Cel testów wydajnościowych

Celem testów jest określenie wydajności oraz stabilności  dla Systemu aplikacji, który w środowisku produkcyjnym będzie wykorzystywany przez wielu pracowników oraz jego klientów.

Przekładać będzie się to na możliwość obsłużenia określonej ilości użytkowników. Kolejnym zadaniem będzie określenie wartości liczbowych charakterystycznych dla zdefiniowania wydajności systemu, w tym:

• Określenie maksymalnych ilości odwołań dla stabilnie pracującego środowiska
• Określenie wartości progowych dla użytego sprzętu w środowisku aplikacji
• Wyznaczenie wąskich gardeł

Test obciążenia będzie polegał na odzwierciedleniu pracy użytkowników przez oprogramowanie testowe. Ponieważ transmisja będzie polegała na wielokrotnym i równoległym wykonywaniu czynności symulujących działanie rzeczywistych użytkowników, konieczne jest zestawienie czynności przez nich podejmowanych, a uznanych za reprezentację ich zachowania co nazywamy „ścieżką postępowania użytkownika”.   

Na podstawie zbadanych ścieżek postępowań użytkowników określimy ilości użytkowników mogących pracować w Systemie

Podczas testu dokonujemy następujących pomiarów:

• total time – czas całkowity od rozpoczęcia operacji (przed nawiązaniem połączenia) do zakończenia połączenia (po zakończeniu odbierania danych od serwera www). Czasy liczone są w sekundach z dokładnością do setnej sekundy.
• connect time – czas nawiązywania połączenia (obejmuje tylko nawiązywanie połączenia TCP/IP)
• pretransfer time – czas od rozpoczęcia operacji do zakończenia negocjacji między klientem a serwerem (obejmuje także negocjacje kluczy SSL)
• start-transfer time – czas od rozpoczęcia operacji do przesłania pierwszego bajtu do klienta
• redirect time – czas od rozpoczęcia operacji do zakończenia przekierowania (odpowiada TT dla akcji w których następuje przekierowanie)
• datasize – ilość danych przesłanych w ramach jednej operacji (w bajtach)
• trafienia, ilość wywołań danego URLa

Testy Penetracyjne Sieci Informatycznych

Penetracyjne testy bezpieczeństwa systemów informatycznych mają na celu ukazanie faktycznych oraz potencjalnych błędów w architekturze, oprogramowaniu oraz użytkowaniu sieci komputerowych, które mogą zostać wykorzystane przez osoby niepowołane do zdestabilizowania pracy firmy, pozyskania poufnych informacji lub modyfikacji danych. W tym celu testowany system zostaje poddany serii kontrolowanych ataków, symulujących rzeczywistą próbę naruszenia bezpieczeństwa i stabilności sieci za pomocą Internetu. Ataki wykorzystują zarówno ogólnodostępne techniki i programy, jak i specjalistyczne narzędzia. W przypadku wykrycia słabych stron systemu jesteśmy gotowi na opracowanie propozycji bezpieczniejszych rozwiązań.

Kompleksowe testy penetracyjne obejmują:

• Testy istniejących zabezpieczeń hardwarowych
• Analiza zabezpieczeń softwarowych
• Testy bezpieczeństwa serwera WWW
• Testy systemu obsługi poczty
• Testy pozostałych dostępnych usług
• Analiza architektury sieci i możliwych dróg do systemów
• Testy typu Denial of Service

Testy systemu firewall

Od bezpieczeństwa systemu firewall zależy bezpieczeństwo wszystkich chronionych systemów komputerowych. We współczesnych sieciach komputerowych jest to najistotniejszy element polityki bezpieczeństwa, a jednocześnie najczęściej właśnie błędna konfiguracja firewalla pozwala potencjalnym hackerom uzyskać dostęp do systemu. Testy systemu firewall mają na celu wykazanie błędów w konfiguracji systemu analizującego dostęp do sieci.

Analiza bezpieczeństwa DNS

Jedną z najczęściej zaniedbywanych części systemu jest nie zabezpieczenie drogi prowadzącej do systemu routerów, sieci należących do dostawców usług internetowych (providerów), bezpieczeństwa konfiguracji serwera nazw DNS, jak i poprawności znajdujących się na nim wpisów (od których między innymi zależy to, gdzie zostanie skierowana poczta w razie awarii pierwszego serwera pocztowego). Tymczasem atakujący nie zawsze musi uzyskiwać dostęp do chronionej sieci, by przechwytywać i modyfikować informacje. Wystarczy, że będzie w stanie przechwycić przychodzący i wychodzący z sieci ruch. Dzięki temu może kontrolować pocztę, zmodyfikować informacje zwracane przez serwer WWW czy podszywać się pod inne, zaufane maszyny (spoffing). Podobnie może skończyć się przejęcie kontroli nad samym tylko serwerem DNS.

Testy bezpieczeństwa serwera WWW

Serwer WWW jest jednym z istotniejszych elementów sieci komputerowej. Jego poprawne, ciągłe funkcjonowanie oraz właściwa zawartość powinny być priorytetowymi założeniami przy realizacji polityki bezpieczeństwa. Jednocześnie trzeba pamiętać, że serwer WWW jest najczęstszym celem hackerów chcących zmodyfikować zawarte tam informacje. Aby uniknąć przykrych niespodzianek, opracowaliśmy szeroki zakres szczegółowych testów serwera WWW pod kątem stabilności i integralności.

Testy systemu obsługi poczty

Serwer poczty jest odpowiedzialny za zachowanie kontaktu firmy z klientami oraz pracownikami. Dlatego też bardzo istotne jest jego poprawne, niezakłócone funkcjonowanie, jak również poufność wszelkich informacji przepływających przez system obsługujący pocztę. Zakres przeprowadzanych testów został dobrany tak, by uzyskać pewność, że serwer pocztowy nie może być nadużywany lub przekłamywany w jakikolwiek sposób.

Testy pozostałych dostępnych usług

Często firma decyduje się na udostępnianie innych, poza WWW i pocztą, usług – na przykład serwera FTP pozwalającego na wygodny dostęp do archiwów plików, protokołów dostępu do poczty dla użytkowników (POP3 lub IMAP) itp. Zdarza się także, że pewne usługi są udostępniane bez wiedzy administratorów sieci – na przykład na skutek samowolnych działań pracowników lub braku doświadczenia przy konfiguracji i zarządzaniu siecią. Opracowane testy mają na celu odnalezienie wszystkich usług oraz analizę zagrożeń, jakie ze sobą niosą.

Analiza architektury sieci

Wiedza o wewnętrznej strukturze sieci może stać się dla atakującego nieocenionym źródłem informacji przy planowaniu ataku z wykorzystaniem inżynierii społecznej. Prawidłowo skonfigurowana i zarządzana sieć powinna o ile to możliwe nie dostarczać jakichkolwiek informacji o swojej wewnętrznej architekturze. Przeprowadzane testy pozwalają na ocenę wartości informacji możliwych do uzyskania przez atakującego.

Wyszukiwanie innych dróg do systemu

Często nawet administratorzy sieci komputerowych nie są w stanie przewidzieć pomysłowości swych użytkowników i tego, na jak wiele sposobów zaatakować może hacker. Firmy inwestują tysiące złotych w najwymyślniejsze systemy ochrony sieci, które okazują się być bezwartościowe, ponieważ użytkownicyi, próbując ułatwić sobie pracę, zupełnie nieświadomie otwierają furtki do systemu dla włamywaczy. Dlatego opracowaliśmy dodatkowy rodzaj testów – nie opierają się one na bezpośredniej analizie funkcjonowania systemu, którego bezpieczeństwo jest sprawdzane, lecz na próbach wykrycia innych, nieudokumentowanych dróg do systemu.

Audyt Bezpieczeństwa Wewnętrznych Systemów Komputerowych.

Testy penetracyjne ukazują zagrożenia dla sieci komputerowej mogącej nadejść z zewnątrz; internetu, sieci telefonicznej lub przy próbie wykorzystania wiadomości posiadanych przez pracowników. Tym niemniej, nie są w stanie wychwycić wielu nieprawidłowości, które pozostają w utajeniu dzięki sprawnemu funkcjonowaniu innych rozwiązań zabezpieczających. Na przykład sprawnie funkcjonujący firewall nie pozwoli przy ataku z zewnątrz zaobserwować nieprawidłowości w konfiguracji stacji roboczych, które chroni. Jednak gdy pewnego dnia odkryta zostanie technika ominięcia jego zabezpieczeń, dotychczas ukryte błędy ujawnią się, pozwalając hackerom zdobyć kontrolę nad siecią.
Dlatego firma Sokra-NET oferuje oprócz testów penetracyjnych także inną usługę -wewnętrzny audyt bezpieczeństwa.
Wewnętrzny Audyt bezpieczeństwa opiera się na dogłębnej analizie wszelkich zastosowanych rozwiązań polityki bezpieczeństwa, włączając w to zarówno funkcjonowanie systemów komputerowych jak i procedury funkcjonujące w danej firmie. Zapewnia kompletne i niezwykle szczegółowe opracowanie wszelkich aspektów bezpieczeństwa i wczesne stwierdzenie wszelkich nieprawidłowości w funkcjonowaniu całego systemu.

Audyt zostaje podsumowany szczegółowym raportem zawierającym:

• Opis, zakres i cel przeprowadzonych analiz
• Listę zaobserwowanych nieprawidłowości w budowie oraz funkcjonowaniu sieci komputerowych
• Wynikające z nich potencjalne konsekwencje dla bezpieczeństwa sieci
• Specjalnie opracowane zalecenia, pozwalające zlikwidować problem
• Zalecenia dotyczące procedur postępowania funkcjonujących w firmie

Audyt bezpieczeństwa obejmuje:

• Szczegółowe testy bezpieczeństwa maszyn znajdujących się w sieci
• Kompletną analizę budowy i funkcjonowania sieci komputerowej
• Symulację naruszenia bezpieczeństwa systemu
• Analizę procedur postępowania funkcjonujących w firmie

Szczegółowe testy bezpieczeństwa maszyn znajdujących się w sieci.

Jednym z istotniejszych problemów jest zapewnienie odpowiedniego poziomu bezpieczeństwa wszystkim maszynom należącym do danej sieci. Odpowiednio wczesne podjęcie wymaganych działań uchroni nas przed konsekwencjami przełamania pierwszego frontu, jakim za zwyczaj jest system firewall, a także pozwoli upewnić się, że nawet w przypadku takiego ataku sieć pozostanie bezpieczna.

Testy bezpieczeństwa maszyn znajdujących się w sieci obejmują:

• Kompletną analizę konfiguracji maszyny ze szczególnym naciskiem na aspekty bezpieczeństwa
• Poszukiwanie śladów wcześniejszej działalności hackerów pozostawionych furtek (backdoorów)

Kompletna analiza budowy i funkcjonowania sieci komputerowej

Czasem mimo poprawnej konfiguracji poszczególnych maszyn należących do sieci, pozostaje ona wciąż narażona na ataki. Wynika to z nieprawidłowej architektury całego systemu, pozwalającej na przykład na przejęcie kontroli nad całym ruchem w sieci po uzyskaniu dostępu do tylko jednego komputera. Analiza budowy i funkcjonowania sieci ma za zadanie odpowiednio wczesne stwierdzenie wszelkich potencjalnych błędów popełnionych podczas projektowania oraz eksploatacji sieci komputerowej. Analiza obejmuje:

• Stworzenie szczegółowych map sieci komputerowej w firmie
• Analiza zastosowanych rozwiązań sprzętowych (switche, routery) i testy ich bezpieczeństwa
• Opracowanie szczegółowego raportu funkcjonowania sieci wraz ze wskazaniem nieprawidłowości i zaleceniami dotyczącymi dalszego postępowania

Symulacja naruszenia bezpieczeństwa systemu

Istotnym problemem jest postępowanie po stwierdzeniu ataku hackerów. Czy istnieje świadomość, jakie działania należy podjąć, by stwierdzić włamanie, zebrać wszelkie niezbędne dowody, przywrócić system do stanu pierwotnego i upewnić się, że ponowny atak nie będzie możliwy? Jednym sposobem przekonania się jest symulacja rzeczywistego ataku.
Naruszenie bezpieczeństwa obejmuje ona:

• Upozorowanie rzeczywistego naruszenia bezpieczeństwa systemu komputerowego
• Sesję z udziałem ‚hackerów’ oraz osób odpowiedzialnych za bezpieczeństwo systemu, podczas której dochodzi do zasadniczej konfrontacji

Analiza procedur postępowania funkcjonujących w firmie

Poza sytuacjami krytycznymi, jak włamanie, równie istotne są procedury postępowania przyjęte podczas codziennej pracy w firmie. Analiza owych procedur ma za zadanie ukazać wszelkie nieprawidłowości popełniane przez pracowników, niedociągnięcia oraz nieprawidłowości podczas korzystania z sieci komputerowych.
Testy obejmują:

• Analizę procedur zarządzania siecią pod kątem bezpieczeństwa
• Analizę metod pracy i korzystania z sieci komputerowej
• Stworzenie szczegółowego raportu wraz z zaleceniami dotyczącymi dalszego postępowania

System Zarządzania Bezpieczeństwem Informacji (ISO 27001) – SZBI

W ostatnich latach, w dobie rosnącej konkurencji, coraz więcej firm i instytucji zauważa, że dla prawidłowo funkcjonującego przedsiębiorstwa oprócz klasycznych filarów, takich jak posiadane środki finansowe, unikalna technologia, dobre zarządzanie czy szerokie rynki zbytu coraz większe znaczenie ma właściwie pojmowana ochrona danych wewnętrznych firmowych.

Wiodące przedsiębiorstwa coraz częściej obejmują stosowną ochroną niemalże wszystkie aspekty swojej działalności.

W szeroko pojętej polityce bezpieczeństwa dla się wyróżnić trzy zasadnicze poziomy:

Poziom I – dotyczy globalnej polityki bezpieczeństwa w instytucji, który definiuje podstawowe zasady bezpieczeństwa oraz wytyczne dla całej instytucji. Na tym poziomie określa się bezpieczeństwo instytucji w ogólnym zakresie, który obejmuje sobą przede wszystkim ogólne zasady ochrony np. ciągłości procesów biznesowych, zdolności produkcji i świadczenia usług, reputacji firmy, zawartych umów handlowych, obowiązujących w danej instytucji aktów prawnych, danych osobowych i szeregu innych.

Poziom II – dotyczy podziału na poszczególne chronione segmenty:

• Bezpieczeństwo Fizyczne,
• Ochronę Tajemnicy Przedsiębiorstwa,
• Bezpieczeństwo Personalne,
• Ochrona Danych Osobowych,
• Ochrona Tajemnicy Podmiotów Trzecich,
• Ochrona Systemów Informatycznych

Poziom III – Wytyczne szczegółowe i procedury obowiązujące w danej instytucji.

Powszechnie wiadomo, że bezpieczeństwo w instytucji jest na takim poziomie, na jakim zostały zorganizowane zabezpieczenia dla najsłabiej chronionego obszaru.

Jak pokazuje praktyka, oprócz nielojalności czynnika ludzkiego, który stanowi najpoważniejsze zagrożenie dla bezpieczeństwa firmy, na drugim miejscu pod względem ryzyka plasują się systemy informatyczne a dokładniej ich niski poziom zabezpieczeń przed ingerencją z zewnątrz.

Zatem politykę bezpieczeństwa instytucji w zakresie systemów informatycznych można zdefiniować jako zbiór praw, reguł i wskazówek praktycznych, które precyzują jak aktywa informatyczne – w tym informacje wrażliwe – są zarządzane, chronione i dystrybuowane w instytucji i w jej systemach informatycznych.

Pod pojęciem aktywa informatyczne rozumie się następujące zasoby: personel informatyczny, oprogramowanie, sprzęt komputerowy, oraz wszelkiego rodzaju dokumenty przechowywane w formie elektronicznej lub na nośnikach innych niż papier a dotyczące eksploatacji tychże systemów oraz ich zabezpieczeń.

W przypadku ochrony systemów informatycznych, przedmiotem zainteresowania jest przede wszystkim ochrona informacji wrażliwych wewnątrz konkretnego systemu.

Cele, strategie i polityka bezpieczeństwa dla danego systemu informatycznego wyrażają to, czego się od nich oczekuje tzn. spełnienia następujących atrybutów bezpieczeństwa:

• poufności,
• integralności,
• dostępności,
• rozliczalności,
• autentyczności,
• niezawodności.

Aby osiągnąć zakładane wyżej cele należy spowodować opracowanie szczegółowego planu zabezpieczenia dla danego systemu informatycznego zwanego dalej Ochroną Systemów Informatycznych.

Proces nadzoru nad systemem informatycznym

Wprowadzenie procesu nadzoru nad systemem informatycznym zapewnia jego sprawne i w pełni kontrolowane działanie.

Cel procesu:

• sprawowanie nadzoru nad systemem informatycznym przez monitorowanie i usuwanie awarii sprzetu komputerowego
• osiagnięcie czasu skutecznego usuwania awarii w założonym czasie
• określenie praw i obowiazków użytkowników systemu informatycznego

Dlatego oferta firmy Sokra-NET obejmuje:

• kompleksowy przegląd systemu informatycznego
• wdrożenie polityki bezpieczeństwa
• opracowanie wytycznych administrowania systemem informatycznym
• opracowanie instrukcji użytkowania systemu informatycznego
• opracowanie instrukcji kontroli dostępu do systemu informatycznego
• opracowanie instrukcji kontroli antywirusowej w systemie informatycznym
• opracowanie instrukcji kopii bezpieczeństwa w systemie informatycznym

Bezpieczeństwo informacji i danych, w polskich firmach nie należy do grupy zagadnień traktowanych jako podstawowe w kształtowaniu strategii zarządzania jak również codziennej pracy. Doświadczenia firm światowych w tym względzie nie do końca są znane, skoro podanie do wiadomości faktu związanego z utratą baz danych, może w istotny sposób podważyć zaufanie klientów. Można spróbować oszacować straty przedsiębiorstw związane z kradzieżą wartości intelektualnych. Także w Polsce staje się powszechne zjawisko kradzieży firmowej własności intelektualnej. Rodzime organizacje, w zdecydowanej większości przypadków bagatelizują znaczenie właściwego podejścia do zabezpieczania swojej własności. Wiodące organizacje światowe traktują systemowe rozwiązania dotyczące bezpieczeństwa informacji jako podstawę działalności rynkowej. Coraz częściej także klienci domagają się gwarancji bezpieczeństwa powierzanych danych, czy też informacji dotyczących zlecanych do realizacji przedsięwzięć. Wychodząc na przeciw tym potrzebom, firma Sokra-NET, oferuje dobezpieczenia i audyty systemu informatycznego zgodnego z normami ISO 9000. Polega on na przygotowaniu dokumentacji technicznej systemu informatycznego w której skład wchodzą:

• schemat architektury systemu informatycznego (stan obecny i planowany)
• spis sprzętu (hardware – serwery, stacje robocze, drukarki, routery, itp)
• spis oprogramowania (software – systemy operacyjne, programy narzędziowe, edytory tekstu, oprogramowanie komunikacyjne, itp.)
• zestawienie licencji użytkowanego oprogramowania
• lista oprogramowania specjalistycznego rozwijanego przez pracowników na potrzeby organizacji
• obowiązki administratorów systemu
• schemat kontroli logów systemowych
• schemat konserwacji stacji roboczych
• ewidencja użytkowników systemu informatycznego
• procedury antywirusowe
• procedury wykonywania i testowania kopii zapasowych
• wytyczne dla systemu doboru haseł
• plan audytów wewnętrznych i zewnętrznych

Wdrożenie opracowania obejmuje przeszkolenie i zapoznanie pracowników z przyjętymi zasadami korzystania z systemu informatycznego, oraz zapoznanie osób odpowiedzialnych za aktualizacje dokumentacji z zakresem obowiązków.

Dodatkowo firma Sokra-NET proponuje przeprowadzenie szkoleń na temat bezpiecznego użytkowania systemów informatycznych. Program szkolenia obejmuje:

• wyjaśnienie podstawowych pojęć zakresu bezpieczeństwa sieci
• zapoznanie z technikami bezpiecznego przesyłu informacji
• prezentacje najpopularniejszych technik uzyskiwania nieautoryzowanego dostępu do danych
• wdrożenia polityki bezpieczeństwa