службам ПЦ извне ограничивается с помощью сетевого экрана, правила которого обеспечивают прохождение только разрешенного трафика (например, по TCP портам 110,25 в случае электронной почты).
В зоне 2 расположены серверы ПЦ, обеспечивающие его жизнедеятельность. Там могут находиться серверы баз данных, использующиеся как хранилище в процессе авторизации и последующих клиринговых расчетов. В этой же зоне, как правило, находятся серверы уровня приложений (host), получающие доступ к серверам баз данных и осуществляющие процессирование авторизационных и клиринговых потоков. Также в данную зону могут быть помещены средства сбора лог-информации и серверы управления доступом уровня приложений. Зона 2 является целью любого злоумышленника, поэтому ее защиту разрабатывают самым тщательным образом. Для усиления мер защиты могут использоваться дополнительные межсетевые экраны и/или персональные брандмауэры. На особо важных узлах должны быть включены средства аудита доступа. Основным правилом при настройке политики безопасности серверов в зоне 2 является отключение ненужных служб и процессов, открывающих потенциальные уязвимости в системе. Например, для серверов баз данных необходимо отключать сетевой доступ к операционной системе (ftp, telnet) и разрешать только доступ к базе данных по защищенным протоколам передачи данных (например, IPSEC). Хорошим дополнением к системе безопасности в зоне 2 могут служить системы предупреждения и предотвращения вторжения (IPS/IDS). Они позволяют заблокировать определенные сетевые адреса в случае обнаружения потенциально опасного сетевого трафика (например, сканеры сетевых портов, попытки атаки типа Bruteforce, DDOS-атаки и пр.). Повышенным интересом у злоумышленника могут пользоваться и маршрутизаторы/межсетевые экраны. Для повышения безопасности данные сетевые компоненты могут иметь специальный сетевой интерфейс (management), который используется для проведения настройки оборудования. В штатном режиме этот интерфейс не имеет подключения к какой-либо сети, и конфигурация с других сетевых интерфейсов этого оборудования невозможна.
В зоне 3 располагаются рабочие места сотрудников ПЦ. Данная зона также выделена в единую сеть, поскольку управление рабочими местами — задача отнюдь непростая и также требует повышенных мер безопасности. В данной зоне помимо рабочих мест персонала располагается сетевое оборудование ввода/вывода (принтеры, факсы, сканеры и т. д.). Также может быть размещен дополнительный контроллер рабочих мест (domain controller) для повышения отказоустойчивости системы в целом. Доступ сотрудников к тем или иным приложениям управляется на уровне политики безопасности и на уровне межсетевых экранов.
Данный уровень безопасности в ПЦ обеспечивается за счет возможности разделить доступ к тем или иным ресурсам в разрезе пользователя или группы пользователей.
Практически в любой современной операционной системе существует возможность разграничить доступ к определенным ресурсам на уровне пользователей. Таким образом, каждый пользователь в сети ПЦ (в том числе и рабочую станцию, и сервер можно отнести к пользователям) имеет определенные права, которые должны быть формализованы и закреплены в письменном виде. Права и полномочия предоставляются каждому сотруднику ПЦ согласно его должностным обязанностям. В случае если сотрудник совмещает несколько обязанностей (например, администратор ЛВС и администратор БД), удобнее оперировать ролями. Каждой роли отводятся определенные полномочия, в рамках которых предоставляется доступ к ресурсам ПЦ.
Служебные роли ПЦ могут быть отождествлены с группой пользователей. В роли администратора ЛВС может выступать группа пользователей «администраторы», в роли сотрудников отдела архивных копий — «операторы архивов» и т. д. В каждой из групп может быть несколько пользователей сети, в то же время один пользователь сети может быть наделен несколькими полномочиями.
Все сотрудники обязаны иметь учетную запись, с помощью которой осуществляется регистрация в сети ПЦ. Далее эта учетная запись используется для доступа к любым сетевым ресурсам, будь то принтер или база данных.
При разработке политики безопасности для сотрудников должно быть установлено правило секретности собственных имени пользователя и пароля при регистрации в сети. Также должен быть установлен запрет на передачу персональных имени пользователя и пароля третьим лицам. В ходе формирования политики должны быть приняты меры по снижению вероятности компрометации паролей: установлены ограничения на минимальную длину пароля, его сложность и частоту смены.
Согласно последним данным[108] рекомендуемая длина пароля может быть принята свыше 8 символов. Существуют и рекомендации по сложности пароля, в которых определяют, что пароль может состоять из строчных и заглавных букв и цифр. Частота смены пароля позволяет уменьшить вероятность его подбора за определенный срок его жизни. Хорошей практикой может служить блокировка учетной записи в случае набора неправильного пароля N раз (как правило, N принимают равным от 3 до 5 раз).
В политике учетных записей помимо сотрудников ведется контроль доступа к ресурсам рабочих станций и серверов. Такая политика позволит, например, ограничить доступ к ресурсам в случае подмены сетевого адреса.
Отдельно могут быть введены дополнительные средства аутентификации пользователей. Использование сертификатов (цифровых удостоверений) с единым центом сертификации позволит многократно повысить стойкость системы безопасности. Использование двухфакторной аутентификации, в которой пользователь помимо данных учетной записи (имя пользователя, пароль) должен предоставить физический ключ доступа. Он позволит избежать компрометации учетной записи в случае успешной атаки подбора пароля. Физический ключ может быть заменен считывателем биометрических данных пользователя.
Еще одним способом, повышающим уровень безопасности ПЦ, является блокировка встроенных учетных записей администратора (root). В этом случае происходит делегирование прав администратора сети другому пользователю, так называемое переименование администратора. В этом случае, если пароль учетной записи «администратор» или «root» будут взломаны, администраторские права предоставлены не будут.
Одним из важных моментов при формировании политики безопасности является правило, обязывающее администратора ЛВС производить блокировку учетной записи пользователя в случае его болезни или увольнения. Также должны быть заблокированы гостевые учетные записи, присутствующие по умолчанию в операционных системах и СУБД.
Таким образом, пользовательский уровень безопасности вводит дополнительный барьер на пути несанкционированного доступа к ресурсам ПЦ и позволяет проводить разделение ресурсов на основе ролей, описанных в политике безопасности ПЦ.
Описанные меры безопасности позволяют усилить безопасность в сетевой инфраструктуре ПЦ. Но, как и на любом предприятии, в ПЦ существует прикладное программное обеспечение, на которое возлагается основная функциональная обязанность. Даже если будут приняты все меры по обеспечению безопасности сетевого и пользовательского уровня, брешь в системе безопасности уровня приложений позволит получить доступ к самой важной составляющей ПЦ — данным о платежных картах, к которым в итоге стремится потенциальный злоумышленник. Приведенный выше печальный пример бреши в системе безопасности уровня приложений с терминалами самообслуживания помог злоумышленнику получить данные по платежным картам, причем он не нарушил ни один из периметров защиты самого ПЦ.
Таким образом, безопасность уровня приложений можно оценить как один из самых важных пунктов в обеспечении сетевой безопасности ПЦ в целом.
Какие меры необходимо принять для снижения такого рода угрозы? На этот вопрос в первую очередь поможет ответить относительно недавно принятый стандарт в области защиты данных PA DSS[109]. Данный стандарт описывает предъявляемые требования к программному обеспечению, работающему с данными о платежных картах. После принятия данного стандарта каждый из поставщиков решения для работы с пластиковыми картами обязан будет иметь сертификат соответствия данному стандарту. Данный сертификат должен быть предъявлен в ходе проверки ПЦ на соответствие требованиям PCI DSS.
