprawidłowe działanie,
bądź błędną konfigurację zabezpieczeń systemu zaporowego na podstawie analizy ruchu sieciowego (tzn. na skutek zauważenia pakietu skierowanego do niedozwolonego
portu komputera w sieci wewnętrznej lub sieci DMZ, który normalnie nie powinien
przejść przez system zaporowy).Oprócz czynności zapobiegania, czyli odrzucania
niewłaściwych pakietów system wykrywania włamań powinien samoczynnie modyfikować politykę bezpieczeństwa systemu zaporowego w zakresie blokowania źródła
ataku, jednak tylko wtedy, gdy wykryty atak jest rzeczywiście groźny dla sieci wewnętrznej oraz istnieje przypuszczenie, że istniejące zabezpieczenia sieci nie chronią
dostatecznie przed tym atakiem.
Warstwa Nr 5 pełni dokładnie te same zadania, co warstwa nr 1, z tym, że jej główną
rolą jest ochrona przed atakami i innymi niedozwolonymi działaniami z obszaru sieci
korporacyjnej. Warstwa ta powinna zapewniać ochronę, co najmniej na poziomie list
kontroli dostępu ACL oraz filtrowania pakietów. System zaporowy w tej warstwie nie
powinien przepuszczać żadnych pakietów kierowanych do dalszej części sieci wewnętrznej instytucji za wyjątkiem połączeń jednoznacznie ustalonych jako dozwolone
(np. połączeń wymaganych do zestawienia VPN). i odwołań/zapytań do ogólnie dostępnych usług Intranetowych/Ekstranetowych ( dostęp do wspólnych aplikacji, systemów baz danych itp.). Urządzenie w tej warstwie powinno pracować w konfiguracji
odpornej na awarie np. High Availibility lub Fault Tolerant.
148
Definicje
bezpieczeństwo informacji – zapewnienie, że informacje posiadają odpowiedni poziom
poufności (dostęp, wgląd dla osób upoważnionych), integralności (zabezpieczenie
przed nieautoryzowaną modyfikacją), dostępności (upoważniony dostęp do informacji
wtedy, gdy zachodzi taka potrzeba),
tajemnica przedsiębiorstwa – „nie ujawnione do wiadomości publicznej informacje
techniczne, technologiczne, handlowe lub organizacyjne przedsiębiorstwa, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności”[Dz.U.1993.47.211 z późn. zm.]. Informacje rozumiane jako tajemnica przedsiębiorstwa dotyczą opatentowanych lub nie opatentowanych wynalzków, wzorów użytkowych lub zdobniczych, planów technicznych, sposobów zbierania informacji , listy
klientów, metod kontroli jakości towarów i usług, sposobów marketingów, organizacji
pracy itp. Są to również informacje przydatne w pracy naukowo-badawczej
i rozwojowej, howto, wyniki prób i badań także te, które nie nadają się do praktycznego wykorzystywania np. zakończone niepowodzeniem próby, wstępne projekty rozwiązań technologicznych wymagających dalszych prac rozwojowych.
informacja – treść wszelkiego rodzaju dokumentów przechowanych na dowolnym nośniku informacji. Informacja może być wyrażona za pomocą mowy, pisma, obrazu, rysunku, znaku, kody, dźwięku lub w jakikolwiek inny sposób,
informacje chronione – informacje stanowiące w Instytucie Łączności tajemnicę przedsiębiorstwa oraz informacje prawnie chronione,
informacje prawnie chronione – informacje, których ochrony wymagają obowiązujące
przepisy prawa,
informacje jawne – informacje nie należące do informacji chronionych,
informacje niejawne – informacje stanowiące tajemnicę państwową, określone przez
ustawę o ochronie informacji niejawnych [Dz. U. 2002.11.95 z późn. zm],
grupa informacji – zbiór informacji podlegający ochronie, opisujące podobne zagadnienia lub dotyczące jednego tematu,
klauzula tajności – sposób klasyfikacji informacji chronionych w Instytucie według rangi
danej informacji,
nośnik informacji – medium, na którym zapisuje się i przechowuje informacje,
system informatyczny – system przetwarzania informacji składający się z urządzeń
komputerowych, oprogramowania oraz zewnętrznych nośników informacji (dyskietka,
Cd-Rom i inne),
system – rozumiany jako wszystkie procesy zachodzące w instytucji, które składają się
z wielu podsystemów np. systemu informatycznego. System jest zbiorem zawierającym pracowników i ich role, zasoby i aktywa np. urządzenia, budynki,
sytuacja kryzysowa – podejrzenie lub stwierdzenie faktu naruszania przyjętej polityki
bezpieczeństwa informacji.
149
Bibliografia
[1]
„Podręcznik administratora bezpieczeństwa informacji” Krzysztof Liderman Mikom,
Warszawa 2003.
[2]
http://securityfocus.com
[3]
http://www.porcupine.org/satan/
[4]
http://nessus.org
[5]
http://iss.net
[6]
http://eeye.com
[7]
http://www.gfi.com/lannetscan
[8]
PN-ISO/IEC 17799:2003. Technika informatyczna. Praktyczne zasady zarządzania
bezpieczeństwem.
[9]
PN-I-13335-1 Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem
systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych.
[10]
ISO/IEC/TR 13335-3. Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych.
[11]
http://www.ensi.net
[12]
„Ocena bezpieczeństwa sieciowego” Kevin Lam, David leBlanc i Ben Smith Microsoft Press
[13]
„Bezpieczeństwo informacji. Ochrona globalnego przedsiębiorstwa” Pipkin Donald L.
WNT
[14]
„Prawo w sieci”. Zarys regulacji internetu. Piotr Waglowski One Press
[15]
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z póżn. zm.,
[16]
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024),
[17]
Rozporządzenie Ministra Przemysłu, z dnia 8 października 1990 r. w sprawie warunków technicznych, jakim powinny odpowiadać urządzenia elektroenergetyczne w zakresie ochrony przeciwporażeniowej,
[18]
Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. Nr 114. poz. 740),
[19]
Polska Norma PN-I-02000, marzec 2002. Technika informatyczna. Zabezpieczenia
w systemach informatycznych. Terminologia,
[20]
Polska Norma PN-IEC-60364-7-707, listopad 1999. Instalacje elektryczne
w obiektach budowlanych. Wymagania dotyczące specjalnych instalacji lub lokalizacji. Wymagania dotyczące uziemień instalacji urządzeń przetwarzania danych,
[21]
Polska Norma PN-92/E-05200. Ochrona przed elektrycznością statyczną. Terminologia,
150
[22]
Polska Norma PN-92/E-05201. Ochrona przed elektrycznością statyczną. Metody
oceny zagrożeń wywołanych elektryzacją materiałów dielektrycznych stałych,
[23]
Polska Norma PN-92/E-050009-41. Instalacje elektryczne w obiektach budowlanych.
Ochrona zabezpieczająca bezpieczeństwo. Ochrona przeciwporażeniowa,
[24]
Polska Norma PN-93/T-42107. Bezpieczeństwo urządzeń techniki informatycznej
i elektrycznych urządzeń techniki biurowej,
[25]
Polska Norma PN-EN-50 173 styczeń 1999. Technika informatyczna – systemy okablowania strukturalnego,
[26]
Norma Branżowa BN-84/8984-10. Telekomunikacyjne instalacje wnętrzowe,
[27]
Polska Norma PN-E-08390-1, 1996. Systemy alarmowe. Terminologia,
[28]
Polska Norma PN-93/E-08390/11. Systemy alarmowe. Wymagania ogólne. Postanowienia ogólne,
[29]
Polska Norma PN-93/E-08390/14. Systemy alarmowe. Wymagania ogólne. Zasady
stosowania,
[30]
Polska Norma PN-93/E-08390/51. Systemy alarmowe. Systemy transmisji alarmu.
Ogólne wymagania dotyczące systemów,
151
Część 2
Modelowy system telepracy
Spis treści
1.
MODELOWY SYSTEM TELEPRACY W INSTYTUCIE ŁĄCZNOŚCI ................3
2.
TECHNOLOGIE VOIP...................................................................................................7
2.1.
WPROWADZENIE..........................................................................................................7
2.2.
PRZEGLĄD PROTOKOŁÓW SYGNALIZACYJNYCH ...........................................................7
2.2.1.
Protokół H.323 ...................................................................................................7
2.2.2.
Protokół SIP .....................................................................................................10
2.2.3.
Protokół IAX2 ...................................................................................................13
2.2.4.
MGCP...............................................................................................................14
2.2.5.
RTP ...................................................................................................................16
3.
ROZWIĄZANIA W ZAKRESIE SERWERÓW VOIP .............................................18
3.1.
SIPX ..........................................................................................................................18
3.2.
SIP EXPRESS ROUTER ................................................................................................19
3.3.
ASTERISK...................................................................................................................22
3.3.1.
Architektura platformy .....................................................................................22
3.3.2.
Konfiguracja serwera .......................................................................................25
3.3.3.
Lista funkcjonalności serwera Asterisk ............................................................26
4.
BEZPIECZEŃSTWO VOIP .........................................................................................28
4.1.
WPROWADZENIE........................................................................................................28
4.2.
CELE BEZPIECZEŃSTWA W SYSTEMACH VOIP............................................................28
4.2.1.
Integralność (Integrity).....................................................................................28
4.2.2.
Poufność (Confidentiality)................................................................................30
4.2.3.
Dostępność (Availability) .................................................................................31
4.3.
METODY ATAKÓW .....................................................................................................31
4.4.
METODY ZAPEWNIENIA BEZPIECZEŃSTWA W SYSTEMACH VOIP ...............................35
4.4.1.
Środki bezpieczeństwa w systemach VoIP........................................................35
4.4.2.
Architektura sieci i bezpieczny dostęp do medium ...........................................35
4.4.3.
Zapobieganie atakom warstwy 3 i wyższych ....................................................37
4.4.4.
Bezpieczeństwo protokołów VoIP.....................................................................38
4.5.
PRZYKŁADOWE KONFIGURACJE BEZPIECZNEGO VOIP ...............................................42
5.
TESTOWA IMPLEMENTACJA VOIP ......................................................................43
5.1.
TESTOWA IMPLEMENTACJA VOIP W INSTYTUCIE ŁĄCZNOŚCI ...................................43
5.2.
INSTALACJA I KONFIGURACJA PLATFORMY ASTERISK ...............................................46
5.3.
TYPY ZASTOSOWANYCH BRAM VOIP.........................................................................49
5.4.
TYPY ZASTOSOWANYCH TELEFONÓW IP....................................................................51
5.5.
TESTY WYDAJNOŚCI...................................................................................................52
5.5.1.
Środowisko testowe i jego właściwości ............................................................52
5.5.2.
Zestawienie testów............................................................................................53
5.5.3.
Badania wydajności centrali DGT 3450 ..........................................................54
5.5.4.
Ruch inicjowany przez abonentów dołączonych do centrali PSTN/ISDN oraz
kierowany z wykorzystaniem łącza ISDN PRI do serwera Asterisk i ponownie kierowany
do sieci PSTN/ISDN..........................................................................................................55
5.5.5.
Testy w oparciu o ruch generowany do użytkowników PSTN dołączonych do
bramek VoIP .....................................................................................................................56
1
5.5.6.
Testy skuteczności zestawiania połączeń do serwera VoIP, do abonenta
pełniącego rolę uniwersalnego odzewnika.......................................................................59
5.5.7.
Testy skuteczności zestawiania połączeń pomiędzy użytkownikami serwera
VoIP wykorzystującymi do komunikacji protokół SIP......................................................60
6.
USŁUGI IM (INSTANT MESSAGING)......................................................................62
6.1.
PRZEGLĄD NAJPOPULARNIEJSZYCH KOMUNIKATORÓW .............................................63
6.2.
CHARAKTERYSTYKA PROTOKOŁU KOMUNIKACYJNEGO JABBER ................................64
6.3.
MODYFIKACJA JABBERA – PROTOKÓŁ XMPP ...........................................................64
6.4.
ZASADA DZIAŁANIA PROTOKOŁU JABBER/XMPP......................................................65
6.5.
FORMAT DANYCH ......................................................................................................66
6.6.
ZALETY I WADY PROTOKOŁU JABBER/XMPP ............................................................67
6.7.
USŁUGI DOSTĘPNE W SERWERACH JABBER/XMPP ................................................68
6.8.
MECHANIZMY BEZPIECZEŃSTWA PROTOKOŁU JABBER/XMPP ..............................70
6.8.1. Protokół SSL .....................................................................................................70
6.8.2. Protokół TLS.....................................................................................................70
6.8.3. Protokół SASL (Simple Authentication and Security Layer) ............................71
6.8.4. Mechanizm PGP (Pretty Good Privacy) ..........................................................71
7.
PRZEGLĄD APLIKACJI KLIENCKICH I SERWERÓW JABBER/XMPP ........72
7.1.
SERWERY JABBER/XMPP..........................................................................................72
7.2.
PROGRAMY KLIENCKIE JABBER/XMPP .....................................................................75
7.3.
PRZEGLĄD WYBRANYCH, TESTOWANYCH KLIENTÓW JABBER/XMPP........................75
7.3.1.
Psi .....................................................................................................................75
7.3.2.
Miranda IM.......................................................................................................77
7.3.3.
Pandion.............................................................................................................78
7.3.4.
JAJC..................................................................................................................79
7.3.5.
Gaim .................................................................................................................81
7.3.6.
Exodus ..............................................................................................................82
8.
WDROŻENIE TESTOWEJ PLATFORMY IM W IŁ...............................................83
8.1.
ADMINISTRACJA SERWERA ........................................................................................83
8.2.
ZAPEWNIENIE BEZPIECZEŃSTWA SERWERA................................................................83
8.3.
MOŻLIWOŚCI KONSOLI ADMINISTRACYJNEJ ..............................................................84
8.3.1.
Import użytkowników ........................................................................................84
8.3.2.
Dodawanie użytkowników ................................................................................84
8.3.3.
Tworzenie grup użytkowników..........................................................................85
8.3.4.
Wyszukiwanie użytkowników ............................................................................86
8.3.5.
Tworzenie konferencji.......................................................................................86
8.3.6.
Wiadomości „offline”.......................................................................................86
8.3.7.
Filtracja wiadomości........................................................................................86
8.3.8.
Instalacja komponentów zewnętrznych ............................................................86
8.4.
KSIĄŻKA TELEFONICZNA ...........................................................................................87
8.5.
MOŻLIWOŚCI ROZBUDOWY SYSTEMU ........................................................................88
8.6.
PODSUMOWANIE ........................................................................................................89
DOKUMENTACJA TECHNICZNA PROJEKTU PLATFORMY TELEPRACY ........90
2
9. DOKUMENTY ODNIESIENIA ...................................................................................95
10.
LITERATURA............................................................................................................95
1. Modelowy system telepracy w Instytucie Łączności
Jednym z podstawowych warunków konkurencyjności przedsiębiorstw w dobie
globalizacji jest niezawodny, a przy tym szybki przypływ informacji w obrębie
przedsiębiorstwa oraz pomiędzy przedsiębiorstwem a jego otoczeniem. Rynek usług
telekomunikacyjnych jest obecnie w fazie dynamicznego rozwoju i w porównaniu do okresu
sprzed kilku lat oferuje szereg nowych usług, które wychodzą naprzeciw zapotrzebowaniu w
zakresie środków łączności. Obserwacja rynku oraz trendów światowych prowadzi do
wniosku, że dzisiejsze rozwiązania telekomunikacyjne w sektorze przedsiębiorstw będą
zastępowane przez zoptymalizowane pod względem potrzeb i kosztów platformy
telekomunikacyjne oparte o protokół IP oraz szereg usług komunikacyjnych, w tym usługę
VoIP (Voice over IP). Platformy te tworzą także systemy telepracy (zdalnej pracy), które
obok komunikacji w obrębie przedsiębiorstwa, wspomagają komunikację pomiędzy
pracownikami znajdującymi się w różnych lokalizacjach – także poza oddziałami firmy.
Zastosowanie takiej platformy wydatnie wpływa na wzrost konkurencyjności
przedsiębiorstwa poprzez:
•
poprawę efektywności komunikacji,
•
obniżenie ogólnych kosztów użytkowania, dzięki integracji sieci danych i
głosowych oraz eliminacji kosztów połączeń pomiędzy oddziałami
przedsiębiorstwa,
•
wsparcie i obniżenie kosztów pracy na odległość, w tym komunikacji pomiędzy
pracownikami znajdującymi się poza oddziałami przedsiębiorstwa,
•
szeroki wachlarz usług dodatkowych,
•
gotowość do przyszłych aplikacji.
Platforma telekomunikacyjna ma za zadanie wspomagać organizację pracy w danym
przedsiębiorstwie i wymaga jak najdokładniejszego dopasowania do specyfiki organizacji
pracy. System telepracy wpasowuje się znacznie dokładniej w nowoczesną organizację pracy
oraz orientację projektową, która zakłada realizację określonych zadań w wąskich grupach
ekspertów. Z kolei podstawowym wymaganiem dla zapewnienia dostępu do usług telepracy
jest dostęp do sieci transmisji danych, która łączy wszystkie lokalizacje, gdzie znajdują się
członkowie zespołów projektowych. Obecna oferta operatorów telekomunikacyjnych w
zakresie dostępu do tego typu sieci daje podstawy do wykorzystania telepracy nie tylko wśród
pracowników rozproszonej geograficznie korporacji, lecz również pracowników
pozostających w swoich domach, czy też znajdujących się jedynie w zasięgu infrastruktury
sieci bezprzewodowych.
System ten idealnie wspomaga komunikację grupową wszędzie tam, gdzie występuje
problem rozproszenia poszczególnych oddziałów przedsiębiorstwa, a jednocześnie charakter
pracy umożliwia realizację zadań nie tylko w biurze, laboratorium, lecz również w domu
pracownika lub w podróży. Idealnym środowiskiem wdrożenia testowego systemu telepracy
jest właśnie Instytut Łączności, który prowadząc prace o charakterze koncepcyjnobadawczym w interdyscyplinarnych zespołach również często staje przed problemem
rozproszenia geograficznego.
W przypadku Instytutu Łączności właśnie czynnik rozproszenia geograficznego
oddziałów stał się kluczowy (oddziały w Warszawie, Wrocławiu i Gdańsku), zaś specyfika
pracy wirtualnych zespołów badawczych wymaga wdrożenia modelu systemu telepracy
opartego na następujących elementach:
3
•
komunikacja głosowa oparta na telefonii VoIP,
•
komunikacja typu Instant Messaging (IM),
•
dostęp do poczty korporacyjnej,
•
dostęp do zasobów sieci wewnętrznej IŁ.
Proponowany model systemu telepracy zakłada współistnienie ww. elementów i
udostępnienie odpowiadających im środków komunikacji każdemu z pracowników (aplikacje
VoiP, komunikatory IM). Dotychczas wdrożone elementy systemu telepracy realizowały
funkcje dostępu do zasobów informatycznych IŁ. Ograniczają się one do zapewnienia
bezpiecznego dostępu poprzez utworzone za pomocą protokołu IPSec łącza sieci wirtualnej
VPN (Virtual Private Network) do infrastruktury informatycznej siedziby Instytutu
Łączności. Jednocześnie zapewniony jest dla wszystkich użytkowników poczty korporacyjnej
dostęp do serwera pocztowego zlokalizowanego w oddziale wrocławskim i warszawskim.
W zakresie komunikacji głosowej wykorzystywana jest obecnie sieć PSTN/ISDN, do
której dołączone są centrale abonenckie w wszystkich lokalizacjach. Komunikacja
telefoniczna pomiędzy oddziałami IŁ stanowi w tym przypadku znaczący udział kosztów
związanych z połączeniami telefonicznymi. Ograniczenie tych kosztów mogłoby mieć
miejsce w przypadku wykorzystania dostępnych łączy do Internetu oraz telefonii VoIP.
Jednocześnie, względy bezpieczeństwa infrastruktury telekomunikacyjnej IŁ przemawiają za
pozostawieniem łączy do sieci PSTN/ISDN, które w szczególności powinny zapewnić
łączność na wypadek niedostępności usług sieci transmisji danych.
Kolejnym istotnym elementem systemu telepracy jest komunikacja oparta na sieci
Instant Messaging. W chwili obecnej w tym zakresie nie istnieją w IŁ ustalone standardy
wymiany wiadomości, co oznacza, że dopuszczalne jest wykorzystanie ogólnodostępnych
komunikatorów i serwerów. Jednak takie rozwiązanie nie może zostać zaadaptowane do
potrzeb korporacyjnych ze względu na niewystarczające mechanizmy bezpieczeństwa oraz
brak możliwości uruchomienia własnych usług w oparciu o ten kanał komunikacyjny.
Wdrożenie spójnej platformy telepracy w IŁ zostało zatem ukierunkowane na
wdrożenie systemu VoIP oraz komunikacji typu Instant Messaging. Obie usługi zostaną
uruchomione w oparciu o zasoby oddziału warszawskiego, ze względu na fakt, iż w ramach
sieci lokalnej spodziewany jest największy ruch, jak również parametry łącza dostępowego,
zapewniające wystarczający komfort pracy oraz dostępność dla pracowników zdalnych.
4
Rys. 1. Docelowa platforma systemu telepracy w Instytucie Łączności
Niezbędna modyfikacja infrastruktury informatycznej IŁ obejmuje w tym wypadku
umiejscowienie bram w oddziałach korporacji, wspólnych serwerów VoIP i Instant
Messaging w centralnej lokalizacji.
Istotne jest również zapewnienie bezpieczeństwa oraz dostępności usług VoIP. W tym
zakresie optymalnym rozwiązaniem okazują systemy oparte na prostych rozwiązaniach,
angażujących możliwie wąskie pasmo oraz „oszczędny” (w rozumieniu złożoności wymiany
komunikatów) protokół sygnalizacyjny. Ze względu na zastosowanie w wielu sieciach
korporacyjnych translacji adresów NAT, grupa potencjalnych rozwiązań zostaje ograniczona
do tych, które wykorzystują do komunikacji porty o stałych numerach bądź takich, których
wymiana wiadomości sygnalizacyjnych oraz strumieni użytkowych odbywa się z
wykorzystaniem tego samego portu. Takim rozwiązaniem jest omawiany w dalszym ciągu
pracy protokół IAX2.
Podstawowym założeniem przyjmowanym dla systemu VoIP jest umieszczenie w
ramach istniejącego planu numeracji także grupy obsadzonej przez telefony IP lub ich
5
software’owe odpowiedniki. Daje to możliwość korzystania z zalet wewnętrznej sieci
telefonicznej bez względu na fizyczną lokalizację użytkownika. Oznacza to również, że
numer telefonu przypisany do użytkownika może być wykorzystywany jako numer abonenta
wewnętrznego nawet wówczas, gdy aparat ten zostanie dołączony poza oddziałem IŁ, np. w
domu pracownika, posiadającego dostęp do Internetu i oprogramowanie klienckie VPN.
Abonenci VoIP są z kolei widoczni spoza sieci korporacyjnej w taki sam sposób, jak abonenci
central PBX, a jednocześnie wykonując połączenia w ramach sieci korporacyjnej pomimo
rozproszenia geograficznego nie ponoszą kosztów połączeń telefonicznych.
Specyfika pracy badawczej w ramach wirtualnych zespołów wymaga zapewnienia
także pewnego i bezpiecznego dostępu do usługi IM. Daje ona możliwość nie tylko wymiany
wiadomości tekstowych (indywidualnie i grupowo), lecz również przesyłania plików czy też
korzystania z usług informacyjnych, takich jak książka telefoniczna, usługi przypominania o
zadaniach do wykonania wraz z ich terminami, informowania o przychodzącej poczcie (co
jest szczególnie istotne, gdy użytkownik dysponuje dostępem do serwera pocztowego jedynie
poprzez bezpieczny interfejs WWW).
Tego typu rozwiązania idealnie uzupełniają komunikację głosową a jednocześnie dają
możliwość kontroli i sprawnego kierowania wirtualnym zespołem badawczym. Obok
niewątpliwych zalet pozostawania w ciągłym kontakcie całego zespołu bez względu na
miejsce pracy każdego z jego członków, cechy proponowanego modelu telepracy rozszerzają
możliwości zatrudnienia osób niepełnosprawnych oraz kobiet wychowujących dzieci, co
pozytywnie wpływa na proces wyrównywania szans zatrudnienia kobiet i mężczyzn.
6
2. Technologie VoIP
2.1. Wprowadzenie
Rozwiązania wykorzystujące transmisję głosu oraz obrazu z wykorzystaniem sieci
pakietowych cieszą się rosnącą popularnością głównie w obszarze rozwiązań dla
indywidualnych użytkowników, którzy do realizacji tego typu usług wykorzystują dostęp do
sieci Internet. Rozwiązania dedykowane dla organizacji stanowią z kolei ofertę wielu
dostawców komercyjnych jak również mogą być oparte z powodzeniem na produktach typu
Open Source. W ten sposób opracowywane są platformy komunikacyjne w postaci serwerów
VoIP pełniących funkcje software’owych central abonenckich PBX. Rosnąca popularność
tego typu rozwiązań jest spowodowana m.in.:
•
zastosowaniem
do
komunikacji
pomiędzy
zestandaryzowanych protokołów komunikacyjnych,
elementami
systemu
•
nieustannym rozwojem i udoskonalaniem oprogramowania oraz stosunkowo
łatwym i tanim dostępem do kolejnych, ulepszonych, jego wersji, co z kolei
posiada pozytywny wpływ na wydajność i niezawodność rozwiązań VoIP,
•
wsparciem ze strony producentów sprzętu takiego, jak: karty interfejsów, telefony,
bramy multimedialne i inne,
•
równoległym rozwojem oprogramowania dedykowanego dla różnych systemów
operacyjnych,
•
stale zwiększającą się przepustowością sieci Internet.
Przykładem serwerów opartych na rozwiązaniach typu Open Source są m.in.: Asterisk,
SER (SIP Express Router) czy też sipX, które zostaną scharakteryzowane w kolejnych
rozdziałach.
Jedną z zasadniczych przyczyn popularności rozwiązań typu Open Source w obszarze
serwerów VoIP jest zastosowanie komunikacji opartej na standardowych protokołach (H.323,
SIP, MGCP, RTP) oraz na protokołach zaprojektowanych na potrzeby komunikacji z danym
typem serwera i dobrze sprawdzających się w warunkach rzeczywistych. Przykładem tego
typu protokołu jest IAX2 (Inter Asterisk eXchange version 2), który został przewidziany
zarówno do komunikacji pomiędzy serwerem i aplikacjami końcowymi jak również do
wymiany komunikacji pomiędzy dwoma serwerami. Popularność serwera Asterisk jak
również protokołu IAX2 sprawiły, że wielu producentów wyposażenia sprzętowego VoIP
niższego segmentu zaimplementowało obsługę tego protokołu w swoich produktach (telefony
IP, bramy VoIP). Z kolei przykładem protokołu dedykowanego do współpracy z
urządzeniami pochodzącymi od jednego producenta jest protokół Skinny, implementowany w
hardware’owych i software’owych telefonach produkowanych przez firmę Cisco, jak również
wykorzystywany przez serwer komunikacyjny VoIP dostarczany przez tę firmę.
2.2. Przegląd protokołów sygnalizacyjnych
2.2.1. Protokół H.323
Chronologicznie pierwszym protokołem VoIP był opracowany i zdefiniowany przez
Międzynarodową Unię Telekomunikacyjną ITU protokół H.323. Nazwa stosu protokołów
H.323, wykorzystywanego do realizacji połączeń VoIP, określa serię dokumentów
standaryzacyjnych (standardy zaakceptowane przez ITU), które definiują:
7
•
ogólne zasady komunikacji multimedialnej w trybie punkt-punkt oraz zasady
zestawiania połączeń konferencyjnych, przy czym konferencje mogą być
realizowane z wykorzystaniem jedynie oprogramowania terminali bądź przy
użyciu specjalizowanych zasobów sieci, które w architekturze H.323 określane są
mianem kontrolera połączeń wielostronnnych. Sterowanie zestawianiem połączeń
konferencyjnych może mieć charakter scentralizowany, tzn. użytkownik inicjujący
połączenie konferencyjne może „dołączać” do konferencji kolejnych uczestników
lub zdecentralizowany, tzn. każdy z uczestników konferencji posiada prawo
dołączania kolejnych,
•
zasady współpracy sieci VoIP z siecią z komutacją łączy,
•
zasady współpracy elementów architektury H.323, pochodzących od różnych
dostawców, jak również protokoły wykorzystywane do tego typu transmisji; oraz
zbiór kodeków sygnału mowy,
•
zasady zarządzania dostępnym pasmem,
•
metody autoryzacji użytkowników,
•
zbiór usług dodatkowych.
Zgodnie z założeniem stos protokołów H.323 może wykorzystywać w warstwie
transportowej dowolną technikę pakietową, np.: Ethernet, TCP/UDP/IP, ATM, oraz Frame
Relay w celu realizacji połączeń multimedialnych w czasie rzeczywistym.
Podstawowe elementy, wchodzące w skład środowiska VoIP opartego
wykorzystaniu stosu protokołów H.323 zostały przedstawione na rysunku (Rys. 3).
H.323
Terminal
H.323
Terminal
na
H.323
MCU
Sieć pakietowa
H.323
Gateway
H.323
Gatekeeper
PSTN
B-ISDN
H.323
Terminal
N-ISDN
Rys. 2. Architektura sieci VoIP opartej na wykorzystaniu stosu protokołów
H.323
Poszczególne elementy sieci VoIP mogą stanowić zarówno aplikacje (np. getekeeper,
terminal, MCU) jak również fizyczne urządzenia (np. gateway, terminal). Koncepcja
protokołów stosu H.323 była rozwijana od 1996 roku, co zaowocowało powstaniem pięciu
8
wersji tego standardu. Charakterystyczne cechy koncepcji H.323 można opisać w następujący
sposób:
•
Realizacja pojedynczego połączenia w H.323 przewiduje podział na trzy
zasadnicze fazy: zestawianie połączenia, rozłączanie połączenia oraz faza
wymiany danych użytkowych.
•
H.323 zapewnia realizację połączeń głosowych
konferencyjnych), transmisje faksową oraz video.
•
Dla połączeń głosowych oraz video w warstwie transportowej wykorzystywany
jest protokół UDP, zaś dla transmisji faksowej protokoły UDP lub TCP. Wymiana
danych użytkowych realizowana w czasie zbliżonym do rzeczywistego ma miejsce
z wykorzystaniem kanałów logicznych pomiędzy punktami końcowymi i
realizującymi je protokołami transportowymi RTP (Real – time Transport
Protocol) oraz RTCP (Real – time Transport Control Protocol).
•
Procedura obsługi połączeń opiera się na obsłudze tzw. kanałów logicznych, które
służą do wymiany danych określonego typu: sygnalizacyjnych, opisujących
właściwości terminali i danych użytkowych.
•
Wersja druga H.323 wprowadziła możliwość skrócenia procesu zestawiania
połączenia poprzez wprowadzenie tzw. procedury. FastConnect, realizującej
skróconą procedurę otwarcia kanałów logicznych niezbędnych do realizacji
połączenia.
•
Stos H.323 obejmuje grupę protokołów niezbędnych do zestawienia, utrzymania i
rozłączenia połączenia, w tym:
•
(w
tym
połączeń
o protokół H.225, bazujący na sygnalizacji DSS1 w sieci ISDN
o protokół H.245,
o protokoły RTP i RTCP do przenoszenia strumienia użytkowego w czasie
zbliżonym do rzeczywistego.
Usługi dodatkowe realizowane w oparciu o H.323 zostały zdefiniowane w
Zaleceniu H.450.
Stos protokołów H.323 został przedstawiony na rysunku (Rys. 3).
9
Rys. 3. Architektura stosu protokołów H.323
2.2.2. Protokół SIP
Protokół SIP (Session Initiaion Protocol) powstał w ramach prac prowadzonych przez
organizację IETF(Internet Engineering Task Force). Prace standaryzacyjne prowadzone nad
protokołem zostały zapoczątkowane w obrębie IETF przez grupę opracowującą mechanizmy
do kontroli sesji multimedialnych w sieci Internet (Multiparty Multimedia Session Control).
Następnie w miejscu tej grupy utworzono inną- grupę roboczą pracującą nad problematyką
rozwoju, standaryzacji i zastosowania protokołu SIP (The SIP Working Group). Protokół SIP,
zdefiniowany w dokumencie RFC 3261, jest protokołem warstwy aplikacji bazującym na
modelu klient-serwer. Definiuje zestawianie, modyfikacje parametrów oraz rozłączanie sesji
multimedialnych w tym połączeń telefonicznych, realizowanych za pośrednictwem sieci
pakietowej. Za pomocą tego protokołu zestawiane są zarówno połączenia typu punkt-punkt
oraz połączenia konferencyjne.
Podobnie, jak w przypadku architektury H.323, protokół SIP zapewnia szeroki zakres
usług, w tym realizacji multimedialnych połączeń konferencyjnych czy mapowania nazw,
przekierowania połączeń. Pozwala to na realizację usług sieci ISDN oraz usług
charakterystycznych dla sieci inteligentnych w sieciach pakietowych z protokołem SIP.
Właściwości te wspomagają mobilność użytkownika rozumianą jako dostępność żądanego
abonenta niezależnie od fizycznej lokalizacji.
Protokół SIP wywodzi się z protokołu HTTP (Hypertext Transfer Protocol) oraz SMTP
(Simple Mail Transfer Protocol). Podobnie jak te protokoły, również protokół inicjalizacji
sesji jest protokołem tekstowym opartym na modelu klient-serwer, co oznacza, że
charakteryzuje się on zbiorem żądań generowanych przez jednostkę klienta, które są
odbierane przez jednostkę określaną jako serwer, udzielającej na nie odpowiedzi. Żądania
strony klienta, określane mianem metod, są realizowane przez serwer i skutkują realizacją
określonych działań po stronie serwera.
Protokołem transportowym dla metod SIP może być zarówno protokół UDP jak
również TCP. Z kolei protokołem, który jest wykorzystywany do przenoszenia informacji o
opisującej wykorzystywane medium (m.in. rodzaj kodeka, szerokość wykorzystywanego
10
pasma, itp.) jest protokół SDP (Session Description Protocol). Obecnie większość
implementacji protokołu SIP wykorzystuje w warstwie transportowej protokół UDP.
Protokół SIP powstał w celu zarządzania sesją, przy czym sesja jest tutaj rozumiana
jako wymiana danych pomiędzy procesami, reprezentującymi uczestników sesji.
Implementacja aplikacji, które wykorzystują sesje do komunikacji pomiędzy sobą jest o tyle
trudna, iż możliwe jest wykorzystanie przez użytkowników różnych punktów końcowych
(tzn. aplikacji, telefonów IP), charakteryzujących się odmiennymi właściwościami takim, jak
np. wykorzystywane kodeki mowy, porty komunikacyjne, itp. Protokół SIP jest
wykorzystywany w celu umożliwienia punktom końcowym, określanym jako agenci
użytkownika (user agents) zlokalizowanie się nawzajem oraz ustalenie warunków, w jakich
będzie przebiegać sesja. Na potrzeby lokalizacji użytkowników oraz innych funkcji
wykorzystywanych w trakcie sesji protokół SIP wykorzystuje infrastrukturę złożoną z sieci
serwerów (SIP servers). Agent użytkownika może wysłać do serwera żądanie rejestracji,
żądanie zestawienia połączenia ze wskazanym punktem końcowym oraz innego typu żądania.
Stąd wynika, że protokół SIP stanowi ogólne narzędzie:
•
wykorzystywane do tworzenia, modyfikacji parametrów oraz zakończenia sesji,
•
niezależne od protokołów transportowych,
•
niezależne od rodzaju sesji, której zestawieniem zarządza.
W odróżnieniu od H.323 protokół SIP nie stanowi systemu komunikacyjnego lecz
posiada cechy komponentu takiego systemu, którego elementami są także następujące
protokoły (zdefiniowane przez IETF):
•
Session Description Protocol (SDP), protokół wykorzystywany do przenoszenia
informacji opisujących parametry sesji multimedialnych (m.in. wykorzystywane
kodeki, porty UDP, itp.);
•
Real-time Transport Protocol (RTP), zapewniający w czasie rzeczywistym
transport pakietów zawierających skwantowane próbki mowy oraz umożliwiający
zastosowanie mechanizmów gwarantujących poziom jakości (QoS);
•
Real-Time streaming protocol (RTSP), umożliwiający kontrolę przepływu
strumieni multimedialnych w czasie rzeczywistym;
•
Gateway Control Protocol (MEGACO), odpowiedzialny za kontrolę bram
(gateways) łączących sieć pakietową z siecią tradycyjną (PSTN);
Podstawowymi elementami architektury VoIP z implementacją protokołu SIP są agenci
użytkownika (User Agents) oraz serwery sieciowe SIP (SIP Network Servers). Agent
użytkownika jest aplikacją realizującą odpowiednie zadania w imieniu użytkownika.
Aplikacja ta może funkcjonować zarówno jako serwer (UAS – User Agent Server) oraz klient
(UAC – User Agent Client), ponieważ użytkownik może być zarówno inicjującym połączenie
jak również abonentem żądanym. UAC jest w tym przypadku wykorzystywany do
generowania żądań, z kolei UAS odbiera te i odpowiada żądania na nie w imieniu
użytkownika.
Agent użytkownika posiadający funkcjonalność zarówno klienta jak i serwera może
brać udział w zestawianiu połączeń VoIP z wykorzystaniem protokołu SIP bez pośrednictwa
serwerów sieciowych SIP. Wyróżnia się trzy rodzaje serwerów sieciowych SIP:
•
Proxy Server (serwery proxy), których podstawowym zadaniem jest
przekazywanie żądań UAC do właściwego serwera docelowego (UAS). W tym
celu serwer proxy dokonuje interpretacji oraz w razie konieczności również
11
modyfikacji treści żądania przed przesłaniem do kolejnego serwera. Serwerem
docelowym może być każdy typ serwera (serwer proxy nie musi posiadać
informacji o typie serwera, do którego przesyła wiadomość). Zanim żądanie dotrze
do serwera UAS może przechodzić przez wiele serwerów sieciowych SIP. Jeśli
serwer proxy generuje zarówno żądania jak i odpowiedzi to pełni on wówczas rolę
serwera i klienta. Serwer proxy może zapamiętywać przychodzące i wychodzące
żądania kojarząc je z określoną sesją (stateful proxy) lub jedynie przesyłać dalej
otrzymane żądania (stateless proxy). Pierwszy typ serwera jest stosowany m.in.
wówczas, gdy przychodzące żądanie jest następnie rozsyłane jednocześnie do
wielu serwerów, co z kolei ma miejsce w trakcie procesu obsługi połączeni a
konferencyjnego
•
Redirect Server, serwery przekierowań (), Serwer przekierowań nie przekazuje
żądań do kolejnych serwerów, lecz akceptując je dokonuje mapowania adresów
docelowych serwerów i przesyła je klientowi, aby ten mógł przesłać żądania
bezpośrednio docelowemu serwerowi. W przeciwieństwie do SIP proxy, serwer
ten nie generuje własnych żądań ani nie akceptuje przychodzących połączeń
•
Registrar Server, serwery rejestracji. Zadaniem serwera rejestracji jest
przyjmowanie i obsługa żądań REGISTER. W tym celu musi on posiadać
informacje opisujące dostępność serwerów oraz klientów. Zazwyczaj serwer ten
jest zlokalizowany łącznie z serwerem proxy lub przekierowań, może również
oferować usługi lokalizacji
Ponadto możliwe jest korzystanie z usług serwera lokalizacyjnego (location server). W
zależności od architektury fizycznej sieci pakietowej serwery SIP są wykorzystywane
opcjonalnie.
Serwer
pośredniczący
Serwer
pośredniczący
2
Agent
użytkownika 1
0
3
Serwer
lokalizacji
Serwer
lokalizacji 0
0
Agent
użytkownika
0
Serwer
rejestrujący
Serwer
rejestrujący
Rys. 4. Architektura funkcjonalna SIP
Oparty na wymianie wiadomości sterujących w trybie tekstowym protokół SIP został
zaprojektowany w taki sposób, aby tekst wiadomości był niezależny od zestawu znaków
(wiadomości mogą zawierać każdy ze znaków zgodnych z normą ISO 10646). Jednocześnie
Protokół SIP ma możliwość wykorzystywania narodowego zestawu znaków.
12
Tryb tekstowy wymusza zastosowanie rozszerzonych mechanizmów autoryzacji
użytkowników (zabezpieczenie przed aktywnym podsłuchem, czyli modyfikowaniem
wiadomości sygnalizacyjnych bądź pakietów przenoszących sygnał głosowy) oraz
szyfrowaniu zawartości (zabezpieczenie przed pasywnym podsłuchem, polegającym na
monitorowaniu wymiany wiadomości sygnalizacyjnych i pakietów zawierających próbki
głosu).
2.2.3. Protokół IAX2
Protokół IAX2 (InterAsterisk eXchange Protocol version 2) został opracowany w
ramach projektu Asterisk, jako protokół służący do wymiany informacji pomiędzy serwerami
Asterisk, jak również do komunikacji pomiędzy serwerem i aplikacją użytkownika telefonem VoIP w postaci aplikacji lub fizycznego urządzenia. Protokół ten jest
wykorzystywany nie tylko do wymiany wiadomości sygnalizacyjnych, lecz również do
przenoszenia strumieni audio i video oraz przesyłania tekstu i obrazów.
Specyfikacja protokół IAX2 definiuje dwa typy nagłówków:
•
o rozmiarze 12 bajtów (tzw. Fullheader), przenoszący informacje sygnalizacyjne,
•
o rozmiarze 4 bajtów (tzw. Miniheader), przeznaczony wyłączenie do
przenoszenia danych użytkowych.
Wiadomości sygnalizacyjne wymieniane są jedynie z wykorzystaniem większych 12
bajtowych nagłówków. Wszystkie wiadomości sygnalizacyjne zawierają numer sekwencyjny
i są potwierdzane za pomocą wiadomości ACK (wyjątkiem od te reguły jest brak potwierdzeń
dla wiadomości ACK oraz HANGUP). Najważniejsze cechy charakterystyczne protokołu
IAX są następujące:
•
IAX2 jest protokołem dedykowanym dla komunikacji z serwerem Asterisk, jednak
jego specyfikacja jest otwarta, co umożliwia tworzenie przez niezależnych
dostawców oprogramowania wykorzystującego ten protokół.
•
Wymiana wiadomości sygnalizacyjnych i strumieni użytkowych odbywa się z
pośrednictwem protokołu UDP w warstwie transportowej oraz standardowo portu
4569. Protokół ten, dzięki prostej strukturze, stosunkowo niewielkiemu narzutowi
związanemu z nagłówkami oraz wykorzystaniu jednego portu do realizacji
wymiany sygnalizacji oraz strumieni użytkowych, dobrze sprawdza się w sieciach
prywatnych z translacją NAT oraz zainstalowanymi ścianami ogniowymi
(firewallami).
•
IAX2 charakteryzuje się stosunkowo niewielkim narzutem związanym z
wielkością nagłówków pakietów, co wynika zarówno z ograniczonej liczby pól
nagłówkowych oraz z przyjętego kodowania binarnego (każdy z pakietów
wchodzących w skład strumieni użytkowe audio oraz video opatrzony jest
nagłówkiem o wielkości 4 bajtów).
•
Połączenia pomiędzy serwerami Asterisk realizowane w oparciu o protokół IAX2
są automatycznie kojarzone i korzystają ze wspólnych mechanizmów zarządzania
•
Protokół IAX2 umożliwia autoryzację z wykorzystaniem infrastruktury klucza
publicznego (PKI). Wykorzystanie autoryzacji opartej na PKI umożliwia
uwierzytelnienie dwóch komunikujących się serwerów Asterisk z pomocą pary
kluczy oraz algorytmu RSA.
13
2.2.4. MGCP
Protokół MGCP (Media Gateway Control Protocol) w wersji 1 został zdefiniowany w
dokumencie RFC 3453, jako służący do sterowania bramami medialnymi (Media Gateways).
Jest obecnie jednym z popularniejszych protokołów przeznaczonych do wymiany wiadomości
między bramami medialnymi i ich sterownikami MGC (Media Gateway Controllers). Grupę
pozostałych protokołów, które mogą być wykorzystywane na tym styku, stanowią: H.248,
Megaco, SGCP, IPDC, MDCP, H.GCP, i NCS.
Powyższe protokoły zostały zaprojektowane w celu zapewnienia komunikacji pomiędzy
elementami wchodzącymi w skład sieci NGN i realizującymi funkcje tradycyjnej centrali
telefonicznej. W przypadku architektury NGN funkcje te posiadają charakter rozproszony, co
oznacza, że docelowa koncepcja (tzw. softswitch klasy 5) zakłada dekompozycję funkcji
tradycyjnych systemów komutacyjnych na sterowanie, sygnalizację połączeń oraz obsługę
kanałów użytkowych. Zastosowanie takiej architektury umożliwi wykorzystanie wspólnej
platformy transportowej opartej na sieci pakietowej do realizacji różnego typu usług. W
chwili obecnej obok protokołu MGCP do realizacji koncepcji NGN wykorzystywany jest
również protokół Megaco/H.248, stanowiący wspólne rozwiązanie organizacji
standaryzacyjnych w zakresie mechanizmów sterowania bramami medialnymi oraz
sterownikami bram medialnych.
Protokół został zaprojektowany przez firmę Level3 - dostawcę, opartych na protokole
IP, usług sieciowych, podstawowego konkurenta tego rozwiązania – początkową koncepcję
protokołu Megaco zaproponowała organizacja IETF. Wersja tego protokołu o rozszerzonym
zakresie funkcjonalnym została opracowana wspólnie przez organizację ITU i grupę roboczą
Megaco organizacji IETF.
Protokół MGCP wprowadził nowe pojęcia takie jak: bramy sygnalizacyjne SG
(Signalling Gateway), sterowniki bram medialnych MGC (Media Gateway Control) oraz
bramy medialne MG (Media Gateway). Model ten i protokół MGCP nie narzucają
wymaganej fizycznej dekompozycji, ona wynika z logicznego punktu widzenia. Celem tej
logicznej perspektywy jest dostarczenie sygnalizacji umożliwiającej normalizację usług w
interfejsie sterowania mediami MCI (media control interface), odseparowując przy tym usługi
od matrycy komutacyjnej.
Z perspektywy protokołu MGCP rozproszona centrala telefoniczna jest rozpatrywana
jako sterownik bramy medialnej MGC oraz brama medialna MG z bramą sygnalizacyjną
(SG). Terminy „softswitch” oraz „call agent” stosuje się do opisywania jednostek wyższego
poziomu, które implementują funkcje kreowania usług oraz funkcje aplikacyjne.
Softswitch przez konsorcjum ISC został określony jako dowolna platforma, która
steruje siecią komunikacyjną ponad sieciami o charakterze transportowym z protokołem IP.
Natomiast bardziej ogólny termin Call Agent jest używany w projekcie protokołu MGCP i nie
specyfikuje wymagań dla sieci z protokołem IP. Przeważnie jednak nazwy „Softswitch”,
„Call Agent” oraz „sterownik MGC” stosuje się wymiennie.
Podstawowym zadaniem protokołu MGCP jest wymiana informacji pomiędzy bramą
medialną i jednostką sterowania bramą medialną znajdującą się w softswitchu. Brama
sygnalizacyjna pośredniczy między protokołami sygnalizacyjnymi występującymi w sieci z
komutacją łączy (np. ISDN, ISUP) i w sieci z komutacją pakietów (np. SIP, H.323). Istnieje
możliwość umieszczenia bram sygnalizacyjnych jako jednostek funkcjonalnych softswitcha.
Elementy protokołu sygnalizacyjnego są przekazywane przez sterownik bramy medialnej do
bramy medialnej. Elementy sygnalizacyjne protokołu CCS (Channel Common Signalling),
związane z przesyłaniem sygnalizacji w oddzielnym wspólnym kanale będą w kierunku
14
przeciwnym transportowane od końcowej bramy medialnej do sterownika bramy medialnej za
pomocą odpowiedniego protokołu transportowego dla sygnalizacji. Taki protokół został
opracowany w organizacji IETF przez grupę roboczą SigTran w ramach protokołu SCTP
(Simple Control Transport Protocol) (scharaktyzowany w p. 3 niniejszego opracowania).
Przez bramy medialne rozumie się następujące bloki:
•
Bramy magistralne (Trunking Gateway) – PSTN - IP;
•
Bramy abonenckie (Residential Gateway) – POTS/xDSL/cableModem - IP;
•
Bramy dostępowe (Access Gateway) i biznesowe (business) – PBX/softPBX - IP;
•
Komutatory (Switches) dla sieci z komutacją łączy i pakietów, które mogą być
interfejsem dla zewnętrznych elementów sterujących połączeniami.
Protokół MGCP definiuje model połączeń, z uwzględnieniem punktów końcowych.
Połączenia te mogą mieć charakter połączeń typu: punkt - punkt lub punkt – wiele punktów. Z
kolei punkty końcowe są elementami takimi, jak np.: bramy magistralne lub abonenckie lub
serwery usługowe.
Na interfejs API, związany z protokołem MGCP, przypada 8 głównych poleceń.
Większość z nich związana jest wieloma argumentami, część jest przekazywana w protokole
SDP (Session Description Protocol). Każde polecenie oczekuje na właściwą odpowiedź,
tworząc jednocześnie transakcję. Protokół MGCP nie wymusza żadnego poziomu powiązania
pomiędzy sterownikiem bramy medialnej a bramą medialną. Przykładowo, dla słabego
powiązania, sterownik bramy medialnej żądałby zestawienia połączenia tylko na specyficznej
magistrali lub magistrali i łączu bez precyzowania typu punktu końcowego, wyboru kodeka,
czy innej bramy (o tych parametrach decydowałaby brama medialna). Przy ścisłym
powiązaniu sterownik żądający zestawienia połączenia określałby wszystkie parametry. W
każdym z powyższych przypadków brama medialna będzie odpowiadać na żądania
stworzenia połączenia z parametrami, które zostały użyte w żądaniu (zgodnie z protokołem
SDP). Polecenia stosowane w protokole MGCP mogą być wbudowane lub razem połączone,
dzięki czemu sekwencja poleceń może zostać wysłana w pojedynczej transakcji.
Wszystkie polecenia protokołu MGCP pomiędzy softswitchem a bramą medialną są
przesyłane z wykorzystaniem protokołu UDP. Za niezawodność transmisji odpowiadają
właściwe implementacje protokołu MGCP, co umożliwia optymalizację stosowanej w sieci
polityki odpowiedzialności za retransmisję. W celu zapewnienia bezpieczeństwa, którego
wymagają połączenia, może być wykorzystywany protokół IPSec, ponadto możliwe jest
zastosowanie dodatkowo bram ogniowych (firewalls).
Każde polecenie protokołu jest skonstruowane w postaci nagłówka znajdującego się za
deskryptorem sesji. Deskryptor ten jest ściśle powiązany z protokołem SDP, zgodnie z
dokumentem IETF RFC 2327. Identyfikator transakcji jest generowany przez jednostkę
inicjującą polecenie (softswitch lub brama medialna). Zachowuje on ważność dopóki,
transakcja się nie zakończy (również po stronie żądanej), czyli w chwili otrzymania przez
jednostkę pomyślnego polecenia zwrotnego.
Protokoły MGCP i Megaco/H.248 różnią się w następujących głównych obszarach:
• transakcje,
•
multimedia,
•
polecenia,
•
zestawy właściwości,
15
•
model połączeń,
•
autoryzacja nagłówków,
•
procedury powrotu do normalnego funkcjonowania systemu po awarii.
W zakresie transakcji w protokole Megaco stosuje się odseparowane polecenia, które są
kojarzone z identyfikatorami transakcji. Natomiast w przypadku protokołu MGCP
dopuszczone są wbudowane podstawowe polecenia, które mogą spowodować, że polecenia
zwrotne będą trudniejsze do zidentyfikowania.
W protokole Megaco/H.248 zdefiniowano przesyłanie danych multimedialnych (audio i
video), zaś w protokole MGCP skupiono uwagę tylko na danych odzwierciedlających sygnały
akustyczne.
W protokole Megaco/H.248 (v1) umożliwiono również prostszą realizację usług takich,
jak informacja o połączeniu oczekującym oraz połączenie trójstronne, związanych z
poleceniem MOVE. Dodatkowo, w protokole tym, w oparciu o specyfikację, zdefiniowano
oddzielne pakiety funkcjonalne związane z obsługą łączy abonenckich i międzycentralowych,
oraz obsługą telefonów IP (IP Phone).
Protokół Megaco/H.248 posiada również bardziej ogólny model połączeń, przez co
staje się bardziej efektywny dla bram typu TDM-do-TDM, TDM-do-ATM i TDM-do-IP.
Ze względu na zapewnienie bezpieczeństwa, protokół ten dostarcza autoryzację
nagłówka, gdy brak jest IPSec (w przeciwieństwie do protokołu MGCP).
Ponadto protokół Megaco/H.248 umożliwia wyznaczenie dla bramy medialnej nowego
sterownika przy użyciu polecenia ServiceChange. W protokole MGCP powiązanie to jest
zamieniane poprzez specjalnie do tego przeznaczone pole w poleceniu.
2.2.5. RTP
Protokół RTP jest protokołem transportowym, który jest wykorzystywany m. in. przez
protokół H.323. RTP dostarcza usługi transportu danych dla aplikacji czasu rzeczywistego.
Realizuje takie funkcje, jak: numeracja sekwencji przesyłanych danych, nadawanie pakietom
znaczników czasu (time stamp), identyfikacja typu i kodowania transmitowanych danych
użytkowych (payload-type). Protokół RTP obsługuje również transport mieszanych mediów
(media mixing), translację, połączenia typu multicast oraz szyfrowanie strumieni mediów
(media stream encryption).
Protokół RTP obsługuje różne formaty kompresji przy zastosowaniu poszczególnych
kodeków. Do identyfikacji formatu przesyłanych danych służą bity znajdujące się w
nagłówku pakietu protokołu RTP. Rodzaj danych może zostać zmieniony bez jawnej
sygnalizacji poprzez mechanizm mid-stream. Dla protokołu RTP zdefiniowano rodzaje
danych, określone między innymi dla standardów takich, jak H.263, H.261, JPEG, czy
MPEG.
RTP realizuje następujące rodzaje funkcji:
•
zachowanie kolejności pakietów – numer kolejny umieszczany jest w pakiecie
RTP;
•
identyfikacja pola użytkowego – w każdym pakiecie RTP zawarty jest
identyfikator opisujący zakodowane medium;
•
identyfikacja ramki – bit znacznika ramki przesyłany jest do wskazania początku i
końca ramki;
16
•
identyfikacja źródła;
•
synchronizacja strumienia użytkowego – kompensacja różnych jiterów wewnątrz
tego samego strumienia użytkowego za pomocą znacznika czasowego.
Protokół RTCP jest używany do monitorowania QoS i sterowania sesjami protokołu
RTP. Dostarcza mechanizmów kontroli sesji czasu rzeczywistego w IP, informacje zwrotne
na temat jakości (feedback QoS) i mechanizmów kontroli przepływu informacji. Zwrotna
informacja o QoS zawiera liczbę pakietów nadawcy, ich wielkość w bajtach, liczbę pakietów
utraconych, najwyższy odebrany numer kolejny, czas wahań opóźnień przesyłanych pakietów
(inter-arrival jitter time) oraz czas odliczony od poprzedniego raportu nadawcy/odbiorcy.
Punkty końcowe protokołu RTP potrafią analizować te informacje i ustawić odpowiednie
parametry lub typ kodeka w celu zapewnienia odpowiedniej jakości strumienia i
wyeliminowanie niepożądanych zjawisk.
17
3. Rozwiązania w zakresie serwerów VoIP
3.1. SIPx
Platforma sipX stanowi rozwiązanie w zakresie centrali abonenckiej PBX,
dystrybuowane w ramach licencji otwartego oprogramowania. Oznacza to, iż zarówno sipX,
jak również pozostałe przedstawione tutaj rozwiązania serwerów VoIP są dostępne zarówno
w postaci zbiorów wykonywalnych, jak również plików zawierających kod źródłowy, z
możliwością modyfikowania go na własne potrzeby. Obok podstawowych funkcji centrali
PXB serwer sipX posiada również zaimplementowaną dodatkową funkcjonalność systemu
obsługi skrzynek głosowych oraz generowania zindywidualizowanych zapowiedzi
głosowych. Oferuje ponadto interfejs do zarządzania, który jest udostępniany za
pośrednictwem serwera WWW.
Podstawowa architektura funkcjonalna platformy sipX jest złożona z 9 komponentów,
które spełniają funkcje serwerów:
•
Configuration Server, jest aplikacją pełniącą funkcję serwera konfiguracyjnego
(sipXconfig), która poprzez serwer WWW zapewnia dostęp do ustawień
konfiguracyjnych pozostałych komponentów wraz z funkcjami zarządzania
użytkownikami, terminalami, bramami. Aplikacja ta jest również odpowiedzialna za
generowanie plików konfiguracyjnych dla całego systemu sipX.
•
Forking Proxy Server (sipForkingProxy), stanowi aplikację, której podstawowym
zadaniem jest obsługa wszystkich wywołań SIP korzystających z portu o adresie
5060) przychodzących do serwera. Zadaniem serwera jest właściwe kierowanie tych
wywołań z uwzględnieniem docelowych adresów użytkowników zarejestrowanych w
serwerze Proxy SIP.
•
Registrar /Redirect Server, jest aplikacją implementującą funkcje serwera rejestracji
dla użytkowników SIP. W ten sposób implementowany są również plan wywołań
oparty na systemie adresacji użytkowników. Podstawowa adresacja oparta jest na
adresach URI (Uniform Resource Identifier), które za pomocą planu wywołania mogą
być mapowane na znacznie krótsze i czytelniejsze dla użytkowników adresy oparte
np. na numeracji przyjętej w typowych systemach PBX.
•
Presence Server, stanowi aplikację, która pozwala rejestrować zmiany statusu
dostępności a następnie udostępniać te informacje innym (uprawnionym)
użytkownikom.
Zmiany
statusu
są
rejestrowane
w
przypadku
zarejestrowania/wyrejestrowania terminala z serwera SIP lub w trakcie obsługi
połączenia przez terminal.
•
Call Park Server jest serwerem, wykorzystywanym do obsługi zaparkowanych
połączeń, odtwarzania dla nich zapowiedzi głosowych oraz muzyki. Parkowanie
połączenia oznacza dla użytkownika korzystającego z sipX przekierowanie połączenia
do tego serwera, z kolei powrót do zawieszonego połączenia oznacza powtórne
przekierowanie zaparkowanego połączenia do aplikacji agenta.
•
Authorization Proxy Server, jest serwerem SIP Proxy wykorzystywanym do
autoryzacji połączeń wychodzących z serwera sipX. Zapewnia on dostęp
użytkowników indywidualnych do ich własnego profilu określającego możliwość
wykonywania połączeń poza domenę obsługiwaną przez dany serwer sipX.
Jednocześnie jest on odpowiedzialny za komunikację z innymi serwerami SIP Proxy,
znajdującymi się w innych domenach.
18
•
TFTP Server jest serwerem TFTP (Trivial File Transfer Protocol) wykorzystywanym
do przechowywania profili konfiguracyjnych sprzętu współpracującego z platformą
sipX (telefony IP, bramy).
•
PostgreSQL Server jest serwerem zapewniającym dostęp do bazy danych,
przechowującej zestaw parametrów konfiguracyjnych platformy sipX. Serwer ten
wykorzystuje system zarządzania relacyjnymi bazami danych PostgreSQL.
•
Media Server, jest aplikacją realizującą funkcje serwera, który zapewnia obsługę
strumieni multimedialnych sterowaną językiem VXML (Voice eXtended Markup
Language). Umożliwia to m.in. kreację drzew IVR w oparciu o scenariusz opisany w
języku VXML.
•
Conference Server, jest serwerem zapewniającym realizację usługi połączenia
konferencyjnego dla użytkowników platformy sipX (funkcjonalność ta nie została
jeszcze w pełni zaimplementowana w sipX).
Architektura funkcjonalna platformy oraz wzajemne powiązania
poszczególnymi komponentami zostały przedstawione na rysunku (Rys. 5)
pomiędzy
Rys. 5. Architektura funkcjonalna platformy sipX
3.2. SIP Express Router
SIP Express router stanowi rozwiązanie oferujące użytkownikom platformę VoIP wraz
z możliwością realizacji dodatkowych usług i funkcji takich, jak obsługa wiadomości
tekstowych, informowania o statusie użytkownika, dokonywanie translacji pomiędzy
usługami głosowymi z protokołem SIP oraz SMS lub Jabber.
19
Rys. 6. Architektura funkcjonalna platformy SER (na podstawie „The SIP
Express Router. An Open Source SIP Platform” [4])
Podstawowa architektura funkcjonalna serwera SER składa się z dwóch komponentów:
rdzenia odpowiedzialnego za odbieranie, interpretację i przekazywanie wiadomości. Blok ten
jest również odpowiedzialny za wywoływanie określonych procedur, które są obsługiwane
przez zewnętrzne moduły rozszerzeń. Moduły te są dedykowane do obsługi poszczególnych
funkcji, z których najważniejsze to:
•
rejestracja i lokalizacja użytkownika, moduł ten jest odpowiedzialny za obsługę
żądań rejestracyjnych i zarządzanie bazą danych lokalizacji użytkowników
•
obsługa transakcji, który dla trybu statefull, w którym serwer ten może
funkcjonować jako proxy jest odpowiedzialny za nadzorowanie poszczególnych
połączeń realizowanych z wykorzystaniem protokołu SIP
•
autoryzacja użytkownika, moduł ten jest odpowiedzialny za realizację funkcji
autoryzacyjnych (m.in.: wykorzystanie mechanizmu HTTP digest w procesie
autoryzacji oraz komunikacja z bazą danych przechowującą tego typu dane o
użytkownikach: informacje uwierzytelniające)
•
zbiór modułów do obsługi zdarzeń związanych z wymianą wiadomości protokołu
SIP, w tym:
o sterowanie mechanizmem wykrywania zapętleń, które mogą powstać w
przypadku przekazywania wywołań pomiędzy kolejnymi serwerami SIP
Proxy,
o rejestracja ścieżki przekazywania wiadomości SIP (mechanizm Record
Route),
o realizacja funkcji lokalizacyjnych w oparciu o nazewnictwo stosowane w
adresach użytkowników, w tym lokalizacja w oparciu o serwery DNS,
o realizacja dodatkowych funkcji rejestracji użytkowników
•
moduły aplikacyjne, które są odpowiedzialne za realizację dodatkowych usług i
udogodnień takich, jak:
20
o obsługa skrzynek głosowych,
konferencyjnych, itp.
funkcji
voicemail-to-mail,
połączeń
o obsługa użytkowników serwerów Jabber,
o obsługa wychodzących i przychodzących wiadomości SMS od/do
użytkowników zarejestrowanych w serwerze,
o interfejs aplikacyjny, zapewniający zarówno współpracę z zewnętrznymi
aplikacjami (pośrednicząc pomiędzy użytkownikiem i platformą SER w
dostępie np. do funkcji zarządzania).
Podstawowym zadaniem platformy SER jest obsługa wywołań VoIP realizowana
zgodnie ze standardem zawartym w dokumencie RFC 3261, co oznacza, że serwer ten
podobnie jak typowy serwer SIP proxy jest odpowiedzialny za przekazywanie
przychodzących wywołań od agenta użytkownika wywołującego (UAC) do agenta
użytkownika wywoływanego (UAS). Obok funkcji serwera SIP Proxy, platforma ta realizuje
także funkcje serwera rejestracji oraz serwera przekierowań. SIMPLE - dodatkowa
funkcjonalność tej platformy, nie została jeszcze udokumentowana w takim stopniu, aby mógł
być sfinalizowany jej proces standaryzacyjny, stanowi rozszerzenie podstawowych funkcji
obsługi wywołań SIP i daje możliwość również wymiany wiadomości tekstowych pomiędzy
użytkownikami SIP. Ponadto, funkcjonalność ta umożliwia także informowanie pozostałych
(uprawnionych) użytkowników SIP do zamianach statusu dostępności danego użytkownika
SIP (np. powiadomienie o wyrejestrowaniu, aktualnie zestawionym połączeniu). Tego typu
powiadamianie o statusie jest dostępne dla użytkowników aktualnie zarejestrowanych w
serwerze. Na podobnych zasadach przekazywane są nie tylko informacje o zmianie statusu
lecz również wiadomości zdefiniowane przez użytkowników.
W zakresie tworzenia i zarządzania różnorodnymi usługami platforma SER oferuje
interfejs kreacji usług. Modelowanie usług polegające na definiowaniu poszczególnych akcji
systemu jest dokonywane w oparciu o dedykowany język - CPL (Call Precessing Language).
Skrypty opracowane w użyciem tego języka są niezależne od sytemu operacyjnego, na
którym uruchomiany jest serwer SER, zawierają opis scenariusza usługi. Realizacja usługi
wymaga w tym wypadku interpretacji skryptu przez serwer a następnie jego realizacji. Moduł
interpretacji tego języka jest modułem dodatkowym w stosunku do rdzenia platformy SER.
Obok języka opisu usług realizowanych przez SER, platforma ta udostępnia również
interfejs aplikacyjny pozwalający na wykorzystanie zewnętrznych aplikacji np. do
zarządzania serwerem. Dzięki temu powstał zbiór aplikacji służących do konfiguracji i
monitorowania pracy platformy SER. Aplikacje te zazwyczaj oparte są na rozbudowanych
serwerach WWW i wykorzystują interfejs użytkownika realizowany za pomocą protokołu
HTTP, co pozwala na dokonywanie ustawień konfiguracyjnych wykorzystując dostępne
przeglądarki internetowe.
Platforma SER zapewnia obecnie współpracę z systemami, które udostępniają usługi
wymiany krótkich wiadomości tekstowych (w przypadku protokołu SIP wykorzystywana jest
wiadomość MESSAGE, zdefiniowana w SIMPLE). Wymiana wiadomości tekstowych będzie
również możliwa pomiędzy użytkownikami serwera oraz użytkownikami serwerów
komunikacyjnych Jabber. W tym celu twórcy serwera SER przewidują do
zaimplementowania funkcję bramy do serwera Jabber. W tym celu będzie dokonywana
dwukierunkowa konwersja wiadomości protokołu SIMPLE i XMPP.
21
3.3. Asterisk
3.3.1. Architektura platformy
Asterisk stanowi platformę komunikacyjną stworzoną w ramach oprogramowania typu
Open Source. Platforma zapewnia funkcjonalność PBX oraz IVR w obsłudze połączeń w
technologii TDM, jak również połączeń realizowanych w technologii pakietowej. Obok
funkcjonalności PBX i IVR, rozwiązanie to ma zapewniać spójną platformę komunikacyjną
wykorzystywaną przez aparaty końcowe pochodzące od różnych producentów oraz
oprogramowanie realizujące funkcje aparatów końcowych. Podstawowe funkcje platformy
komunikacyjnej, którą stanowią systemy oparte na implementacji Ateriska to:
•
funkcje bramy medialnej (TDM-IP gateway) pomiędzy systemami z komutacją
kanałów oraz systemami z komutacją pakietową, realizujący translację
wiadomości sygnalizacyjnych oraz kanałów użytkowych ( dla połączeń
realizowanych w oparciu o protokoły MGCP, SIP, IAX, H.323), pod warunkiem
zapewniania odpowiedniego wyposażenia sprzętowego w postaci karty
rozszerzenia, zapewniającej interfejs do sieci PSTN/ISDN,
•
funkcje prywatnej centrali abonenckiej PBX (Private Branch eXchange),
•
funkcje serwera interaktywnych zapowiedzi głosowych IVR (Interactive Voice
Response),
•
funkcje rozproszonego węzła komutacyjnego typu Softswitch,
•
funkcje serwera konferencyjnego (Conferencing Server),
•
funkcje translacji numeracji (Number translation),
•
funkcje obsługi połączeń opłacanych na zasadach przedpłaty (Calling card
application),
•
funkcje kolejkowania przychodzących połączeń (Call queuing with remote
agents).
Oprogramowanie to jest rozpowszechniane na warunkach licencji GNU GPL(General
Public License). Ten typ licencji pozwala na swobodną dystrybucję oprogramowania
platformy Asteriska zarówno w postaci zbiorów wykonywalnych (postać binarna) jak również
zbiorów w postaci źródłowej (nieskompilowanej). Redystrybucja postaci źródłowej
oprogramowania jest również możliwa po dokonaniu modyfikacji w kodzie. Ten typ licencji
nie obejmuje jednak sprzętu, który jest wykorzystywany do uruchomienia oprogramowania w
tym kart rozszerzeń oraz niezbędnego do ich prawidłowego funkcjonowania
oprogramowania. Oznacza to również, że wykorzystywane przez użytkowników platformy
oprogramowanie klienckie (telefony software’owe oraz oprogramowanie telefonów
hardware’owych) nie jest objęte tą samą licencją GNU GPL. Rozwiązanie to zapewnia
obsługę takich protokołów, jak: IAX2, SIP, H.323, MGCP, oraz SCCP/Skinny.
Asterisk może być uruchamiany na wielu w oparciu o różne systemy operacyjne, wśród
których najpopularniejsze to: Linux, BSD, Windows i OS X. Architektura platformy Asterisk
została zaprojektowana w odmienny sposób, niż ma to miejsce w przypadku większości
kompletnych systemów telekomunikacyjnych. Oprogramowanie platformy Asterisk pełni w
tym wypadku jedynie funkcje warstwy pośredniczącej (middleware) w architekturze całego
systemu (Rys. 7). Znaczenie funkcji middleware dotyczy w tym wypadku realizacji funkcji
niezbędnych do szeroko rozumianej obsługi połączeń VoIP, pozostawiając warstwie systemu
22
operacyjnego obsługę mechanizmów sieciowych, w tym związanych z poprawną wymianą
danych w sieci Internet.
Aplikacje telefoniczne
Asterisk
(Middleware)
Internet oraz sieci
PSTN/ISDN
Rys. 7. Ogólna architektura platformy Asterisk
Jednocześnie oprogramowanie platformy zapewnia współpracę ze sterownikami kart
rozszerzeń. Karty te umożliwiają obsługę interfejsów do sieci telefonicznych w standardach
TDM, takich jak:
•
ISDN, z obsługą zarówno dostępu pierwotnego (30B+D) jak również
podstawowego (2B+D),
•
PSTN, przy czym obsługiwane mogą być dwa typy portów: FXO, wymagający
zasilania i zapewniające współpracę z centralą oraz FXS, zapewniający zasilanie
linii abonenckiej i umożliwiające dołączenia do niej tradycyjnego analogowego
aparatu telefonicznego.
Fizyczna realizacja ww. interfejsów za pośrednictwem kart rozszerzeń jest realizowana
za pomocą sterowników tych urządzeń, zaś Asterisk zapewnia obsługę tzw. kanałów (ang.
channels), z którymi skojarzone są poszczególne metody transmisji głosu i obrazu w postaci
pakietowej, charakteryzujące się odmiennymi protokołami sygnalizacyjnymi. Pojęcie
kanałów w przypadku tej platformy jest równoznaczne z oprogramowaniem sterowników
przeznaczonych do obsługi wielu typów urządzeń wykorzystujących różne protokoły
komunikacyjne. Zbiór obsługiwanych urządzeń i aplikacji zawiera typowe rozwiązania z
obszaru VoIP (telefony IP, serwery VoIP) oraz urządzenia i oprogramowanie pośredniczące
w komunikacji pomiędzy różnymi typami sieci – bramy VoIP-PST/ISDN. Tego typu
wyposażenie wykorzystuje kanały obsługiwane przez platformę Asterisk zgodnie z zasadami
zdefiniowanymi w specyfikacjach poszczególnych protokołów. Oprócz obsługi połączeń
kanały mogą służyć również do realizacji procedur utrzymaniowych użytkowników VoIP.
Przykładem tego typu procedur jest w odniesieniu do sprzętowych/programowych telefonów
IP oraz bram VoIP jest procedura rejestracji w serwerze połączona z autoryzacją
użytkowników.
Połączenia mogą być zestawiane zarówno pomiędzy urządzeniami lub
oprogramowaniem komunikującym się za pomocą protokołów VoIP (SIP, IAX, MGCP,
H.323, Skinny), jak również urządzeniami wyposażonymi w standardowe dla sieci
PSTN/ISDN interfejsy (np. bramy).
W trakcie uruchomienia platformy Asterisk uruchamiany jest program (Dynamic
Module Loader), który steruje ładowaniem do pamięci serwera oraz inicjowaniem
sterowników, które są wykorzystywane przez serwer do:
23
•
obsługi strumieni sygnalizacyjnych i użytkowych generowanych w ramach
kanałów (H.323, SIP, IAX2, MGCP, Skinny),
•
obsługi plików o różnych formatach (wykorzystywanych m.in. do rejestracji
nagrań skrzynek głosowych i odtwarzania zapowiedzi głosowych),
•
zapewnienia obsługi kodeków audio w zakresie kodowania i dekodowania (G.711
(w wersji A-law i µ-law), G.723.1, G.726, G.729A, Speex, iLBC, GSM, LPC 10,
ADPCM) oraz video (według standardu H.261 i H.263),
•
rejestracji zdarzeń związanych z połączeniami,
•
obsługi aplikacji sterowania połączeniami.
Asterisk Translator API
mp3, gsm, conf, ..
Asterisk File Format API
G.723.1, GSM, speex, ..
Architektura programowa platformy składa się z czterech typów interfejsów
aplikacyjnych oraz zbioru programów obsługi do realizacji funkcji centrali PBX z obsługą
VoIP. Wszystkie programy obsługi (moduły) komunikują się ze sobą oraz zewnętrznymi
aplikacjami (np. sterownikami urządzeń) za pośrednictwem interfejsów aplikacyjnych API i
są sterowane przez procesy nadzorujące. Programy obsługi są niezależne od: typu kanału, w
ramach którego komunikują się końcowe aplikacje, stosowanych kodeków, typu wyposażeń
sprzętowych, które są stosowane obecnie w tego typu rozwiązaniach, bądź będą
wykorzystywane w przyszłości. Umożliwia to obsługę istniejących rozwiązań sprzętowych i
programowych w zakresie wykorzystywanych protokołów i kodeków, jak również
uzupełnianie platformy w przyszłości o nowe protokoły komunikacyjne oraz nowe metody
kodowania i kompresji sygnału użytkowego. Ogólny schemat funkcjonalny oprogramowania
platformy zamieszczono na rysunku.
Rys. 8. Architektura funkcjonalna platformy Asterisk (na podstawie „The
Asterisk Handbook, Version 2)
Rola poszczególnych komponentów tym schemacie jest następująca:
•
PBX Switching Core, stanowi zbiór programów do obsługi wywołań
generowanych przez użytkowników danego serwera (zarejestrowanych), jak
24
również wywołań do nich przychodzących, zgodnie z planem obsługi połączeń
(Dialplan) zawartym w pliku konfiguracyjnym extensions.conf.
•
Application Launcher jest komponentem, który kontroluje uruchamianie
odpowiednich aplikacji wykorzystywanych w obsłudze połączeń (np. kierowanie
wywołań do określonych użytkowników, bram, skrzynek głosowych, odtwarzanie
zapowiedzi głosowych, itp.),
•
Scheduler and I/O Manager jest komponentem zapewniającym sterowanie
procesami obsługi połączeń w zakresie przydziału zasobów, zarządzania
priorytetami i kolejkowania.
•
Codec Translator stanowi komponent wykorzystywany do translacji strumieni
użytkowych, zakodowanych z wykorzystaniem różnych typów kodeków.
Interfejsy aplikacyjne zastosowane w platformie wykorzystywane są z kolei do
komunikacji pomiędzy poszczególnymi modułami oraz procesami odpowiedzialnymi za
obsługę poszczególnych kanałów i sterowników sprzętowych. Podstawowym zadaniem
czterech interfejsów API Asterisk jest zapewnienie niezależności programów obsługi
tworzących rdzeń platformy od wykorzystywanej implementacji kanałów oraz kodeków.
Zbiór interfejsów zawiera:
•
Channel API, stanowiący interfejs do obsługi kanałów skojarzonych z typem
protokołu i technologii (VoIP oraz PSTN/ISDN) stosowanej przez użytkowników
serwera Asterisk. Poszczególne moduły ładowane dynamicznie do pamięci
serwera odpowiedzialne są za niskopoziomową realizację połączeń, tj. wykonanie
kolejnych instrukcji kodu w danym systemie operacyjnym (np. w trakcie
kodowania/dekodowania wiadomości sygnalizacyjnych).
•
Application API – stanowiący interfejs do aplikacji, które są uruchamiane w
trakcie obsługi podstawowego połączenia oraz realizacji usług dodatkowych.
Przykładowy zbiór aplikacji obejmuje m.in. obsługę połączeń konferencyjnych,
skrzynek głosowych, przeszukiwania katalogu użytkowników, obsługi funkcji
sterowanych za pomocą sygnalizacji DTMF, rejestracji informacji o połączeniach
w postaci rekordów zaliczeniowych, itp.
•
Codec Translator API – odpowiedzialny za dostęp do funkcji
kodowania/dekodowania strumieni użytkowych przy użyciu różnych kodeków i
metod kompresji.
•
File Format API – stanowiący interfejs do funkcji zapisu/odczytu do/z plików
różnych formatów.
Wykorzystanie ww. interfejsów aplikacyjnych zapewnia rozgraniczenie funkcji serwera
PBX oraz funkcji realizacji usług VoIP za pośrednictwem różnych technologii (protokoły,
kodeki, interfejsy), zarówno tych, które są wykorzystywane obecnie, jak również tych, które
będą stosowane w przyszłości. Tym samym platforma Asterisk jest otwarta pod względem
obsługi pojawiających się rozwiązań zarówno programowych jak i sprzętowych. Jest to
szczególnie istotne, biorąc pod uwagę problemy z niekompatybilnością, pojawiające się w
trakcie dołączania do sieci nowych urządzeń VoIP, daje także możliwość doboru kodeków do
właściwości łącza transmisji danych, co z kolei wpływa na jakość transmisji głosu.
3.3.2. Konfiguracja serwera
Większość użytkowników xDSL konfiguruje własne routery tak, by móc korzystać z
NAT. Może to być główną przyczyną problemów z opartym na UDP standardem SIP. NAT
25
umożliwia wykorzystanie pojedynczego publicznego adresu IP przez wiele wewnętrznych
maszyn. Standard SIP nie wspiera jednak translacji adresów NAT. Oznacza to, że telefony IP
oraz aplikacje VoIP będą przekazywały nieprawidłowe adresy IP w nagłówkach pakietów
SIP. Większość operatorów SIP rozwiązuje ten problem korzystając z serwera STUN (Simple
Traversal of User Datagram Protocol (UDP)Through Network Address Translators (NATs)).
Jeżeli istnieje wpis STUN w plikach konfiguracyjnych serwera proxy, pakiety będą
wykorzystywały IP dostarczane przez STUN do synchronizacji. Sprawa staje się bardziej
skomplikowana, jeśli sterowniki dedykowane dla sprzętu komputerowego powodują konflikty
z oprogramowaniem firmware. Pomimo, iż systemowi przyznawana jest wolna linia, to brak
jest sygnału dzwonienia. Może być to spowodowane problemem z routerem, jeśli ten nie
zezwala na przechodzenie ruchu RTP (Real Time Protocol). Źródłem wielu problemów są
karty komunikacyjne oraz niewłaściwie skonfigurowane centrale PBX (dotyczy to centrów
biurowych). Przekonanie NAT i Asterisk do współpracy ze sobą, w sposób sensowny i
stabilny, może wymagać dużo wysiłku. Ukrycie serwera Asterisk za firewallem powoduje, że
rzecz staje się jeszcze bardziej skomplikowana. Jednak ulokowanie wszystkiego w
pojedynczej podsieci lokalnej jest dobrym rozwiązaniem jedynie w czasie testów.
3.3.3. Lista funkcjonalności serwera Asterisk
Zgodnie z deklaracjami twórców serwera Asterisk (http://www.asterisk.org/features [6])
realizuje on poniższe funkcjonalności:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
ADSI On-Screen Menu System
Alarm Receiver
Append Message
Authentication
Automated Attendant
Blacklists
Blind Transfer
Call Detail Records
Call Forward on Busy
Call Forward on No Answer
Call Forward Variable
Call Monitoring
Call Parking
Call Queuing
Call Recording
Call Retrieval
Call Routing (DID & ANI)
Call Snooping
Call Transfer
Call Waiting
Caller ID
Caller ID Blocking
Caller ID on Call Waiting
Calling Cards
Conference Bridging
Database Store / Retrieve
Database Integration
26
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Dial by Name
Direct Inward System Access
Distinctive Ring
Distributed Universal Number Discovery (DUNDi™)
Do Not Disturb
E911
ENUM
Fax Transmit and Receive (3rd Party OSS Package)
Flexible Extension Logic
Interactive Directory Listing
Interactive Voice Response (IVR)
Local and Remote Call Agents
Macros
Music On Hold
Music On Transfer
Flexible Mp3-based System
Random or Linear Play
Volume Control
Predictive Dialer
Privacy
Open Settlement Protocol (OSP)
Overhead Paging
Protocol Conversion
Remote Call Pickup
Remote Office Support
Roaming Extensions
Route by Caller ID
SMS Messaging
Spell / Say
Streaming Media Access
Supervised Transfer
Talk Detection
Text-to-Speech (via Festival)
Three-way Calling
Time and Date
Transcoding
Trunking
VoIP Gateways
Voicemail
27
4. Bezpieczeństwo VoIP
4.1. Wprowadzenie
Transport danych związanych z transmisją głosu w sieciach pakietowych, o ile ma
miejsce w otwartych sieciach transmisji danych, może być zagrożony. Ponadto, zagrożenie to
może być tym większe, im bardziej skomplikowana jest platforma VoIP. Stopień
skomplikowania jest tutaj rozumiany jako złożoność struktury fizycznej (system serwerów,
bram, baz danych, terminali itp.), jak również dotyczyć może liczby komponentów
niezbędnych do poprawnej komunikacji pomiędzy stronami połączenia (np. zbiór
protokołów). Każdy z osobna z tych komponentów może także być charakteryzowany za
pomocą listy słabych stron.
W celu klasyfikacji zagrożeń należy w pierwszej kolejności przeanalizować cele, które
stawiane są zapewnieniu bezpieczeństwa dla systemów VoIP. Pomimo, że poszczególne
aspekty bezpieczeństwa odnoszą się do różnych obszarów VoIP, to jednak występują
wzajemne oddziaływania zarówno w zakresie metod osiągania tych celów jak i skutków
złamania zabezpieczeń. Przykładem może być tutaj kradzież hasła dostępowego, która może
być przyczyną utraty integralności systemu, jeśli to samo hasło zostanie wykorzystane do
zamiany ustawień konfiguracyjnych sprzętu i oprogramowania wchodzących w skład
systemu. Podobnie, zmiana ustawień konfiguracyjnych (naruszenie integralności) systemu
może wpłynąć na poufność przesyłanych danych, jeśli np. zostaną zmienione ustawienia
określające sposób szyfrowania wiadomości, a nawet brak takiego szyfrowania przy
jednoczesnym przekonaniu użytkowników o zachowaniu bezpieczeństwa kanału
rozmównego. Dla potrzeb niniejszego opracowania uwzględniono jedynie podstawowe
zagrożenia bezpieczeństwa bez uwzględnienia ich następstw objawiających się w
zagrożeniach innego typu.
W przypadku systemów telekomunikacyjnych rozróżnia się trzy podstawowe cele
bezpieczeństwa w odniesieniu do przesyłanych informacji:
•
poufność (Confidentiality), oznaczająca ochronę przed nieuprawnionym
dostępem do zawartości informacyjnej wiadomości,
•
integralność (Integrity), oznaczająca ochronę przed nieuprawnioną zmianą
zawartości
informacyjnej
wiadomości,
ustawień
konfiguracyjnych,
zabezpieczeń, itp.,
•
dostępność (Availability) oznaczająca ochronę przed nieuprawnioną blokadą
dostępu do zawartości informacyjnej wiadomości (również zablokowanie
dostępu do zasobów, za pomocą których informacja jest udostępniana).
Precyzując powyższe cele w odniesieniu do systemów VoIP należy podkreślić, iż
integralność zależy w dużym stopniu od specyfiki systemu w tym od rodzaju informacji
wymienianych pomiędzy elementami systemu. W ten sposób integralność dotyczy wielu
elementów systemu, czego przykładem zapewnienie autentyczności wiadomości, rozumiane
jako integralność treści wiadomości oraz integralność identyfikacji nadawcy.
4.2. Cele bezpieczeństwa w systemach VoIP
4.2.1. Integralność (Integrity)
Ogólnie, integralność i uwierzytelnienie w odniesieniu do VoIP dotyczy:
•
integralności komponentów systemu VoIP,
28
•
integralności i uwierzytelnienie danych użytkowych (mowy),
•
integralności i uwierzytelnienia danych sygnalizacyjnych
Integralność komponentów VoIP obejmuje zarówno oprogramowanie VoIP, jak
również środowisko software’owe, w którym to oprogramowanie jest uruchomione a więc np.
systemy operacyjne. Swoim zasięgiem integralności obejmuje także elementy systemu nie
realizujące bezpośrednio funkcji związanych z transmisją głosu w sieciach pakietowych, lecz
pełniące funkcję pomocniczą. Przykładem tego typu komponentów są systemy baz danych,
serwery realizujące wspomagające procesy lokalizacyjne (w tym serwery DNS),
oprogramowanie odpowiedzialne za przechowywanie danych bilingowych oraz obsługę
certyfikatów i kluczy wykorzystywanych przez mechanizmy bezpieczeństwa.
Integralność wszystkich komponentów systemu VoIP posiada duże znaczenie i powinna
być zapewniana centralnie, ponieważ skuteczny atak na integralność komponentu i przejęcie
nad nim kontroli może mieć wpływ na zachowanie pozostałych komponentów. Przykładowo,
skuteczny atak na integralność terminala VoIP może spowodować dezaktywację szyfrowania
rozmowy i umożliwienie jej rejestracji. W tej sytuacji należy się również liczyć z
możliwością przejęcia przez intruza zawartości klucza szyfrującego, listy adresowej
użytkowników lub informacji niezbędnych do identyfikacji i autoryzacji terminala bądź jego
użytkownika w systemie. Tego typu dane pozwalają intruzowi na inicjowanie połączeń w
imieniu użytkownika zaatakowanego terminala.
Znacznie poważniejsze skutki niesie za sobą atak na istotne z punktu widzenia
funkcjonalności elementy systemu VoIP takie, jak bramy, serwery Proxy, serwery
przekierowań, itp. Łamiąc integralność tych elementów intruz ma możliwość dostępu do
ustawień konfiguracyjnych kont przypisanych do użytkowników oraz warunków realizacji
połączeń (przekierowania, numery dostępowe do usług, itp). Zmiana tych ustawień
spowoduje nie tylko dezorganizację pracy systemu, ale znajdzie swoje odbicie również w
danych rozliczeniowych zarejestrowanych w systemie, a co za tym idzie kosztach
funkcjonowania zaatakowanej sieci, zaś manipulacja danymi rozliczeniowymi jest z kolei
jednym ze sposobów maskowania źródeł ataku. W ten sposób możliwe jest znalezienie
zależności pomiędzy utratą integralności systemu VoIP oraz utratą lub nieuprawnioną
modyfikacją zasobów danych organizacji. Naruszenie integralności komponentów systemu
może mieć być spowodowane wewnętrznymi atakami tj. dokonanymi przez użytkowników
sieci lub też może nastąpić w wyniku przejęcia haseł dostępowych przez osoby spoza
organizacji.
Z kolei integralność i uwierzytelnienie danych użytkowych może być osiągana często
dzięki użytkownikom, którzy znając siebie nawzajem, potrafią zweryfikować tożsamość
rozmówcy. Jednak obok poprawnej weryfikacji rozmówcy równie istotnym celem
bezpieczeństwa w zakresie integralności i autentyczności przekazu głosowego jest również
zgodność czasu wygenerowania strumienia użytkowego ze stanem rzeczywistym. Innymi
słowy, zagrożeniem jest w tym przypadku przechwycenie i rejestracja przez intruza
przesyłanego głosu, następnie jego odtworzenie w innym czasie.
Znacznie bardziej istotne znaczenie w przypadku systemów informatycznych w tym
platformy VoIP ma integralności i autentyczności danych sygnalizacyjnych. W tym obszarze
stawiane są następujące cele cząstkowe bezpieczeństwa:
•
Bezpieczeństwo identyfikacji rozmówcy oraz identyfikacji abonentów
wywoływanych, informacje te mogą być zagrożone, jeśli intruz dokona
modyfikacji danych w taki sposób, iż ich prezentacja na terminalu abonenta
wywoływanego spowoduje odmienne działania tego użytkownika (podniesienie
29
mikrotelefonu, przekierowanie, odrzucenie, itp.), który jest przekonany o innej
tożsamości osoby inicjującej to wywołanie. Tego typu manipulacje informacją
identyfikującą użytkownika wywołującego mogą wprowadzać w błąd
•
Bezpieczeństwo czasu rejestracji wiadomości głosowej, w wielu przypadkach
informacja o czasie rejestracji wiadomości głosowej (np. w systemie poczty
głosowej) jest istotna z punktu widzenia użytkowników jak i administratorów.
Należy zatem zapewnić ochronę przed modyfikacją tych danych przez osoby
nieuprawnione.
•
Zapewnienie
użytkownikom
systemu
jednoznacznych
informacji
rejestracyjnych i lokalizacyjnych. Naruszenie tych zasad może wskazywać na
obecność w systemie VoIP zarejestrowanych więcej niż jednego terminala
końcowego, które są przypisane do danego konta/adresu podczas, gdy w
zamierzeniu administratora powinien on odpowiadać tylko jednemu
terminalowi.
•
Zapewnienie udostępniania w systemie wiarygodnych informacji o statusie
terminali. Możliwe ataki w tym zakresie obejmują przesyłanie wiadomości
wskazujących na określony stan, w którym znajduje się aktualnie terminal. (np.
zajętość, niedostępność, itp.).
•
Zapewnienie udostępniania wiarygodnych informacji o statusie połączenia.
Podobnie jak w powyższym przypadku istnieje możliwość ataku, polegającego
na przesyłaniu fałszywych wiadomości o stanie połączenia przez intruza
podszywającego się pod ofiarę.
Ze względu na fakt, iż w systemach VoIP sterowanie połączeniami oraz wymiana
wiadomości użytkowych odbywa się za pośrednictwem określonych protokołów, na które
składają się wiadomości o ustalonej semantyce i syntaktyce, ataki na zawartość tych
wiadomości są wykonalne. Integralność oraz weryfikacja ich autentyczności nabierają
szczególnego znaczenia i powinna być zapewniana i sterowana centralnie np. przez
administratora systemu. Zaniedbania w tej dziedzinie wystawiają systemy VoIP na ryzyka
ataków typu URI Spoofing (odpowiednik „podszywania się” – Phishing – w Internecie).
4.2.2. Poufność (Confidentiality)
Pojęcie poufności w kontekście systemów VoIP jest najczęściej rozumiane jako
poufność danych użytkowych, co oznacza zabezpieczenie przez podsłuchem. W tym jednak
przypadku istnieją zasadnicze różnice pomiędzy tradycyjnymi systemami telefonicznymi oraz
systemami VoIP. Dotyczą one przede wszystkim:
•
metod dostępu do sieci transportowej, które w przypadku tradycyjnej telefonii
obejmują wydzielone fragmenty sieci telekomunikacyjnej (separacja ruchu
związanego z połączeniami głosowymi oraz transmisją danych) oraz
obowiązujące zasady agregacji kanałów (systemy TDM), co zwiększa
bezpieczeństwo połączeń głosowych w zakresie poufności. Z kolei systemy
VoIP „z definicji” nie zapewniają separacji strumieni głosowych od danych
innego typu.
•
zasad stosowania protokołów telekomunikacyjnych i metod kodowania sygnału
mowy, co jest związane ze specyfiką urządzeń, które wykorzystują te protokoły
i sposoby kodowania, ponieważ o ile abonenckie łącze analogowe może być
podatne na ataki na poufność transmisji głosowej, o tyle analiza protokołów
telekomunikacyjnych oraz dekodowanie głosu w łączach cyfrowych wymaga
30
odpowiednich analizatorów oraz specjalistycznej wiedzy. W tym przypadku
analiza ruchu VoIP pod kątem sygnalizacji i metod kodowania głosu jest
ułatwiona stosunkowo szerokiej dostępności narzędzi (przede wszystkim w
postaci oprogramowania).
Obok poufności związanej z szeroko pojętą komunikacją głosową w systemach
pakietowych, istotną rolę odgrywa także poufność przechowywanych po stronie użytkownika
oraz kluczowych elementów systemu (serwery, bramy) informacji uwierzytelniających takich,
jak np. klucze służące do szyfrowania całości bądź fragmentów wymiany wiadomości VoIP.
Obszar ten obejmuje także poufność informacji uwierzytelniających, które są
wykorzystywane przez użytkownika do ochrony dostępu terminala lub informacji
przechowywanych w terminalu (np. książka telefoniczna, listy abonentów wywoływanych,
itp.).
4.2.3. Dostępność (Availability)
Dostępność w kontekście systemów VoIP jest rozumiana zasadniczo jako dostępność
usług głosowych oraz ich jakość. Dla wielu organizacji (np. służby ratownicze, instytucje
finansowe) cel ten jest jednocześnie celem nadrzędnym i podstawowym wymaganiem
stawianym systemom telekomunikacyjnym.
Dostępność może być również rozpatrywana z punktu widzenia możliwości uzyskania
przez komponenty systemu określonych informacji dotyczących np. szczegółów połączenia.
Niedostępność dla kluczowych komponentów systemu danych takich, jak: czas rozpoczęcia
długość połączenia, czy też adres osiągniętego abonenta mogą wpłynąć na prawidłową
obsługę tego połączenia a przede wszystkim na poprawność utworzonych w systemie VoIP
rekordów rozliczeniowych. Jednocześnie udostępnienie zbyt wielu szczegółowych informacji
zawartych w wiadomościach sygnalizacyjnych lub przenoszących pakiety z próbkami głosu
może stwarzać zagrożenie spamem (w przypadku przechwycenia takich pakietów i
wykorzystania do tego celu zawartych w nich informacji adresowych).
4.3. Metody ataków
Ataki na systemy teleinformatyczne mają zazwyczaj na celu osłabienie bezpieczeństwa
systemu, czego przykładem jest pozyskanie poufnych informacji (naruszenie poufności) lub
spłynięcie na zmiany określonych możliwości funkcjonalnych sytemu (naruszenie
dostępności). Obok celu również inne cechy mogą dodatkowo charakteryzować typy ataków:
•
Charakterystyka metod ataku, która opisuje sposób działania intruza w takich
kategoriach, jak: działania pasywne (np. tylko obserwacja aktywności
użytkowników) lub aktywne, istniejące powiązania intruza z systemem (np. czy
jest jego użytkownikiem i w związku z tym posiada określone uprawnienia, czy
też jest spoza organizacji).
•
Miejsce ataku, które określa jakie komponenty systemu zostały zaatakowane.
•
Atakowana logiczna warstwa systemu VoIP, która, ściśle powiązana z
metodami ataku, określa np. czy zaatakowano niższe warstwy systemu
(fizyczną, dostępu do medium) czy też atak przeprowadzono na warstwy wyższe
np.: sieciową (TCP/IP) lub aplikacyjną.
Ze względu na fakt, iż systemy VoIP oparte są zazwyczaj na sieciach z protokołem IP,
można uznać, iż są podatne na ataki sieciowe podobnie jak inne systemy. Podobnie jak w
przypadku innych systemów opartych na sieciach IP podstawowa klasyfikacja metod ataków
31
będzie opierała się na podziale na ataki pasywne oraz aktywne. Przyjmując to kryterium,
grupa typowych ataków dla sieci IP oraz systemów VoIP będzie obejmować m.in.:
•
skanowanie portów,
•
podszycie się (Spoofing),
•
ataki typu Replay (powtarzanie wcześniej przesłanych wiadomości),
•
ataki typu DoS i DDoS (blokowanie działania).
Problematyka zarówno ataków jak i metod obrony jest ściśle związana ze środowiskiem
implementacji systemów VoIP. Obszary występowania ataków można podzielić ogólnie na
środowisko związane z warstwą transportową dla VoIP oraz warstwą aplikacyjną. Ponadto, z
punktu widzenia intruza wyróżnić można w tym modelu również warstwę użytkownika (patrz
Rys. 9).
Rys. 9. Topologia sieci postrzegana przez intruza (źródło: [2])
Pierwsza z nich obejmuje zarówno sieci lokalne jak i rozległe w zakresie wszystkich
warstw modelu OSI. Warstwa ta może być utożsamiana z infrastrukturą sieciową danej
organizacji (zarówno LAN jak i WAN).Warstwa aplikacyjna systemu VoIP dotyczy z kolei
tych elementów środowiska implementacji VoIP, które są specyficzne dla tych systemów. W
obszarze warstwy transportowej możliwe są ataki
•
na fizyczna infrastrukturę sieciową (zagrożone w tym przypadku może być
okablowanie sieciowe, pomieszczenia, gdzie zlokalizowano serwery i
urządzenia sieciowe takie, jak routery, przełączniki, koncentratory, bramy, itp. )
•
na poziomie warstwy 2 systemu informatycznego, wykorzystujące m.in.:
adresację MAC, protokoły wspomagające zarządzanie adresami IP (np. ARP),
protokoły wspomagające komunikację w złożonych strukturach sieciowych (np.
STP),
32
•
na poziomie warstwy 3 systemu informatycznego, wykorzystujące m.in.:
posługiwanie się przez intruzów niewłaściwymi („skradzionymi”) adresami IP,
„fałszowanie” informacji routingowych w wiadomościach protokołów routingu
lub protokołach wspomagających ten proces, ataki na serwer DHCP,
•
na poziomie warstwy 4 oraz warstw wyższych, obejmujące m.in.: zmuszanie
urządzeń sieciowych do obsługi dużej liczby wiadomości warstw wyższych
(głównie TCP).
•
z wykorzystaniem protokołów stosowanych w systemach VoIP, w tym:
o warstwy transportowej realizowanej w oparciu o RTP, przy czym
możliwe są naruszenia zarówno poufności poprzez odczytanie lub
modyfikację pola informacyjnego, jak również modyfikację parametrów
strumienia głosowego, które umieszczane są w nagłówkach pakietów
tego protokołu,
o stosu H.323, gdzie w szczególny sposób narażone są na ataki informacje
identyfikujące strony biorące udział w połączeniu, wykorzystanie tych
informacji (podszycie się pod danego użytkownika) przy połączeniach
do sieci PSTN/ISDN z wykorzystaniem bram może spowodować
niewłaściwe naliczanie kosztów w systemie bilingowym organizacji.
Możliwe jest również śledzenie wymiany wiadomości za pomocą
oprogramowania do monitorowania interfejsów kart sieciowych (tzw.
sniffer) i po zdekodowaniu z ASN.1 czytelnej postaci możliwe jest
uzyskanie informacji o wykorzystywanym w GK (Gatekeeper) koncie
użytkownika.
o protokołu SIP (o ile nie jest zastosowane szyfrowanie wiadomości),
który jest narażony na ataki związane z odczytem i modyfikacją treści
wiadomości, ze względu na fakt, iż wiadomości tego protokołu są
kodowane za pomocą zestawu znaków ASCII. Tego typu zagrożenia
obejmują zarówno terminale jak i inne elementy systemu VoIP biorące
udział w wymianie wiadomości SIP.
o protokołu MGCP/MEGACO, który z założenia nie został wyposażony w
mechanizmy bezpieczeństwa, zatem jest możliwe jego dekodowanie
(ASCII lub ASN.1) w celu odczytu i modyfikacji danych, przy czym
najbardziej zagrożone są tutaj bramy, które wykorzystują ten protokół do
komunikacji z serwerami VoIP.
o IAX2, (o ile nie jest zastosowane szyfrowanie wiadomości z
zastosowaniem klucza SSL), który wymaga do odczytu/modyfikacji
dekodowania/kodowania ASN.1 może być narażony na ataki związane z
odczytem i modyfikacją treści wiadomości. Tego typu zagrożenia
obejmują zarówno terminale jak i inne elementy systemu VoIP biorące
udział w wymianie wiadomości SIP.
o protokołu SCCP (Skinny Client Control Protocol), który jest
rozwiązaniem producenta (Cisco) i w związku tym specyfikacja nie jest
ogólnie dostępna. Odczyt i modyfikacja wiadomości jest możliwa po
zdekodowaniu/zakodowaniu (kodowanie binarne), w starszych wersjach
jedyną metodą autoryzacji był adres MAC urządzenia, w nowszych
wersjach wykorzystywane są klucze szyfrujące do szyfrowania
wiadomości.
33
•
na systemy podnoszące bezpieczeństwo sieci, które wykorzystują takie
komponenty, jak: firewalle, oprogramowanie realizujące funkcje monitorowania
zagrożeń - IDS (Intrusion Detection System) oraz podejmowania działań
prewencyjnych - IPS (Intrusion Prevention System), przy czym są to zazwyczaj
ataki typu DoS
W obszarze infrastruktury VoIP możliwe są następujące typy ataków:
•
na warstwę fizyczną urządzeń, w tym: zniszczenie sprzętu lub jego elementów
istotnych ze względu na funkcjonalność VoIP, przerwy w zasilaniu,
•
na systemy operacyjne serwerów, na których uruchomione jest oprogramowanie
VoIP, w tym: kradzieże haseł dostępu, „podsłuch” wymienianych wiadomości,
oprogramowanie szpiegujące, wirusy i robaki,
•
na oprogramowanie VoIP realizujące funkcje serwerów, przy czym celem
intruza może być zarówno zakłócenie czy przerwanie pracy serwerów, jak
również przejęcie uprawnień administracyjnych
Z kolei w obszarze użytkownika możliwe są ataki:
•
na telefony oraz bramy VoIP, przy czym przypadek telefonów sprzętowych
ogranicza zakres ataków, z których podstawowe zagrożenia stanowią
wymienione wcześniej ataki na sprzęt VoIP oraz ataki na warstwę transportową,
w przypadku telefonów i bram VoIP możliwe są również ataki za
pośrednictwem interfejsu zarządzania, który jest udostępniany administratorowi
za pośrednictwem wbudowanego serwera WWW,
•
na oprogramowanie na poziomie aplikacji użytkownika (telefony software’owe),
dla którego podstawowe zagrożenie mogą stanowić:
o wirusy (programy, które nie są samodzielnymi aplikacjami (tzn. nie
realizują żadnych działań dopóki nie jest uruchomiony proces lub
program, który powoduje ich „aktywację”), natomiast charakteryzują się
samodzielnym przenoszeniem (bez wiedzy i akceptacji użytkownika)
pomiędzy kolejnymi programami uruchamianymi na danym komputerze
lub pomiędzy komputerami),
o robaki (Worms, są samodzielnymi programami, które mogą również
samodzielnie tworzyć procesy pozwalające na: infekowanie aplikacji,
przenoszenie się poprzez sieć lub wykonywanie określonych operacji
lokalnie lub zdalnie na innym komputerze, w odróżnieniu od wirusów,
celem działania robaków jest infekcja kolejnych komputerów w sieci, co
może prowadzić do okresowych lub permanentnych przerw w
funkcjonowaniu usług sieciowych).
o konie trojańskie (stanowią programy, które obok użytecznych funkcji w
systemie komputerowym, realizują również bez wiedzy i akceptacji
użytkownika także działania szkodliwe, w odróżnieniu jednak od
robaków konie trojańskie po mogą rozprzestrzeniać się samodzielnie i są
zazwyczaj wykorzystywane przez intruza do kontrolowania systemu
komputerowego, na którym taka aplikacja jest aktywna)
o błędy implementacyjne oprogramowania urządzeń i aplikacji VoIP.
Istotnym zagadnieniem w zakresie potencjalnych zagrożeń w systemach VoIP jest
problematyka związana ze świadczeniem tych usług za pośrednictwem sieci
34
bezprzewodowych WLAN (Wireless LAN). Zasadniczy zbiór zagrożeń jest ściśle związany z
implementacją standardu IEEE 802.11 definiującego metody dostępu i wymiany wiadomości
za pomocą infrastruktury WLAN i obejmuje m.in.:
•
możliwość podszywania się pod urządzenia identyfikowane unikalnym adresem
warstwy drugiej (tzw. adresem MAC interfejsu sieciowego) i znajdujące się na
liście kontroli dostępu MAC ACL (Access Control List),
•
rekonstrukcję przez intruza klucza, wykorzystywanego do szyfrowania w
ramach mechanizmu WEP (Wired Equivalent Privacy),
•
rejestrację przechwyconych przez intruza wiadomości oraz ich odtwarzanie (w
tym odtwarzanie ze zmodyfikowanymi danymi zawartymi w nagłówkach
wiadomości o ile szyfrowane jest tylko pole danych pakietu),
•
ataki typu DoS, których łatwość przeprowadzenia wynika z dostępności medium
radiowego.
Zdefiniowane powyżej podstawowe zagrożenia dla bezpieczeństwa systemów VoIP
stanowią ogólny zbiór możliwych do przeprowadzenia ataków. Szczegółowa analiza zagrożeń
jest natomiast ściśle zależna od konfiguracji sieci i nie może być rozpatrywana w oderwaniu
od otoczenia tak sprzętowego jak i aplikacyjnego.
4.4. Metody zapewnienia bezpieczeństwa w systemach VoIP
4.4.1. Środki bezpieczeństwa w systemach VoIP
Wybór środków ochrony przed atakami na systemy VoIP zależą od typu celów
bezpieczeństwa, które mają być osiągnięte w przypadku platformy VoIP w danym systemie.
Inne będą bowiem wymagania na dostępność do usługi telefonicznej np. w obiektach
handlowych czy usługowych inne natomiast w lokalizacjach, gdzie znajdują się służby takie,
jak: policja, straż pożarna czy pogotowie ratunkowe. Równie zróżnicowany poziom
bezpieczeństwa jest wymagany przez użytkowników, którzy oceniają rodzaj i skuteczność
stosowanych środków bezpieczeństwa w zależności od skali szkód, które mogłyby być
dokonane w przypadku ataku. Jednak ze względu na fakt, iż u podstaw wdrażania telefonii
VoIP leży wykorzystanie wraz z innymi aplikacjami wspólnej sieci transportowej, wdrażając
politykę bezpieczeństwa VoIP należy uwzględnić przede wszystkim politykę bezpieczeństwa
zasobów sieciowych oraz użytkowników tej sieci. W kolejnych punktach zostaną
przedstawione postulaty tworzące politykę bezpieczeństwa w zakresie VoIP, które są
zharmonizowane z dokumentem „Polityka bezpieczeństwa Informacji Instytutu” stanowiącym
załącznik do niniejszej pracy.
4.4.2. Architektura sieci i bezpieczny dostęp do medium
Wymagana wysoka dostępność usług VoIP nakłada określone wymagania również na
infrastrukturę sieciową organizacji. Mając na uwadze, iż platforma VoIP wykorzystująca w
warstwie transportowej jedynie sieć ze stosem IP powinna zapewniać tę samą niezawodność i
jakość, co tradycyjna sieć z komutacją kanałów, należy spełnić przede wszystkim wysokie
wymagania w zakresie dostępności usług. Należy przy tym uwzględnić zarówno wymagania,
co do pasma niezbędnego do przeniesienia określonej liczby wywołań o określonej jakości,
jak również zapewnienie samego dostępu do usług sieciowych. Istotne elementy zabezpieczeń
będą obejmowały:
•
zapewnienie fizycznego bezpieczeństwa komponentów VoIP, w tym:
35
o ochrona dostępu do pomieszczeń, gdzie znajdują się strategiczne
urządzenia sieciowe oraz VoIP (serwerownia),
o monitoring tych pomieszczeń,
o zapewnienie bezpiecznego systemu klimatyzacji w strategicznych
pomieszczeniach,
•
zapewnienie zasilania terminali oraz innych komponentów VoIP, w tym
zapewnienie zasilania rezerwowego zarówno dla strategicznych komponentów
VoIP jak również dla terminali, o ile jest to niezbędne (np. w przypadku, gdy
telefony IP są jedynymi urządzeniami pozwalającymi na komunikację ze
służbami), przy czym zapewnienie bezpiecznego zasilania musi uwzględniać
zailanie sieciowe jak również dostarczane zgodnie ze standardem IEEE 802.3af
Power over Ethernet (w tym przypadku należy zadbać o zasilanie rezerwowe
przełączników Ethernet z funkcjonalnością PoE),
•
możliwość zapewnienia rozdziału na poziomie warstwy drugiej, w postaci sieci
VLAN dedykowanych dla danych oraz głosu
•
zapewnienie autoryzacji terminali już na poziomie warstwy drugiej – z
wykorzystaniem adresów interfejsów MAC, co oznacza, że tylko urządzenia
dysponujące znanym (tj. znajdującym się na odpowiedniej liście) adresem MAC
są dopuszczone do korzystania z określonych usług sieciowych, w tym VoIP,
•
uniemożliwienie przejęcia przez intruza adresu MAC dopuszczonego do pracy
w sieci, co może być osiągnięte m.in. poprzez:
o przypisanie „dozwolonych” adresów MAC do fizycznych portów
przełącznika,
o ograniczenie „czasu życia” (aktywności) adresów MAC urządzeń VoIP
w sieci,
o odmowa obsługi przez przełącznik urządzeń z jednakowymi adresami
MAC,
•
zapobieganie atakom na usługi świadczone przez serwer DHCP np. poprzez:
o ograniczenie liczby zapytań kierowanych do serwera za pośrednictwem
określonego portu przełącznika
o zdefiniowanie listy portów przełącznika, które mogą pośredniczyć w
uzyskaniu adresu IP przez dołączone do nich urządzenia VoIP.
•
zapobieganie atakom na podsieci VLAN np. poprzez wprowadzenie
mechanizmów kontroli ramek Ethernet, które są mogą być wymieniane
pomiędzy dwoma sieciami VLAN, czy obsługę ruchu warstwy drugiej i trzeciej
zgodnie z listą urządzeń dopuszczonych do obsługi (Access List),
•
ograniczenie domen rozgłoszeniowych (np. na podstawie podziału na sieci
VLAN)
•
ograniczenie dostępu do sieci LAN dla użytkowników spoza sieci (np. dostęp
tylko za pośrednictwem VPN) w tym precyzyjne ustalenie praw do określonych
usług sieciowych dla tych użytkowników.
W wielu przypadkach zapobieganie atakom warstwy drugiej jest powiązane z
zapewnieniem bezpieczeństwa dla warstwy trzeciej. Jednak ze względu na specyfikę warstwy
36
sieciowej w strukturach korporacyjnych oraz wykorzystanie urządzeń i mechanizmów
dedykowanych dla ochrony sieci, zagadnienia te zostały omówione w oddzielnym
podrozdziale.
4.4.3. Zapobieganie atakom warstwy 3 i wyższych
Cele bezpieczeństwa sieci korporacyjnej wykorzystywanej na potrzeby VoIP na
poziomie warstwy trzeciej mogą być osiągnięte na wiele sposobów. Podstawowe metody
obejmują:
•
obronę przed podszywaniem się pod adresy IP użytkowników, realizowaną
poprzez konfigurację filtrów w routerach (dla ruchu przychodzącego do sieci)
oraz listy dostępu uprawnionych użytkowników w sieci lokalnej (dla ruchu
zamykającego się w sieci korporacyjnej i wychodzącego poza nią)
•
wdrożenie polityki bezpiecznej obsługi pakietów ICMP,
•
stosowanie list urządzeń uprawnionych do wymiany informacji routingowych,
•
stosowanie systemów detekcji IDS (Intrusion Detection System) i ochrony IPS
(Intrusion Prevention System) przed potencjalnymi atakami,
•
zastosowanie ścian ogniowych (Firewalls) do ochrony zasobów sieci
korporacyjnej,
•
zapewnienie redundancji serwerów usługowych wspomagających platformę
VoIP i jej użytkowników (np. DHCP, TFTP, WWW, serwery baz danych)
•
zapewnienie redundancji serwerów usług VoIP (GK, SIP Proxy, serwerów
rejestracji i przekierowań),
•
zapewnienie redundancji bram VoIP lub zapasowego dostępu do usług
komunikacji głosowej, np. za pomocą tradycyjnej sieci telekomunikacyjnej,
•
zapewnienie bezpiecznego dostępu do interfejsu konfiguracyjnego, osiągane z
wykorzystaniem połączenia szyfrowanego oraz ograniczenie liczby stacji
roboczych (na podstawie listy adresów IP), z których mogą być takie zmiany
konfiguracyjne dokonywane.
Obok ataków na elementy systemu VoIP oraz infrastruktury informatycznej korporacji,
wyznacznikiem bezpieczeństwa systemu VoIP jest również jakość usług oraz dostępność. W
tym zakresie należy:
•
zapewnić odpowiednią wydajność platform sprzętowych serwerów oraz bram
VoIP, stosownie do przewidywanego zapotrzebowania na usługi,
•
zapewnić kształtowanie ruchu w sieci uwzględniające zakładany poziom
świadczonych usług VoIP, np. poprzez zastosowanie:
o odpowiedniej dla danej sieci architektury klas usługowych zgodnej z
modelem DiffServ,
o technik modelowania ruchu w sieci (Traffic Shaping)
o technologii MPLS (MultiProtocol Label Switching)
•
zapewnić archiwizację i bezpieczne przechowywanie danych o użytkownikach
oraz danych konfiguracyjnych (zgodnie z „Polityką bezpieczeństwa Informacji
Instytutu”),
37
•
zapewnić aktualizację oprogramowania centralnych komponentów systemu
VoIP oraz terminali użytkownika (zarówno sprzętowych jak i software’owych),
•
zapewnić wdrożenie dla wszystkich użytkowników systemu VoIP spójnej
polityki bezpieczeństwa informacji, zasady tej polityki w przypadku Instytutu
Łączności zostały określone w dokumencie „Polityka bezpieczeństwa
Informacji Instytutu”, stanowiącym załącznik do niniejszej pracy.
Transmisja głosu realizowana może być w obrębie jednej sieci korporacyjnej na wiele
sposobów. Ze względu na duży obszar zastosowań dotyczący łączenia przy pomocy
systemów VoIP oddalonych od siebie lokalizacji danej organizacji, należy również zapewnić
bezpieczeństwo wymienianych danych poprzez sieci rozległą. W tym zakresie podniesienie
poziomu bezpieczeństwa w zakresie poufności danych wymaga zastosowania bezpiecznych
kanałów wymiany informacji. w ramach budowy tuneli VPN (Virtual Private Network).
Rozwiązanie wspierające tworzenie VPN może być oparte na protokole PPTP (Point to
Point Tunneling Protocol), który jest protokołem pozwalającym na bazie protokołu IP
tworzyć połączenia VPN poprzez tunelowanie protokołu PPP. Tunele te mogą przenosić
protokoły takie jak IP, IPX czy NetBEUI. Rozwiązanie to stworzone zostało przez PPTP
Forum przy udziale firm takich jak Ascend Communications, Microsoft Corporation,
3Com/Primary Access, ECI Telematics, i U.S. Robotics. Specyfikacja protokołu jest ogólnie
dostępna, dzięki czemu mogło powstać wiele oprogramowania klienckiego na różne
platformy.
Innym rozwiązaniem w zakresie sieci VPN jest zastosowanie protokołu IPSec, który
powstał w roku 1992 jako odpowiedź na zapotrzebowanie użytkowników Internetu w zakresie
poufności, integralności danych oraz sprawdzania autentyczności rozmówców. Na protokół
ten składają się trzy podstawowe elementy wchodzące w skład IPSec: AH (Authentication
Header), ESP (Encapsulated Security Payload), oraz IKE (Internet Key Exchange).
Dodatkowo, w zależności od potrzeb, IPSec może pracować w trybie transportowym
(transport mode) oraz tunelowania (tunnel mode). Pierwszy polega na ochronie jedynie pola
danych, umieszczając dodatkowy nagłówek IPSec pomiędzy nagłówkiem IP i nagłówkiem
protokołu wyższej warstwy. Tryb tunelowania szyfruje całość przesyłanych danych,
nagłówek IP, oraz pozostałe dane, które zostają opakowane nowo utworzonym nagłówkiem
IP za pomocą IPSec. Dzięki temu aplikacje warstw najwyższych modelu OSI/ISO nie są
zupełnie świadome istnienia połączenia IPSec pomiędzy komunikującymi się stacjami
roboczymi. Tryb transportowy wykorzystywany jest najczęściej pomiędzy dwoma stacjami
roboczymi, natomiast tryb tunelowania- pomiędzy dwoma bramkami IPSec mającymi za
zadanie połączenie ze sobą dwóch lub więcej sieci IP.
4.4.4. Bezpieczeństwo protokołów VoIP
Osobną grupę zabezpieczeń stanowią metody stosowane do zapewniania autentyfikacji,
poufności oraz dostępności elementów systemu VoIP oraz w komunikacji pomiędzy nimi.
Dwa podstawowe standardy VoIP, tj. H.323 oraz SIP definiują mechanizmy bezpieczeństwa,
z kolei specyfikacja MGCP nie definiuje dedykowanych dla tego protokołu mechanizmów
bezpieczeństwa.
H.235
Już chronologicznie pierwsza wersja stosu H.323 (1998) definiowała mechanizmy
bezpieczeństwa, które w tym przypadku obejmują zarówno procesy wymiany wiadomości
sygnalizacyjnych (protokół H.225/Q.931), komunikacji w kanałach sterujących (protokół
H.245) jak również określała możliwości w zakresie uwierzytelnienia strumieni użytkowych.
38
Specyfikacja mechanizmów bezpieczeństwa jest zawarta w dokumencie H.235, którego
kolejne wersje (obecnie trzecia) poszerzają zakres stosowalności mechanizmów
bezpieczeństwa. Obecna wersja specyfikuje następujące elementy bezpieczeństwa:
•
komponenty systemu powinny być godne zaufania, więc wszystkie punkty
końcowe szyfrowanych kanałów sterujących (H.245) oraz kanałów logicznych
(H.225) będą traktowane jako wiarygodne komponenty systemu VoIP po
przeprowadzeniu uprzedniego procesu autoryzacji (przykładem wiarygodnego
komponentu jest MCU, z kolei komponentem wymagającym autoryzacji jest
brama VoIP),
•
w przypadku wymiany wiadomości sygnalizacyjnych i użytkowych poufność i
autentyfikacja mogą być zasadniczo zapewnione przy użyciu typowych
mechanizmów takich, jak IPSec czy TLS, jednak standard nie przewiduje
współpracy czy też możliwości wyboru pomiędzy mechanizmami
bezpieczeństwa, więc wykorzystanie alternatywnych środków należy wskazać
bezpośrednio np. poprzez przypisanie komunikacji do określonych portów,
•
wykorzystywane są następujące sposoby autoryzacji:
o na zasadzie subskrypcji z pomocą wymiany zaszyfrowanego hasła
(rejestracja w GK),
o na podstawie pary publicznych kluczy i wymiany wiadomości
uwierzytelniających (uwierzytelnianie pomiędzy węzłami - GK)
o z wykorzystaniem algorytmu Diffiego-Hellmana (jest to algorytm
szyfrujący z kluczem publicznym, który generuje informacje tajne
współużytkowane przez obie strony po uprzedniej wymianie losowo
wygenerowanych danych),
•
standard H.235 specyfikuje mechanizm pozwalający punktowi końcowemu
odbierającemu pakiety zawierające głos na stwierdzenie autentyczności ich
pochodzenia. W tym celu na początku wymiany strumieni użytkowych
wyliczana jest wartość kodu uwierzytelniania wiadomości MAC (Message
Authentication Code) z zawartości wybranych pól nagłówkowych pakietów
RTP. Wartość funkcji MAC jest również wyliczana po stronie odbiorczej i po
porównaniu ze wzorcem, następuje weryfikacja autentyczności. Do obliczenia
wartości MAC wykorzystywany jest klucz tajny oraz algorytm DES lub 3DES
(Data Encryption Standard).
•
wprowadzone zostały tzw. profile bezpieczeństwa, które mają głównie
zastosowanie dla rozległych sieci VoIP, wymagających przesyłania wiadomości
przez wiele węzłów VoIP (GK), definiuje się przy tym następujące profile:
o profil odniesienia (Baseline Security Profile), który obejmuje
mechanizmy wykorzystujące autoryzację każdej wiadomości
sygnalizacyjnej w węzłach w łańcuchu połączeniowym, przy czym
autoryzacja ta polega na wyliczeniu i porównaniu funkcji skrótu w
każdym z węzłów połączonych kanałem logicznym (sygnalizacyjnym).
Opcjonalnie możliwe jest również szyfrowanie zawartości pakietów
RTP.
o profil oparty na sygnaturze/podpisie (Signature Security Profile), który
zakłada zastosowanie asymetrycznych algorytmów szyfrujących a
39
szczególności podpisów cyfrowych 1wiadomości, przy czym procedura
uwierzytelniania wiadomości w kolejnych węzłach pozostaje
niezmieniona (węzły przechowują w tym wypadku tylko jawny klucz).
o profil hybrydowy (Hybryd Security Profile), zakładający wykorzystanie
podpisu cyfrowego wiadomości (w oparciu o algorytm asymetryczny)
tylko pomiędzy pierwszą parą węzłów a przy kolejnych wykorzystuje się
algorytmy symetryczne z jawnym kluczem.
•
uwierzytelnienie terminali przy połączeniu bezpośrednim nie zostało
przewidziane w standardzie H.235, istnieje natomiast możliwość wykorzystania
w sieci GK, który przyjmuje dystrybucji kluczy, służących do bezpośredniego
połączenia pomiędzy terminalami, zaś w tym wypadku GK pełni rolę
pośredniczącą i wymaga rejestracji obu komunikujących się ze sobą terminali.
Standard H.235 nie definiuje ściśle metod zapewniania poufności strumienia
użytkowego, pozostawiając szczegóły implementacyjne implementatorom.
SIP
Zapewnienie bezpieczeństwa wymiany wiadomości za pomocą protokół SIP jest
zadaniem stosunkowo trudnym, gdyż należy uwzględnić dużą liczbę komponentów, z których
składa się ten system (terminale, bramy, różne typy serwerów) i które biorą aktywny udział w
wymianie wiadomości sygnalizacyjnych (serwery SIP Proxy zmieniają zawartość nagłówków
wiadomości SIP). Jest to przyczyną, dla której twórcy protokołu przesunęli ciężar
zapewnienia poufności i integralności danych sygnalizacyjnych w relacji end-to-end na
warstwy niższe. Dopuszcza się jednocześnie stosowanie mechanizmów bezpieczeństwa dla
pojedynczych odcinków międzywęzłowych tak, jak w przypadku stosu H.323. Przemawia za
tym również fakt, iż serwery biorące udział w obsłudze wywołań SIP znajdują się w
określonym otoczeniu informatycznym (np. w różnych domenach, czy też w sieciach o
różnych priorytetach bezpieczeństwa) i same w związku z tym wymagają uwierzytelnienia we
wzajemnej komunikacji. Należy przy tym rozróżnić zastosowanie mechanizmów
bezpieczeństwa w odniesieniu do wiadomości sygnalizacyjnych jak i zapewniających
transport strumieni multimedialnych.
Standard RFC 3261 [1] definiuje różne mechanizmy zapewniania bezpieczeństwa
stosowane w zależności od stawianego celu oraz scenariuszy implementacji systemów VoIP.
Wykorzystano przy tym metody stosowane w pokrewnych rozwiązaniach takie, jak
uwierzytelnianie przy pomocy mechanizmu HTTP Digest, S/MIME, TLS i IPSec.
Uwierzytelnienie wykorzystujące pierwszy z wymienionych mechanizmów (HTTP
Digest) jest realizowane pomiędzy serwerem oraz klientem (np. pomiędzy terminalem i SIP
Proxy) i polega na tym, iż w odpowiedzi na żądanie klienta serwer wysyła odpowiedź o
kodzie 401 („Unauthorized”) lub 407 („Proxy Authentication Required”) w zawierajacą
nagłówku pole „WWW-Authenticate” lub „Proxy-Authenticate” wraz z przypisaną wartością
proponowanej nazwy użytkownika (lub otrzymanej wcześnie w żądaniu) oraz słowa
pseudolosowego. Po odebraniu takiej wiadomości klient dopasowuje informacje
1
Podpis cyfrowy to dodatkowa informacja dołączona do wiadomości służąca do weryfikacji jej źródła. Podpisy
cyfrowe korzystają z kryptografii asymetrycznej, tworzona jest para kluczy - prywatny i publiczny, klucz
prywatny służy do podpisywania wiadomości, klucz publiczny natomiast do weryfikowania podpisu
40
uwierzytelniające do żądań serwera i na ich podstawie oblicza wartość funkcji skrótu2. Tę
wartość oraz nazwę użytkownika przesyła ponownie do serwera, gdzie odpowiedź ta jest
weryfikowana. W ten sposób postać tekstowa wiadomości SIP może być zabezpieczona z
wykorzystaniem funkcji skrótu
Standard zaleca, aby funkcjonalność uwierzytelniania inicjowaną za pomocą żądań
miały zaimplementowane wszystkie komponenty systemu pracującego w oparciu o protokół
SIP. Metoda ta wykorzystywana jest również w przypadku serwera Asterisk w zakresie
obsługi protokołu SIP. Należy jednak zaznaczyć, iż mechanizm ten prowadzi do
uwierzytelnienia żądania nadawcy a nie zawartości tej wiadomości.
Innym mechanizmem bezpieczeństwa wykorzystywanym przez komponenty systemu
VoIP jest standard Secure/MIME, który rozszerza zbiór struktur danych opisujących
wiadomość typu MIME (typ ten opisuje m.in. postać nagłówka wiadomości pocztowej a
jednocześnie obejmuje zbiór wierszy nagłówkowych wchodzących w skład wiadomości SIP)
o konstrukcje przeznaczone dla wiadomości zaszyfrowanych. Z kolei szyfrowanie
wiadomości jest tutaj realizowane z wykorzystaniem algorytmów asymetrycznych. Wspólne
korzenie protokołów SMTP oraz SIP uprawniają do zastosowania tych samych mechanizmów
szyfrowania w obu protokołach. Szyfrowanej zawartości wiadomości e-mail odpowiada w
strukturze wiadomości SIP pole danych, które przenosi informacje protokołu SDP,
opisującego właściwości stron (terminali). W najprostszym rozwiązaniu właśnie ta część
wiadomości może być zaszyfrowana zgodnie z S/MIME. Pozostała część wiadomości SIP –
wiersze nagłówkowe pozostają niezabezpieczone. Jedną z możliwości jest potraktowanie
całej wiadomości SIP jako pola danych innej wiadomości SIP, w ten sposób tworzone jest
tunelowanie SIP, zaś szyfrowanie S/MIME może w tym przypadku funkcjonować jak
szyfrowanie wiadomości pocztowej zawierającej w treści inną wiadomość pocztową
(cytowaną czy też przekazywaną dalej). Wymagane tutaj szyfrowanie algorytmem AES ([7])
znacznie podnosi wymagania na zdolność obliczeniową oraz zasoby pamięciowe platform
sprzętowych, na których uruchomione są komponenty VoIP.
Innym rozwiązaniem w zakresie zapewnienia poufności wiadomości i uwierzytelnienia
stron jest zastosowanie protokołu TLS. Obsługę tego protokołu wszystkim komponentom
VoIP narzuca standard SIP. Jednak protokół ten wymaga w warstwie transportowej protokołu
TCP, co zwiększa zapotrzebowanie na pasmo związane z zainicjowaniem i podtrzymaniem
sesji TCP. Ponadto złożoność TLS wymaga podobnie, jak w przypadku S/MIME znacznych
nakładów związanych z zapewnieniem wystarczającej mocy obliczeniowej platform
sprzętowych.
IAX2
Ciężar zapewniania metod poufności i integralności przesyłanych danych użytkowych
twórcy protokołu SIP przerzucili na implementatorów systemów VoIP. Najczęściej spotykane
rozwiązania w tym zakresie obejmują omówione już wcześniej metody wykorzystania tunel
VPN w oparciu o protokół IPSec. Z kolei problem uwierzytelnienia został rozwiązany
odmiennie niż w przypadku protokołu SIP. Użytkownicy zarejestrowani w serwerze są
proszeni o powtórną autoryzację w przypadku zainicjowania połączenia. Jest ona
dokonywana w oparciu o asymetryczny algorytm RSA w odniesieniu do danych
uwierzytelniających użytkownika serwera. Asterisk wykorzystuje tę metodę ze względu na
szybkość realizacji algorytmu oraz skuteczność zapewnianą przez kryptografię asymetryczną.
2
Funkcja skrótu (haszująca) jest realizowana w postaci algorytmu, który dla danych wejściowych w postaci
ciągu znaków przyporządkowuje wartość w postaci ciągu znaków o ściśle określonej długości (np. 128 bitowej).
Zmiana jednego ze znaków w ciągu wejściowym powoduje zmianę ciągu wynikowego Przykładem funkcji
skrótu jest MD5 oraz SHA-1.
41
4.5. Przykładowe konfiguracje bezpiecznego VoIP
Poniżej zamieszczono przykładowe schematy infrastruktury sieciowej dla bezpiecznego
dostępu do usług VoIP w obrębie dwóch typów małego biura oraz średniej wielkości
korporacji. Rosnąca skala przedsięwzięcia stawia w tym wypadku ostrzejsze wymagania na
zapewnienie dostępności usług VoIP, co zmusza projektantów do uwzględnienia redundancji
zasobów sieciowych wewnątrz korporacji, ale również łączy dostępowych do dostawców
usługowych.
Rys. 10. Przykładowy schemat bezpiecznej infrastruktury sieciowej z realizacją
usług VoIP w małych organizacjach
Rys. 11. Przykładowy schemat bezpiecznej infrastruktury sieciowej z realizacją
usług VoIP w średniej i dużej wielkości organizacjach
42
5. Testowa implementacja VoIP
5.1. Testowa implementacja VoIP w Instytucie Łączności
Testowa platforma VoIP miała na celu sprawdzenie możliwości implementacji serwera
VoIP w zakresie wydajności oraz poprawności współpracy z aplikacjami (software’owe
telefony IP, symulatory ruchu, inne serwery VoIP) i urządzeniami (hardware’owe telefony IP,
bramy, współpraca z centralą końcową za pośrednictwem zainstalowanej w serwerze karty
rozszerzeń z interfejsem ISDN PRI). Docelowo implementacja ta będzie wykorzystywana do
zapewniania połączeń głosowych realizowanych w technologii VoIP pomiędzy oddziałami IŁ
w Warszawie, Wrocławiu i Gdańsku oraz pracy zdalnej dla autoryzowanych użytkowników
spoza tej sieci.
Do realizacji testowej platformy VoIP w IŁ wybrano rozwiązanie oparte na platformie
Asterisk. Za wyborem tego rozwiązania przemawiają następujące argumenty:
•
platforma Asterisk posiada możliwość obsługi aplikacji i urządzeń klienckich
VoIP, wykorzystujących różne protokoły, w tym dobrze zestandaryzowany oraz
posiadający wiele funkcjonujących implementacji protokół SIP oraz protokół
IAX2, będący rozwiązaniem dedykowanym dla tej platformy, lecz cieszący się
coraz większą popularnością,
•
do komunikacji w obrębie sieci IŁ przewiduje się zastosowanie protokołu SIP, ze
względu na szeroki wybór urządzeń, które mogą wykorzystywać ten protokół, a
jednocześnie nie nakładane są ograniczenia na liczbę portów, która jest niezbędna
do komunikacji, protokół ten został również przewidziany do komunikacji
pomiędzy routerem wyposażonym w obsługę VoIP oraz serwerem Asterisk,
•
ze względu na bezpieczeństwo użytkowników wewnętrznej sieci IŁ, liczba
„otwartych” do komunikacji portów dostępnych dla urządzeń spoza tej sieci
powinna pozostawać minimalna, zatem lepszym rozwiązaniem do komunikacji
urządzeń i aplikacji zlokalizowanych poza siecią IŁ oraz znajdujących się w tej
sieci pozostaje protokół IAX2, który wykorzystuje jeden port do wymiany
wiadomości sygnalizacyjnych jak i strumieni użytkowych,
•
wybór protokołu IAX2 do komunikacji z urządzeniami i aplikacjami klienckim i
spoza sieci IŁ, jest również uzasadniony skuteczniejszym pokonywaniem
mechanizmów translacji adresów NAT, co wynika bezpośrednio z cechy
protokołu, o której wspomniano powyżej.
Konfiguracja platformy VoIP zakładała wykorzystanie jednego serwera Asterisk do
realizacji usług świadczonych zarówno użytkownikom dołączonym w ramach wewnętrznej
sieci IŁ oraz autoryzowanym użytkownikom spoza tej sieci, co może być wykorzystywane w
przypadku pracy zdalnej.
Schemat docelowej konfiguracji został przedstawiony na rysunku (Rys. 12).
43
Rys. 12. Docelowa konfiguracja VoIP w IŁ
Podstawowym celem zastosowania platformy VoIP jest udostępnienie połączeń VoIP
pomiędzy oddziałami IŁ zlokalizowanymi w Warszawie, Gdańsku i Wrocławiu.
Zastosowanie do tego celu rozwiązania opartego na platformie Asterisk da możliwość
korzystania z:
•
jednolitego planu numeracyjnego dla abonentów obsługiwanych przez serwer
VoIP oraz centralę PBX w Warszawie (wszyscy użytkownicy telefonów
software’owych i hardware’owych obsługiwanych przez serwer są widoczni jako
abonenci warszawskiej centrali PBX),
•
usług połączeń konferencyjnych,
•
poczty głosowej oraz interaktywnego menu (IVR) dla użytkowników platformy
VoIP,
•
stanowisk zdalnej pracy wyposażonych możliwość zestawiania i przyjmowania
połączeń głosowych dla pracowników znajdujących się poza lokalizacjami IŁ.
Konfiguracja zakłada wykorzystanie centrali PBX w oddziale IŁ w Warszawie jako
zasadniczego węzła komutacji połączeń realizowanych przez użytkowników. Wymaga to
przeznaczenia części zasobów numeracyjnych do wykorzystania przez abonentów
dołączonych za pośrednictwem serwera VoIP. Dołączenie serwera Asterisk do centrali PBX
zostało zrealizowane za pośrednictwem routera wyposażonego w funkcje VoIP (Cisco 2811 w
Warszawie i Cisco 2801 we Wrocławiu). Zapewniając interfejsy do sieci LAN, interfejs
ISDN PRI (wyposażenie sprzętowe routera obejmuje dwa tego typu interfejsy) do centrali
PBX Hicom w Warszawie oraz interfejs ISDN BRA (wyposażenie sprzętowe routera
obejmuje dwa tego typu interfejsy) do centrali PBX Slican we Wrocławiu, urządzenie to ma
możliwość terminowania kanałów użytkowych i sygnalizacyjnych ISDN oraz konwersji ich
na postać pakietową z wykorzystaniem protokołów SIP, MGCP oraz protokołów stosu H.323.
Prace wdrożeniowe zostały poprzedzone etapem testów, na którym sprawdzono
poprawność zestawiania połączeń głosowych, wydajność serwera Asterisk oraz współpracę
platformy z testową centrala PSTN/ISDN i bramkami VoIP. Środowisko testowe składało się
z następujących elementów:
44
•
Serwer Asterisk (platforma sprzętowa: Dell Opti Plex GX1M Intel Pentium III,
450MHz, 256MB RAM, 80GB HD)
•
karta rozszerzeń Digium TE110P 1x ISDN PRA, instalowana w slocie PCI
serwera)
•
System operacyjny: Fedora Core 3.0,
•
Asterisk (wersja. 1.0.9),
•
Centrala PSTN/ISDN DGT 3450,
•
Bramy VoIP (Yuxin YGW-20, Linksys PAP-2, Grandstream HandyTone 488)
wraz z dołączonymi do nich telefonami analogowymi,
•
switch,
•
sprzętowe telefony IP (2 x Cisco 7905, słuchawka VoIP, dołączana do komputera
przez port USB i przeznaczona do współpracy z software’owymi telefonami
VoIP),
•
software’owe telefony VoIP w postaci oprogramowania uruchamianego na
stacjach roboczych (w testach wykorzystano m.in. aplikacje: X-Lite, Firefly,
iaxLite),
•
generator wywołań EF111A firmy Anritsu,
•
analizator protokołów K1297 firmy Tektronix.
Ogólny schemat środowiska testowego przedstawiono na rysunku:
łącza analogowe
Testowa centrala
telefoniczna
PSTN/ISDN
Generator
połączeń
Bramka VoIP z portami
analogowymi (FXS i FXO)
oraz aparatem analog.
Monitor
sygnalizacji
ISDN DSS1
Bramki VoIP z portami analogowymi
(FXS) oraz aparatami analog.
Łącze
ISDN PRI
LAN (Ethernet) – 100 Mbit/s
Serwer VoIP
(Asterisk)
Serwer z uruchomioną
aplikacją generowania
masowych wywołań SIP
Komputery z aplikacjami klienckimi
VoIP (software’owe telefony IP) oraz
słuchawkami wykorzystywanymi
wraz z tymi aplikacjami
Rys. 13. Ogólny schemat środowiska testowego VoIP
45
5.2. Instalacja i konfiguracja platformy Asterisk
Uruchomienie środowiska testowego rozpoczęto od instalacji serwera Asterisk.
Instalacji tej należy dokonać pobierając najnowszą wersję oprogramowania. Po rozpakowaniu
skompresowanego pliku należy wywołać skrypt „./configure”, a następnie „make” oraz „make
install”.
Kolejnym krokiem do uruchomienia serwera PBX jest instalacja karty Digium TE110P
do komunikacji z centralą PSTN/ISDN. Oprogramowanie karty wymaga uprzedniego
zainstalowania podstawowych elementów platformy Asterisk do pracy z kartami czyli
odpowiednich bibliotek (libpri, zapata, zaptel oraz samego serwera Asterisk). Do obsługi
karty korzystne jest pobranie najnowszej wersji oprogramowania. W pierwszej kolejności
uruchamiany jest skrypt „Setu”, który pozwala na szybką instalację oprogramowania.
Sprawdza on dostępne programy, biblioteki i prawa dostępu, kompiluje moduły dla
wskazanych protokołów i instaluje całość łącznie ze skryptami startowymi uruchamiającymi
kartę przy starcie systemu.
Po skompilowaniu oprogramowania należy dokonać jego konfiguracji. Zostało to
opisane w dokumentacji karty, natomiast wsparciem w procesie instalacji są przykładowe
pliki w katalogu ./samples/. Należy również skonfigurować serwer Asterisk do współpracy z
kartą. Tu z kolei można posłużyć się dokumentacją platformy Asterisk. Istotne są przede
wszystkim dwa pliki:
•
/etc/zaptel.conf, do którego odwołuje się polecenie inicjalizacji karty,
•
/etc/asterisk/zapata.conf - plik konfiguracyjny Asteriska.
Zawartość plików zamieszczono poniżej:
#/etc/zaptel.conf
#
# Zaptel Configuration File
#
# This file is parsed by the Zaptel Configurator, ztcfg
span=1,0,0,ccs,hdb3,crc4
bchan=1-15,17-31
dchan=16
loadzone = pl
defaultzone=pl
#/etc/asterisk/zapata.conf
[channels]
switchtype=euroisdn
prilocaldialplan=unknown
context=inc
signalling=pri_cpe
overlapdial=yes
immediate=no
callprogress=yes
group=1
channel => 1-15,17-31
Parametry konfiguracyjne dla karty definiują podstawowe warunki współpracy z
centrala ISDN i ich składania oznaczana jest w następujący sposób:
span=<numer przęsła>,
<metoda synchronizacji. >,
<line build out (LBO)>,
<framing>,
<coding>[,yellow]
46
bchan= “numery szczelin wykorzystywanych jako kanały B”
dchan= “numery szczelin wykorzystywanych jako kanały D”
loadzone = “strefa geograficzna użytkowania systemu”
defaultzone=pl “”
Parametry konfiguracyjne dla platformy definiują podstawowe warunki wykorzystania
interfejsu ISDN PRI przez serwer Asterisk i oznaczają kolejno:
#/etc/asterisk/zapata.conf
[channels]
switchtype= “typ sygnalizacji ISDN, wykorzystywanej do komunikacji z centralą”
prilocaldialplan=“typ planu num. w ramach którego obsługiwani są ab. Asterisk”
context=“kontekst, w którym obsługiwane są wywołania kierowane na/z PRI”
signalling=“rodzaj sygnalizacji zależny od roli urządzenia w sieci”
overlapdial=“opcja wybierania informacji adresowej w trybie na zakładkę”
immediate=“żądanie syg. zgłoszenia centrali dla ab. wyb adres na zakładkę”
callprogress=“obsługa wiadomości PROGRESS”
group=“numery grup
kanałów B)”
na
które
został
podzielony
interfejs
PRI
(co
do
liczby
channel => “numery szczelin wykorzystywanych jako kanały B w ramach danej grupy”
Do poprawnej pracy serwera wymagana jest właściwa konfiguracja schematu połączeń.
Schemat połączeń definiuje, w jaki sposób mogą komunikować się poszczególne kanały
(channels, tj. Zap, SIP, IAX, itd.). Plikiem konfiguracyjnym zawierającym odpowiednie
definicje jest plik extensions.conf. Rozszerzenie (exten) jest wybieranym celem, czyli
najczęściej numerem telefonu. Istnieje jednak także specjalne rozszerzenie.
Kontekst jest grupą wewnątrz schematu połączeń. Kontekst [default] jest otwarty dla
wszystkich. W pozostałych przypadkach obowiązuje zasada, że dostępne dla danego
użytkownika tylko te rozszerzenia, które znajdują się w tym samym kontekście. Kontekst, do
którego należy użytkownik, definiowany jest w konfiguracji poszczególnych kanałów
(tj. IAX2, SIP, H323), a odpowiedni numer w schemacie połączeń. W celu uzyskania dostępu
do innych kontekstów, żądany kontekst można włączyć do własnego kontekstu za pomocą
instrukcji include. Przykładowy kontekst wykorzystywany w testowej implementacji
prezentuje się następująco:
[voip]
exten =>
exten =>
exten =>
exten =>
exten =>
exten =>
exten =>
exten =>
exten =>
_1XX,1,Dial(SIP/${EXTEN},20,rt)
_2XX,1,Dial(IAX2/${EXTEN},20,rt)
230,1,Dial(IAX2/${EXTEN},20,rt)
240,1,Dial(IAX2/${EXTEN},20,rt)
300,1,Dial(SIP/300,20,rt)
302,1,Dial(SIP/302,20,rt)
303,1,Dial(SIP/303,20,rt)
314,1,Dial(MGCP/aaln/1@voice-gw)
400,1,Dial(MGCP/aaln/1@1)
exten => 8600,1,Meetme()
include => odzewnik
include => demo
exten => _0X.,1,Dial(${TRUNK}/${EXTEN:1})
47
Wiersz, w którym zapisane jest rozszerzenie, ma zawsze następujący format:
exten => rozszerzenie,priorytet,polecenie
gdzie:
•
rozszerzenie oznacza: wybierany numer.
•
priorytet oznacza: priorytet (kolejność) przetwarzania polecenia. Możliwe jest
ustawienie najpierw priorytetu 2, a potem priorytetu 1, ale Asterisk wewnętrznie
posortuje rosnąco. Blok, który należy do pojedynczego rozszerzenia, zostanie
sekwencyjnie przetworzony rosnąco, chyba że przetwarzanie zostanie przerwane,
choćby wskutek sygnału hangup (odłożona słuchawka) albo komunikatu błędnie
wykonanego polecenia.
•
polecenie: znane także jako application command, jest nazwą aplikacji, która jest
uruchamiana przez serwer Asterisk w celu obsługi połączenia przychodzącego lub
zainicjowanego przez użytkownika.
W przypadku dużych implementacji wprowadzanie pojedynczych numerów/rozszerzeń
byłoby uciążliwe, dlatego też istnieje możliwość korzystania z wzorców i zmiennych.
Wzorzec definiowany jest poprzez użycie znaku podkreślenia („_”), np. wzorzec
exten => _1XX,1,Dial(Zap/g1/${EXTEN},30,rt}
oznacza, że 3-cyfrowe rozszerzenie, które rozpoczyna się cyfrą 1, należy wybrać
poprzez kanał Zap/g1. Podczas tworzenia wzorców wykorzystywane są następujące
oznaczenia:
X - każda cyfra od 0-9
Z - każda cyfra od 1-9
N - każda cyfra od 2-9
[1237-9] - każda z cyfr znajdujących się w nawiasie (tutaj 1,2,3,7,8,9)
Jeśli wprowadzony numer pasuje do większej liczby wzorców, serwer wybierze
wzorzec, który pasuje najdokładniej. Dla przykładu można rozważyć przypadek, gdy podane
są wzorce: „1XX”, 1. oraz „X.”. Po wybraniu numeru 123, wówczas pasować będą wszystkie
trzy wzorce (każdy 3-cyfrowy numer zaczynający się od 1, każdy numer zaczynający się od
1, każdy numer). Jednak wzorzec 1XX pasuje najdokładniej i serwer skorzysta właśnie z
niego, o ile nie zostało zdefiniowane jednoznaczne rozszerzenie 123, które w tym przypadku
ma bezwzględne pierwszeństwo.
Polecenia wykorzystywane w przypadku każdego rozszerzenia nazywane są także
application commands. W obecnej wersji platformy Asterisk (1.0.9) istnieje około 140
różnych poleceń, które opisane zostały w dokumentacji serwera, najważniejszym z nich jest
polecenie Dial. Format niniejszego przedstawia się wygląda następująco.
Dial(type/identifier,timeout,options,URL)
gdzie:
•
type - oznacza typy kanału, czyli SIP, Zap, IAX itd.
48
•
identifier - oznacza numer abonenta (rozszerzenie), który jest wybrany. Typ
kanału może posiadać parametry, które również oddzielane są od siebie za pomocą
znaku ukośnika - „/”. W ten sposób zapis SIP/101 oznacza „wybierz numer 101
korzystając z kanału SIP”, zaś instrukcja Zap/g1/101 - „wybierz numer 101
korzystając z kanału Zap grupy 1”. W przypadku instrukcji zapisanej jako:
IAX2/1234:[email protected]/101@extern żądany abonent skojarzony jest
dodatkowo z zewnętrznym adresem IP i taki zapis oznacza: „wybierz numer 101
korzystając z kanału IAX na serwerze IAX o numerze IP 192.168.1.12, a następnie
dokonane rejestracji jako użytkownik 1234 posiadający hasło 4567, wybierając
tam do obsługi kontekst extern.),
•
timeout – czas kontrolny (wyrażony w sekundach), po upłynięciu którego
podejmowane jest przez serwer określone działanie,
•
options – parametr oznaczający zbiór opcji, które można wykorzystać wraz z
poleceniem Dial.
Najważniejsze opcje wykorzystywane w poleceniu Dial:
•
t: pozwolenie abonentowi żądanemu na przekazanie połączenia,
•
T: pozwolenie abonentowi wywołującemu na transfer połączenia,
•
r: wymuszenie generowania sygnału dzwonka po stronie abonenta żądanego (do
chwili podniesienia mikrotelefonu),
•
m: odtwarzanie fragmentu muzycznego do chwili wykonania innego działania
lub upłynięcia czasu kontrolnego,
•
g: wykonanie kolejnego polecenia zapisanego w niniejszym kontekście
•
A(x): odtworzenie zapowiedzi x (zapisanej w pliku o rozszerzeniu *.gsm).
W schemacie połączeń można, podobnie jak w skrypcie powłoki, ustawiać zmienne
oraz stosować zmiennych systemowe. Najważniejszą zmienną jest ${EXTEN}, która zawiera
żądane rozszerzenie. Można z niej łatwo korzystać w połączeniu z wzorcami rozszerzeń.
Dzięki temu np. instrukcja
exten => _X.,1,Dial(SIP/${EXTEN})
oznacza „wybór żądanego numeru z wykorzystaniem kanału SIP”.
5.3. Typy zastosowanych bram VoIP
Do testów wytypowano trzy modele bramek VoIP: Yuxin YGW-20, Linksys PAP-2,
Grandstream HandyTone 488. Podstawowym kryterium wyboru poszczególnych modeli było:
•
zapewnienie obsługi różnych protokołów komunikacyjnych VoIP,
•
zapewnienie obsługi różnych typów kodeków,
•
wykorzystanie do testów bramek, których konstrukcja oparta jest na różnych
układach sterujących (chipsetach).
49
Testowane bramki dołączane są za pośrednictwem portu Ethernet do sieci LAN,
umożliwiając w ten sposób komunikację z serwerem VoIP. W najprostszej konfiguracji
bramki te mogą być dołączane do dowolnego urządzenia wyposażonego w interfejs Ethernet i
zapewniającego pośredni lub bezpośrednio dostęp do sieci transmisji danych w tym sieci
Internet. Przykładem tego typu urządzenia w małych sieciach LAN (warunki domowe lub
niewielkie biura) jest modem xDSL, router lub hub, zaś w większych sieciach dołączenie do
infrastruktury sieciowej może mieć miejsce za pośrednictwem przełączników (Ethernet).
Jednocześnie podstawowym zadaniem bram VoIP jest konwersja wiadomości
sygnalizacyjnych oraz sygnału użytkowego z postaci analogowej na postać pakietową oraz w
kierunku przeciwnym, stąd badane bramy wyposażone były także w porty umożliwiające
dołączenie aparatów analogowych – tzw. porty FXS lub dodatkowo w porty umożliwiające
dołączenie bramki VoIP do centrali PSTN/ISDN (lub PBX) – tzw. porty FXO.
Modem xDSL
FXS
LAN
WAN
bramka
VoIP
Rys. 14. Przykładowe wykorzystanie bramek VoIP w rozwiązaniach segmentu
SOHO
FXS
FXS
Telefon IP
Przełącznik
LAN
Rys. 15. Przykładowe wykorzystanie bramek VoIP w sieciach korporacyjnych
W zależności od wyposażenia w porty abonenckie, LAN i WAN bramy VoIP mogą być
wykorzystywane w rozwiązaniach sieciowych o różnej skali złożoności. Bramki wyposażone
do kilku portów FXS, FXO lub BRI (najczęściej 4 porty FXS, po jednym porcie FXO lub
BRI) są najczęściej stosowane w niewielkich rozwiązaniach segmentu SOHO (Small Offices
Home Offices) lub do rozbudowy obecnie istniejących systemów telekomunikacyjnych w
korporacjach.
Większe rozwiązania w zakresie bram VoIP wymagają zastosowania po stronie sieci
ISDN/PSTN agregacji kanałów użytkowych i sygnalizacyjnych, które są konwertowane na
50
postać pakietową. W tym celu stosowane są najczęściej porty PRI, zaś w rozwiązaniach klasy
operatorskiej również interfejs V5.2.
Charakterystyka zastosowanych do testów bramek została przedstawiona w tablicy.
Tabl. 1. Właściwości bramek VoIP zastosowanych w badaniach
Właściwości
Liczba portów Ethernet
Liczba portów FXS RJ-11
Liczba portów FXO RJ11
Obsługa protokołów:
Obsługa kodeków
Możliwość
aktualizacji
oprogramowania
przez
użytkownika
Zdalna konfiguracja (za
pomocą
przeglądarki
WWW/serwera TFTP)
Obsługa DHCP
Obsługa
NAT
funkcji routowania
Właściwości audio
oraz
YuxinYGW-20
2
1
Linksys PAP-2
1
2
0
Grandstream HT 488
2
1
0
1
H.323 v4, MGCP RFC
2705, SIP RFC 3261,
Net2Phone IAX2
G.711 (u-Law i A-Law),
G.723.1, G.729A/B,
GSM, iLBC
SIP RFC 3261
SIP RFC 3261
G.711(u-Law i A-Law),
G.723.1, G.726,
G.729A/B,
G.711(u-Law i A-Law),
G.723.1, G.729A/B,
GSM, iLBC
TAK
NIE
TAK
WWW/TFTP
WWW
WWW/TFTP
TAK
(Klient/Serwer)
TAK
(Klient)
TAK
(Klient/Serwer)
TAK
NIE
TAK
Detekcja ciszy
Generowanie szumu
Redukcja efektu echa
Detekcja ciszy
Generowanie szumu
Detekcja ciszy
Generowanie szumu
5.4. Typy zastosowanych telefonów IP
W testowym rozwiązaniu zastosowano telefony ATCOM oraz Cisco 7905. ATCOM
jest uniwersalnym telefonem IP obsługującym większość stosowanych obecnie protokołów
VoIP. Znajdują się wśród nich: SIP, MGCP, H.323, Net2Phone, IAX2. Ponadto został
wyposażony w 1 portowy switch 10/100, umożliwiający dołączenie do sieci LAN w sumie
dwóch urządzeń (np. dodatkowo komputera) zajmując tylko jedno gniazdo Ethernet.
Z kolei firmowe rozwiązania Cisco dla telefonii IP są tworzone za pośrednictwem
otwartej architektury AVVID i programów obejmujących interfejsy TAPI, JTAPI i XML. Dla
tych aplikacji Cisco oferuje: multimedialne rozwiązanie Cisco IP Contact Center, serwer
zapowiedzi słownych Cisco IP-IVR (wyposażony w możliwość syntezy i rozpoznawania
mowy), pocztę głosową Cisco Unity z możliwością odsłuchiwania poczty e-mail przez telefon
oraz odbierania wiadomości głosowych poprzez pocztę elektroniczną. Podstawą działania
tych produktów IP (platforma Windows) jest oprogramowanie Cisco Call Manager, które
realizuje funkcje tradycyjnej centrali lokalnej, zestawiając połączenia między telefonami IP
lub za pośrednictwem odpowiednich bramek z tradycyjnym aparatem telefonicznym. Obok
telefonów IP takich jak model 7905, do realizacji połączeń głosowych za pomocą
komputerów PC Cisco oferuje własne oprogramowanie SoftPhone.
Charakterystyka obu aparatów telefonicznych znajduje się w tablicy (Tabl. 2Tabl. 2
Tabl. 2. Właściwości telefonów IP zastosowanych w badaniach
Właściwości
Liczba portów Ethernet
Cisco 7905
ATCOM
1 do dołączeni do sieci LAN + 1 do
1
51
Obsługa protokołów:
Obsługa kodeków
Możliwość
aktualizacji
oprogramowania
przez
użytkownika
Zdalna konfiguracja (za
pomocą
przeglądarki
WWW/serwera TFTP)
Obsługa DHCP
Obsługa
NAT
oraz
funkcji routingu
Właściwości audio
H.323 v4, SIP, Skinny
G.723.1, G.729A/B, G.711 (u-Law i
A-Law), G.726
dołączenia innego urządzenia
H.323 v4, MGCP RFC2705, SIP
RFC3261, Net2phone, IAX2
G.723.1, G.729A/B, G.711(u-Law i
A-Law), GSM
TAK
(oprogramowanie jest płatne)
TAK
TAK
TAK
TAK
TAK
NIE
TAK
•
•
•
•
•
VAD automatyczne
wykrywanie głosu,
CNG generator szumów,
AGC automatyczna regulacja
poziomu sygnału
dynamiczny bufor głosowy
(Voice Jitter),
redukcja echa (G.168),
•
•
•
automatyczne wykrywanie
ciszy
dynamiczny bufor głosowy
(Voice Jitter),
redukcja echa,
5.5. Testy wydajności
5.5.1. Środowisko testowe i jego właściwości
Testy sprawności implementacji platformy VoIP zrealizowano w oparciu o zasoby
laboratorium Instytutu Łączności. Podstawowym celem testów sprawności było określenie
wydajności platformy VoIP we współpracy z siecią PSTN. Wydajność implementacji jest
tutaj rozumiana jako określenie liczby skutecznych połączeń zestawianych:
•
z sieci PSTN do użytkowników platformy VoIP,
•
od użytkowników platformy VoIP do sieci PSTN,
•
w obrębie implementacji platformy VoIP.
W ramach testów wydajności sprawdzono również inne cechy systemu, które będą
miały wpływ na funkcjonowanie docelowej implementacji VoIP w IŁ. Do najważniejszych z
nich należy stabilność implementacji, która w sposób zasadniczy zależy platformy sprzętowej
oraz systemu operacyjnego. Pod tym kątem sprawdzono implementacje serwera Asterisk
uruchamiając go w systemie Linux, wykorzystując kolejno dystrybucje: Mandrake 10.0,
Red Hat 9.0 oraz Fedora Core 3. Najwyższą stabilność platformy, rozumianą tutaj jako brak
zakłóceń w dostępności usług serwera uzyskano w systemach Red Hat 9.0 oraz Fedora
Core 3.
Środowisko testowe implementacji VoIP było złożone z centrali PSTN/ISDN
DGT 3450 oraz dołączonego do niej za pomocą interfejsu V5.2 systemu dostępowego. Do
badań wykorzystywane były wyposażenia abonenckie obsługiwane zarówno przez centralę
oraz system dostępowy. Do dołączenia platformy VoIP do laboratoryjnej sieci PSTN
wykorzystywane jest dostęp pierwotny ISDN (ISDN PRA).
Do generowania wywołań wykorzystywane były:
•
generator wywołań Anritsu EF111A,
52
•
oprogramowanie generatora wywołań SIPp do generowania wywołań abonentów z
obsługą protokołu SIP,
•
wbudowany generator wywołań Asterisk do generowania wywołań abonentów z
obsługą protokołu IAX2.
W celu określenia wpływu elementów środowiska testowego na skuteczność
zestawiania połączeń wykonano badania ruchowe, w których wykorzystano wyposażenia
abonenckie abonentów centrali testowej DGT 3450, w tym abonentów dołączonych do tej
centrali za pośrednictwem sieci dostępowej. Badania ruchowe zrealizowano w dwóch
wariantach:
•
ruch generowany przez użytkowników centrali jest kierowany do użytkowników
tej samej centrali, tj. ruch testowy zamyka się w obrębie centrali testowej, zaś
sterowanie procesem generowania połączeń oraz procesem odpowiadania na te
połączenia pozostaje w gestii generatora wywołań i oba te procesy są
synchronizowane przez generator,
•
ruch testowy zamyka się w obrębie centrali testowej, zaś proces generowania
połączeń oraz proces odpowiadania na te połączenia nie są synchronizowane przez
generator.
W pierwszym przypadku zapewnienie synchronizacji procesów generowania i
odpowiadania na przychodzące wywołania leży po stronie generatora wywołań (tzw.
„konfiguracja typu A”). Za pomocą wewnętrznych procedur synchronizacji tych procesów
oraz rozpoznawania sygnalizacji na analogowym łączu abonenckim tworzona jest statystyka
wygenerowanych wywołań, wywołań przychodzących, jak również błędów obserwowanych
na łączu abonenckim.
Zastosowanie tego typu konfiguracji generatora wywołań wymaga jednak, aby
zakończenie pętli analogowej zarówno użytkownika wywołującego jak i wywoływanego było
zlokalizowane w generatorze wywołań. W trakcie testów było to możliwe tylko wówczas,
gdy: generowany ruch zamykał się w obrębie centrali sieci PSTN (omawiana centrala DGT
3450) lub w przypadku, gdy została zapewniona konwersja wiadomości sygnalizacyjnych
oraz sygnału użytkowego z sieci PSTN ona platformę VoIP oraz powtórnie z platformy VoIP
do sieci PSTN.
Zastosowanie konfiguracji, w której użytkownicy wywołujący generują ruch z sieci
PSTN, zaś użytkownicy wywoływani są abonentami platformy VoIP, uniemożliwia
wykorzystanie synchronizacji procesów obsługi wychodzących i przychodzących wywołań za
pomocą generatora wywołań. W tym przypadku stosowana jest konfiguracja typu B
generatora wywołań, która zakłada rozpoznawanie stanu połączenia jedynie w oparciu o
zdarzenia obserwowane przez przyrząd pomiarowy w łączu abonenckim.
5.5.2. Zestawienie testów
Zasadniczym celem testowania implementacji platformy Asterisk była ocena stabilności
pracy w trakcie generowania masowych wywołań oraz ocena współpracy w tych warunkach z
bramkami VoIP i centralą PSTN/ISDN (za pośrednictwem karty zainstalowanej w serwerze
Asterisk). W ramach badań wydajnościowych oraz testów współpracy wykonano następujące
badania:
•
Badanie wydajności centrali DGT 3450 w celu określenia liczby oraz przyczyn
nieskutecznych połączeń, które mogą mieć wpływ na współpracę pomiędzy
serwerem VoIP oraz typowym systemem komutacyjnym,
53
•
Badanie wydajności serwera Asterisk oraz poprawności współpracy z testową
centralą PSTN/ISDN. Ruch kierowany jest do serwera oraz w kierunku
przeciwnym z wykorzystaniem łącza dostępowego ISDN PRA.
•
Badanie wydajności serwera Asterisk oraz poprawności współpracy z bramkami
VoIP. Ruch z sieci PSTN jest przenoszony za pomocą łącza PRA do
użytkowników dołączonych za pośrednictwem bramek VoIP. Dodatkowo,
dokładany jest w tym badaniu ruch jak w poprzednim przypadku testowym.
•
Badanie wydajności serwera Asterisk jako odzewnika. Ruch z sieci PSTN jest
kierowany do systemowego odzewnika (funkcja serwera) obsługiwanego przez
Asterisk (+ruch od abonentów LE do ab. na bramkach VoIP) scenariusz ASTER i
scenariusz KODZF1, konfiguracja B.
•
Ruch w obrębie abonentów LE (scenariusz ASTER) dla określenia tła pomiarów,
w konfiguracji B
•
Badanie ruchu generowanego przez użytkowników SIP w sieci LAN z rejestracją
w serwerze Asterisk.
5.5.3. Badania wydajności centrali DGT 3450
Konfiguracja
Do testów wykorzystano centralę DGT 3450 oraz generator wywołań Anritsu EF111A,
działający w konfiguracji typu Abonenci wywołujący oraz abonenci wywoływani byli
abonentami badanej centrali, natomiast byli dołączeni za pośrednictwem systemu
dostępowego. Schemat konfiguracji badaniowej został zamieszczony na rysunku.
Użytkownicy
wywołujący
(strona A)
9 łączy analogowych
Testowa centrala
telefoniczna
Generator
połączeń
9 łączy analogowych
Użytkownicy
wywoływani
(strona B)
Rys. 16. Konfiguracja testowa zakładająca generowanie wywołań pomiędzy
abonentami tej samej testowej centrali PSTN (Konfiguracja1)
Opis badania
Zasadniczym celem testów wydajnościowych centrali w tej konfiguracji było
oszacowanie liczby nieskutecznych połączeń oraz ich przyczyn, które mogą pojawić się w
trakcie współpracy badanej centrali oraz implementacji serwera VoIP.
W ramach testów wydajności wykonano 10104 połączenia głosowe z wykorzystaniem
generatora wywołań. Abonenci wywołujący zostali podzieleni na trzy grupy. Abonenci
należący do każdej z tych grup inicjowali połączenia o zadanym czasie trwania. W danej
grupie czas trwania połączenia był jednakowy.
Wyniki badania
Warunki oraz wyniki testów zamieszczono w tablicy.
54
Tabl. 3. Wyniki badań skuteczności zestawiania połączeń pomiędzy abonentami
centrali PSTN/ISDN
Liczba
linii Czas
trwania Liczba
Liczba połączeń Liczba połączeń
abonenckich w połączenia (s)
wygenerowanych skutecznych
nieskutecznych
grupie
połączeń
3
30
5094
5089
5
3
60
3204
3203
1
3
120
1806
1804
2
RAZEM
9
10104
10096
8
Skuteczność zestawiania połączeń mierzona jako stosunek liczby połączeń skutecznych
do liczby połączeń nieskutecznych wyniosła w tym badaniu 99,92%. Przyczyną błędów,
powodujących zaliczenie połączeń do grupy nieskutecznych był brak sygnału zgłoszenia
(przyczyna 51% nieskutecznych połączeń) oraz brak zwrotnego sygnału wywołania
(przyczyna ok. 49% nieskutecznych połączeń).
5.5.4. Ruch inicjowany przez abonentów dołączonych do centrali
PSTN/ISDN oraz kierowany z wykorzystaniem łącza ISDN PRI do
serwera Asterisk i ponownie kierowany do sieci PSTN/ISDN
Konfiguracja
Badania wydajności implementacji serwera VoIP przeprowadzono w kilku
konfiguracjach w celu zbadania wpływu poszczególnych elementów architektury na
stabilność pracy serwera. Pierwsza z konfiguracji testowych obejmowała testy serwera
Asterisk dołączonego do sieci ISDN za pośrednictwem łącza dostępu pierwotnego. W
badaniach tych wykorzystano testową centralę PSTN/ISDN oraz generator wywołań
dołączony do tej centrali. Przyjęto założenie, że ruch generowany przez abonentów centrali
będzie kierowany na łącze PRI, obsługiwane przez serwer VoIP wyposażony w kartę ISDN
PRI. Z kolei ruch przychodzący był kierowany po stronie serwera z powrotem na łącze
dostępowe do centrali PSTN/ISDN. Taka konfiguracja umożliwiła zbadanie wpływu obsługi
znacznej liczby wywołań na stabilność pracy implementacji serwera VoIP w współpracy z
kartą ISDN Digium TE100P.
Schemat środowiska pomiarowego przedstawiono na rysunku.
Rys. 17. Konfiguracja testowa zakładająca generowanie wywołań przez
abonentów PSTN, kierowanie ich do serwera VoIP a następnie z powrotem do
centrali PSTN/ISDN
Opis badania
55
Podstawowym celem badania implementacji VoIP w ww. konfiguracji było
sprawdzenie stabilności pracy oraz współpracy oprogramowania serwera z kartą ISDN, która
zapewniała obsługę łącza dostępowego do centrali PSTN/ISDN. W tej konfiguracji serwer
VoIP uruchomiony na komputerze wyposażonym w kartę ISDN zapewniał jednocześnie
realizację funkcji bramy VoIP do sieci PSTN/ISDN.
W ramach testu wygenerowano 6763 wywołań korzystając z generatora wywołań
dołączonego do testowej centrali PSTN/ISDN. Wyniki zamieszczono w tablicy.
centrali PSTN/ISDN z wykorzystaniem serwera VoIP w roli węzła
pośredniczącego dołączonego poprzez interfejs PRI
Liczba
linii Czas
trwania Liczba
nieskutecznych
grupie
połączeń
3
30
6763
6756
7
RAZEM
6763
6756
7
Podobnie, jak w poprzednich przypadkach testowych skuteczność zestawiania połączeń
mierzona jako stosunek liczby wywołań skutecznych do liczby wywołań nieskutecznych
wyniosła w tym badaniu 99,90%. Przyczyną błędów, powodujących zaliczenie danego
wywołania do grupy nieskutecznych był brak zwrotnego sygnału wywołania (przyczyna
100% nieskutecznych połączeń) w trakcie zestawiania połączenia.
W badaniach wykorzystywane jedynie 3 linie abonenckie przypisane do abonentów
inicjujących połączenia oraz kolejne 3 przypisane do abonentów wywoływanych, ponieważ,
jak ustalono w trakcie próbnych wywołań masowych, próba jednoczesnego zajęcia liczby
kanałów na łączu pierwotnym ISDN większej niż 3 w kierunku od serwera VoIP do centrali,
kończyła się niepowodzeniem. Objawiało się to na poziomie wymiany wiadomości trzeciej
warstwy sygnalizacji DSS1 poprzez przesłanie wiadomości DISCONNECT w odpowiedzi na
wysłaną do centrali wiadomość SETUP. Wskazywaną w wiadomości przyczyną odrzucenia
przez centralę żądania zestawienia połączenia był brak nierozpoznany numer abonenta
żądanego.
5.5.5. Testy w oparciu o ruch generowany do użytkowników PSTN
dołączonych do bramek VoIP
Konfiguracja
W tej konfiguracji badaniowej użytkownicy inicjujący wywołania byli abonentami
dołączonymi do wyposażeń analogowych testowej centrali PSTN/ISDN, natomiast abonenci
wywoływani dołączeni byli do analogowych portów bramek VoIP, które z kolei dołączone
były do sieci LAN i obsługiwane przez serwer Asterisk. Konfiguracja badaniowa
zastosowana w tym przypadku została pokazana na rysunku (Rys. 18).
W celu sprawdzenia wpływu obsługi przez serwer VoIP dodatkowego ruchu, obok
użytkowników dołączonych do bramek, uwzględniono również zbiór abonentów
wywoływanych, którzy dołączeni byli do wyposażeń analogowych centrali (podobnie, jak w
konfiguracji opisywanej w poprzednim punkcie). W tym przypadku część ruchu
przychodzącego do serwera Asterisk, stanowiącego (dzięki zainstalowanej karcie rozszerzenia
z interfejsem ISDN PRI) jednocześnie bramę VoIP, kierowana była z powrotem na łącze
dostępowe do centrali PSTN/ISDN. Wykorzystanie w badaniach ruchu kierowanego z
powrotem do centrali testowej miało na celu sprawdzenie wpływu dodatkowego obciążenia
na obsługę użytkowników platformy Asterisk. Powyższą konfigurację, zakładającą
56
zastosowanie jedynie portów FXS bramek VoIP do dołączenia abonentów wywoływanych (w
tej roli generator wywołań) przedstawiono na rysunku (Rys. 19).
Abonenci wywołujący
(strona A)
4 linie analogowe
Testowa centrala
telefoniczna
4 linie analogowe
Generator
połączeń
Abonenci
wywoływani (strona
B)
Łącze
ISDN PRI
Bramki VoIP z portami
analogowymi (FXS)
Serwer VoIP
(Asterisk)
Rys. 18. Konfiguracja testowa zakładająca dołączenie abonentów
wywoływanych (generator wywołań) do portów analogowych bramek VoIP
Kolejny rysunek przedstawia schemat konfiguracji testowej, która uwzględnia
wykorzystanie łącza ISDN PRA również do obsługi ruchu w kierunku centrali PSTN/ISDN,
do której przypisani są również abonenci wywoływani.
Abonenci wywołujący
(strona A)
6 linii analogowych
Testowa centrala
telefoniczna
2 linie analogowe
4 linie analogowe
Generator
połączeń
Abonenci
wywoływani (strona
B)
Łącze
ISDN PRI
Bramki VoIP z portami
analogowymi (FXS)
Serwer VoIP
(Asterisk)
Rys. 19. Konfiguracja testowa zakładająca dołączenie abonentów
wywoływanych (generator wywołań) do portów analogowych bramek VoIP oraz
centrali PSTN/ISDN
57
Opis badania
W pierwszym z opisywanych przypadków zasadniczym celem badania było
sprawdzenie skuteczności zestawiania połączeń do abonentów, którzy dołączeni zostali do
portów FXS bramek VoIP. Znając wyniki uzyskane w testach zrealizowanych w poprzedniej
konfiguracji możliwa była ocena wpływu bramek na skuteczność zestawiania połączeń.
Następnie w tych samych warunkach badaniowych włączono ruch kierowany z powrotem do
centrali PSTN/ISDN. Tabl. 5 przedstawia wyniki badań otrzymane w pierwszym z
przypadków.
centrali PSTN/ISDN oraz abonentami serwera VoIP dołączonymi do bram VoIP
Liczba
linii Czas
trwania Liczba
nieskutecznych
grupie
połączeń
1
30
2204
2204
0
(YGW-20)
1
30
2808
1404
1404
(PAP-2)
1
60
1404
1404
0
(PAP-2)
1
60
1425
1424
1
(HT 488)
RAZEM
7841
6463
1405
Przy uwzględnieniu ruchu kierowanego do serwera Asterisk a następnie z powrotem do
testowej centrali PSTN/ISDN (obciążającego serwer VoIP) wyniki nie zmieniły się w sposób
znaczący. Rezultaty dla badań e tej konfiguracji zamieszczono w tabeli (Tabl. 6).
Tabl. 6. Wyniki badań skuteczności zestawiania połączeń w relacji abonenci
PSTN/ISDN - abonenci VoIP dołączonymi do bramek oraz abonenci PSTN/ISDN
- abonenci PSTN/ISDN
Liczba
linii Czas
trwania Liczba
nieskutecznych
grupie
połączeń
1
30
981
981
0
(YGW-20)
1
30
1295
542
753
(PAP-2)
1
60
541
540
1
(PAP-2)
1
60
675
675
0
(HT 488)
2
(abonenci
60
1330
1328
2
centrali
PSTN/ISDN)
RAZEM
4822
4066
756
58
Zarówno w pierwszym (50%) jak i w drugim (41,85%) przypadku zaobserwowano
niską skuteczność zestawiania połączeń do abonentów dołączonych do jednego z portów FXS
bramki PAP-2. Bramka ta dysponuje dwoma portami FXS i wyniki otrzymane w trakcie
generowania ruchu do tej bramki wskazują na brak możliwości do skutecznej obsługi
wywołań masowych generowanych do portów analogowych (czas przerwy pomiędzy
zakończeniem jednego i rozpoczęciem kolejnego połączenia wynosił 15 sekund). Poza tym
przypadkiem wartość parametru skuteczności nie odbiegała znacząco od wartości
obserwowanych dla połączeń pomiędzy abonentami centrali PSTN/ISDN, także z
wykorzystaniem pośredniczącej roli serwera VoIP, gdzie była ona bliska 99,99%. Wskazuje
to jednoznacznie na wadę omawianej bramki.
5.5.6. Testy skuteczności zestawiania połączeń do serwera VoIP, do
abonenta pełniącego rolę uniwersalnego odzewnika
Konfiguracja
Zdolność serwera VoIP do obsługi wywołań masowych zależy zarówno od wydajności
platformy sprzętowej jak również od oprogramowania. Zaproponowane wcześniej badania nie
angażowały liczby połączeń, która mogłaby wpłynąć na ograniczenie wydajności serwera. W
tym celu zaproponowano badanie, które polegało na generowaniu połączeń od abonentów
centrali PSTN/ISDN do serwera Asterisk, na którym utworzono użytkownika, realizującego
funkcje uniwersalnego odzewnika. Zadanie to polegało na akceptowaniu przychodzących
wywołań i odtwarzaniu w kanale rozmównym sygnału o częstotliwości 1000Hz.
Rys. 20. Konfiguracja testowa zakładająca realizację wywołań przez abonentów
analogowych oraz ich akceptację przez odzewnik
Opis badania
Podobnie jak w opisanych wcześniej badaniach, również w tym przypadku wywołania
były generowane przez generator dołączony do analogowych wyposażeń abonenckich centrali
PSTN/ISDN. Posługując się plikami konfiguracyjnymi serwera Asterisk utworzono numer
abonenta przypisując listę działań podejmowanych przez serwer w trakcie obsługi połączenia
przychodzącego do tego abonenta. Ze względu na fakt, iż abonent wywoływany był
skojarzony z numerem obsługiwanym przez oprogramowanie serwera, nie było możliwe
zastosowanie generatora wywołań w konfiguracji A, która zakłada synchronizację procesów
generowania połączeń wychodzących oraz obsługi połączeń przychodzących za pomocą
wewnętrznych procedur tego urządzenia. Zastosowana w tym badaniu konfiguracja
generatora wywołań (Konfiguracja typu B) zapewnia detekcję zestawionego połączenia
jedynie w oparciu o odbierany sygnał o określonej częstotliwości.
Dla porównania wykonano serię połączeń pomiędzy abonentami centrali PSTN/ISDN
(funkcję abonentów wywołujących oraz wywoływanych pełnił generator wywołań) z
wykorzystaniem ww. konfiguracji generatora wywołań. Tablice (Tabl. 7 i Tabl. 8)
przedstawiają wyniki otrzymane w tych próbach.
59
Tabl. 7. Wyniki badań skuteczności zestawiania połączeń w relacji abonenci
PSTN/ISDN – odzewnik VoIP (generator wywołań w konfiguracji typu B)
Liczba
linii Czas
trwania Liczba
nieskutecznych
grupie
połączeń
5
30
30 089
29 962
127
6
30
19 079
18 984
95
5
120
9 174
9 136
38
RAZEM
58 342
58 082
260
SKUTECZNOŚĆ
99,55%
centrali PSTN/ISDN (generator wywołań w konfiguracji typu B)
Liczba
linii Czas
trwania Liczba
nieskutecznych
grupie
połączeń
6
30
5 544
5 539
5
5
60
3 276
3 268
8
1
120
399
399
0
RAZEM
9 219
9 206
13
SKUTECZNOŚĆ
99,86%
Dla połączeń terminowanych w odzewniku VoIP skuteczność zestawiania połączeń
wyniosła 99,55%, podczas gdy w przypadku analogicznej konfiguracji generatora wywołań
oraz połączeń zestawianych jedynie pomiędzy abonentami centrali PSTN/ISDN skuteczność
wyniosła 99,86%. W pierwszym przypadku zdecydowana większość błędów (98,48%) była
spowodowana brakiem detekcji sygnału po stronie abonenta wywołującego. Oznacza to, że
błędy były spowodowane następującymi zdarzeniami:
•
odzewnik nie wygenerował kontrolnego tonu (1000Hz) np. ze względu na brak
dostępnych zasobów sprzętowych,
•
generator wywołań nie rozpoznał nadawanego tonu kontrolnego np. ze względu
na przekłamania spowodowane kompresją i pakietyzacją dźwięku.
Pozostałe błędy (tj. 1,52% wszystkich błędów) były spowodowane brakiem sygnału
zgłoszenia centrali, do której dołączony był generator wywołań oraz brakiem zwrotnego
sygnału wywołania, co wskazuje na centralę testową jako źródło tego typu błędów.
Wyniki otrzymane w ramach drugiego z rozważanych w tym punkcie przypadków
testowych wskazują, iż tutaj w 92,31% zaobserwowanych błędów przyczyna była tak sama,
zaś tylko jedno nieskuteczne wywołanie było spowodowane brakiem sygnału zgłoszenia
centrali.
5.5.7. Testy skuteczności zestawiania połączeń pomiędzy użytkownikami
serwera VoIP wykorzystującymi do komunikacji protokół SIP
Konfiguracja
Zakładając, że podstawowym protokołem komunikacyjnym w docelowej implementacji
VoIP w infrastrukturze informatycznej IŁ będzie protokół SIP, wykonano również testy
polegające na obciążeniu serwera Asterisk przychodzącymi wywołaniami pochodzącymi od
abonentów SIP. Do generowania masowych wywołań wykorzystano oprogramowanie SIPp
stworzone przez firmę Hewlett Packard i dostępne w ramach otwartej licencji.
60
Rys. 21. Konfiguracja do badań skuteczności zestawiania sesji protokołu SIP
Opis badania
Wszystkie wywołania były generowane przez jednego agenta UAC. Każde połączenie
było wyróżnione na podstawie unikalnego identyfikatora połączenia. Oprogramowanie SIPp,
które było wykorzystywane do emulacji agenta użytkownika, umożliwia dowolne
kształtowanie wiadomości generowanych w ramach połączenia, w tym parametryzowania
wartości pól takich, jak identyfikator połączenia. Wyniki próby zamieszczono w tablicy
(Tabl. 9).
SIP
Liczba
linii Czas
trwania Liczba
nieskutecznych
grupie
połączeń
1
2 wywołania/1s
16 139
16 103
36
RAZEM
16 139
16 103
36
SKUTECZNOŚĆ
99,78
61
6. Usługi IM (Instant Messaging)
IM to usługa polegająca na natychmiastowym przesyłaniu komunikatów i informacji
o obecności w sieci między użytkownikami za pomocą przeznaczonych do tego programów komunikatorów. Usługi IM to forma internetowej komunikacji, która łączy użytkowników w
czasie rzeczywistym za pomocą połączeń peer-to-peer lub za pośrednictwem centralnego
serwera. Cały czas mamy do czynienia z typową dla Internetu architekturą klient-serwer,
ponieważ nawet łączące się bezpośrednio systemy IM (jak ICQ) w momencie nawiązywania
połączenia używają centralnego serwera do pobierania informacji o tym, którzy użytkownicy
są dostępni. Usługi IM stały się dogodnym środkiem komunikacji i wymiany plików.
Pozwalają dowiedzieć się czy osoby z listy kontaktów są dostępne i natychmiast wysyłać do
nich informacje. IM umożliwia natychmiastową wymianę wiadomości tekstowych, śledzenie
obecności kontaktów i rozmowy grupowe.
Instant Messaging naprawdę pojawiło się na scenie Internetu w listopadzie 1996, kiedy
Mirabilis - firma założona przez czterech izraelskich programistów - wprowadziła ICQ,
darmowe system IM, dostępny dla wszystkich w Internecie. Twórcy ICQ zauważyli, że ludzie
łączą się z Internetem w bierny sposób, korzystają z zawartości na stronach WWW, ale nie są
połączeni ze sobą. Popularność komunikatora IRC oraz wady poczty elektronicznej pozwalały
na stworzenie nowej usługi. Pomysł ten okazał się strzałem w dziesiątkę. W ciągu 6 miesięcy
na serwerze Mirabilis zarejestrowało się 850 tysięcy użytkowników. Do czerwca 1997 ICQ
było w stanie połączyć naraz milion użytkowników i stało się największą internetową siecią
komunikacyjną.
Sukces ten stał się wyzwaniem dla internetowych potentatów, którzy natychmiast
rozpoczęli prace nad własnymi systemami IM. Najważniejsi z nich to AOL (AOL Instant
Messanger - AIM), Microsoft (MSN Messanger) oraz Yahoo! (Yahoo! Messanger). ICQ jest
nadal niezwykle popularny i wciąż jest rozwijany, stał się częścią zestawu usług AOL.
Podobną popularnością cieszy się AIM, który podobnie jak wszystkie ważniejsze systemy IM
stosuje zastrzeżony protokół.
Usługi IM wciąż mają olbrzymi potencjał rozwoju, istniejące systemy stale są
rozwijane. Liczba użytkowników Internetu stale rośnie i zwiększają się także ich wymagania.
IETF (Internet Engineering Task Force) rozwija standardowy protokół dla IM, tzw. IMPP
(Instant Messaging Presence Protocol). Dla rynku korporacyjnego najważniejsza okazała się
możliwość odbywania wirtualnych konferencji i współpracy zarówno pomiędzy grupami
roboczymi jak i pojedynczymi ludźmi. Istnieje tam jednak zupełnie inne podejście do kwestii
bezpieczeństwa przesyłanych danych jak również samej sieci narażonej przez używanie
systemów IM. Bardzo często zamyka się te usługi wewnątrz firmowych intranetów. Fakt, że
IM nie jest uważany za bezpieczną metodę komunikacji wydaje się nie martwić
indywidualnych użytkowników. Tylko w instytucjach wymagających wysokiego poziomu
bezpieczeństwa pojawiły się sieci IM zamknięte w LAN-ach stosujące dość zaawansowane
techniki szyfrowania i uwierzytelniania. Wiadomości i informacja o połączeniu znajdują się
na serwerze kontrolowanym przez firmę udostępniającą usługi IM. Większość systemów
dostarcza pewnego poziomu szyfrowania, ale nie na tyle bezpiecznego, żeby ryzykować
wysyłanie poufnych informacji.
62
6.1. Przegląd najpopularniejszych komunikatorów
Najpopularniejsze sieci IM na świecie to:
ICQ (I Seek You)
Jest to program, od którego zaczęła się historia usług IM.. Opracowano tu technologię,
która umożliwiała użytkownikom Internetu zlokalizować innych i stworzyć łatwo kanały
komunikacji P2P (point to point). ICQ tradycyjnie jest w czołówce rozwoju funkcjonalności
usług IM, ma opinię najlepszego komunikatora o zasięgu światowym. Po raz pierwszy
wprowadzono tu transfer plików i rozbudowany system katalogu społeczności użytkowników.
Jest dobrze opracowana pomoc. Są też konferencje, gry online oraz - wysyłanie sms-ów (do
prawie każdego operatora na świecie, niestety nie dotyczy to Polski).
AOL Instant Messenger (AIM)
Jego popularność wynika najprawdopodobniej z wielkiej ilości użytkowników sieci
AOL. Łatwy w użyciu z wieloma możliwościami, także z możliwością rozmowy głosowej na
wykorzystującej aplikacje VoIP dedykowane dla komputerów PC i Mac.
MSN Messenger
Obecnie dostępne są wersje dla systemu Windows oraz systemu Mac OS. Podobnie, jak
AIM jest on narażony na wirusy komputerowe , które mogą być także transmitowane przez tą
usługę. MSN Messenger integruje się łatwo z usługą Hotmail. Umożliwia transfer plików,
rozmowy głosowe (VoIP), wysyłanie wiadomości na pager i telefon komórkowy.
Yahoo Messenger
Yahoo! Messenger jest bogatym w możliwości programem klienckim IM firmowanym
przez portal Yahoo!. Oferuje usługę rozmowy głosowej, gier online i współdzielenia kamery
internetowej. Posiada także pewną liczbę klientów na inne systemy operacyjne i platformy,
oprócz tego oferuje tanie rozmowy telefoniczne poprzez swoje programy klienckie IM dla
Windows.
Gadu-Gadu
Gadu-Gadu to popularny polski komunikator internetowy dla systemu Windows,
tworzony przez firmę Gadu-Gadu sp. z o.o. Udostępnia między innymi możliwość
przesyłania plików, prowadzenia konferencji i rozmów głosowych. Jest programem typu
„adware”, przez co korzystający z niego zmuszeni są do oglądania reklam. Wykorzystuje
własny (zamknięty) protokół komunikacji i nie posiada zabezpieczeń autoryzacji
użytkownika. Od wersji 6.0, eksperymentalnie, umożliwia szyfrowanie połączenia za pomocą
protokołu SSL. Użytkownicy Gadu-Gadu są identyfikowani w systemie za pomocą numerów,
podobnie jak w ICQ. Od początku 2005 roku możliwe jest wykonywanie rozmów
telefonicznych w ramach technologii VoIP
Tlen
Komunikator Tlen domyślnie umożliwia komunikację z użytkownikami sieci Tlen.pl
jak również Gadu-Gadu. Głównymi jego funkcjami są: prowadzenie rozmów w czasie
rzeczywistym, przesyłanie wiadomości, chat, przesyłanie plików, prowadzenie rozmów
głosowych, prowadzenie wideokonferencji, wysyłanie SMS .Rozmowy szyfrowane są dwoma
algorytmami: AES oraz RSA.
63
Jabber/XMPP
Jest to protokół służący do tworzenia sieci IM następnej generacji - oparty w całości na
XML-u. Architektura Jabbera jest rewolucyjna i pozwala rozwiązać problemy istniejących
dotychczas systemów IM polegające na braku współpracy i niedostatecznym
bezpieczeństwie. Twórcy Jabbera wzorowali się na zasadach funkcjonowania protokołów
obsługi poczty elektronicznej, pozwalających kontaktować się ludziom niezależnie od
platformy, systemu operacyjnego i oprogramowania.
6.2. Charakterystyka protokołu komunikacyjnego Jabber
Jabber jest protokołem komunikacyjnym wymyślonym w 1998 przez Jeremiego Millera
i początkowo rozwijanym w gronie entuzjastów, później przez założoną w tym celu Jabber
Software Foundation (JSF). Jabber jest otwartym protokołem XML służącym do wymiany
wiadomości w czasie rzeczywistym między dwoma punktami w Internecie. Podstawowym
rdzeniem technologii Jabber jest asynchroniczna, rozbudowująca się platforma
natychmiastowych wiadomości oraz sieć IM, która oferuje takie same możliwości jak znane i
popularne systemy AIM, ICQ, MSN i Yahoo. W zamierzeniu miał stać się otwartym,
sformalizowanym protokołem internetowym komunikatora sieciowego podobnie jak HTTP
jest protokołem WWW a SMTP i POP3 protokołami obsługi poczty elektronicznej. Jabber to
protokół - technicznie sformalizowany sposób komunikacji w sieci klient-serwer (klient to
program użytkownika, a serwer to system, do którego użytkownik się loguje). Jest to również
projekt Open Source, na który składają się serwery, programy klienckie, biblioteki,
dokumentacja, ale przede wszystkim to społeczność, która to wszystko tworzy. Ostatecznie,
jest to zapoczątkowana przez jednego człowieka i podchwycona przez innych inicjatywa, by
w środowisku komunikatorów internetowych pojawiła się wspólna platforma komunikacji.
6.3. Modyfikacja Jabbera – protokół XMPP
Gdy Jabber się został spopularyzowany, okazało się, że brakuje oficjalnej specyfikacji –
standardu zaaprobowanego przez IETF (najważniejszą organizację standaryzacyjne
w Internecie) i opublikowanego jako RFC. Dlatego rozpoczęte zostały prace nad nową wersją
protokołu, pod nazwą XMPP. Protokół ten został już ukończony i zatwierdzony przez IESG
(jednostkę decyzyjną IETF). Dotychczas stosowany protokół Jabbera ma słabe punkty, a do
tego IESG ma swoje wymagania, dlatego XMPP nie mogło być kopią obecnego protokołu.
XMPP zakłada kompatybilność wstecz, jednak na tyle różni się od starego protokołu, że stare
serwery i programy klienckie nie są zgodne z XMPP. Protokół ma zastosowanie nie tylko w
komunikatorach, ale również w innych systemach błyskawicznej wymiany informacji. Trzeba
też zaznaczyć, że XMPP określa sposób połączenia się klienta do serwera, serwerów między
sobą, raportowania błędów, wymiany podstawowych informacji między serwerami
i klientami oraz sposób zarządzania listą kontaktów i regułami prywatności. Protokół XMPP
nie określa i nie będzie określał sposobu przesyłu plików czy dostępu do listy transportów na
serwerze. To wszystko to tylko rozszerzenia będące częścią protokołu Jabber. Można więc
powiedzieć, że XMPP jest rozszerzeniem protokołu Jabber a oba są w bardzo szerokiej
płaszczyźnie zgodne.
Protokół XMPP jest przyszłością Jabbera . Nowe serwery i programy klienckie będą
wykorzystywać właśnie ten protokół, jednak przez jakiś czas wciąż będzie używany stary.
Żaden jednak serwer, ani klient nie stał się automatycznie klientem czy serwerem XMPP,
tylko dlatego, że wymyślona została nowa nazwa. Serwerami, które obsługują ten protokół są
64
np. Jabberd 2.0 czy też Jive Messenger . Także niektóre programy klienckie mają już bardzo
zaawansowaną obsługę XMPP.
Główne różnice pomiędzy protokołem Jabber i XMPP są następujące:
•
XMPP do uwierzytelniania użytkowników wykorzystuje protokół SASL
•
ten sam protokół SASL może być użyty do uwierzytelniania serwerów między
sobą
•
XMPP zawiera rozszerzenie StartTLS pozwalające na szyfrowanie połączenia
na standardowym porcie (użycie TLS jest negocjowane już po połączeniu
i „przywitaniu”) .
•
zmieniony został sposób przesyłania informacji o błędach – w XMPP informacja
ta zamiast mało precyzyjnych kodów błędu i komunikatu w jednym języku
(zwykle angielskim) zawiera dokładniejsze informacje pozwalające klientowi
wyświetlenie komunikatu zrozumiałego dla użytkownika, albo automatyczne
podjęcie odpowiedniego działania.
•
wprowadzone zostały reguły prywatności pozwalające na określenie od kogo
użytkownik życzy sobie (bądź nie) odbierać wiadomości, a komu udzielać
informacje o swojej dostępności. Reguły te zastąpią między innymi
„niewidzialność" znaną z obecnych implementacji.
6.4. Zasada działania protokołu Jabber/XMPP
Komunikacja w sieci Jabber/XMPP jest możliwa przez rozproszoną sieć serwerów
używających tego samego protokołu. Z siecią tą łączą się programy klienckie aby otrzymać
wiadomość i wysyłać ją do użytkowników na tym samym lub innym serwerze, który jest
połączony z Internetem. Poniżej przedstawiono ogólny schemat sieci opartej na protokole
Jabber.
Rys. 22.Schemat ogólnej sieci jabber w Internecie
System komunikacji Jabber/XMPP jest więc w pewnym sensie podobny do systemu
poczty elektronicznej jednak z tą różnicą, że e-mail jest systemem przechowania i wysyłania
65
danych a Jabber/XMPP dostarcza wiadomości w czasie rzeczywistym. Jest to możliwe,
ponieważ serwer Jabber/XMPP wie kiedy użytkownik jest dostępny. Ta wiedza o dostępności
jest nazywana statusem i to jest kluczowa właściwość, która umożliwia działanie w trybie
czasu rzeczywistego. Jabber tą typową dla innych systemów IM cechę łączy z trzema
dodatkowymi właściwościami, które czynią go unikalnym:
•
posiada w pełni otwarty protokół
•
protokół Jabbera jest w 100% XML, co umożliwia zestrukturyzowaną, inteligentną
wymianę wiadomości nie tylko pomiędzy ludźmi ale również pomiędzy
aplikacjami (jeśli trzeba także szyfrowaną i z uwierzytelnieniem)
•
Jabber używa adresów, które są bazowane na DNS i rozpoznaje schematy URI, co
w efekcie daje adres w tej samej formie co e-mail (user@host)
Jabber/XMPP używa architektury klient-serwer, a nie połączeń bezpośrednich (peer-topeer) jak to czynią niektóre systemy IM. Oznacza to, że wszystkie dane Jabbera wysyłane z
jednego klienta do drugiego muszą przejść przynajmniej przez jeden serwer Jabber/XMPP
(programy klienckie mogą dokonać bezpośredniego połączenia - np. do transferu plików - ale
te połączenia muszą być najpierw wynegocjowane w kontekście połączenia klient-serwer)
Klient Jabbera łączy się z serwerem poprzez gniazdo TCP na porcie 5222 lub 5223 dla
połączeń szyfrowanych. To połączenie jest zawsze czynne przez cały czas sesji klienta na
serwerze, co oznacza, że klient nie musi łączyć się ciągle z serwerem i co jakiś czas
otrzymywać wiadomości jak to robi klient emaila. Serwer śledzi czy użytkownik jest
aktywny: jeśli jest natychmiast mu wysyła wszystkie wiadomości skierowane na jego adres,
jeśli jest rozłączony przechowuje je do momentu najbliższego połączenia.
6.5. Format danych
Integralną częścią architektury Jabbera jest język XML. Dzięki temu architektura jest
rozszerzalna i może wyrażać różne rodzaje danych. Kiedy klient łączy się z serwerem otwiera
jednostronny strumień XML z klienta do serwera i serwer odpowiada jednostronnym
strumieniem z serwera do klienta. Tak więc każda sesja składa się z dwóch strumieni XML.
Cała komunikacja pomiędzy klientem a serwerem wydarza się w obrębie tych dwóch
strumieni, w formie małych snippetów lub fragmentów kodu XML, tak jak w poniższej
wiadomości od A do B:
<message from='[email protected]' to='[email protected]'>
<body> Dzień dobry </body>
</message>
Podany tu przykład jest jednym z najprostszych, ale XML-owy format Jabbera może
być rozszerzony poprzez oficjalne przestrzenie nazw XML (zarządzanych przez Jabber
Software Foundation) i dowolne przestrzenie nazw dla wyspecjalizowanych aplikacji. Czyni
to Jabbera potężną platformą dla przesyłania jakichkolwiek danych posiadających postać
zdefiniowanych struktur, włączając w to takie techniki, jak XML-RPC3 czy RSS4.
3
Protokół XML pierwszej generacji opierający się na protokole RPC. XML-RPC definiuje zasady wymiany
danych i ich reprezentację w formacie XML.
4
RSS to umowna rodzina języków znacznikowych do przesyłania nagłówków wiadomości. Wszystkie z nich
bazują na XML.
66
Zaawansowanym narzędziem obsługi jest konsola XML, dostępna w wielu programach
klienckich Jabbera. Na przykład wysyłając poniższą wiadomość można zmienić hasło na
serwerze (oczywiście, w większości programów klienckich można je zmienić z poziomu
programu, można też w tym celu porozumieć się z administratorem - to tylko demonstracja
mechanizmu).
<iq type='set' to='jabber.org'>
<query xmlns='jabber:iq:register'>
<username>username</username>
<password>newpassword</password>
</query>
</iq>
A ten komunikat kasuje konto:
<iq type='set' to='jabber.org'>
<query xmlns='jabber:iq:register'>
<remove/>
</query>
</iq>
6.6. Zalety i wady protokołu Jabber/XMPP
Do zalet Jabbera/XMPP należą wymienione niżej cechy:
•
otwarty - protokół jest darmowy, publiczny, dobrze udokumentowany i łatwy
do wykorzystania. Dzięki temu łatwo jest tworzyć oprogramowanie i zapewnić
jego zgodność z już istniejącą strukturą sieci.
•
standard IETF- organizacja zatwierdzająca standardy internetowe, zatwierdziła
Jabber/XMPP jako proponowany standard dla komunikacji natychmiastowej.
•
sprawdzony - tysiące programistów od wielu lat pracuje nad jego rozwojem,
powstała ogromna ilość oprogramowania, a wiele firm jest zaangażowanych
w rozwijanie produktów bazujących na tej technologii.
•
zdecentralizowany - każdy może postawić swój serwer. W Internecie znajduje
się tysiące połączonych ze sobą serwerów. Awaria kilku z nich nie destabilizuje
całej sieci.
•
bezpieczny - można w łatwy sposób wydzielić zamkniętą sieć lub skorzystać
z wielu zaawansowanych rozwiązań zapewniających najwyższy poziom
bezpieczeństwa.
•
rozszerzalny - protokół nie jest ograniczony do komunikatorów. W łatwy sposób
można rozszerzyć spektrum jego możliwości. Może się przydać wszędzie tam,
gdzie zachodzi potrzeba wymiany informacji w czasie rzeczywistym.
•
różnorodny - dostępna do wyboru szeroka gamę klientów, przy pomocy których
można nawiązać połączenie ze swoim kontem Jabbera. Brak narzucania jednego
konkretnego klienta działającego tylko pod jednym systemem operacyjnym.
•
międzynarodowy - dzięki wykorzystaniu ogólnoświatowego standardu kodowania
znaków UTF-8, można rozmawiać z użyciem różnych alfabetów ( np. japoński,
67
rosyjski). Stwarza to zupełnie nowe horyzonty poszerzania znajomości i czyni
z Internetu to, do czego został stworzony — łączy ludzi ponad podziałami
narodowymi.
Do wad Jabbera/XMPP należą poniższe cechy:
6.7.
•
problemy ze stabilnością- Często nie pracują serwery, czasem nie działają
transporty. Żeby wybrać dobry serwer trzeba zasięgnąć opinii użytkowników.
Same transporty z dość skomplikowanych przyczyn technicznych nie udostępniają
wszystkich możliwości zamkniętych sieci. Bywają problemy nawet z informacją o
statusie.
•
problemy z kompatybilnością serwerów i programów klienckich - możliwości
protokołu są olbrzymie, ale żeby były zrealizowane zarówno programy klienckie
jak i serwery obu uczestników łączności muszą je udostępniać i to w sposób
zgodny z protokołem. Czasem są stosowne własne rozwiązania projektantów i
wtedy dla zachowania kompatybilności trzeba używać identycznych programów, a
jest to sprzeczne z ideą Jabbera.
•
niska odporność na przeciążenia – popularne serwery są obciążone dużą ilością
użytkowników i najczęściej dla zachowania stabilności zamykają możliwość
rejestracji dodatkowych usług przez użytkowników innych serwerów; czasem
nawet może prowadzić to do czasowego zablokowania usługi.
•
brak działającej ochrony prywatności: wprawdzie sam protokół zapewnia daleko
większe możliwości niż prosta lista niepożądanych użytkowników (blacklist) i
blokowanie niechcianych kontaktów
•
brak standardowego tzw. „abuse@serwer”, uniwersalnego
administratora serwera potrzebnego w razie nadużyć.
kontaktu
do
Usługi dostępne w serwerach Jabber/XMPP
Jabber udostępnia wiele usług, ponadto, będąc użytkownikiem jednego serwera
możemy korzystać z usług innego serwera, chociaż czasem bardziej oryginalne - np. słownik usługi dostępne są tylko dla kont z danego serwera, wprowadzenie takich ograniczeń bywa
konieczne dla uniknięcia przeciążenia serwera. Przykładowe usługi dostępne dla klientów
serwerów Jabber/XMPP to m.in.:
•
komunikacja tekstowa
o wysyłanie wiadomości
o rozmowa
o konferencja (MUC - Multi User Chat)
•
informacja o statusie użytkownika- jest to standardowa możliwość każdego
komunikatora; można ustawić, któryś z typowych komunikatów (Dostępny,
Chętny do rozmów, Zajęty, Niewidoczny). Informację o statusie można podpisać
dodatkowym tekstem.
68
•
transporty - możliwość łączenia się z innymi sieciami IM i rozmawiania ze
znajomymi nieużywającymi Jabbera. Transport można opisać jako "bramkę
tłumaczącą inny protokół w obie strony". Wtedy serwer łączy się z inną siecią a
użytkownik z serwerem komunikuje się już natywnym strumieniem XML.
Obecnie dla serwera Jabber/XMPP możliwe są transporty:
o Gadu-Gadu
o Tlen
o ICQ
o AIM (AOL Instant Messenger)
o MSN Messenger
o Yahoo
•
Jogger – rodzaj bloga użytkowników jabbera, po dodaniu do listy kontaktów
specjalnego użytkownika, wszystkie wiadomości wysyłane do niego będą się
pojawiają się w blogu.
•
JUD - Jabber User Directory - globalny rejestr użytkowników z możliwością
przeszukiwania; istnieją także lokalne katalogi (ograniczone do danego serwera).
•
Mapy użytkowników: polska: Jobble i światowa: Jabber Wereldkaart.
•
Kanały RSS - nagłówki wiadomości; krótkie powiadomienia o newsach na
wybranych serwiach internetowych, z bezpośrednimi odsyłaczami do wiadomości
na stronach WWW.
•
e-mail wysyłanie i odbieranie e-maili, także powiadamianie o nowych
wiadomościach w skrzynce.
•
tzw. boty (skrót od wyrazu „robot”) to różnego rodzaju samodzielne aplikacje
klienckie wykonujące takie usług, jaki:
o słowniki (obecne m.in. na serwerze jabberpl.org: polsko-angielski i
angielsko-polski, po dodaniu użytkownika [email protected]
można wysyłać do niego słowa do przetłumaczenia, dostępny tylko dla
użytkowników jabberpl.org),
o informacja o pogodzie (obecna na serwerze chrome.pl: informacja
pogodowa z największych polskich miast, wystarczy dodać użytkownika
np. [email protected] a jego status opisowy będzie informował
o aktualnej pogodzie; z tej usługi mogą korzystać użytkownicy wszystkich
serwerów),
o powiadamianie o zdarzeniach, np. o nowych odpowiedziach na forach
dyskusyjnych, nowych wpisach w księgach gości, nowych wersjach
oprogramowania,
o przypominanie o ważnych zadaniach do wykonania czy terminach spotkań
(za pomocą bota zwanego Edgarem),
o przeglądanie programu TV,
•
tzw. pokoje konferencyjne (Chatrooms) - rozmowy grupowe, które umożliwiają
kontrolowanie dostępu (zamykanie, ukrywanie, wyrzucanie niepożądanych
użytkowników, ukrywanie swojego identyfikatora pod pseudonimem, ustawianie
69
tematów); zależnie od konfiguracji serwera użytkownicy mogą tworzyć własne
pokoje lub tylko korzystać z już istniejących, ale korzystanie z pokoju nie jest
uzależnione od posiadania konta na tym serwerze. Możliwe jest także korzystanie
z IRC przez pokoje konferencyjne.
6.8.
•
wyszukiwanie usług - umożliwia w łatwy sposób sprawdzić jakie usługi oferuje
nam konkretny serwer, za pomocą prostej przeglądarki sieci jabbera (można także
sprawdzić usługi na serwerach gdzie nie mamy konta)
•
transfer plików - umożliwia przesyłanie plików pomiędzy dowolnymi (zgodnymi z
protokołem Jabbera) klientami. Pliki przesyłane są bezpośrednio pomiędzy dwoma
komputerami za pomocą protokołu HTTP.
•
spolszczony interfejs i polskie znaki - kilka programów klienckich ma także polski
interfejs (Psi, Pandion, JAJC) a protokół umożliwia użycie polskich znaków
(Unicode).
Mechanizmy bezpieczeństwa protokołu Jabber/XMPP
6.8.1.
Protokół SSL
Jabber/XMPP posiada wiele funkcji związanych z bezpieczeństwem. Wszyscy
użytkownicy „serwera jabberowego” są identyfikowani są za pomocą JID oraz hasła. Ponadto
każdy serwer Jabbera/XMPP może być oddzielony od publicznej sieci Jabber.
Protokoły zapewniające szyfrowanie, które używane są m.in. w serwerze Jive
Messenger to SSL TLS i SASL. Do komunikacji między klientem a serwerem możliwe jest
używanie SASL i TLS lub SSL i SASL w zależności od opcji aplikacji klienta. W przypadku
komunikacji międzyserwerowej możliwe jest używanie protokołów SASL w celu
uwierzytelniania oraz TLS do szyfrowania danych. Krótka charakterystyka protokołów:
SSL (Secure Sockets Layer) to otwarty i nie chroniony prawami własności (nonproprietary) protokół zaprojektowany przez firmę Netscape Communication Corporation,
który dzięki szyfrowaniu danych zapewnia poufność i integralność transmisji oraz umożliwia
uwierzytelnienie zarówno serwera jak i klienta dla dowolnego połączenia TCP/IP.
Zbiór podstawowych cech protokołu SSL obejmuje:
•
prywatność (poufność przesyłanych informacji) - połączenie jest szyfrowane
•
autoryzację - serwer (i opcjonalnie klient) określa swoją tożsamość za pomocą
certyfikatów.
•
integralność przesyłanych danych - przez sumy kontrolne
Od drugiej wersji SSL weryfikuje procedurę negocjacyjną, od trzeciej potrafi
sprawdzać tożsamość użytkownika także od strony klienta.
6.8.2.
Protokół TLS
TLS to protokół powstały w wyniku prac IETF następca SSL (protokół zabezpieczania i
uwierzytelniania komunikacji w sieci za pomocą szyfrowania), można o nim myśleć jako o
"SSL Plus". Jest standardem, który ma w zamierzeniu zastąpić SSL, na którym jest
wzorowany, wspiera go większość współczesnych przeglądarek. SSL i TLS nie zapewniają
70
wzajemnej współpracy, choć TLS zawiera mechanizm pozwalający zastosować
implementację TLS do SSL 3.0. Protokół jest zaprojektowany tak by był niezależny od
aplikacji, więc programiści aplikacji lub implementacji w wyższych protokołach mogą sami
wybrać najlepszy sposób na inicjowanie połączenia (TLS handshaking) i odczytywanie
certyfikatów uwierzytelniających. Kiedy serwer i klient porozumiewają się, TLS upewnia się,
czy nikt postronny nie może podsłuchiwać lub podmieniać żadnych wiadomości, które
przechodzą między nimi. Podobnie jak SSL, TLS funkcjonuje w oparciu o moduły. Autorzy
zaprojektowali go tak, żeby był rozszerzalny i wspierał przednią i wsteczną kompatybilność
oraz negocjację pomiędzy uczestnikami.
6.8.3.
Protokół SASL (Simple Authentication and Security Layer)
SASL zaczyna działanie w momencie, kiedy protokół inicjuje polecenie identyfikacji i
uwierzytelnienia użytkownika wobec serwera. SASL także zawiera opcję negocjowania
ochrony późniejszych interakcji protokołu - dzięki temu SASL umieszcza powłokę
bezpieczeństwa pomiędzy warstwą protokołu a połączeniem. Oddziela mechanizmy
uwierzytelniania od protokołów aplikacji. SASL tylko zabezpiecza uwierzytelnienie - jeśli
potrzebne jest szyfrowanie potrzebny jest inny mechanizm (np. TLS); SASL zapewnia środki
do negocjacji użycia takich mechanizmów. Oprócz XMPP protokołami, które używają SASL
są: IMAP, LDAP, POP.
6.8.4.
Mechanizm PGP (Pretty Good Privacy)
PGP jest jednym z najpopularniejszych narzędzi do szyfrowania danych. Po określeniu
standardu w postaci OpenPGP powstała dodatkowo jego niezależna implementacja pod
nazwą GNU Privacy Guard (GPG).
PGP pozwala szyfrować i deszyfrować przesyłane wiadomości oraz weryfikować
autentyczność nadawcy (pod warunkiem, że ten także korzysta z PGP) i zarządzać kluczami.
Weryfikacja kluczy opiera się o sieć zaufania (web of trust). Na dzień dzisiejszy istnieje wiele
nakładek na PGP. Dostępnych jest wiele komunikatorów, które zawierają wtyczki służące do
współpracy z PGP.
71
7. Przegląd aplikacji klienckich i serwerów Jabber/XMPP
7.1. Serwery Jabber/XMPP
Od momentu powstania protokołu Jabber/XMPP powstało wiele programów dla
różnych platform systemowych pełniących funkcje serwerów. Poniżej przedstawiono spis
oraz krótką charakterystykę serwerów Jabber/XMPP.
Tabl. 10. Charakterystyka serwerów Jabber/XMPP (źródło: www.jabber.org)
Serwery
Funkcjonalności( w
skali procentowej)
Licencja
Antepo OPN
86%
Płatna
ejabberd
83%
Darmowa
Jabber XCP
93%
Płatna
jabberd 1.x
45%
Darmowa
jabberd 2.x
76%
Darmowa
Merak
66%
Płatna
OpenIM
48%
Darmowa
psycMUVE
47%
Darmowa
SoapBox Server
Sun Java System
Instant Messaging
TIMP.NET
78%
Płatna
67%
Płatna
76%
Płatna
Jive Messenger
90%
Darmowa
WPJabber
xmppd.py
48%
21%
Darmowa
Darmowa
Platformy
AIX, HP-UX, Linux,
Solaris, Windows
AIX, *BSD, HP-UX,
Linux, MacOS X,
Solaris, Windows
Linux, Solaris,
Windows
AIX, *BSD, HP-UX,
Linux, MacOS X,
Solaris, Windows
AIX, *BSD, HP-UX,
Linux, MacOS X,
Solaris, Windows
Windows
AIX, HP-UX, Linux,
MacOS X, Solaris,
Windows
AIX, *BSD, HP-UX,
Linux, MacOS X,
Solaris, Windows
Windows
HP-UX, Linux,
Solaris, Windows
Windows
AIX, HP-UX, Linux,
MacOS X, Solaris,
Windows
Linux, Solaria
Linux
W celu wybrania najbardziej kompletnego serwera sieci Jabber lub XMPP dokonano
instalacji oraz przetestowano pod kątem funkcjonalności oraz niezawodności trzy serwery:
Jive Messenger, Ejabberd oraz Jabber 1.4. Serwery Ejabberd oraz Jabber 1.4 opierające się na
protokole Jabber wspierają także protokół XMPP. Serwery te nie wykazują jednak zbyt dużej
funkcjonalności związanej z narzędziami administratorskimi, co znacznie utrudnia zadanie
72
administrowania serwerem. Serwer Jabber 1.4 może być konfigurowany jedynie z poziomu
konsoli, za pomocą generowania kodu XML. Serwer Ejabberd udostępnia konsolę
administracyjną jednak nie daje ona zbyt wiele możliwości administratorskich. Dla celów
wdrożeniowych został wybrany serwer oparty w pełni na protokole XMPP, uruchamiany na
platformie Java - Jive Messenger. Zaletami serwera Jive Messenger, które zadecydowały o
wyborze serwera dla implementacji praktycznej są:
•
zapewnienie
przez
serwer
odpowiedniego
poziomu
gwarantowanego przez udoskonalony protokół XMMP.
bezpieczeństwa
•
łatwość administracji – interfejs graficzny z poziomu przeglądarki internetowej.
•
wysoka stabilność serwera
•
możliwość rozbudowy funkcjonalności serwera w oparciu o bibliotekę Smack.
•
szybko postępujący rozwój nowych wersji programu Jive Messenger.
Poniżej przedstawiono wykaz szczegółowych cech porównujących serwery: Jive
Messenger, Ejabberd oraz Jabber 1.4.
Tabl. 11. Porównanie serwerów Jive Messenger, Jabber 1.4 oraz Ejabberd
Cechy
System operacyjny
Jive Messenger
Każda platforma
systemowa z
javą w wersji 1.5
lub wyższej.
Licencja
Łatwość
używania/instalacji
Darmowa
Łatwa instalacja
na wielu
platformach
systemowych,
aplikacja działa
jako serwis w
windowsach lub
demon w
systemach
unixowych
Pakiety
instalacyjne dla
systemów
operacyjnych.
Windows
2000/2003/XP,
RedHat i inne
systemy Uniks.
Stabilność
Wysoka, prace
nad poprawą
kodu trwają od
Ejabberd
Wszystkie systemy
wspierające Erlang
(systemy
Uniksowe,Windows,
Mac OS X).
Darmowa
Instalacja możliwa
poprzez użycie
programów do
instalacji, instalacja ze
źródeł wymaga
zainstalowania
programu Erlang,
aplikacja działa jako
serwis w windowsach
lub demon w
systemach unixowych
Instalacje w postaci
plików z
rozszerzeniem „bin”
dla systemów
windowsowych i
uniksowych.
Wysoka , prace nad
stabilnością kodu
trwają kilka lat.
73
Jabber 1.4
Różne systemy
unikowych.
Darmowa
Instalacja na systemach
uniksowych wymaga
zainstalowania wcześniej
pakietów libpth, libidn
oraz expat.
Pliki instalacyjne dla
systemów: Debian,
Gentoo, Redhat,
Mandrake, OpenBSD,
Solaris 2.6, Solaris 7,
Solaris 8,
Windows2000/2003/XP,
Windows/Cygwin
Wysoka, potwierdzona
stabilną pracą kilku
dużych serwerów.
Cechy
Narzędzia
dodatkowe
Narzędzia
administracyjne
Szyfrowanie
połączenia między
klientem a
serwerem
Szyfrowanie
połączenia między
serwerami
Dodawanie
komponentów
wyjściowychtransportów
Współpraca z bazą
danych
Dzielenie rosterów
w grupach
Obsługa protokołu
IPv6
Rozwój
Jive Messenger
kilku lat.
Biblioteka
kliencka
„Smack”
rozwijana przez
twórców Jive.
Konsola
administracyjna
dostępna poprzez
www.
Możliwe
szyfrowanie z
użyciem
protokołów
SASL, TLS, SSL
Możliwe
szyfrowanie z
użyciem
protokołów TLS
i SASL
Możliwe
Ejabberd
Jabber 1.4
Dodatkowe narzędzia
„ejabberdctl”
Brak
Interfejs dostępny
poprzez www lub
zarządzanie z lini
komend
Możliwe szyfrowanie
z użyciem protokołów
SASL, STARTLS,
SSL.
Konfiguracja serwera za
pomocą pliku jabber.xml
Możliwe szyfrowanie
z użyciem protokołów
STARTLS i SASL
Możliwe szyfrowanie z
użyciem protokołów
STARTLS i SASL
Możliwe
Możliwe
Możliwość
korzystania z
wewnętrznej lub
zewnętrznej bazy
danych, obsługa
baz –MySQL,
PostgresSQL,
Oracle, SQL
Server, DB2,
Berkeley DB
Możliwe
Wsparcie dla baz
danych: MySQL,
Postgresql
Wsparcie dla baz danych:
MySQL, Postgresql,
Oracle, file, LDAP.
możliwe
nie możliwe
Możliwa
możliwa
możliwa
Aktywny, nowe
udoskonalenia,
naprawa błędów
poprzednich
wersji.
Aktywny, nowe
udoskonalenia,
naprawa błędów
poprzednich wersji.
Aktywny, nowe
udoskonalenia.
74
Możliwe szyfrowanie z
użyciem protokołów
SASL, STARTLS.
7.2. Programy klienckie Jabber/XMPP
Wybór programu pełniącego rolę klienta systemu IM jest istotną kwestią z punktu
widzenia użytkownika. Oprogramowanie klienckie powinno być jak najbardziej kompatybilne
z zainstalowanym serwerem. Osiągnięcie wysokiej kompatybilności daje możliwość
wykorzystania wszystkich opcji, które dostarcza serwer. Oznacza to, że dobre
oprogramowanie klienckie powinno mieć w swoich opcjach wszystkie opcje, które realizuje
serwer i ewentualnie dodawać nowe. Nie mniej ważną cechą, jaką powinien odznaczać się
program kliencki jest wysoka stabilność, niezawodność oraz szybkość działania. Z punktu
widzenia użytkownika istotne jest również, aby program posiadał przyjazdny i intuicyjny
interfejs użytkownika.
Jednym z kryteriów projektowych systemu Jabbera jest to, że musi być w stanie
wspierać proste programy klienckie. I rzeczywiście architektura Jabbera wymusza bardzo
mało wymagań wobec klienta. Klient powinien:
•
Komunikować się z serwerem Jabbera przez gniazdo TCP.
•
Rozumieć i interpretować poprawnie sformowane fragmenty kodu XML w
strumieniu XML.
•
Rozumieć podstawowe typy danych Jabbera (wiadomość, status i iq).
Cechą charakterystyczną serwerów Jabbera jest przesunięcie ciężaru wykonywanych
zadań z klienta na serwer. Jeśli tylko jakiś proces może być wykonany po stronie serwera, tak
się dzieje. Znacznie to upraszcza zarówno tworzenie oprogramowania klienckiego
(świadectwem tego jest duża rozmaitość klientów Jabbera) jak i uaktualnianie czy
zwiększanie funkcjonalności systemu (bez zmuszania użytkowników do instalowania nowych
klientów, czy wtyczek). Na dodatek wiele funkcji niskiego poziomu realizowanych po stronie
klienta (np rozumienie XML i kluczowych typów danych) jest zaimplementowne w
standardowych bibliotekach, co umożliwia deweloperom skoncentrowanie się na interfejsie
użytkownika.
Aby wybrać najlepszego klienta przetestowano kilka najpopularniejszych programów.
Nie udało się niestety znaleźć „idealnego” oprogramowania, które łaczyłoby wszystkie
pożądane funkcjonalności. Wynika to z faktu, że większość klientów poza podstawową
funkcjonalnością Jabber/XMPP posiada własne funkcjonalności, np.: możliwość logowania
się na kilka kont jednocześnie lub logowania się do innych sieci IM (jak Gadu-Gadu),
współdzielenie aplikacji, polskojęzyczny interfejs itp. Przeprowadzone testy wykazały, iż w
zakresie współpracy z serwerem XMPP zainstalowanym w IŁ godnym polecenia klientem
jest Psi. Jednak nie rekomenduje się jednoznacznie tego klienta, gdyż w przypadkach
poszczególnych użytkowników mogą być różne preferencje w zakresie dodatkowych
funkcjonalności. Charakterystyka najpopularniejszych komunikatorów przedstawiona została
w dalszej części.
7.3. Przegląd wybranych, testowanych klientów jabber/XMPP
7.3.1. Psi
Prosty w obsłudze, za to o ogromnych możliwościach program kliencki Jabbera,
obsługuje wiele kont jednocześnie, umożliwia dostęp poprzez bramki na serwerach do sieci
Gadu-Gadu, ICQ, AIM, MSN, Tlen, posiada polską wersję językową oraz opcję zalogowania
jednocześnie na wiele kont. Psi pozwala też na przesyłanie plików zgodnie ze standardem
75
Jabbera, oferuje możliwość eksportowania historii w postaci zwykłego tekstu, obsługi
konferencji, zawiera również wsparcie dla szyfrowania SSL oraz OpenPGP.
Jest najpopularniejszym klientem wśród średnio- i bardziej zaawansowanych
użytkowników i pierwszym, który oferował możliwość korzystania z wielu jego kont
jednocześnie. Umożliwia korzystanie z ikon symbolizujących sieć użytkownika, transfer
plików oraz szyfrowanie PGP. Dla Psi charakterystyczne jest to, że jest w ścisłym tego słowa
znaczeniu klientem Jabbera - używa tylko standardowych właściwości protokołu. Licencja
programu jest darmowa
•
zalety:
o elastyczny interfejs użytkownika,
o możliwość korzystania z wielu kont Jabbera naraz,
o możliwość uruchomienia na wielu platformach (m.in. Windows, Linux,
MacOS X),
o polska wersja językowa,
o szyfrowanie SSL oraz PGP,
o zgodny ze standardem transfer plików,
•
wady:
o może być zbyt trudny w konfiguracji dla początkujących użytkowników
o brak listy zablokowanych kontaktów (blacklisty),
o brak statusów opisowych na liście kontaktów (są dodatki, które
udostępniają taką możliwość: Psi-psz, customized Psi Jabber Client).
Program był testowany z serwerem Jive Messenger. Charakteryzował się dużą
stabilnością, kompatybilnością na poziomie przesyłania plików z innymi programami
klienckimi. Jest bardzo funkcjonalny, posiada wiele opcji dla zaawansowanych
użytkowników a ponadto charakteryzuje się przyjemnym i intuicyjnym interfejsem
użytkownika. Generalnie jednak Psi jest programem, który może pełnić funkcje komunikatora
w IŁ.
76
Rys. 23.Wygląd komunikatora Psi w systemie Windows
7.3.2. Miranda IM
Miranda to multikomunikator internetowy dla systemów Microsoft Windows, oparty na
darmowej licencji. Charakterystyczną cechą Mirandy jest obsługa wtyczek rozszerzających
funkcjonalność programu oraz bardzo niewielkie wymagania systemowe. Miranda oferuje
rozmowy w trybie tekstowym (także między kilkoma osobami) i przesyłanie plików. Bardzo
rozbudowane są opcje konfiguracyjne programu.
Miranda IM zyskała popularność u osób, których wymagania ograniczają się do
prostych funkcji, przede wszystkim bezpośredniej rozmowy w trybie tekstowym, i nie
potrzebują rozbudowanych narzędzi do rozmów głosowych i wideokonferencji, które
znacznie obciążają system. Z drugiej strony jej niezaprzeczalnym atutem jest
konfigurowalność i duża ilość dostępnych rozszerzeń, które mogą sprawić, że już nie będzie
taka lekka. Użytkownik dostaje szansę balansowania pomiędzy prostotą, stabilnością i
funkcjonalnością Sama Miranda funkcjonuje dopiero poprzez wtyczki łączące ją z serwerami
różnych protokołów.
Miranda jest komunikatorem, który również był podobnie jak Psi testowany pod kątem
stabilności i niezawodności. Aplikacja ta została nazwana multikomunikatorem, dlatego
umożliwia jednoczesne używanie wielu kont zarejestrowanych w wielu sieciach IM – Yahoo,
AIM, ICQ, IRC, Gadu-Gadu. Głównymi wadami Mirandy był brak kompatybilności z innymi
komunikatorami na poziomie przesyłania plików. Brak reakcji programu na zmiany statusów
użytkowników serwera Jive Messenger. Mankamentem jest również konieczność instalacji
wielu wtyczek w celu osiągnięcia dużej funkcjonalności programu.
77
Rys. 24.Wygląd komunikatora Miranda w systemie Windows
7.3.3. Pandion
Pandion jest aplikacją prostą w konfiguracji i użyciu, którą można polecić wszystkim
początkującym użytkownikom. Automatycznie wyświetla ikony symbolizujące sieć
użytkownika na liście kontaktów oraz status opisowy. Oferuje także dodatkowe elementy
graficzne - awatary (ikony symbolizujące użytkownika) i różne zestawy emotikonów.
Licencja programu jest darmowa.
•
zalety:
o estetyczny interfejs użytkownika
o łatwa konfiguracja, oparta na kreatorach
o statusy opisowe na liście użytkowników
o polska wersja językowa
o szyfrowanie SSL
•
wady:
o wymaga Internet Explorera 5.5 lub 6.0
o niewiele możliwości konfiguracyjnych
o można korzystać z wielu kont Jabbera, ale tylko jednego naraz
78
Pandion to komunikator charakteryzujący się dużą stabilnością jednak jest mniej
funkcjonalny od Psi lub Mirandy. Ponadto dostępne są tylko wersje dla środowiska Windows,
co znacznie zmniejsza jego uniwersalność.
Rys. 25.Wygląd komunikatora Pandion w systemie Windows
7.3.4. JAJC
Jeden z najbardziej rozbudowanych komunikatorów Jabbera. Oferuje wiele opcji
konfiguracji oraz możliwość korzystania z wtyczek. Licencja programu jest darmowa.
•
zalety:
o przesyłanie plików (przy pomocy dodatkowej wtyczki)
o dużo opcji dla zaawansowanych użytkowników
o obsługa PGP i SSL
o wyszukiwanie uzytkowników
o polska wersja językowa
•
wady:
o można korzystać z wielu kont Jabbera, ale tylko z jednego naraz
o brak statusów opisowych na liście kontaktów
o zamknięty kod, wersja tylko dla Window
79
Rys. 26.Wygląd komunikatora JAJC w systemie Windows
80
7.3.5. Gaim
Gaim jest darmowym, wieloplatformowym komunikatorem internetowym. Aplikacja ta
umożliwia jednoczesne zalogowanie się do każdej z wielu dostępnych sieci IM. Gaim posiada
szereg funkcji i opcji dodatkowych, do których należą m.in. możliwość zmiany skórek oraz
stosowanie wtyczek
•
zalety
o metakontakty — możliwość ukrycia kilku adresów IM do danej osoby
pod pojedynczą ikonką (kontaktem),
o okienka rozmów mogą znajdować się w zakładkach,
o bezpośredni dostęp do GG, ICQ, MSN,
o informowanie o wprowadzaniu tekstu przez rozmówcę,
o przesyłanie plików,
o możliwość komunikacji VoIP za pomocą protokołu SIP (przy użyciu
odpowiedniej wtyczki).
W podobnie jak Miranda, również Gaim jest multikomunikatorem Pozwala na
prowadzenie rozmów w sieciach: AIM , ICQ, MSN Messenger, Yahoo, Jabber, IRC oraz w
Gadu-Gadu. Przeprowadzone testy wykazały, że komunikator ten jest kompatybilny na
poziomie przesyłania plików z innym komunikatorami (czego z kolei nie spełnia Miranda).
Rys. 27.Wygląd komunikatora Gaim w systemie Windows
81
7.3.6. Exodus
Exodus jest nowym programem klienckim Jabbera, rozwijanym jako następca bardzo
popularnego klienta Winjab. Jest mniejszy, szybszy, łatwiejszy w obsłudze oraz posiada
ładniejszy wygląd.
•
zalety
o polska wersja językowa,
o rozbudowana obsługa konferencji (MUC),
o wsparcie dla XMPP,
o bezpieczeństwo (obsługa certyfikatów SSL),
o mechanizm automatycznych uaktualnień,
o rozbudowany system zdarzeń,
o duże możliwości konfiguracyjne,
o przesyłanie kontaktów pomiędzy użytkownikami,
o ustandaryzowane przesyłanie plików.
Rys. 28.Wygląd komunikatora Exodus w systemie Windows
82
8. Wdrożenie testowej platformy IM w IŁ
Celem pracy było zainstalowanie systemu IM pełniącego rolę elementu systemu
telepracy. Komunikator Jive Messenger ma być częścią systemu telepracy w zakresie
Instytutów Łączności. System taki w założeniach powinien zapewniać pracownikom
pracującym w domu nawiązywanie zdalnych sesji z pracownikami w Instytucie. Oprócz tego
powinien być zapewniony odpowiedni poziom bezpieczeństwa. Rygorystyczne wymogi
związane z bezpieczeństwem serwera „voip.itl.waw.pl” sprawiają, że funkcjonalność serwera
Jive Messenger jest ograniczona. Serwer ten ma pełnić rolę serwera dla pracowników firmy,
w którym dostępne będą podstawowe usługi takie jak np. wyszukiwanie użytkowników czy
konferencja. Dodatkowe usługi świadczone przez serwer będą związane z dostarczaniem
różnych informacji zawartych w bazie danych Instytutu Łączności.
Rys. 29.Poglądowa architektura elementu systemu telepracy - sieć protokołu
XMPP
8.1. Administracja serwera
Administracją serwerem XMPP – Jive Messenger, stanowiącego element całego
systemu telepracy, będzie zajmował się ośrodek OI. Administratorzy zobowiązani będą do
instalacji oprogramowania klienckiego, zakładania nowych kont użytkowników,
przydzielania użytkowników do grup a także powiadamiania użytkowników o istniejących
awariach systemu. Do zadań administratorskich należy również aktualizacja oprogramowania,
co w przypadku ciągłego rozwoju funkcjonalności serwerów XMPP jest ważną kwestią.
8.2. Zapewnienie bezpieczeństwa serwera
Zapewnienie bezpieczeństwa jest najważniejszą kwestią w realizacji systemu IM w
firmach niezależnie od przyjętego protokołu komunikacji. Serwer XMPP w firmie powinien
posiadać zabezpieczenia związane z atakami z zewnątrz jak również umożliwiać bezpieczną
pracę wewnątrz sieci LAN. W celu zabezpieczenia serwera XMPP – Jive Messenger zostały
podjęte następujące działania:
83
•
wyłączenie komunikacji międzyserwerowej (Jabber/XMPP) poprzez zablokowanie
portu TCP 5269. Działanie to ograniczy w znaczący sposób możliwości serwera,
jednak ograniczy w znacznym stopniu niebezpieczeństwo związane z atakami z
zewnątrz,
•
zapewnienie bezpieczeństwa komunikacji wewnątrz sieci poprzez zastosowanie
mechanizmów uwierzytelniania oraz użycie do komunikacji szyfrowanego
protokołu SSL lub TLS działającego standardowo na porcie TCP 5223. Serwer
wspiera oba protokoły szyfrowania, więc o wybór danego protokołu będzie
dokonywany po wstępnej negocjacji z programem klienckim. W celu uniknięcia
realizacji połączeń nieszyfrowanych port TCP- 5222 został zablokowany,
•
wyłączenie możliwości rejestracji nowych kont dla niezidentyfikowanych
użytkowników z zewnątrz. Rejestracja nowych kont dla będzie dokonywana przez
działania administratora,
•
zablokowanie portów do komunikacji z serwerami innych sieci IM,
•
wzbogacenie mechanizmów
szyfrowanego protokółu SASL.
uwierzytelniania
realizowane
za
pomocą
8.3. Możliwości Konsoli administracyjnej
8.3.1. Import użytkowników
Jedną z głównych istotnych cech serwera XMPP jest możliwość współpracy z bazami
danych. Jive Messenger jest w stanie współpracować z bazami danych: Mysql, Oracle,
PostgreSQL, Microsoft SQLServer, IBM DB2 oraz HSQLDB. Wybór bazy danych, z którą
można współpracować zostaje dokonany w fazie konfiguracji serwera. Możliwe jest więc
korzystanie z bazy danych z Instytutowej bazy danych - Oracle na serwerze Halicz. Serwer
Jive Messenger tworzy w bazie danych własne tabele, w których umieszcza różne dane,
między innymi dotyczące użytkowników serwera. Łatwy jest wówczas import pracowników
IŁ jako użytkowników serwera Jive Messenger, który dokonuje się generując odpowiednie
zapytanie w celu zapisania danych do konkretnej tabeli w bazie danych serwera.
Jive Messenger umożliwia również oprócz klasycznych „ręcznych” metod dodawania
użytkowników export oraz import danych z plików. Możliwy jest np. import listy
użytkowników, jeżeli dane te są w formacie XML.
8.3.2. Dodawanie użytkowników
Konsola administracyjna umożliwia ręczne tworzenie użytkownika. W celu stworzenia
nowego użytkownika należy podać nazwę użytkownika – pierwszy człon JUD oraz hasło.
Pola opcjonalne to dodatkowa nazwa użytkownika oraz adres email.
84
Rys. 30.Konsola administracyjna serwera Jive Messenger
8.3.3. Tworzenie grup użytkowników
Tworzenie grup użytkowników jest użyteczną opcją dla serwera Jabber/XMPP
szczególnie, jeżeli mamy do czynienia z serwerem w firmie podzielonej na wiele jednostek.
W naszym przypadku mamy do czynienia Instytutem Łączności podzielonym dodatkowo na
zakłady. Administrator serwera z poziomu konsoli w łatwy sposób może przyporządkować
użytkowników do grup. Grupą użytkowników z punktu widzenia serwera mogą być zakłady
pracowników IŁ. Użytkownik korzystający z odpowiedniego programu klienckiego jest w
stanie śledzić aktywnych użytkowników zlokalizowanych w odpowiednich grupach, jeżeli
tylko dany program umożliwia dzielenie list użytkowników (tzw. rosterów) w grupach.
Rys. 31. Konsola administracyjna-opcje tworzenia użytkowników i grup
85
8.3.4. Wyszukiwanie użytkowników
Jive Messenger umożliwia wyszukiwanie zarejestrowanych użytkowników. Nowo
zarejestrowany użytkownik może wyszukiwać innych użytkowników z poziomu programu
klienckiego. Jako klucze wyszukiwania możliwe są: „username”, „name” oraz adres e-mail.
8.3.5. Tworzenie konferencji
Konferencja jest sesją nawiązywaną między wieloma użytkownikami. W serwerze Jive
Messenger zrealizowana jest usługa o nazwie „conference.voip.itl.waw.pl”. Działa to
podobnie jak wyszukiwanie użytkowników, jednak w przypadku wyszukiwania
użytkowników korzysta się z usługi „serach.voip.itl.waw.pl”. W przypadku tworzenia
konferencji administrator również podejmuje decyzje czy umożliwić dowolnemu użytkowi
tworzenie nowych konferencji, czy też tworzyć te konferencje ograniczyć to prawo
użytkownikom. W tym drugim przypadku administrator sam tworzy pokoje konferencyjne, do
których przypisuje konkretnych użytkowników. Po dokonaniu importu wszystkich
użytkowników Instytutu Łączności i utworzeniu grup możliwe jest np. utworzenie przez
administratora pokojów konferencyjnych odpowiadających tym grupom oraz pokoju
konferencyjnego, do którego należą wszyscy użytkownicy.
8.3.6. Wiadomości „offline”
Serwer umożliwia przechowywanie wiadomości kierowanych do użytkownika, który w
danej chwili jest niezalogowany. Możliwe jest zostawienie na serwerze wiadomości
tekstowych lub plików nie przekraczających pewnej określonej przez administratora
wielkości. Aktualnie ustawiona wielkość wynosi 100MB.
8.3.7. Filtracja wiadomości
Opcja filtracji wiadomości polega na analizie wiadomości pod kątem określonych
wzorców. Jeżeli dana wiadomość zgadza się z wpisanym wzorcem może być odrzucona lub
zamaskowana. Użytkownik, który nadał taką wiadomość zostanie powiadomiony o jej
odrzuceniu. Za pomocą tej opcji możliwe jest odrzucanie wiadomości, w których występują
np. wulgaryzmy.
8.3.8. Instalacja komponentów zewnętrznych
Jive Messenger umożliwia opcje dodawania zewnętrznych komponentów. W pierwszej
kolejności należy zainstalować oraz uruchomić dany komponent na serwerze. Po tym
administrator może rejestrować nowy komponent w celu dodania nowego serwisu do serwera.
Na serwerze Jive Messenger dokonano instalacji komponentu świadczącego usługi transportu
wiadomości do użytkowników z sieci GG. Dla celów bezpieczeństwa postanowiono jednak
zrezygnować z komunikacji z serwerem GG, dlatego transport użytkowników tą drogą nie jest
możliwy.
86
Rys. 32. Konsola administracyjna-opcje tworzenia użytkowników i grup
8.4. Książka telefoniczna
Przykładową usługą realizowaną przez serwer Jive Messenger jest książka telefoniczna.
Dzięki tej usłudze pracownik może zasięgnąć wiadomości na temat podstawowych danych
dotyczących innych pracowników IŁ. Dane dotyczące pracowników znajdują są pobierane za
pośrednictwem serwera z bazy danych IŁ. Komunikacja z bazą danych odbywa się z poziomu
platformy Java za pośrednictwem sterownika JDBC jako Thin Driver) z prawami
ograniczonymi jedynie do czytania z bazy danych.
Rys. 33.Schemat przykładowej usługi na serwerze XMPP – książka telefoniczna
Aby skorzystać z usługi – książka telefoniczna za pośrednictwem serwera Jive
Messenger należy:
•
posiadać zainstalowany program kliencki serwera XMPP oraz konto na
serwerze voip.itl.waw.pl.
•
zalogować się w sieci XMPP oraz nawiązać sesję z ciągle dostępnym klientem o
nazwie książka_telefoniczna.
87
•
wprowadzić tekst wiadomości o treści nazwiska dowolnej osoby (pracownika
Instytutu); w odpowiedzi książka_telefoniczna prześle jego dane lub dane kilku
osób w zależności od otrzymanego wzorca (rysunki demonstrujące zasady
stosowania zamieszczono poniżej).
Rys. 34. Wprowadzenie zapytania do ksiązki telefonicznej
Rys. 35. Odpowiedź systemu na wprowadzone zapytanie
8.5. Możliwości rozbudowy systemu
Możliwości rozbudowy funkcji serwera komunikacyjnego Jive Messenger są bardzo
duże. Umożliwia to biblioteka zrealizowana przez twórców serwera -„Smack”. Biblioteka ta
dostępna jest w postaci trzech archiwów Javy – smack.jar, smackx.jar, smack-debug.jar.
Archiwa te udostępniają wiele użytecznych i niezbędnych klas służących do współpracy z
serwerem. Dzięki temu możliwa jest realizacja programu w Javie, który z jednej strony
posiada pełną współpracę z serwerem, zaś z drugiej strony odwołuje się do serwerów baz
danych lub do serwerów pocztowych. Możliwa jest dzięki temu realizacja prostych usług
polegających na dostarczaniu użytkownikowi podstawowych informacji dotyczących kwestii
88
związanych z miejscem pracy. Rozbudowa funkcjonalności serwera IM w Instytucie
Łączności może być oparta na realizacji nowych użytkowników odpowiedzialnych za
dostarczanie takich informacji. Oprócz opracowanej już książki telefonicznej mogą być
jeszcze:
•
pobieranie plików (np. formularzy wniosków o prace statutowe lub innych).
•
powiadamianie o przychodzącej poczcie elektronicznej
•
przypomnienia o określonych wcześniej terminach (np. umówione spotkania,
badania lekarskie i inne)
•
opracowanie
słownika
polsko-angielskiego,
(ogólnodostępnego dla pracowników IŁ)
angielsko
–
polskiego
Pierwsze dwie usługi będą polegać na nawiązaniu sesji z określonymi klientami i
odpytywaniu ich. Ci natomiast informacje te otrzymują z bazy danych dostępnej dla nich.
Przypomnienia polegają na przekazywaniu informacji do użytkownika bez jego ingerencji. W
momencie, gdy użytkownik nie jest dostępny powinien dostawać informacje „offline”.
Przypomnienia te mogą być kierowane do wszystkich użytkowników serwera lub do
użytkowników, których te informacje dotyczą – (np. grup czyli zakładów Instytutu
Łączności). Przypomnienie jest generowane wówczas, gdy użytkownik odpowiadający za
dostarczenie tych wiadomości zarejestruje nowe informacje w bazie danych.
8.6. Podsumowanie
W ramach instalacji komunikatora działającego dla Instytutu Łączności dokonano
testów wielu serwerów i klientów sieci XMPP. Wybrany i zainstalowany serwer protokołu
XMPP spełnia wymagania pod względem funkcjonalności i bezpieczeństwa. Serwer ten
dobrze współpracuje z większością klientów Jabber/XMPP, przy czym rekomenduje się
stosowanie klienta Psi. W celu zwiększenia funkcjonalności serwera przedstawiono również
propozycję integracji różnych usług dla serwera w oparciu o bibliotekę Javy. Implementacja
sieci XMPP w IŁ jest uzupełnieniem dla tradycyjnej poczty elektronicznej. Może także w
dużym stopniu udostępniać informacje zamieszczone w Intranecie.
89
Załącznik A
Dokumentacja techniczna projektu platformy telepracy
1. Architektura platformy
Docelowa platforma telepracy ma na celu udostępnienie usług komunikacyjnych
użytkownikom znajdującym się zarówno w oddziałach IŁ (w Warszawie, Wrocławiu i
Gdańsku), jak również uprawnionym pracownikom Instytutu, którzy znajdują się poza
wymienionymi lokalizacjami (tzw. zdalne stanowiska pracy).
Zdalne
stanowisko
pracy
Gdańsk
Router
Warszawa
Firewall
Koncentrator VPN
Router
Firewall
Router z funkcją
bramy VoIP
PBX
Łącze
ISDN PRI
INTERNET
Wrocław
Firewall
Router z
funkcją
bramy VoIP
Łącze
2 x ISDN BRI
Zdalne
stanowisko
pracy
Serwer VoIP
(Asterisk)
PBX
Serwer Jabber
(Jive)
Serwer pocztowy
Rysunek 1. Docelowa platforma telepracy w Instytucie Łączności
2. Urządzenia sieciowe i mechanizmy bezpieczeństwa
Dodatkowe urządzenia sieciowe przewidziane w projekcie to dwa routery stanowiące
jednocześnie bramy VoIP. Specyfikacja techniczna tych urządzeń została zamieszczona
poniżej.
Do zapewniania bezpieczeństwa wymiany danych pomiędzy serwerami oraz
oprogramowaniem klienckim wykorzystano kanały VPN. Po stronie lokalizacji warszawskiej
są one terminowane w koncentratorze, VPN który jest realizowany przez Firewall’a (Checz
Point NG). Po stronie klienckiej, tj. we Wrocławiu oraz Gdańsku, gdzie wykorzystywane są
również do tego celu Firewall’e, funkcje te realizują urządzenia Check Point VPN-1 Edge. W
przypadku wykorzystywania dostępu do platformy ze stanowisk zdalnych nie można zakładać
stosowania Firewall’a (nawet programowego), więc dostęp za pośrednictwem tuneli VPN
będzie możliwy po zainstalowaniu oprogramowania klienckiego VPN.
90
Zakłada się, że dostęp do sieci transmisji danych będzie zapewniany w poszczególnych
lokalizacjach na podstawie obowiązujących umów o świadczenie tego typu usług. Typy łączy
dostępowych w poszczególnych lokalizacjach:
•
łącze radiowe oraz backup SHDSL (Warszawa),
•
ADSL (Wrocław),
•
Ethernet do routera zarządzanego przez TASK (Gdańsk).
W celu zapewnienia jednolitej funkcjonalności sieci oraz jednolitości interfejsu
użytkownika na stacjach roboczych do monitorowania sieci została w każdej lokalizacji
została zastosowana jednolita platforma sprzętowa.
3. Zastosowane rozwiązania sprzętowe
Implementacja platformy telepracy wymaga umieszczenia w sieci informatycznej IŁ
bram VoIP, których zadaniem jest konwersja sygnału mowy oraz sygnalizacji. W tym celu
dołączono do sieci i skonfigurowano routery wyposażone w funkcje bram VoIP. W oddziale
warszawskim zastosowano router Cisco 2811, zaś w oddziale wrocławskim router Cisco
2801. W oddziale gdańskim w zależności od przyjętej opcji zastosowany zostanie podobny
router (Cisco 2801) lub telefon każdego z użytkowników zostanie dołączony do bramki VoIP,
których opisy zamieszczono w pracy. Wyposażenie sprzętowe omawianych routerów
przedstawiono w tabeli.
Tabl. 12. Specyfikacja wyposażenia routerów z funkjcą bramy VoIP
Cisco 2801
Router 2800, 2x FE, 2x ISDN BRI WIC, 1x PVDM,
Cisco 2811
Router 2800, 2x FE, 2x E1 WIC, 2x PVDM
Routery z funkcją bram VoiP zostaną umieszczone w podsieci IL wykorzystującej
translację adresów NAT. Adresy urządzeń będą pochodziły z puli adresów prywatnych
przewidzianych dla podsieci IŁ zgodnie z regulaminem sieci komputerowej IŁ. Za przydział
adresów jest odpowiedzialny administrator sieci IŁ.
4. Konfiguracja serwerów
4.1. Konfiguracja serwera VoIP (Asterisk)
Obok istniejących serwerów pocztowych do wdrożenia przewidziano serwery VoIP
oraz Jabber. Konfiguracja obu serwerów została przedstawiona poniżej.
•
Serwer Asterisk (platforma sprzętowa: Dell Opti Plex GX1M Intel Pentium III,
450MHz, 256MB RAM, 80GB HD)
•
System operacyjny: Fedora Core 3.0,
•
Asterisk (wersja. 1.0.9),
Schemat połączeń definiuje, w jaki sposób mogą komunikować się poszczególne
kanały, Docelowa platforma będzie wykorzystywać dwa typy kanałów do realizacji połączeń
głosowych, tj. SIP oraz IAX. Ustawienia konfiguracyjne dl tych kanałów są umieszczone
zatem odpowiednio w plikach: sip.conf oraz iax.conf. Poniżej znajdują się ustawienia dla
kanału SIP (sekcja [general] opisująca ogólne parametry kanału oraz przykładowa sekcja dla
wybranego abonenta [101]).
91
;
; SIP Configuration for Asterisk
;
[general]
context=itl
recordhistory=yes
;realm=mydomain.tld
port=5060
bindaddr=0.0.0.0
srvlookup=yes
tos=lowdelay
maxexpirey=360
defaultexpirey=120
videosupport=yes
disallow=all
allow=all
musicclass=default
rtptimeout=60
rtpholdtimeout=300
trustrpid=yes
[101]
; użytkownik VoIP
canreinvite=no
context=itl
type=friend
username=101
dtmfmode=info
fromuser=101
host=dynamic
secret=xxxx
amaflags=default
accountcode=101
; ... pozostali użytkownicy definiowani sa w jednakowy sposób (o ile nie posiadają
; większych uprawnień)
… analogicznie plik konfiguracyjny dla kanału IAX będzie miał następującą postać:
; Inter-Asterisk eXchange driver definition
;
[general]
bindport=4569
bindaddr=0.0.0.0
delayreject=yes
language=en
bandwidth=low
disallow=all
allow=all
jitterbuffer=yes
maxjitterbuffer=500
[201]
type=friend
host=dynamic
dtmfmode=info
secret=xxxx
context=itl
callerid="201" <201>
amaflags=default
accountcode=201
92
Z kolei plikiem konfiguracyjnym zawierającym reguły zestawiania połączeń jest plik
extensions.conf, gdzie (exten) jest numerem żądanego użytkownika. Zasady budowy
schematu połączeń zamieszczono w pracy, poniżej przedstawiono konstrukcję schematu do
wykorzystania w implementowanej platformie (nie zamieszczono wszystkich rozszerzeń a
jednie sposób budowy, który wpisuje się w zasady tworzenia numeracji opisane w kolejnym
punkcie).
[itl]
; kontekst przeznaczony do obsługi połączeń pomiędzy użytkownikami VoIP i PBX w IL
exten => _5XX,1,Dial(IAX2/${EXTEN},20,rt)
exten => _[1234678]XX,1,Dial(TRUNK_GW/${EXTEN},20,rt)
exten => _9XX.,1,Dial(TRUNK_GW/${EXTEN},20,rt)
4.2. Numeracja telefoniczna z wykorzystaniem dostępu do usług VoIP
Przewiduje się włączenie systemu VoIP w plan numeracji w następujący sposób:
•
wykorzystanie puli 99 numerów przeznaczonych do przypisania pracownikom
IŁ (łącznie we wszystkich oddziałach) na cele telepracy,
•
wykorzystanie jednego numeru dostępowego do systemu VoIP (na cele
ogólnodostępnego systemu IVR),
•
wykorzystanie ustalonych prefiksów do osiągnięcia docelowej lokalizacji (np.
wybierając w oddziale warszawskim numer 971XYZ, gdzie 971 to prefiks
oddziału wrocławskiego wywołanie kierowane jest poprzez system VoIP na
numer XYZ w oddziale wrocławskim),
•
osiąganie użytkowników VoIP z PBX będzie możliwe w ramach puli numerów
wydzielonej z zakresu obsługiwanego przez centralę Hicom w oddziale
warszawskim (numery rozpoczynające się na 5XY).
Osiąganie abonentów warszawskiej centrali PBX przez użytkowników VoIP (w sumie
99 użytkowników) jest realizowane przez wybranie trzycyfrowego numeru PBX. Połączenia
do abonentów w innych oddziałach wymagają wybrania uprzednio prefiksu docelowej
lokalizacji (odpowiednio 971- i 958-).
4.3. Konfiguracja serwera Jabber/XMPP (Jive)
Implementacja serwera Jabber/XMPP została oparta na serwerze Jive. Cechy
charakterystyczne implementacji:
•
platforma sprzętowa: Dell Opti Plex GX1M Intel Pentium III, 450MHz, 256MB
RAM, 80GB HD)
•
system operacyjny: Fedora Core 3.0,
•
serwer Jabber/XMPP Jive 2.3.0 wraz z następującą listą dodatkowych aplikacji
usługowych (plug-ins):
o Asterisk-IM (realizuje funkcje integracji serwera Jabber/XMPP z serwerem
Asterisk na poziomie wybranych zdarzeń w połączeniu zestawianym za
pomocą protokołu SIP),
93
o Broadcast (aplikacja realizująca funkcje wysyłania wiadomości w trybie
rozgłoszeniowym do wielu użytkowników),
o Content Filter (realizujący funkcje śledzenia przesyłanych wiadomości
tekstowych w poszukiwaniu określonych wzorców),
o Presence Service (aplikacja udostępniająca informację o dostępności
użytkowników serwera Jive za pomocą interfejsu HTTP),
o Registration (aplikacja realizująca funkcje wspomagające proces rejestracji
konta nowego użytkownika),
o Search (aplikacja realizująca funkcje wyszukiwania użytkowników
zarejestrowanych w danym serwerze),
o User Import Export (aplikacja wspomagająca importowanie oraz
eksportowanie danych użytkownika takich, jak np. rostery – listy
kontaktów).
5. Konfiguracja stacji roboczych
Wymagane jest zainstalowanie oprogramowania klienckiego do komunikacji za pomocą
serwera Jabber/XMPP oraz oprogramowania VoIP, jeśli użytkownik ma zamiar korzystać z
funkcji software’owego terminala VoIP. Należy jednak pamiętać, iż korzystanie z
software’owych terminali VoIP wymaga uzupełnienia zestawu komputerowego o mikrofon i
głośniki, bądź słuchawkę dołączaną za pośrednictwem portu USB do komputera
(rekomendowane rozwiązanie).
W odniesieniu do oprogramowania klienckiego Jabber/XMPP w pracy przedstawiono
charakterystykę wybranych rozwiązań oraz rekomendowane aplikacje. Wybór aplikacji jest
głównie uzależniony od systemu operacyjnego oraz wydajności platformy sprzętowej stacji
roboczej.
Zarówno w przypadku oprogramowania klienckiego VoIP jak Jabber/XMPP niezbędne
jest poprawne jego skonfigurowanie, do czego niezbędne są informacje uzyskane od
administratora sieci i opisujące nazwę konta i ustalone hasło, jak również parametry
logowania. (rodzaj protokołu, wykorzystanie połączenia szyfrowanego). Konfiguracja stacji
roboczych będzie zatem ograniczała się do poprawnego ustawienia parametrów i opcji
logowania w oprogramowaniu klienckim.
6. Serwis
Nadzór nad platformą telepracy sprawować będą wyznaczone osoby z OI. W przypadku
zauważenia przez użytkownika problemów, awarii lub nieprawidłowej pracy sieci,
użytkownik zgłasza ją telefonicznie, za pomocą faxu lub poczty elektronicznej do OI lub
administratora sieci lokalnej w danym oddziale IŁ, zgodnie z obowiązującymi zasadami.
O ile będzie to możliwe wszelkie zmiany konfiguracji urządzeń sieciowych tworzących
platformę telepracy (dotyczy to głównie zdalnych lokalizacji) dokonywane będą zdalnie.
Zmiany konfiguracji routerów objętych niniejszym projektem obejmują wszystkie działania
konieczne dla utrzymania poprawnej pracy platformy i obejmują np.:
•
konfigurację interfejsów dla celów dołączania do sieci LAN i WAN,
•
konfigurację adresacji IP zgodnie z ustalonymi przez Regulamin Sieci
Komputerowej IŁ zasadami.
94
9. Dokumenty odniesienia
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
RFC 3261 „Session Initiation Protocol”, 2002
RFC 3263 „SIP: Locating SIP Servers”; 2002
RFC 3264 „An Offer/Answer Model with the SDP”; 2002
RFC 2976 „SIP Info Method”; 2000
RFC 2709 (MGCP), RFC 3453
RFC 1889 RTP: A Transport Protocol for Real-Time Applications
RFC 3853
RFC 3920: Extensible Messaging and Presence Protocol (XMPP): Core, 2004
RFC 3921: Extensible Messaging and Presence Protocol (XMPP): Instant
Messaging and Presence, 2004
RFC 3922: Mapping the Extensible Messaging and Presence Protocol (XMPP) to
Common Presence and Instant Messaging (CPIM), 2004
RFC 3923: End-to-End Signing and Object Encryption for the Extensible
Messaging and Presence Protocol (XMPP), 2004
ITU-T Recommendation H.321 (1998), Adaptation of H.320 visual telephone
terminals to B-ISDN environments.
ITU-T Recommendation H.322 (1996), Visual telephone systems and terminal
equipment for local area networks which provide a guaranteed quality of
service.
ITU-T H.323
ITU-T Recommendation H.324 (1998), Terminal for low bit-rate multimedia
communication.
ITU-T Recommendation H.450.1 (1998), Generic functional protocol for the
support of supplementary services in H.323.
ITU-T Recommendation H.450.2 (1998), Call transfer supplementary service for
H.323.
ITU-T Recommendation H.450.4 (1999), Call hold supplementary service for
H.323.
10. Literatura
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
VoIPSEC. Studie zur Sicherheit von Voice over Internet Protocol, Bundesamt für
Sicherheit in der Informationstechnik 2005
NetWorld nr 10/2004 z października 2004
IT Baseline Protection Manual Standard Security Measures Version: October
2000
The SIP Express Router.An Open Source SIP Platform. Y. Rebahi, D. Sisalem, J.
Kuthan, A. Pelinescu-Oncicul, B. Iancu, J. Janak, D. C. Mierla
Sutton R. J. „Bezpieczeństwo telekomunikacji. Praktyka i zarządzanie”
Wydawnictwa Komunikacji i Łączności, Warszawa 2004
Materiały zamieszczone w witrynie http://www.asterisk.org/
Materiały zamieszczone w witrynie http://developer.berlios.de/projects/ser/
Materiały zamieszczone w witrynie http://www.sipfoundry.org/
95
Część 3
Metodyka testowania jakości transmisji głosu
w sieciach pakietowych
SPIS TREŚCI
1. Wprowadzenie ........................................................................................................................1
2. Subiektywne metody pomiaru jakości mowy.........................................................................3
3. Obiektywne metody pomiaru jakości mowy..........................................................................8
4. E-Model ..................................................................................................................................8
4.1 Struktura Modelu E.........................................................................................................10
4.2 Współczynnik jakości transmisji R ................................................................................11
5. Metodyka testowania jakości mowy ....................................................................................21
6. Podsumowanie......................................................................................................................29
Bibliografia...............................................................................................................................31
I
II
1. Wprowadzenie
We współczesnych systemach komunikacji elektronicznej, które w coraz większym
stopniu bazują na sieciach heterogenicznych stanowiących kombinacje klasycznych sieci z
komutacją kanałów z łączami z komutacją pakietów, istotnym zagadnieniem stała się jakość
świadczenia usług QoS w tym jakość usługi głosowej. Sieci pakietowe cechują inne zjawiska
związane z transmisją sygnałów w porównaniu z sieciami z komutacją łączy. Dość istotnym
czynnikiem obniżającym jakość mowy transmitowanej jest jej opóźnienie. W związku z tym
sieci pakietowe wymagają innego podejścia zarówno na etapie projektowania jak i w fazie
monitorowania jej parametrów. Innym istotnym czynnikiem wpływającym na jakość mowy w
sieciach pakietowych jest utrata pakietów i zmiana ich opóźnienia.
Międzynarodowa organizacja normalizacyjna ETSI [6] publikuje cztery klasy jakości
usług głosowych dla sieci heterogenicznych TIPHON (Telecommunications and Internet
Protocol Harmonization Over Networks).
1. KLASA NAJWYŻSZA (Best).
Jest to klasa oznaczająca możliwość dostarczenia usługi głosowej w sieciach pakietowych z jakością przewyższającą jakość świadczenia usługi głosowej za pośrednictwem klasycznej sieci z komutacją łączy PSTN (ang.Public Switched Telephone Network). Ta klasa jakości świadczenia usługi głosowej jest przewidywana
do uzyskania w systemach z kodekami szerokopasmowymi.
2. KLASA WYSOKA (High).
Jest to klasa oznaczająca możliwość dostarczenia usługi głosowej w sieci pakietowej z jakością zbliżoną do jakości świadczenia usługi głosowej w sieci PSTN.
3. KLASA ŚREDNIA (Medium).
Jest to klasa oznaczająca możliwość dostarczenia usługi głosowej z jakością zbliżoną do jakości świadczenia usług głosowych w sieciach telefonii ruchomej np. w
sieciach GSM, w których wykorzystano kodeki typu FR (ang.Full Rate). Tę klasę
jakości przewiduje się w tych sieciach, w których straty pakietów i opóźnienie sygnału mowy nie są czynnikami krytycznymi w utrzymaniu średniej klasy jakości
mowy i nie wymagają ścisłej kontroli.
4. KLASA NAJWYŻSZY WYSIŁEK (Best Effort).
Jest to klasa oznaczająca możliwość dostarczenia usługi głosowej pozbawionej
gwarancji co do poziomu jej jakości.
Kontrola jakości usługi głosowej realizowanej przez sieci heterogeniczne polega na
analizie różnych parametrów fizycznych opisujących transmisję sygnału mowy oraz analizie
jakości odbieranego sygnału mowy.
O jakości usługi głosowej świadczą następujące subiektywne wrażenia takie jak:
• identyfikacja mówcy,
• naturalność brzmienia głosu mówcy,
• wyrazistość
• stopień swobody wymiany myśli,
• częstość pytań zwrotnych,
• zrozumiałość przekazywanego tekstu,
• natężenie uwagi w trakcie rozmowy telefonicznej,
1
•
•
•
•
•
•
•
głośność odbieranej mowy,
zniekształcenia głosu rozmówcy,
zjawisko echa,
nieprawidłowy efekt lokalny w urządzeniach końcowych
opóźnienia mowy,
hałasy otoczenia po stronie nadawcy i odbiorcy maskujące treść rozmowy,
zakłócenia powstające w łączu (trzaski, przesłuchy, itd.).
Jakość mowy transmitowanej poprzez sieci heterogeniczne postrzegana przez użytkownika-słuchacza zależy od następujących czynników obiektywnych tj.:
• parametrów technicznych elementów tworzących sieć (terminale, łącza, systemy dostępowe, systemy komutacyjne, komutatory ATM, rutery itd.),
• konfiguracji łącza (rodzaje składników sieci, typu łącza, długości łącza),
• zjawisk towarzyszących transmisji głosu (tłumienie sygnałów mowy, efekt lokalny mówcy
i słuchacza, echo, czas transmisji, szumy, zniekształcenia związane z obróbką cyfrową sygnału mowy, przesłuch itp.),
• poziomu hałasu otoczenia po obu stronach łącza itp..
Jakość mowy transmitowanej poprzez sieci heterogeniczne zależy także od cech użytkowników sieci takich jak. właściwości artykulacyjne i percepcja słuchowa ludzi, sposób
trzymania mikrotelefonu/telefonu względem ust i ucha itd.
Do oszacowania jakości mowy stosuje się różne metody. Najogólniej można je podzielić na:
• metody subiektywne,
• metody obiektywne.
Metody subiektywne tj. z udziałem ludzi wydają się być najbardziej miarodajne, gdyż
to dla nich projektanci i producenci udoskonalają swoje systemy i produkty, a więc ich opinia
o jakości świadczonej usługi głosowej jest najważniejsza. Metody subiektywne jednak mają
szereg wad tj. czasochłonność (konieczność ustalania przerw pomiędzy badaniami), wysoki
koszt, zależność wyników badań od kondycji psychofizycznej uczestników testu oraz pozwalają na analizę wypadkowej jakości, nie dając możliwości zbadania wpływu poszczególnych
czynników na tę ogólna ocenę. Poza tym wyniki uzyskane metodami subiektywnymi zawierają więcej czynników względnych niż bezwzględnych i zachodzi potrzeba interpretacji wyników przez wyszkolonych doświadczonych ekspertów.
Metody obiektywne polegają na pomiarze tylko pewnych, wybranych parametrów mających wpływ na jakość mowy. Na podstawie tych pomiarów wyznacza się jakość usługi
głosowej uwzględniając model opisujący subiektywny odbiór hipotetycznego słuchacza.
Wadą metod obiektywnych jest to, że nie uwzględniają wszystkich czynników wpływających
na jakość mowy odbieranej przez człowieka, także nie biorą pod uwagę budowy fizjologicznej aparatu mowy i narządu słuchu oraz parametrów psychologicznych rozmówców.
2
Rysunek 1
Metody pomiaru jakości mowy
Zróżnicowanie artykulacji aparatu mowy, percepcji słuchowej mówców i słuchaczy,
stanu emocjonalnego oraz natężenia ich uwagi w chwili prowadzenia rozmowy powodują, że
żadnej z miar obiektywnych nie można bezpośrednio powiązać z indywidualnymi wrażeniami
o jakości mowy pojedynczych osób. Inaczej mówiąc, nie można wyników uzyskanych za
pomocą metod obiektywnych przekładać bezpośrednio na całkowitą jakość transmisji i odbioru mowy.
Ale na szczęście w dziedzinie metod obiektywnych obserwuje się stały postęp i obecnie wykorzystuje się do szacowania jakości transmisji mowy różne modele w mniejszym lub
w większym stopniu uwzględniające różne czynniki i parametry torów transmisyjnych obniżające jakość mowy. W efekcie można te obiektywne wyniki przetransponować na zadowolenie bądź wręcz negatywne opinie o jakości usługi głosowej. Przykładem takiej metody jest
Model E [3]- opis formuły matematycznej tej metody znajduje się więcej w rozdziale 4.
2. Subiektywne metody pomiaru jakości mowy
Subiektywne pomiary jakości mowy przeprowadza się w unormowanych, kontrolowanych i powtarzalnych warunkach pomiarowych, w których uczestniczą osoby o bardzo
dobrym słuchu i dykcji.
Są to testy konwersacyjne i odsłuchowe z udziałem ludzi w trakcie realizowanych rzeczywistych połączeń oraz w warunkach laboratoryjnych.
Testy te cechują:
• czasochłonność,
• zależność wyników od kondycji psychofizycznej uczestników testu
• wysokie koszty badań
• niedokładność wyników
• wyniki zawierają więcej czynników bezwzględnych niż względnych
• konieczność interpretacji wyników przez ekspertów.
3
W metodzie subiektywnej przy ocenie QoS mowy uczestnicy posługują się skalą punktową
wg następujących kategorii:
• bezwzględnej,
• porównawczej,
• degradacyjnej.
Metody zrozumiałości (wyrazistości)
Rozróżnia się następujące metody badań zrozumiałości:
• głoskowej,
• wyrazowej,
• sylabowej,
• zdaniowej,
• logatomowej.
Metoda uśrednionej opinii MOS (Mean Opinion Score)
Miarą jakości mowy jest opinia uczestników testu w skali od 1(zła) do 5(bardzo dobra).
Kubatura pomieszczeń, w których przeprowadzane są badania powinna być nie mniejsza niż
20 m3 (30 m3 do testowania urządzeń głośnomówiących).
Czas pogłosu pomieszczeń nie powinien być większy niż 500 ms.
Poziom hałasu nie powinien przekraczać 35 dB(A). Inne hałasy i ich widma podaje Zalecenie
P.800 ITU-T.
Zaleca się, aby w badaniu brały udział 24 osoby (12 par) z dobrym słuchem i dykcją.
Zakres warunków testu powinien być wystarczająco szeroki, aby uczestnicy oswoili się z
transmisją mowy, którą można ocenić jako doskonałą i skrajnie złą.
Materiał testowy stanowi 5 krótkich zdań w danym języku (czas trwania około 20 s).
Metoda bezwzględnej oceny jakości mowy ACR (Absolute Category Rating)
W metodzie tej mamy do wyboru trzy różne skale ocen, tj. :
Skala jakości odsłuchu (Tablica 1)
Tablica 1
Skala MOS
Jakość mowy
Bardzo dobra (exellent)
5
Dobra (good)
4
Dostateczna (fair)
3
Niedostateczna (poor)
2
Zła (bad)
1
4
Skala wysiłku słuchowego (Tablica 2)
Tablica 2
Skala MOS
Jakość mowy
Bardzo dobra (exellent)
5
Dobra (good)
4
Dostateczna (fair)
3
Niedostateczna (poor)
2
Zła (bad)
1
Skala preferowanej głośności (Tablica 3)
Tablica 3
Preferowana głośność
Skala MOS
Dużo głośniejsza niż optymalna
5
Głośniejsza niż optymalna
4
Optymalna
3
Cichsza niż optymalna
2
Zbyt cicha
1
Metoda stopnia degradacji jakości mowy DCR (Degradation Category Rating)
Metodę tę stosuje się w przypadku niewielkich degradacji jakości mowy.
Słuchaczom prezentowane są próbki głosu pojedyncze (A-B) lub zdublowane (A-B-A-B)
Próbka A stanowi próbkę odniesienia, natomiast próbka B jest próbką A o zmniejszonej
jakości. Zadaniem słuchaczy jest określenie stopnia degradacji jakości w próbce B
Uzyskane wyniki są przedstawiane w postaci tzw. degradacyjnej uśrednionej opinii słuchaczy
DMOS.
W tablicy 4 przedstawiono skalę ocen DMOS stosowaną w metodzie DCR
5
Tablica 4
Skala DMOS
Stopień degradacji mowy
Degradacja jest niesłyszalna
5
Degradacja jest niesłyszalna, ale odczuwalna
4
Degradacja jest słabo odczuwalna
3
Degradacja jest odczuwalna
2
Degradacja jest bardzo odczuwalna
1
Metoda porównawcza oceny jakości mowy CCR (Comparision Category Rating)
Tablica 5
Skala CMOS
Porównanie jakości mowy
Znacznie lepiej
3
Lepiej
2
Nieznacznie lepiej
1
Prawie tak samo
0
Nieznacznie gorzej
-1
Gorzej
-2
Znacznie gorzej
-3
Metoda testów konwersacyjnych typu „double-talk”DTT (Double Talk Tests)
Testy konwersacyjne polegają na swobodnej rozmowie uczestników testu, po czym oceniają
dane łącze w skali jakości od 1 do 5 (Tablica 6).
Testy te wykonuje się w celu uzyskania subiektywnej oceny o jakości dla:
• uzyskania informacji na temat ogólnej oceny jakości mowy wyrażonej przez przeciętnego
użytkownika nie mającego doświadczenia w badaniach nad jakością mowy,
• uzyskania subiektywnej oceny jakości mowy wyrażonej przez osoby posiadające doświadczenie w badaniach nad jakością mowy.
W testach tych jest dokonywana ocena jakości transmisji mowy podczas równoczesnego
mówienia obu abonentów.
6
W tablicy 6 zestawiono najważniejsze parametry transmisji, które można przeanalizować
podczas testów „double-talk”DTT”.
Tablica 6
Rozmówca mówiący w sposób ciągły
Rozmówca przerywający
Zdolność do równoczesnego mówienia
Zdolność do równoczesnego mówienia
Kompletność transmitowanej mowy
Kompletność transmisji mowy
Głośność podczas równoczesnego mówienia Głośność podczas równoczesnego mówienia
Zmiana głośności podczas gdy mówi jedna
strona oraz podczas równoczesnego mówienia
Echo
Echo
Zmiana echa podczas gdy mówi jedna strona
oraz podczas równoczesnego mówienia
Jakość dźwięku
Jakość dźwięku podczas gdy mówi jedna
strona oraz podczas równoczesnego mówienia
Transmisja szumu tła
Transmisja szumu tła
Metoda testów konwersacyjnych typu „mówienie i słuchanie” TLT (Talking and Listening Test)
Cechą tych testów jest badanie z wykorzystaniem tylko jednego abonenta..
Testy te uwzględniają wszystkie elementy mające wpływ na jakość transmisji mowy podczas
mówienia i słuchania. Badanie to jest szczególnie polecane przy badaniach nad wpływem
zakłóceń powodowanych przez echo lub transmisję szumu otoczenia na jakość mowy.
Metoda testów odsłuchowych LT (Listening Tests)
Ta metoda polega na ocenie wcześniej nagranego materiału głosowego i jest przeznaczona do
oceny oraz porównań parametrów różnych terminali, zaimplementowanych w tych terminalach algorytmów kodowania mowy oraz warunków, w których są przeprowadzane testy.
7
Metoda ciągłej oceny jakości mowy CQEM (Continuous Quality Evaluation Method)
Metoda ta jest modyfikacją metod ACR i DCR, i polega na sposobie oceny jakości (skala
ocen od 1 do 5 poszerzona o oceny stanów pośrednich np..4,5 3,5 2,5 1,5)
Modyfikacja polega przede wszystkim na sposobie oceny jakości oraz na wyborze czasu
trwania sygnału testowego. Dla metod ACR i DCR czas ten wynosi kilka sekund (8 s ÷ 10 s),
natomiast w metodzie ciągłej oceny czas ten powinien wynosić od 45 s do 3 min.
3. Obiektywne metody pomiaru jakości mowy
Obiektywne metody oceny jakości mowy polegają na:
• określeniu modelu opisującego odbiór hipotetycznego słuchacza,
• wyznaczeniu miary QoS mowy.
Obiektywne metody oceny jakości transmisji mowy dzielimy na:
• Metody porównawcze (Comparison Methods)
• Metody bezwzględne (Absolute Estimation Methods)
Metody obiektywne nie uwzględniają:
• parametrów psychologicznych rozmówców,
• budowy fizjologicznej aparatu mowy i narządu słuchu,
• zróżnicowania artykulacji ludzi,
• stanu emocjonalnego osób,
• natężenia uwagi itd..
Rozróżnia się następujące obiektywne metody pomiaru jakości mowy
• PSQM (Psycho-Acoustic Speech Quality Measure),
• PESQ (Perceptual Evaluation of Speech Quality),
• MNB (Measuring Normalizing Blocks),
• TOSQA (Telecommunication Objective Speech Quality Assesment),
• PAMS (Perceptual Analisis/Measurement System),
• INDM (In-service, Non-intrusive Measurement Device),
• E-MODEL (ETSI).
4. E-Model
Kanał telekomunikacyjny pomiędzy ustami osoby mówiącej, a uchem słuchacza składa się z wielu torów i elementów tworzących łącze telefoniczne. Na jakość mowy transmitowanej poprzez łącze telefoniczne mają wpływ następujące parametry i czynniki:
• rodzaje elementów końcowych (telefony stacjonarne, bezprzewodowe, mobilne) - analogowe i cyfrowe,
8
• rodzaje elementów połączenia (centrale abonenckie, międzymiastowe) - analogowe i cyfrowe,
• rodzaje elementów transmisji (łącza przewodowe, światłowodowe, radiowe)
• konfiguracja połączenia (długość połączenia, typ połączenia, rodzaje składników sieci),
• parametry mowy i słuchu człowieka,
• techniki transmisji
• tłumienie transmisji mowy pomiędzy mówcą i słuchaczem,
• charakterystyki skuteczności częstotliwościowej urządzenia abonenckiego.
• tłumienie linii abonenckiej,
• tłumienie obwodów 4-przewodowych,
• efekt lokalny mówcy i słuchacza,
• echo,
• stabilność,
• czas transmisji,
• szum i zniekształcenia kwantyzacji,
• przesłuch.
1. Ciśnienie dźwięku wytwarzane przez mówcę
2. Tor akustyczny pomiędzy słuchawką a bębenkiem ucha słuchacza
3. Hałas otoczenia
4. Tłumienie pomiędzy słuchawka i mikrofonem słuchacza
5. Tłumienie na drodze pomiędzy mikrofonem i słuchawką
Rysunek 2
Parametry i czynniki wpływające na jakość mowy
Każdy z tych czynników w różnym stopniu wpływa na jakość mowy w łączu telefonicznym,
postrzeganą przez użytkownika. Na tę jakość ma również wpływ obecność w łączu urządzeń i
systemów specjalnych takich jak:
• urządzenia kontroli echa ECD (Echo Control Devices),
• kodery mowy o małej przepływności binarnej,
• urządzenia DCME,
• systemy mobilne,
• systemy ATM.
9
Jakość transmisji mowy jest symulowana korzystając z licznych parametrów transmisyjnych.
W Zaleceniu G.108 ITU-T znajdują się ustalone dopuszczalne limity dla najważniejszych
indywidualnych parametrów transmisji.
Ogromna różnorodność konfiguracji połączeń, a także rodzaje urządzeń i łączy tworzących
połączenie telefoniczne powoduje, że mamy do czynienia z bardzo różnymi kombinacjami
wpływów parametrów transmisji na jakość przesyłania głosu. Te zagadnienia są przedmiotem
zainteresowania specjalistów zajmujących się planowaniem transmisji, jak również operatorów sieci telefonicznych. Do szacowania jakości transmisji mowy poprzez łącza telekomunikacyjne służą modele matematyczne.
Istnieje kilka modeli służących do prognozowania jakości transmisji [15]. Są to następujące
modele:
• Transmission Rating (Bellcore),
• CATNAP 83 ( BT,Wielka Brytania),
• Information Index (Francja),
• OPINE (NTT,Japonia),
• Transmission Quality Index [8]
Modele te były szeroko stosowane do szacowania jakości mowy transmitowanej przez kilka
typowych konfiguracji łączy, a wyniki uzyskane za pośrednictwem poszczególnych modeli
były zbliżone.
Obecnie dzisiaj specjaliści od planowania transmisji zmuszeni są wziąć pod uwagę kilka
nowych ważnych czynników wpływających na osłabienie jakości transmisji mowy, a których
nie uwzględniają poprzednie modele np. opóźnienia i echa wynikające ze stosowania nowych
technik przetwarzania i transmisji mowy.
Wyniki testów subiektywnych można łatwiej włączyć do nowego modelu. Stare modele
należałoby transformować i aktualizować. Poza tym różne „dobre” cechy pozyskane ze starszych modeli mogą być włączone do nowego modelu.
Takim modelem jest E-Model.
Fundamentalną zasadą Modelu E jest koncepcja określona w modelu OPINE, która brzmi:
„Współczynniki psychologiczne ( wrażenia obniżenia jakości mowy)
są addytywne w skali psychologicznej”
4.1 Struktura Modelu E
Model E zakłada, że jakość przesyłanej mowy przez łącze telekomunikacyjne mierzy
się w słuchawce telefonu słuchacza w paśmie częstotliwości od 300 Hz do 3400 Hz.
Konfigurację połączenia i odpowiednie parametry przedstawiono na rysunku 3.
10
Ps – poziom hałasu otoczenia w miejscu mówcy w dB(A),
Pr – poziom hałasu otoczenia w miejscu słuchacza w dB(A),
Ds - współczynnik D słuchawki w miejscu mówcy w dB,
Dr - współczynnik D słuchawki w miejscu słuchacza w dB,
SLRS - tłumienność głośności przy nadawaniu odniesiona do punktu 0 dBr położonego najbliżej pozycji mówcy wyrażona w dB,
RLRR - tłumienność głośności przy odbiorze odniesiona do punktu 0 dBr położonego najbliżej pozycji mówcy wyrażona w dB,
OLR=SLRS + RLRR – całkowita tłumienność głośności wyrażona w dB,
STMR – tłumienność głośności efektu lokalnego w pozycji słuchacza wyrażona w dB,
LSTR=STMR+Dr ,
TELR – tłumienność głośności echa mówcy wyrażona w dB,
WEPL – ważona strata ścieżki echa wyrażona w dB,
T – średnie opóźnienie w jedną stronę w ms,,
Tr – opóźnienie w ms,,
Ta – bezwzględne opóźnienie od mówcy do słuchacza w ms.
qdu – jednostki zniekształceń kwantyzacji ,
Ie – współczynnik osłabienia jakości mowy z powodu zastosowania w łączu urządzeń specjalnych (np. kodeki o małej przepływności
binarnej)
A – współczynnik oczekiwania
Rysunek 3
Konfiguracja połączenia i stosowne parametry użyteczne w E-Modelu
Pomiędzy mówcą znajdującym się w pozycji S, a słuchaczem w pozycji R następuje komunikacja głosowa za pośrednictwem łącza telefonicznego.
Model ten ocenia jakość przesłanej mowy od ust mówcy do ucha słuchacza postrzeganą przez
użytkownika w pozycji R traktowanego zarówno jako słuchacza i mówcę.
4.2 Współczynnik jakości transmisji R
W połączeniu telekomunikacyjnym parametry transmisji są zawarte we współczynniku jakości
transmisji R, który jest przełożony na zadowolenie, bądź niezadowolenie użytkowników t.j.
11
wskaźniki procentowe opinii GOB, POW i TME (rys 2) i/lub średnie punkty opinii MOS
(rys.3). Stopień satysfakcji lub braku zadowolenia użytkownika zależy zarówno od sposobu
jego mówienia jak i od stopnia koncentracji słuchacza w czasie rozmowy telefonicznej.
Współczynnik jakości transmisji R wyrażony jest za pomocą wzoru (1):
R = Ro – Is – Id – Ie + A
(1)
gdzie :
Ro reprezentuje podstawowy współczynnik sygnał/szum SNR transmisji mowy w punkcie 0
dBr-rys.3,
Is reprezentuje osłabienia jakości transmisji występujące jednocześnie z sygnałem mowy,
podobne do tego, jakie występuje przy odbiorze zbyt głośnego sygnału mowy, przy nieoptymalnym efekcie lokalnym lub powstające na skutek zniekształceń kwantyzacji,
Id reprezentuje osłabienia jakości transmisji wywołane echem odnoszącym się do sygnału
mowy, tj. echo mówcy TELR i echo słuchacza WEPL i trudności komunikacyjne spowodowane zbyt długim bezwzględnym opóźnieniem (Ta),
Ie reprezentuje osłabienia jakości transmisji spowodowane przez zastosowanie w łączu
specjalnych urządzeń tj.: pewne kodeki o małej szybkości przesyłania bitów, DCME,
VPE i innych. Wpływ tych urządzeń na jakość mowy jest bardzo złożony i trudno jest go
analizować biorąc pod uwagę indywidualne parametry,
Współczynnik Ie związany z wpływem urządzeń zastosowanych w łączu telefonicznym
na jakość mowy transmitowanej jest nowym pojęciem. W starszych modelach nie był on
uwzględniany.
A
jest określony jako współczynnik oczekiwania, jest to wielkość dodatnia, która reprezentuje korzyści wynikające z używania różnych systemów transmisji mowy. W pewnych
okolicznościach systemy radiowe mają pewną przewagę nad systemami kablowymi,
pomimo gorszej jakości transmisji mowy. Przykładem może być rozwój telefonii mobilnej w trudnodostępnych regionach, gdzie względy ekonomiczne wzięły górę nad jakością połączenia.
Współczynnik Ro
Wyrażenie na współczynnik Ro jest następujące:
Ro = 15 – 1,5 (SLR + No )
(2)
gdzie:
SLR jest tłumiennością głośności przy nadawaniu odniesioną do punktu 0 dBr najbliżej położonego miejsca R – rys 3.
No
stanowi całkowite szumy, także odniesione do punktu 0 dBr. No otrzymuje się przez
dodanie mocy:
• Szumu elektrycznego obwodu Nc [dBm0p],
• Równoważnego szumu obwodu Nos [dBm0p] spowodowanego hałasem otoczenia Pos
[dB(A)] w pozycji S,
12
• Równoważnego szumu obwodu Nor [dBm0p] spowodowanego hałasem otoczenia Por
[dB(A)] w miejscu R,
• Hałas tła Nfo [dBm0p] występujący w miejscu R.
Szum elektryczny obwodu Nc otrzymuje się przez dodanie mocy szumów generowanych przez
różne źródła w łączu, wszystkie odniesione do punktu 0 dBr. Jeśli szum jest wytwarzany
przez pewne źródło N [dBmp] w punkcie o bezwzględnym poziomie L [dBr] to odpowiada to
poziomowi szumu (N+L) dBm0p w punkcie 0 dBr.
Równoważny szum obwodu Nos spowodowany hałasem otoczenia Pos [dB(A)] w miejscu S
wynosi:
N OS = POS − SLR − DS − 100 + 0,008 ( POS − OLR − DS − 14) 2 [dBm0p]
(3)
gdzie:
OLR = SLR + RLR,
Ds jest współczynnikiem D (D=LSTR-STMR) mikrotelefonu w pozycji mówcy S.
Równoważny szum obwodu Nor spowodowany hałasem otoczenia Por w miejscu słuchacza R
wynosi:
N or = RLR − 121 + Pore + 0.008 ( Pore − 35) 2 [dBm0p]
(4)
gdzie:
Pore jest efektywnym hałasem otoczenia w pozycji R wyrażony wzorem (5)
Pore = Por + 10 lg [1 + 10 (10− LSTR ) / 10 ] [dB(A)]
(5)
Szum tła Nfo odnosi się do szumu tła w miejscu R i wynosi:
Nfo = Nfor + RLR
[dBm0p]
(6)
Zwykle Nfor = -64 dBmp
Ostatecznie całkowity szum No otrzymuje się przez dodanie mocy wszystkich źródeł szumu:
No = 10 lg [ 10Nc/10 + 10Nos/10+ 10Nor/10+ 10Nfo/10 ]
[dBm0p]
Uwaga:
We wzorze (7) nie uwzględniono szumu zniekształceń kwantyzacji.
13
(7)
Współczynnik Is
Współczynnik Is jest wyrażony następującą zależnością:
Is = Iolr + Ist + Iq
(8)
Iolr reprezentuje obniżenie jakości transmisji spowodowane zbyt głośnym połączeniem, tj.
wtedy, gdy OLR jest zbyt mały,
Ist reprezentuje obniżenie jakości transmisji spowodowane niewłaściwą wartością efektu
lokalnego,
Iq reprezentuje osłabienie jakości spowodowane przez zniekształcenia kwantyzacji.
Uwaga
Zniekształcenia spowodowane przez kodery o małej przepływności binarnej są reprezentowane przez współczynnik Ie.
Współczynnik Iolr
Wyrażenie na współczynnik Iolr jest następujące:
Iolr = 20 [{ 1 + (X/8)8}1/8 - X/8]
(9)
X = OLR + 0,2(64 +Nt )
(10)
gdzie:
Nt = No – RLR
(11)
Współczynnik Ist
Wyrażenie na współczynnik Ist jest następujące:
Ist = 10 [1+{(STMRo-12)/5}6]1/6 +46[1+{STMRo /23}10]1/10+36
(12)
gdzie:
STMRo= -10lg[10-STMR/10 + e-T/410-TELR/10]
T - średnie opóźnienie w jedną stronę [ms],
TELR - tłumienność głośności echa mówcy [dB].
Współczynnik Iq
Współczynnik Iq wyraża się następująco:
14
(13)
Iq= 15lg [ 1+10Y]
(14)
Gdzie:
Y=(Ro-100)/15+(46-G)/10,
(15)
2
G=1,07+0,258Q+0,0602Q ,
(16)
Q=37-15 lg(qdu).
(17)
gdzie:
qdu (quantizing distortion units) – jednostki zniekształceń kwantyzacji
Współczynnik Id
Współczynnik pogorszenia jakości mowy spowodowany opóźnieniami w łączu wynosi:
Id = Idte + Idle + Idd
(18)
gdzie:
Idte reprezentuje osłabienie jakości powodowane przez echo mówcy. Parametrami związanymi są tłumienność głośności echa mówcy TELR i średnie opóźnienie echa (w jedną
stronę).
Idle reprezentuje pogorszenie transmisji spowodowane echem słuchacza.
Parametrami związanymi są ważone tłumienie ścieżki echa WEPL i opóźnienie dla echa
(w obie strony).
Idd reprezentuje osłabienie transmisji przez zbyt długie bezwzględne opóźnienie, które występuje nawet wówczas, gdy bardzo dobrze wyeliminowane zostanie echo.
Współczynnik Idte
Wzór na obliczenie Idte jest następujący:
____________
Idte=[(Roe-Re)/2+√(Roe-Re)2/4+100 – 1] (1- e-T)
(19)
gdzie:
Roe = −1,5 ⋅ ( N o − RLR )
(20)
Re = 80 + 2.5(TERV − 14)
(21)
TERV = TELR − 40 lg
1 + T / 10
+ 6e −0 ,3T
1 + T / 150
2
Dla T< 1 ms echo mówcy powinno być rozważane jako efekt lokalny wówczas
Idte = 0
15
(22)
Powyższe zależności mają zastosowanie wtedy, kiedy efekt lokalny jest w zakresie dopuszczalnych granic t.j. 7 < STMR < 15.
Dla wartości STMR mniejszych od 7 dB echo mówcy jest częściowo maskowane przez efekt
lokalny, wówczas TERV w równaniu (22) zastąpione jest przez TERVs:
TERVs=TERV+Ist /2
(23)
Dla większych wartości efektu lokalnego, tj. STMR>15 echo mówcy jest bardziej zauważalne, niż w normalnym zakresie wartości efektu lokalnego i Idte
W wyrażeniu (19) Idte jest zastąpione przez Idtes:
I dtes =
2
I dte
+ I st2
(24)
Współczynnik Idle
Współczynnik Idle oblicza się ze wzoru
I dle = ( Ro − Rle ) / 2 + ( Ro − Rle ) 2 / 4 + 169
(25)
gdzie:
Rle=10,5 (WEPL+7) (Tr+1)-0,25
(26)
Współczynnik Idd
Dla Ta < 100 ms współczynnik Idd = 0
Dla Ta > 100 ms współczynnik Idd oblicza się według wzoru:
I dd = 25{(1 + X 6 )1 / 6 − 3 (1 + [ X / 3]6 )
1/ 6
gdzie:
X=
lg (Ta / 100)
lg 2
+ 2}
(27)
(28)
Współczynnik Ie
Współczynnik Ie stosuje się do urządzeń przetwarzających skomplikowany sygnał mowy, w
szczególności dotyczy on koderów o małej przepływności binarnej. Kodery te są reprezentowane przez współczynnik K. W sytuacjach kiedy mamy do czynienia z kilkoma posobnie
16
połączonymi koderami (takich samych lub różnych), całkowite obniżenie jakości mowy
reprezentowane przez współczynnik Ie, który jest sumą indywidualnych wartości K.
W tablicy 7 podano przybliżone wartości współczynników K różnych kodeków wraz z ich
przepływnością binarną według ETR 250 [4].
Tablica 7
K
Koder
[kbit/s]
40
2
32
7
ADPCM
24
25
16
50
LD-CELP
16
7
12,8
20
VSELP
8
20
RPE-LTP
13
20
CELP+
6,8
25
Współczynnik oczekiwania A
Wartości A dla poszczególnych rodzajów systemów zestawiono w tablicy 8 (wg ETR 250 [4])
Tablica 8
A
Systemy komunikacji
System konwencjonalny (przewodowy)
0
System DECT i podobne
5
System GSM i podobne
10
Wieloskokowe systemy satelitarne
20
Współczynnik jakości transmisji R jest miarą jakości transmisji mowy w łączu telefonicznym wyznaczonym za pośrednictwem Modelu E.
Wartości współczynników jakości transmisji R mogą zawierać się od 0 do 100, a nawet mogą
być większe.
•
•
Współczynnik R=0 reprezentuje skrajnie złą jakość połączenia,
Współczynnik R=100 świadczy o bardzo wysokiej jakości transmisji połączenia.
Współczynnik R może być powiązany z innymi miarami jakości transmisji takimi jak:
• Procent użytkowników oceniających jakość połączenia jako:
dobrą lub bardzo dobrą GOB i słabą lub złą POW – rys.4,
17
• Procent użytkowników przedwcześnie przerywających połączenia z powodu złej jakości :
TME,
• Średni wskaźnik opinii MOS- rys.5.
Model E, dzięki wyznaczeniu współczynnika jakości transmisji R pozwala na oszacowanie
reakcji użytkowników łączy telefonicznych na jakość mowy w postaci GOB, POW i TME
przez uśrednienie funkcji błędu o rozkładzie normalnym.
Procedura oszacowania tych reakcji jest następująca:
Wyznaczenie współczynnika R przez uśrednienie funkcji błędu o rozkładzie normalnym
Erf(x):
Erf ( x) =
1
2∏
x
−t
∫e
2
/2
dt
(29)
−∞
Wtedy
 R − 60 
%
GOB = 100 Erf 
 16 
(30)
 45 − R 
%
POW = 100 Erf 
 16 
(31)
Wyrażenia dla GOB i POW pochodzą z aproksymacji średnich wartości krzywych uzyskanych z testów subiektywnych wykonanych w Laboratoriach Bella.
W Modelu E wyrażenie TME pochodzi z publikacji „Transmission Performance of Evolving
Telecommunications Networks” [8] i ma postać:
 36 − R 
%
TME = 100 Erf 
 16 
Zależności GOB , POW i TME jako funkcje współczynnika R podano na rysunku 4.
18
(32)
Rysunek 4
Zależności GOB , POW i TME w funkcji R
pochodzące z testów subiektywnych
Związek pomiędzy R a MOS opisano w literaturze [8]. Przedstawia się następująco:
dla 0<R<100 MOS=1+ 0,035⋅ R + R(R-60) (100 – R) 7⋅10-6 ,
dla R<0
MOS = 1,
dla R>100
MOS = 4,5 .
19
(33)
Na rysunku 5 pokazano zależność obliczonego MOS w funkcji R (wg ETR 250 [4]).
Rysunek 5
Zależność MOS od współczynnika R
W tablicy 10 podano przybliżoną szacunkową jakość sygnału mowy przesyłanego przez łącze
telefoniczne wyznaczone za pośrednictwem Modelu E. Dane te pochodzą z ETR 250 [4].
Tablica 10
R
GOB
POW
TME
%
%
%
Jakość mowy
90
97
Bardzo dobra
80
89
Dobra
70
73
6
60
50
17
6
Dostateczna
45
17
50
27
Nieodpowiednia
35
6
73
50
Klienci będą reklamować
Odpowiednia
20
5. Metodyka testowania jakości mowy
ETAP 1
1. Dokonano przeglądu norm dotyczących jakości mowy transmitowanej za pośrednictwem
sieci z protokołem IP. Zapoznano się z następującymi dokumentami:
• TBR 038 (1998),
• ETSI ES 200677 V.1.2.1 (1998),
• ETSI EG 201377-2 V.1.1.1 (2005) X,
• ETSI EG 201377-1 V.1.2.1 (2002),
• ITU-T G.108 (2002)
• ETSI EG 201050 V.1.2.2 (1999),
• ETR 250 (1996)
• ETSI EG 202 057-4 V.1.1.1 (2005) X
• ETSI TIPHON 22 (2001)
• ITU-T P.831
• ETI EG 202 057-1 V.1.2.1 (2005) X
• ETI EG 202 057-2 V.1.2.1 (2005) X
• ETUI TS 1901 329-2 V2.1.3 (2002)
• ITU-T P.11 (1997)
• ETSI ES 202 020 V1.3.1 (2004)
W bieżącym roku trwała ankietyzacja niektórych norm dotyczących jakości usługi głosowej ETSI (zaznaczone znakiem X) i została zakończona na jesieni tego roku wydaniem przyjętych ostatecznych wersji dokumentów.
2. Wyspecyfikowano parametry konieczne, aby można było zastosować
E-Model do obiektywnej oceny jakości mowy.
Są to następujące parametry:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Tłumienność głośności przy nadawaniu SLR (dB),
Tłumienność głośności przy odbiorze RLR (dB),
Tłumienność głośności efektu lokalnego STMR (dB),
Czułość mikrofonu dla pozycji mówcy Ds (dB),
Czułość mikrofonu dla pozycji odbiorcy Dr (dB),
Tłumienność głośności echa mówcy TELR (dB),
Ważona ścieżka echa WEPL (dB),
Średni czas transmisji ścieżki echa T (ms),
Opóźnienie w pętli 4-przewodowej Tr (ms),
Bezwzględne opóźnienie Ta (ms),
Jednostka zniekształceń kwantyzacji qdu,
Współczynnik zniekształceń wnoszony przez urządzenia Ie,
Szum obwodu elektrycznego Nc (dBm0p),
Szum tła odbierany przez odbiorcę drogą elektryczną Nf0 (dBmp),
Hałas otoczenia w pozycji mówcy Ps (dB(A)),
Hałas otoczenia w pozycji odbiorcy Pr (dB(A)),
Współczynnik oczekiwania A.
21
ETAP 2
1. Opracowano metodykę pomiarów głosowych parametrów transmisyjnych urządzeń końcowych.
Ze względu na to, że użyte w badaniach analogowe aparaty telefoniczne były podłączone do
sieci za pośrednictwem bramek zostały zmodyfikowane akredytowane Procedury Badawcze
CL3/1, CL3/2, CL3/3, CL3/4, CL3/5 do pomiarów wskaźników głośności LR oraz charakterystyk częstotliwościowych.
Niestety przy pomocy zestawu pomiarowego znajdującego się w Centralnym Laboratorium
Badawczym (Zespół CL3), nie można było zmierzyć wskaźników głośności oraz charakterystyk skuteczności częstotliwościowej telefonów IP. W pracy dane dotyczące głosowych parametrów transmisyjnych tj. SLR, RLR, STMR telefonu CISCO 7905 pochodzą z danych
technicznych urządzenia.
2. Wykonano 12 testów subiektywnych (6 par-6 mężczyzn i 6 kobiet). Badania polegały na
bezwzględnej ocenie jakości mowy ACR (Absolute Category Rating) w trzech różnych
skalach ocen:
• w skali jakości odsłuchu MOS (od 1 do 5),
• w skali wysiłku słuchowego MOS (od 1 do 5),
• w skali preferowanej głośności MOS (od 1 do 5).
Konfiguracja łącza przyjęta do badań subiektywnych i obiektywnych została przedstawiona
na rysunku 6.
Rysunek 6
Konfiguracja łącza wykorzystywana do badań subiektywnych i obiektywnych
22
Konfiguracja logiczna została zamieszczona na rysunku 7.
Rysunek 7
Konfiguracja logiczna wykorzystywana do badań subiektywnych i obiektywnych
Sygnałami testowymi była mowa naturalna w języku polskim (6 głosów męskich i 6
głosów damskich).
Zaproponowano 5 list testowych, każda zawierająca 5 zdań. Wybrane zdania były tak ułożone, że wykluczały ich powiązania semantyczne.
Badania wykonano w pomieszczeniach laboratoryjnych , w których poziom hałasu nie przekraczał 35 dB (A). Do stanowisk odsłuchowych doprowadzono łącza w wybranych konfiguracjach- rys.8 i 9
Konfiguracja łącza z kodekami
G.711, G.723, G.726, G. 729
a2
a2 Siemens Telematica
a1 Siemens 815s
A Serwer VoIPAsterisk
G1 Linksgs PAP-2
G2 Grandstream HT-488
G1
A
G2
Internet
a1
AA
Rysunek 8
23
Konfiguracja z iLBC+G.711
a2
a2 Siemens Telematica
A Serwer VoIP Asterisk
G1 Linksgs PAP-2
IP Cisco 7905
G1
A
IP
Internet
A
Rysunek 9
Badania wykonano w dwóch konfiguracjach:
• Konfiguracja 1 (rys.8): po obu stronach łącza znajdowały się klasyczne analogowe telefony (Siemens EUROSET 815 S i Siemens TELEMATICA) podłączone do centrali
DGT 3450 (różne kodeki takie jak: G.711, G.723, G.726, G.729) za pośrednictwem
bramek (G1 Linksgs PAP-2 i G2 Grandstream HT-488).
• Konfiguracja 2 (rys.9): po jednej stronie łącza znajdował się telefon analogowy podłączony do centrali DGT 3450 (kodek ILBC +G.711) za pośrednictwem bramki G1
(Linksgs PAP-2), zaś po drugiej stronie łącza znajdował się telefon IP CISCO 7905.
Sygnał mowy pomiędzy użytkownikami (telefonu analogowego z jednej strony oraz telefonu
IP z drugiej strony łącza) był transmitowany za pośrednictwem lokalnej zakładowej sieci
Ethernet, oraz dla stworzenia bardziej krytycznych warunków transmisji (wydłużenie czasu
transmisji) mowa była transmitowana również przez sieć Internet.
3. Opracowano i przeanalizowano wyniki badań subiektywnych (Tablice 11a, 11b, 11c).
Wyraźnie zarysowała się negatywna opinia wszystkich uczestników testu o połączeniu z
kodekiem G.711. Ta najniższa ocena jakości mowy wynikała z wykorzystania asymetrycznego łącza dostępowego o niskiej przepływności po stronie pomocniczego serwera Asterisk
(256 kbit/s w relacji Internet => Serwer pomocniczy oraz 64 kbit/s w relacji serwer pomocniczy => Internet).
Zakładając, że przepływność strumienia na wyjściu kodera G.711 wynosi 64 kbit/s, uwzględniając ponadto:
• konieczność zapewnienia przez łącze 64 kbit/s obsługi ruchu związanego z jednocześnie
zestawionymi dwoma połączeniami (z wykorzystaniem protokołu SIP oraz IAX2),
• narzut na nagłówki protokołów obsługujących strumienie głosowe,
24
można stwierdzić, iż łącze to zdecydowanie nie gwarantowało komfortu niezbędnego do
prowadzenia rozmowy telefonicznej.
W rzeczywistych warunkach takie parametry łącza nie mogłyby zostać wykorzystane do
poprawnej obsługi połączeń VoIP wykorzystujących kodek G.711, jednak obniżenie przepływności strumienia audio powinno przynieść w tym przypadku oczekiwane rezultaty.
Potwierdzeniem tej obserwacji były również opinie osób biorących udział w badaniu. Prawie
wszyscy uczestnicy badań zanotowali w swoich formularzach, że mieli na początku rozmowy
duży problem z komunikacją, dopiero jak przestali jednocześnie mówić do siebie i osoba
nadająca rozpoczęła odczytywanie list testowych to zjawisko przerywania mowy uległo
zmniejszeniu. Nie mniej jednak wszyscy uczestnicy ocenili połączenie w tej konfiguracji
negatywnie. Kilka osób zanotowało występowanie wyraźnych opóźnień mowy.
Z kolei najlepiej oceniono połączenia z kodekami G.723.1, G.729 i ILBC+G.711( cytaty z
formularzy. „Małe opóźnienia”, „brak przerywania”, „rozmowa z małym echem” itd.)
W tablicach 11a, 11b, 11c umieszczono wyniki badań subiektywnych w trzech różnych skalach ocen.
Ocena jakości odsłuchu MOS
1
2
3
4
5
6
7
8
9
10
G.711
2
2
4
2
2
2
2
2
2
2
Tablica 11a
11 12 Srednia
wartość
MOS
2 2
2,16
G.723.1
4
2
4
4
3
4
4
3
3
4
4
4
3,58
G.726
3
3
4
3
2
4
3
3
2
3
3
3
3,0
G.729
4
4
4
4
4
4
4
5
4
4
4
4
4,08
ILBC
3
3
4
4
3
4
4
5
4
5
3
3
3,75
Słuchacz
25
Ocena wysiłku słuchowego MOS
Słuchacz
1
2
3
4
5
6
7
8
9
10
11
G.711
2
2
3
2
2
2
2
2
2
3
2
Tablica 11b
12 Srednia
Wartość
MOS
2
2,16
G.723.1
4
2
4
3
4
4
3
4
2
4
5
4
3,25
G.726
3
2
4
3
3
3
3
2
2
3
2
3
2,75
G.729
4
4
4
4
4
5
4
5
4
5
3
4
4,16
ILBC
4
4
4
4
3
4
4
5
4
5
3
4
3,58
Ocena preferowanej głośności MOS
Słuchacz
1
2
3
4
5
6
7
8
9
10
11
G.711
2
2
3
2
3
4
3
3
2
3
2
Tablica 11c
12 Srednia
wartość
MOS
2
2,58
G.723.1
2
3
3
3
3
3
3
3
3
3
3
3
2,91
G.726
2
2
3
3
3
2
3
3
2
3
2
3
2,58
G.729
2
3
3
5
3
4
3
4
4
3
3
3
3,33
ILBC
3
3
4
4
3
4
3
4
4
3
3
3
3,41
ETAP 4
1. Wykonano w wybranych konfiguracjach łączy (rys.8 i 9) badania obiektywne parametrów
transmisyjnych mowy . W tym celu wykorzystano aparaturę pomiarową dostępną w IŁ.
Do realizacji pomiaru wskaźników głośności głosowych urządzeń końcowych wykorzystano skomputeryzowany zestaw pomiarowy duńskiej firmy Bruel & Kjaer z Analizatorem Akustycznym typ 2012. Oprogramowanie Analizatora stanowi Program Główny VP
7405 V.3.0, program aplikacyjny dotyczący pomiarów telefonometrycznych VP 7417
część BZ 5105 oraz program realizujący obliczanie wskaźników głośności nr 7661.
26
W skład zestawu wchodzą następujące urządzenia :
• Analizator Akustyczny typ 2012 wraz z oprogramowaniem
• Sztuczna Głowa typ 4905 (Symulator Ust 4227, Symulator Ucha 4185)-rys.10.
• Ploter Graficzny typ 2319
Dla celów telefonii Zalecenie ITU-T P.79 [17] podaje poziom ciśnienia dźwięku w punkcie
MRP (ang.Mouth Reference Point) i wynosi –4,7 dB względem 1 Pa1).
Natomiast doświadczalnie wyznaczony tzw. „normalny poziom słyszenia” (zgodnie z Zaleceniem P.79 ITU-T) wynosi –18 dB względem 1 V1) w punkcie odniesienia ERP (ang.Ear
Reference Point).
1)
W telefonometrii akustyczny poziom odniesienia wynosi 1 Pa (1 Pa = 0 dB = 94 dB SPL),
a elektryczny poziom odniesienia wynosi 1V)
Na rysunku poniżej przedstawiono zestaw pomiarowy z Analizatorem 2012 B&K znajdujący
się w akredytowanym Centralnym Laboratorium Badawczym w Instytucie Łączności w Warszawie.
Rysunek 10
System do pomiarów telefonometrycznych z Analizatorem 2012
– tłumienności głośności LR
Przed pomiarami system pomiarowy został wykalibrowany według Instrukcji CLB/1.
Wykonano pomiary głosowych parametrów transmisyjnych telefonów analogowych w
26 konfiguracjach łączy tj.:
1. telefon analogowy 815S - centrala DGT 3450 – telefon analogowy Telematica,
2. telefon analogowy 815S – centrala DGT 3450 (kodek G.711) – serwer VoIP Asterisk
v 0.9.0 – telefon IP Cisco 7905,
27
3. telefon analogowy 815S – centrala DGT 3450 – serwer VoIP Asterisk 0.9.0 – bramka
G1 Linksgs PAP-2 – telefon analogowy Telematica,
G2 Grandstream HT-488 – telefon analogowy Telematica,
G3 G20 – telefon analogowy Telematica,
6. telefon analogowy 815S - bramka G2 Grandstream HT-488 – Serwer VoIP Asterisk
0.9.0 - bramka G1 Linksgs PAP-2 - telefon analogowy Telematica,
7. telefon analogowy Telematica - bramka G1 Linksgs PAP-2 - serwer VoIP Asterisk telefon IP Cisco 7905,
8. telefon analogowy Telematica - bramka G2 Grandstream HT-488 - serwer VIP Asterisk - telefon IP Cisco 7905
9. telefon analogowy Telematica - bramka G3 - serwer VoIP Asterisk telefon IP Cisco
7905 ,
10. telefon analogowy Telematica - bramka G1 Linksgs PAP-2 - serwer VoIP Asterysk telefon IP PA-168,
11. telefon analogowy Telematica - bramka G2 Grandstream HT-488 - serwer VoIP Asterisk - telefon IP PA-168,
12. telefon analogowy Telematica - bramka G3 G20 - serwer VoIP Asterisk - telefon IP
PA-168,
13. telefon analogowy 815S - bramka G1 Linksgs PAP-2 - serwer VoIP Asterisk - telefon
IP PA-168,
14. telefon analogowy 815S - bramka G2 Grandstream HT-488 - serwer VoIP Asterisk telefon IP PA-168,
15. telefon analogowy 815S - bramka G3 G20 - serwer VoIP Asterisk - telefon IP PA168,
16. telefon analogowy Telematica - bramka G1 Linksgs PAP-2 - serwer VoIP Asterysk –
INTERNET - serwer VoIP Asterysk - G2 Grandstream HT-488 - telefon analogowy
815S,
17. telefon analogowy Telematica - bramka G3 G20 - serwer VoIP Asterysk – INTERNET - serwer VoIP Asterysk - G2 Grandstream HT-488 - telefon analogowy 815S,
18. telefon analogowy Telematica - bramka G3 G20 - serwer VoIP Asterysk – INTERNET - serwer VoIP Asterysk – G1 Linksgs PAP-2 - telefon analogowy 815S,
19. telefon analogowy Telematica - bramka G1 Linksgs PAP-2 - serwer VoIP Asterysk –
INTERNET - serwer VoIP Asterysk – G3 G 20 - telefon analogowy 815S,
20. telefon analogowy Telematica - bramka G2 Grandstream HT-488 serwer VoIP Asterysk - INTERNET - serwer VoIP Asterisk - bramka G2 Grandstream HT-488 – telefon
analogowy 815S
21. telefon analogowy Telematica - bramka G1 Linksgs PAP-2 serwer VoIP Asterysk INTERNET - serwer VoIP Asterisk - telefon IP PA-168,
22. telefon analogowy Telematica - bramka G2 Grandstream HT-488 - serwer VoIP Asterysk - INTERNET - serwer VoIP Asterisk - telefon IP PA-168,
23. telefon analogowy Telematica - bramka G3 G20 - serwer VoIP Asterysk - INTERNET - serwer VoIP Asterisk - telefon IP PA-168,
24. telefon analogowy 815S - bramka G1 Linksgs PAP-2 - serwer VoIP Asterysk - INTERNET - serwer VoIP Asterisk - telefon CISCO 7905
25. telefon analogowy 815S - bramka G2 Grandstream HT-488 - serwer VoIP Asterysk INTERNET - serwer VoIP Asterisk - telefon CISCO 7905
26. telefon analogowy 815S - bramka G3 G20 - serwer VoIP Asterysk - INTERNET serwer VoIP Asterisk - telefon CISCO 7905
28
Poniżej przedstawiono przykładowe parametry łącza w konfiguracji przedstawionej na
rysunku 8. Po stronie nadawczej znajdował się aparat TELEMATICA, a po stronie odbiorczej telefon EUROSET 815S.
•
•
•
•
•
•
•
•
•
•
•
•
•
SLR =15,44 dB
RLR = 2,75 dB
STMR=11,8 dB
LSTR=14,8 dB
Ds=3 dB
Dr= 3 dB
TELR=40 dB
WEPL=20 dB
T = 50 ms
Tr =0 ms
Ta=108(ms)
qdu= 1
Ie odpowiednio dla: G.711(Ie=0), G.723.1(Ie=15), G.726(Ie=25) G.729(Ie=20)
Parametry te zostały wykorzystane przy zastosowaniu obiektywnego narzędzia w postaci
E-Modelu.
Poniżej zestawiono wyniki badań subiektywnych i obiektywnych dla połączeń, w których
zastosowano różne kodeki.
•
•
•
•
•
G.711
G.723.1
G.726
G.729
ILBC
R=90 (MOS=4,3)
R=70 (MOS=3,6)
R=77 (MOS=3,9)
R=85 (MOS=4,2)
R=75 (MOS=3,7)
MOSsub=2,3
MOSsub=3,25
MOSsub=2,78
MOSsub=3,85
MOSsub=3,58
6. Podsumowanie
W ramach niniejszego zadania wykonano badania subiektywne i obiektywne zestawionych łączy w dwóch konfiguracjach.
Zbadano subiektywnie i obiektywnie:
•
•
•
•
wpływ różnych kodeków na jakość transmisji mowy w sieciach IP tj. G.711 (Ie=0),
G.723.1 (Ie=15), G.726 (Ie=25), G.729 (Ie=10),
wpływ opóźnienia sygnału mowy związany z procesem kodowania G.711 (Tad=0,125
ms), G.723.1 (Tad=37,5ms), G.726 (Tad=0,125 ms), G.729 (Tad=15 ms)
wpływ opóźnienia sygnału mowy związanego z procesem pakietyzacji+kodowania i
dekodowania (dla sytuacji, w której w jednym pakiecie występuje jedna ramka głosu)
dla G.711 (T=0,375 ms), G.723.1 (T=97,5 ms), G.726 (T=0,375 ms), G.729 (T=35
ms).
wpływ opóźnienia sygnału mowy wnoszonego przez sieć od 0,6 ms (LAN) do 108 ms
(Internet).
29
•
•
wpływ opóźnienia sygnału mowy (jittera)- wariancja opóźnienia dla sieci LAN wynosiła 0,031 ms, a dla łącza internetowego 14 ms.
Nie zbadano natomiast wpływu utraty pakietów, gdyż w warunkach jakimi dysponowaliśmy nie było możliwości monitorowania tego niekorzystnego zjawiska (IŁ nie
dysponuje urządzeniem do monitorowania strat pakietów).
Z literatury wiadomo, że dla G.711 kodera utrata 5% pakietów powoduje wzrost
współczynnika Ie (w E-Modelu) aż do wartości 55, co w efekcie może bardzo niekorzystnie odbić się na jakości mowy transmitowane, której miara jest wartośći Współczynnika R.
Badania subiektywne dowiodły, że łącze z kodekiem G.711 wypadło w ocenie uczestników
najgorzej, mimo że sam kodek ma najwyższą przepływność 64 kbit/s.
Przyczyną tego może być to, że kodek ten pozwolił na przesłanie dużej ilości informacji, to z
kolei jest równoznaczne z dużą ilością pakietów odpowiadających mowie. Nie wszystkie
pakiety były w stanie przejść w czasie rzeczywistym do słuchacza, bo były kolejkowane,
część uległa stracie i w efekcie mowa przyszła do słuchacza albo niekompletna bądź z opóźnieniem. Tak więc prawdopodobną przyczyną tak słabej oceny jakości połączenia z kodekiem
G.711 nie był bezpośrednio wpływ kodeka G.711, lecz niekorzystnych zjawisk występujących w związku z transmisją pakietową w rozważanych konfiguracjach.
Połączenie z kodekiem G.726 oceniono jako dostateczne, ze względu na występujące
opóźnienia.
Wyniki oceny MOS pozostałych połączeń z kodekami G.723.1 i G.729 były porównywalne (MOS= od 3,5 do 4,0). Słuchacze notowali w swoich formularzach uwagi dotyczące
niewielkich opóźnień mowy występujących w trakcie połączeń. Nie było zastrzeżeń co do
głośności w obu torach rozmownych.
Różnice wyników pomiędzy MOSsub a szacunkową ocena wyznaczona obiektywnie MOS
wynikają z tego, że zakres warunków testów subiektywnych nie był wystarczająco szeroki,
aby uczestnicy oswoili się z transmisją mowy, którą można ocenić jako doskonałą (ocena 5) i
skrajnie złą (ocena 1). Poza tym lektorzy i słuchacze nie byli wyspecjalizowani w testach
subiektywnych
W przyszłości należałoby przeprowadzić badania większej liczby rodzajów kodeków o różnych przepływnościach. To pozwoliłoby na głębszą analizę ich wpływu na oceną
jakości mowy transmitowanej tj.:
• wpływ opóźnienia transmisji mowy ze względu na kodowanie i dekodowanie mowy,
• wpływ opóźnienia mowy związanego z pakietyzacją
• wpływ opóźnienia transmisji sygnału mowy na jakość mowy dla czasów ponad 200 ms.
• wpływ utraty pakietów (od 1% do 20%) na jakość mowy.
30
Bibliografia
[1] ETSI EG 201 377-2 V.1.3.1 (2005), Speech Processing, Transmission and Quality As
pects (STQ), Part 2: Mouth-to-ear speech transmission quality including terminals
[2] ETSI EG 201 377-1 V.1.3.1 (2002), Speech Processing, Transmission and Quality Aspects (STQ),Specification and measurement of speech transmission quality; Part 2:
Mouth-to-ear speech transmission quality including terminals.
[3] ITU-T G.108 (2002), Application of E-Model: A planning guide
[4] ETR 250 (1996) Transmission and Multiplexing ™; Speech communication quality from
mouth to ear for 3,1 kHz handset telephony across networks.
[5] ETSI EG 202 057-4 V.1.1.1 (2005) , Speech Processing, Transmission and Quality Aspects (STQ); Userrelated QoS parameter definitions and measurements, Part 4: Internet
access
[6] ETSI TIPHON 22 (2001), Report of 1stETUI VoIP Speech Quality Test Event
[7] ITU-T P.831, Methods for objective and subjective assessment of quality, 1998
[8] ETSI EG 202 057-1 V.1.2.1 (2005), Speech Processing, Transmission and Quality Aspects (STQ);; Part 1: General.
[9] ETSI TS 1901 329-2 V2.1.3 (2002), Telecommunications and Internet Protocol Harmonization Over Networks (TIPHON) Telease 3; End-to-end Quality of Service in
TIPHON systems; Part 2: Definition of speech Quality of Service (QoS) classess
[10] ITU-T P.11 (1997), Effect of transmission impairments
[11] ETSI ES 202 020 V1.3.1 (2004), Speech Processing, Transmission and Quality Aspects
(STQ; Harmonized Pan-European/North-American approach to loss and level
[12] PN-97/T-83001:„Aparaty telefoniczne elektroniczne ogólnego przeznaczenia dla analogowych łączy abonenckich”- Wymagania i badania,1997.
[13] S.Kula, M.J.Trzaskowska, „Ocena łańcucha pod kątem jakości mowy kodowanej” –
Pomiary w Telekomunikacji (TPSA), 2000
[14] ITU-T Serie P, Sup.3,”Models for predicting transmission quality from objective measurements”, 1992,
[15] N.O.Johannesson,”The ETSI computation model:A tool for transmission planning of
telephone networks”, IEEE Communications Magazine, January 1997,
31
[16]
ETSI EG 201 050 V1.2.2:”Speech Processing, Transmission and Quality Aspects
(STQ); Overall Transmission Plan Aspects for Telephony in Private Network”.1999
[17] ITU-T P.79 :“Calculation of loudness ratings for telephone sets”.1993
32

Bezpieczeństwo teleinformatyczne oraz model bezpiecznego

Transkrypt

Podobne dokumenty

Materiał informacyjny

TP-LINK TD-VG3631Bezprzewodowy router/modem

Telefonia cyfrowa VoIP

strefy dla telefonii voip

innovaphone IP800

Technologia VoIP – Podstawy i standardy

Cennik VOIP