Часть іі. Практика Объект

В качестве объекта защиты я решила выбрать один из офисов крупной нефте-газовой корпорации «British Petrolium» (См. приложение 1).

BP plc
Тип:	публичная компания
Основана:	1908
Расположение:	Лондон
Ключевые фигуры:	лорд Джон Браун (главный управляющий)
Отрасль:	добыча, переработка нефти и газа
Оборот:	$295,2 млрд. (2005)
Чистая прибыль:	$26,8 млрд. (2005)
Число сотрудников:	102,9 тыс. человек (2004)
Веб-сайт:	http://www.bp.com/

BP — британская нефтегазовая компания, вторая по величине публично торгующаяся нефтегазовая компания в мире. Штаб-квартира — в Лондоне.

Основана в 1908 как Anglo-Persian Oil Company, с 1954 — British Petroleum Company. В 1998 British Petroleum слилась с American Oil Company (Amoco), образовав BP Amoco, после чего название British Petroleum перестало употребляться.

Главный управляющий компании — лорд Джон Браун.

На протяжении почти всего столетия British Petroleum играла ведущую роль в мировой экономике. Сегодня ВР - третья по величине нефтяная и нефтехимическая корпорация мира, обладающая богатым опытом научно-исследовательской и практической деятельности в ключевых областях нефтебизнеса.

Компания ведёт добычу нефти и газа во многих уголках земли, как на суше, так и на шельфе. BP владеет серьезными нефтеперерабатывающими и нефтехимическими мощностями, сетью АЗС, выпускает масла под маркой Castrol.

Подразделение компании BPSolar является мировым лидером в производстве и инсталяции фотоэлектрических элементов.

BP — один из основных игроков водородной энергетики. Компания строит водородные заправочные станции, поставляет для них водород. Участвует в различных водородных демонстрационных проектах по всему миру.

Объём добычи BP в 2005 — 1,47 млрд. баррелей нефтяного эквивалента (949 млн. баррелей нефти и 86,7 млрд. куб. м газа).

Общая численность персонала — 102,9 тыс. человек (2004). Выручка компании за 2005 составила $295,2 млрд., чистая прибыль — $26,8 млрд.

Причиной моего выбора является то, что офис нефте-газовой компании является одним из интереснейших объектов защиты. На серверах в офисе такой огромнейшей корпорации хранится немало ценнейшей информации, доступ к которой должен быть строго ограничен.

Предположим, что на сервере в данном конкретном офисе, который я буду защищать хранится информация о месторождениях нефти, газа, а также о некоторых крупных финансовых сделаках корпорации. Ценность такой информации сложно переоцинить.

Физическая защита

Офис расположен на четвертом этаже 16-тиэтажного здания.

Обектами защиты являются:

• серверная комната, в которой нахоится сервер, RAID-массиы, хранящие основные данные, резервные копии данных, маршрутизаторы, точки выхода в корпоративную сеть и в Internet, и т.д.;

• компьютеры в рабочей комнате, на посту охраны, в кабинетах и конференцзалах, т.е. оффисная сеть.

Некоторые меры защиты

Для защиты входной двери надо поставить на нее металлическую тяжелую дверь и камеру с кардридером или кодовой клавиатурой. Расположить пост охраны непосредственно в коридоре за или перед входной дверью. Установить вход по пропускам или по приглашению с записью в журнал.

Для охраны точек выхода в Internet или в корпоративную сеть небходимо установить аппаратные фаерволы. По-моему неплохим решением могут быть фаерволы Сіsco.

Для физического контроля за доступом к информации нужно:

• устновить электронные системы обнаружения, такие как камеры (как видимые, так и скрытые), видеомагнитофоны, дверные переключатели, детекторы движения, звуковые датчики, лучи фотоэлемента, контактные переключатели, инфракрасные сенсоры и беспроводные технологии, в целостную систему обнаружения. Тщательно следить за информацией о состоянии и местоположении всех установленных устройств;

• вести инвентарный список всего компьютерного оборудования, которое кто-нибудь может похитить, проникнув в систему (например, серверов, дисков, мониторов) и наклеить на эти устройства инвентарные номера корпорации или другие соответствующие идентификационные отметки. Ежегодно проверять наличие оборудования по записям в реестре. В случае несанкционированного проникновения в систему эти методы помогут определить, что пропало, и идентифицировать утраченную собственность;

• в BIOS запретить загрузку с дискет и компакт-дисков;

• не оставлять документацию о системах, архитектуре сети и паролях в общедоступном месте;

• защитить сетевые устройства, такие как маршрутизаторы, концентраторы и коммутаторы. Незаблокированный порт коммутатора может быть использован как точка входа в сеть.

Серверная комната хранит всю наиважнейшую информацию и потому требует дополнительных мера защиты. Вот комплекс мер необходимых для защиты сереверной комнаты с учетом конкретных особенностей защищаемого объекта:

1. Защита по периметру

Замки и двери. Надежный замок в двери центра данных - первая строка физического обеспечения безопасности. Порекомендую кодовый замок, который поддерживает безопасность на уровне пользователя. Надо установите различные комбинации для каждого пользователя и периодически менять их. Ввести процедуру блокировки доступа пользователя, который покидает компанию. Стандартные замки с ключами или кодовые замки с единственной комбинацией небезопасны, поскольку они не имеют достаточно возможностей регистрации, а потерять ключ или подобрать одну комбинацию достаточно легко. Лучше использовать замок, имеющий защитный экран, такой, что только пользователь, вводящий комбинацию, может видеть вспомогательную клавиатуру.

Замок нужно сконфигурировать для записи в журнал событий регистрации пользователей, входящих в закрытую область. Компании предоставляют блокирующие системы, которые поддерживают регистрацию. Эти замки имеют встроенный инфракрасный порт (IR), который можно задействовать для печати журнала событий и списка пользователей. Кроме того, можно использовать замки с магнитными картами и идентификационные бейджи (proximity badges), которые поддерживают регистрацию событий. Основной риск для любой системы, которая требует от пользователей ввода кода, наличия идентификационной карточки или ключа связан с тем, что не имеющие на самом деле прав доступа пользователи все равно могут его получить.

Дверь лучше выбрать металлическую: она должна быть достаточно надежна, чтобы выдержать удар плечом. Укрепить дверную раму и обшивку, петли расположить так, чтобы злоумышленники не могли снять дверь снаружи, или установите несъемные петли. Использовать для крепления петель и несущей конструкции длинные винты, уходящие в стену. Приварить гайки любых болтов, которые выходят на поверхность стальных дверей.

Окон в серверной комнате неимеется.

Потолки и полы. Чтобы продвигаться незаметно на несколько десятков метров при кражах со взломом в магазине, грабитель, как известно, использует пространство фальшпотолков и фальшполов. Надо продлите стены серверного помещения выше фальшпотолка и ниже фальшпола, чтобы соединить реальные потолок и пол. Кроме того, чтобы перекрыть возможность доступа для злоумышленников, на стенах, которые наращиваются до реального потолочного покрытия и пола, устанавливают датчики состояния окружающей среды (то есть уровня загазованности и температуры).

Стены, пол и потолок заэкранировать металлом

Электроэнергия. Если основные панели выключателей находятся возле центра данных (например, снаружи за дверью), перенести их, либо запереть. Один из возможных способов проникновения в систему – отключение энергии в надежде заблокировать сигнал тревоги и другое оборудование защиты периметра. Установить UPS для серверов и расположить оборудование контроля доступа так, чтобы иметь некоторую защиту на время отключения энергии.

2. Внутри центра данных

Безопасность шкафа. Большинство промышленных шкафов для сервера имеют блокировку передней и задней двери. Двери и замки могут быть усилены, но они одновременно мешают доступу при выключении серверов и дисководов.

Внешний контроль (мониторинг). Установить второй контрольный узел за пределами серверной комнаты. Этот узел подаст сигнал тревоги, если злоумышленник выведет из строя сетевое соединение или отключит первичное устройство, чтобы избежать сообщения из серверной. Установить и обслуживать второй контрольный пост надо, стараясь обойтись минимальным количеством сотрудников.

Создать вторую резервную копию данных и поместить в другое хорошо защищенное помещение. В корпорации должно быть общее место для храниния архивов.