Lijnmanagers stellen steeds hogere eisen aan de betrouwbaarheid van de informatie-infrastructuur, omdat deze vaak van groot belang is voor hun primaire bedrijfsprocessen. Deze processen zijn meer en meer afhankelijk van een goed functionerende infrastructuur, die bovendien almaar complexer wordt. Een medewerker van Tims Infra Consultancy beschrijft een ordeningskader voor de informatie-infrastructuur, dat als kapstok kan dienen voor een beveiligingsplan.
Politie Haaglanden heeft een beveiligingsplan uitgewerkt en heeft het ingebed in de technische infrastructuur; zowel voor het ontwikkelen van communicatiebeleid als voor het opstellen van een consistente set van beveiligingsmaatregelen en -voorzieningen. Hierbij is aansluiting gevonden bij het infra-paradigma van Communicatie Infrastructuur Management (CIM) [1].
Het regiokorps Politie Haaglanden is ontstaan uit een samenvoeging van een aantal voormalige gemeente- en rijkspolitie corpsen. Als gevolg van de regionalisering werd het regiokorps geconfronteerd met een grote pluriformiteit aan applicaties, gegevensbestanden, computerplatformen (DEC-Vax, IBM-AS/400, IBM-RS/6000, Wang-VS, Encore-Multimax), datacom-netwerken, telefooncentrales en mobilofoonsystemen. Ook de mate van beveiliging van de diverse systemen liep nogal sterk uiteen. Om de gehele bedrijfsvoering op elkaar te kunnen afstemmen werd al snel besloten de gehele informatie-infrastructuur grondig te herzien met als doelstelling een regiobrede uniforme informatie-infrastructuur. Hierbij waren standaardisatie en betrouwbaarheid de voornaamste beleidsuitgangspunten. Standaardisatie is, met name in complexe omgevingen, vaak een belangrijke randvoorwaarde voor beveiliging. Daarnaast maakten verschillende aspecten van het beveiligingsbeleid onderdeel uit van het infrastructuurbeleid.
Applicaties werken steeds vaker met elkaar samen. Hierdoor ontstaat meer wederzijdse afhankelijkheid en neemt de kans toe dat vertrouwelijke informatie onvoldoende afgeschermd is. De behoefte aan samenwerking en integratie maken het belangrijker kritisch te kijken naar de totale beveiliging van de informatie-infrastructuur. Door het opsplitsen van de informatie-infrastructuur in relevante elementen vereenvoudigt men de complexiteit.
Het netwerk bij Haaglanden
Voor de gehele regio Haaglanden ligt een netwerk, type lan/wan (local/wide area network). Het wan is gebaseerd op bandbreedte-‘managers’ en ‘-routers’. Voor alle wijzen van toegang tot het netwerk (direct op een lokaal netwerk, via inbelvoorzieningen, via koppelingen met het netwerk) geldt hetzelfde beveiligingsniveau. Autorisaties kunnen, als het om zeer gevoelige informatie gaat, gebonden zijn aan specifieke locaties.
In het kader van de beveiliging zijn diverse voorzieningen getroffen: mechanismen als ‘overflow’ (het overlopen, door te veel gegevens voor het aantal posities), ‘re-route’ (omleiding) en ‘fallback’ (om op terug te vallen bij onvoorziene omstandigheden); methoden om de toegang te beveiligen binnen het wan en het lan, de toegang tot de beheervoorzieningen en die tot het netwerk zelf. De bedoeling is dat de gebruiker aanlogt op het communicatiesysteem, waarbij dit aan de hand van de rechten toegang verschaft tot de geautoriseerde applicaties. Hiervoor is een speciale beveiligingsserver ingericht. De combinatie ‘hub/eaves dropping’ voorkomt dat er afgeluisterd kan worden. Aan de hand van communicatie-analyse [1], ‘end to end’-beschrijvingen is de ketenafhankelijkheid en kwetsbaarheid in kaart gebracht en zijn aan de hand van deze gegevens de nodige maatregelen en voorzieningen getroffen. Hoe eenvoudig is de netwerk-infrastructuur zelf te hacken? Hoe eenvoudig kan een crimineel de eigenschappen van de netwerkinfrastructuur veranderen, waardoor er allerlei beveiligingsvoorzieningen uitgeschakeld worden? Dit thema heeft bij het projectteam veel aandacht gekregen en er zijn dan ook diverse sessies met de leveranciers geweest voordat dit naar bevrediging geregeld was.
PC volgens NC-principe
Een ander onderdeel dat in het kader van beveiliging veel aandacht heeft gekregen was de PC. Deze is in grote lijnen ingericht volgens het NC-principe waarbij diskette- en printerpoorten bijvoorbeeld niet meer te gebruiken zijn. Op deze manier is het ongecontroleerd gebruik van diskettes opgelost.
Genoemde voorzieningen zijn op zichzelf niet bijzonder. Het gaat er meer om hoe men de informatie-infrastructuur structureert en hoe men op een evenwichtige manier op de diverse niveaus de nodige voorzieningen weet aan te brengen. Het heeft namelijk slechts beperkte zin als de ene laag wel goed dichtgetimmerd is en als in de daaropvolgende laag diverse achterdeuren open staan. Daarom is het zo belangrijk dat men door een ketenanalyse bepaalt wat er op de diverse niveaus gedaan moet worden. Op deze manier is er sprake van een integrale beveiliging.
Integrale beveiliging
Door de toenemende integratie van informatie- en communicatiesystemen voldoet een verdeling in bijvoorbeeld lan, wan, PC, mainframe, Unix-systeem etcetera niet langer. Gekozen is daarom voor een ‘lagenmodel’. Kenmerkend voor dit lagenmodel is de facilitaire gedachte: het eerder genoemde infra-paradigma. Dit houdt in dat elke laag facilitair is aan de laag erboven. De applicatielaag is bijvoorbeeld dienstbaar aan de bedrijfsprocessen. Elke laag maakt dus gebruik van de diensten van de onderliggende laag.
In het kader van een integrale aanpak is het dan ook noodzakelijk om op elke laag aandacht te besteden aan de beveiliging. Aan de hand van de ketenanalyse moet men komen tot een evenwichtig stelsel van maatregelen op de diverse niveaus van de informatie-infrastructuur. Volgens het infrastructuurmodel [1] is onderscheid aan te brengen in de volgende drie beveiligingsniveaus: applicatie, gegevens en technische infrastructuur.
Applicatiebeveiliging – op dit niveau houdt dat ondermeer in: identificatie en authenticatie, ‘logging’ (het logboek), instellen van autorisatieniveaus (autorisatiematrix), controle op invoer, enzovoort (application controls).
Gegevensbeveiliging – dit houdt ondermeer in: data-encryptie, integriteitsbewaking, afscherming van gegevensdragers en backup-voorzieningen.
Gegevensverzamelingen zijn in drie typen te onderscheiden: applicatie-specifieke bestanden, gemeenschappelijke bestanden en databases. Bij het eerste type heeft iedere applicatie zijn eigen specifieke bestand. Hierdoor ontstaan vaak problemen zoals het in meervoud voorkomen van dezelfde gegevens (redundantie) met het gevaar van inconsistentie (integriteitsprobleem). Daarnaast is uitwisseling van gegevens vaak niet eenvoudig. In het geval van gemeenschappelijke bestanden kunnen meerdere applicaties dezelfde bestanden raadplegen.
In een database zorgt een management-systeem (dbms) voor de toegang van de applicaties tot de gegevens. Een dbms heeft vaak zijn eigen mogelijkheden om de toegang te beveiligen op het gebied van: identificatie, authenticatie, autorisatie, encryptie en controle op de technische integriteit van de gegevensstructuren. Indien men de toegangsbeveiliging op het niveau van een relationeel databasemanagement-systeem (rdbms) regelt, wordt de mogelijkheid uitgesloten om via een achterdeur (bijvoorbeeld een programma dat database bestanden kan lezen) toch ongeautoriseerd gegevens te benaderen.
Nog een enkele opmerking over de gegevensdragers waar rekening mee gehouden moet worden. Beveiligingsmaatregelen zijn afhankelijk van de gevoeligheid van de gegevens. Voor het aanmaken, vermenigvuldigen, opbergen, verstrekken en vernietigen van gegevens zijn specifieke maatregelen nodig. Vaak wordt een indeling gemaakt in gevoeligheidsklassen, het zogenoemde classificeren of rubriceren.
Beveiliging systeemprogrammatuur
De beveiliging van de technische infrastructuur wordt gesplitst in die van de systeemprogrammatuur, de computerinfrastructuur, het netwerk, de bekabeling en transmissie. De infrastructuur van de systeemsoftware bestaat uit een veelheid van programma’s. Het omvat naast software voor de besturing van het systeem ook programmatuur voor de communicatie, de netwerkinterface, het beheer en de beveiliging.
Het gaat hier niet alleen om systeembesturingsprogramma’s als Unix, Dos etcetera, maar ook om (netwerk-) communicatieprogrammatuur als Novell, Windows-NT en Banyan Vines. Ook interfaces als ‘application program interfaces’ (api’s) en ‘remote procedure calls’ (rpc’s) behoren tot de infrastructuur van de systeemsoftware. De beveiliging ervan kan geschieden door: identificatie en authenticatie van de gebruiker; verlenen van toegangsrechten aan gebruiker of programmatuur; wederzijdse authenticatie tussen werkstation en server; encryptie en ‘logging’.
Beveiliging die in de systeemprogrammatuur is ingebed, mag niet worden doorkruist door applicatie-programmatuur (achterdeurconstructie). Indien wordt gekozen voor encryptie is encryptie op het niveau van de systeeminfrastructuur een optie. Andere oplossingen zijn: encryptie op applicatieniveau (end-to-end encryptie) of link-encryptie. Wanneer men kiest voor encryptie, moet men de voor- en nadelen van deze opties overwegen.
Beveiligingsprogrammatuur vormt een aanvulling op die van de systeembesturing en biedt mogelijkheden als: identificatie, authenticatie, (uitgebreide) autorisatiemogelijkheden, auditing en encryptie van gegevens. Er zijn diverse pakketten op de markt voor met name de Dos/Windows-omgeving, die zowel in een standalone- als in een netwerkomgeving te gebruiken zijn.
Afscherming computerinfrastructuur
De keuzen die men voor beveiliging op het niveau van de computer-infrastructuur moet maken zijn verschillend van aard. Bij mainframes of midrange-computers rijst de vraag of die niet een dubbele uitvoering vragen (fault tolerant), of ze in fysiek gescheiden ruimten moeten staan, of een uitwijksysteem vereist is en of een scheiding van productie en ontwikkeling gewenst is.
Voor servers (bijvoorbeeld fileservers) speelt de overweging van een geconditioneerde ruimte en de vraag of er voorzieningen getroffen moeten worden bij stroomuitval of bij andere rampen als ‘fall back’. Ook hierbij is het aan te bevelen na te denken over een eventuele dubbele uitvoering (geheel of gedeeltelijk).
Bij PC’s komen weer andere vragen een de orde: moeten ze wel of niet standaard ingericht worden, moeten poorten (parallelle poort, seriële poort, diskettepoort) wel of niet afgesloten zijn, en is het wel zinvol alle PC’s aan het netwerk te koppelen? Voor printers gelden de volgende afwegingen: moeten ze wel of niet in een voor het publiek toegankelijke ruimte staan, en is het delen van printers tussen verschillende groepen voldoende doordacht?
Indien men de diskettepoort en de communicatiepoorten van een PC in een netwerk niet afsluit, neemt men grote risico’s. Met name in grote netwerken is de informatiestroom via deze poorten niet te controleren. Met eenvoudige programma’s kan men grote hoeveelheden gegevens downloaden via de communicatiepoorten. Verder is het mogelijk om allerlei (ongewenste) programmatuur op de PC of de servers te installeren. Het probleem bij bovengenoemde maatregel is wel een grote inperking van functionaliteit. Daarom is het verstandig om bepaalde sleutelpersonen in de organisatie vrij te laten in het gebruik van de diskettepoort en de communicatiepoorten.
Maatregelen voor het netwerk
De netwerkinfrastructuur verzorgt de overdracht, routering en adressering van data. Ter beveiliging van de infrastructuur is het zeker niet overbodig ook de nodige aandacht te besteden aan het netwerk zelf. Dit kan ondermeer met inkiesbeveiliging en gesloten gebruikersgroepen. Ook de keuze voor een bepaalde netwerktopologie (ster, boom, ring, bus, maas) kan een bijdrage leveren aan veiliger werken. Scheiding van datastromen door segmentering van het netwerk kan eveneens de veiligheid verhogen. Andere middelen zijn het plaatsen van ‘hubs’ met ‘eavesdropping’, dit is het voorkomen van het ‘luisteren’ naar alle verkeer op een poort door het coderen van data. Het aanbrengen van beveiligde koppelingen met externe netwerken door middel van een ‘firewall’ helpt eveneens.
Het beveiligen van de transmissie geschiedt met behulp van ondermeer encryptie, en die van de bekabeling door middel van afscherming van de kabel. Voorts dient men stil te staan bij keuzes als het medium (koper of glas); de aansluitingen (huurlijnen versus eigen lijnen) en de kabelarchitectuur. Encryptie kan in de bekabelings- en transmissie-laag worden geïmplementeerd. Het is echter ook mogelijk om deze voorziening in een andere laag aan te brengen, bijvoorbeeld op het niveau van gegevens- of applicatie-beveiliging.
Hetzelfde geldt voor toegangsbeveiliging. Op welk(e) niveau(s) moeten identificatie- en authenticatiemechanismen (en de bijbehorende mechanismen als logging, autorisatie) geïmplementeerd worden? Dit kan op applicatieniveau, maar ook op gegevensniveau en op het niveau van de systeemprogrammatuur. Er zijn faciliteiten zoals ‘single signon’ mogelijk, waarbij een gebruiker slechts éénmaal behoeft in te loggen.
Consistente voorzieningen
In elke laag zijn beveiligingsvoorzieningen aan te brengen. Van belang is dat deze voorzieningen consistent zijn. In een schema, waarbij alle relevante componenten met de onderlinge relaties wordt weergegeven, kunnen vervolgens de componenten en hun relaties worden geanalyseerd. Met behulp van datzelfde schema kan de set van voorzieningen in de diverse lagen op consistentie worden getoetst, bijvoorbeeld aan de hand van een ‘end-to-end’ analyse.
In deze analyse van de gehele keten zijn ook de paden meegenomen waarlangs ongeautoriseerde toegang tot informatie mogelijk is. Het analyseren van beveiligingsvoorzieningen is per laag van belang en kan tot op zekere hoogte autonoom geschieden. Bovenal is het van belang de relatie met de andere lagen niet uit het oog te verliezen.
Ir J.H. Snelders, directeur Tims Infra Consultancy
ing. J.C. Jaarsma, consultant bij Tims
W.J. Huurman RSE, beleidsmedewerker Politie Haaglanden
Literatuur
[1] J.G. Snelders: Communicatie Infrastructuur Management. Lansa Publishing, 1995.
[2] Handboek Informatiebeveiliging. Uitgave Directie Interbestuurlijke Betrekkingen en Informatievoorziening, Ministerie van Binnenlandse Zaken.
[3] Handboek Afhankelijkheids- en kwetsbaarheidsanalyse. Advies en Coördinatiecentrum Informatiebeveiliging, juli 1996.
[4] Voorschrift Informatiebeveiliging Rijksdienst. Uitgave Directie Interbestuurlijke Betrekkingen en Informatievoorziening.
[5] Regeling Informatiebeveiliging Politie. 1 april 1997.