Aktuální vydání

celé číslo

08

2021

Digitální transformace a konvergence provozních, informačních a inženýrských systémů

Výzkum, vývoj a vzdělávání v automatizaci

celé číslo

Bezpečnost softwarových systémů

číslo 3/2004

Bezpečnost softwarových systémů

Dne 27. ledna 2004 se v Praze konala konference Microsoft Security Summit, věnovaná bezpečnosti softwarových systémů. Konference se zúčastnilo 3 100 návštěvníků – odborníků na informatiku a vývojářů softwaru založeného na produktech firmy Microsoft.

Tab. 1 Pravidla pro zabezpečení (podle prezentace L. Šolce, © Microsoft Corp.)
Jak zabezpečit server
1. aplikovat poslední Service Pack
2. aplikovat všechny potřebné opravy
3. odinstalovat nepotřebné komponenty
4. zakázat nepotřebné služby
5. aplikovat bezpečná pravidla hesel
6. vyřadit anonymní přístup
7. k citlivým serverům zabezpečit i přístup po síti
8. zabezpečit síťové komponenty na serverech dostupných z internetu
9. porovnat zabezpečení s doporučením Microsoft Security Guides
10. zakázat LAN Manager a ověřování MTLMv1
Jak zabezpečit klienty
1. použít Windows XP a poslední Service Pack
2. odinstalovat nepotřebné komponenty
3. nainstalovat antivirový software
4. vyřadit nepotřebné služby
5. implementovat Software Restriction Policies
6. zabezpečit aplikace
7. centralizovat audit
8. poučit uživatele
9. zabezpečit nastavení prohlížeče Microsoft Internet Explorer
10. zkontrolovat zabezpečení podle Windows XP Security Guide
Jak zabezpečit Internet Information Server
1. zabezpečit operační systém
2. aplikovat všechny potřebné bezpečnostní opravy
3. odinstalovat všechny nepotřebné komponenty
4. spustit IIS Lockdown Tool (IIS 5.0)
5. používat URLScan (IIS 5.0)
6. zabezpečit webové aplikace
7. uložit obsah do zvláštní oblasti
8. zabezpečit soubory použitím minimálních práv
9. použít bezpečný ověřovací mechanismus
10. vyžadovat šifrování pro citlivé informace předávané do webu
Co musí dělat pro zabezpečení uživatel
1. volit bezpečná hesla
2. bezpečně uchovávat hesla
3. zamykat desktop při odchodu z kanceláře
4. nepřihlašovat se privilegovaným účtem
5. spouštět jen důvěryhodné programy
6. neotevírat podezřelé přílohy
7. nestát se obětí klamavých informací
8. dodržovat firemní pravidla informační bezpečnosti
9. nepokoušet se obejít bezpečnostní nastavení
10. hlásit podezřelé události

V průmyslové automatizaci patří otázky bezpečnosti a ochrany systémů k naprostým samozřejmostem, o kterých je třeba uvažovat při tvorbě jakéhokoliv technického projektu. V každém řešení je nutné určit bezpečnostní pravidla, v nichž je stanoveno, kdo a jak smí, popř. má povinnost měnit konfiguraci systému, editovat programy, monitorovat činnost systémů, auditovat a validovat je. Stanoveny musejí být také provozní procedury a pravidla. Bez vytvoření těchto bezpečnostních pravidel, někdy nazývaných bezpečnostní politika, by těžko mohl být nějaký projekt předán do užívání.

V úvodní prezentaci hovořil přednášející Ladislav Šolc z firmy Microsoft o základních principech šifrování, zabezpečené komunikace, autentizace, funkce firewallů a auditování.

Další přednáška Ladislava Šolce a Petra Salavy byla věnována zabezpečení pro servery a klienty Windows. Zabezpečení se provádí ve vrstvách: data se zabezpečují šifrováním, aplikace zabezpečením aplikací a antivirovými programy, systém zabezpečením systému, správou oprav a ověřováním přístupu, interní síť její segmentací a aplikací protokolů IPSec a hranice interní sítě firewallem. V tab. 1 jsou uvedeny soubory pravidel pro zabezpečení serverů, klientů a pro uživatele.

Jan Dryml poté hovořil o metodách pro správu aktualizací. U produktů firmy Microsoft je tento problém řešen pomocí Microsoft Baseline Security Analyser, nástroje pro detekci nainstalovaných a nenainstalovaných oprav, a nástrojů pro distribuci oprav – Windows Update a Software Update Services. Pro rozsáhlejší sítě lze využít také System Management Server 2003 Software Update Services (zatímco první dva produkty jsou zdarma, třetí, s komplexními službami, je nutné zakoupit).

Pozornost byla na konferenci věnována také správě přístupových práv v Microsoft Windows pomocí Right Management Services (přednášející: Tomáš Kutěj a Jan Kališ). Ani tato oblast není pro průmyslovou automatizaci neznámá. Zvláště v aplikacích, kde se využívají internetové technologie a hrozí možnost přístupu neoprávněných osob do řídicího systému, je zabezpečení souborů velmi důležité.

Na konferenci vystoupil také Bill Gates, zakladatel a hlavní softwarový architekt firmy Microsoft. Ve svém projevu hovořil mj. o tom, že otázky bezpečnosti softwaru představují pro firmu Microsoft jednu z hlavních položek nákladů na výzkum a vývoj. Připomenul připravovaný operační systém Longhorn, který by měl být uveden na trh v roce 2005, a hovořil o možnostech obrany proti e-mailovému spamu.

Otázky bezpečnosti softwaru jsou úhelným bodem diskusí o tom, zda vůbec používat produkty firmy Microsoft v jiných než kancelářských aplikacích. Když v srpnu loňského roku napadl počítačový virus síť bankomatů dvou amerických bank, prohlásili analytici, že bylo zásadní chybou použít v tak citlivé aplikaci operační systém Microsoft XP Embedded. Ale bylo tomu tak skutečně? Problém nakonec vyřešil softwarový firewall, který v původní verzi chyběl.

Metody zabezpečení softwarových systémů existují. Mnohé jsou zcela prosté – odinstalovat všechny nepotřebné komponenty, vyřadit nepotřebné služby, nepoužívat oprávnění, která nejsou nezbytně nutná. Jiné metody vyžadují trochu námahy – to je např. vytvoření a dodržování systému přístupových hesel. Pro další jsou třeba specializované programy – např. nástroje pro centralizovaný audit, pro šifrování komunikace, ochranu rozhraní sítě (firewall) nebo pro ochranu proti virům. Důkladnou analýzou rizik a důsledně uplatňovanou bezpečnostní politikou lze riziko selhání bez problémů omezit na přijatelnou úroveň, běžnou u jiných řídicích prostředků. Je-li bezpečnostní politika nesprávně stanovena nebo nedůsledně dodržována, je chyba svalovat vinu na „nespolehlivý„ software.

Další informace o řešení bezpečnosti počítačových sítí a počítačů pracujících pod operačními systémy Windows najdou zájemci na těchto webových adresách:

(Bk)

Inzerce zpět