|
Глава 6. Правила безопасности Internet
| |
|
Партнёры антивирусного сайта: |
| |
|
|
|
|
Правила безопасности Internet
довольно сложно разрабатывать из-за быстрого изменения технологий.
Вместо того, чтобы разрабатывать одно общее правило, разработчик
может подойти к разработке правил безопасности Internet, разбив
известные технологии на логические группы и создавая правило
для каждой области применения.
- 1. Подход к Internet.
- Прежде чем разрабатывать
правила для Internet, необходимо определить количество вопросов,
которые должны быть отражены в этих правилах. На первом
этапе необходимо разобраться в основах архитектуры, а также
понять значение брандмауэра и преобразования сетевых адресов.
- Следующий шаг заключается
в определении вспомогательных процедур, которые могут пропускаться
через шлюз. Чтобы понять, что именно рассматривать, может
оказаться полезным классифицировать вспомогательные процедуры
по типу протоколов, а также по их принадлежности к входящим
или исходящим процедурам.
- Затем необходимо определить
различия между приложениями-промежуточными звеньями, фильтрацией
пакетов и проверкой сохраняемых адресов на брандмауэре.
- 2. Административные обязанности.
- Правила, регламентирующие
административные обязанности, должны предписывать обеспечение
определенного уровня поддержки работы систем; должны являться
частью правил группы обеспечения правовых санкций.
- 3. Обязанности пользователей.
- Пользователи, конечно, могут
думать, что им вовсе не нужен инструктаж для доступа к Internet,
но в правилах должны быть требования по проведению инструктажа
для разъяснения служащим их обязанностей, описанных в правилах.
- Правила, рсгламентирующие
обязанности пользователей, должны разъяснять, в каком виде
организация желает быть представленной при посещении пользователями
различных узлов Internet.
- Большинство организаций заботятся
о представлении своей секретной или патентованной информации.
Для разъяснения того, каким образом работать с данной информацией,
необходимо разработать правила.
- Насколько это увлекательно,
настолько и полезно загружать извне условно бесплатное программное
обеспечение. Но такое удовольствие может обернуться бедой,
особенно в отношении защиты информации. В данных правилах
необходимо либо запретить загрузку условно бесплатных программ,
либо разъяснить администраторам, какие следует разработать
процедуры для работы с таким типом программного обеспечения.
- 4. Правила работы в WWW.
- Если организация располагает
собственной службой Web или пользуется внешними источниками,
из которых возможен доступ к сетевой инфраструктуре организации,
для защиты этого интерфейса также необходимо иметь соответствующие
правила.
- Правила защиты и сопровождения
сервисных программ и сценариев должны предписывать ревизию
этих программ на предмет безопасности и наличия ошибок.
Кроме того, необходимо рассмотреть сопровождение и обеспечение
защиты средств, поставляемых извне, используемых для поддержки
Web-услуг.
- В некоторых организациях
желают иметь правила управления информацией, находящейся
на Web-узле. В ином случае ответственным за данные и процессы
лицам предоставляется право определять, какой информацией
они должны управлять.
- Самый спорный аспект услуг
Web заключается в том, что могут делать ответственные за
информацию с собранной информацией. С этим проблем быть
не должно: необходимо ввести правила, которые сделают общедоступным
правило конфиденциальности, которым следует руководствоваться
при получении Web-услуг.
- При разработке правил работы
в Web нельзя забывать о пользователе. В правилах должна
быть короткая формулировка, в которой определена ответственность
пользователей при использовании ими Internet.
- 5. Ответственность за приложения.
- Ответственные за приложения
и процессы лица должны нести ответственность за пересылаемую
информацию, а также за ее надежность и обеспечение гарантий
того, что информация распространяется только среди пользователей,
которым даны соответствующие полномочия.
- Правила разработки приложений
могут зависеть от правил разработки программного обеспечения
или всего лишь предписывать руководствоваться в этом деле
передовым опытом.
- Для получения доступа к данным
следует запросить приложения, которые идентифицируют внешних
участников обмена через Internet, а также обеспечат расширенную
аутентификацию пользователей, обращающихся к Internet. Так
должны работать все приложения, получающие доступ к данным
организации.
- 6. Виртуальные частные сети,
экстрасети и другие туннели.
- Эти технологии нужны не всем
организациям. Для тех организаций, которым это необходимо,
правила могут выглядеть в виде простой формулировки, в которой
определены ключевые положения, которыми должна руководствоваться
организация.
- 7. Модемы и прочие лазейки.
- Еще один способ расширить
доступ к сети организации заключается в использовании модемов.
Помимо атак на отказы в обслуживании, проблема, которая
может вынудить администраторов не спать по ночам, заключается
в установке модема на неправильно сконфигурированной сети.
Для руководства тем, где и как устанавливать модемы, также
можно разработать правила.
- Те, кто организовал модемный
доступ к сети, должны позаботиться о разработке правил,
которые разрешат администраторам централизованный мониторинг
и управление этими модемами.
- Поскольку получить доступ
к модемам может кто угодно, было бы неплохо разработать
правила, которые предписывают строгую аутентификацию тех,
кто получает доступ к сети.
- 8. Применение PKI и других
средств контроля.
- Наиболее широко PKI используется
в электронной торговле, которая доступна через Web и броузеры.
Поскольку не рассматривается "реальный" PKI. то
этот вопрос можно рассматривать в правилах электронной торговли.
- Стандарты РКI и технологии
постоянно меняются, поэтому довольно сложно разработать
единое правило, которое будет удовлетворять при работе с
PKI.
- 9. Электронная торговля.
- В правилах электронной торговли
должна быть рассмотрена вся инфраструктура, которая задействована
в этом процессе. Вопросы, затрагиваемые правилами, могут
быть следующими.
- Хранение данных
- Идентификация и аутентификация
- Защита пересылки данных
- Методы обработки заказов
- Даже если организация при
ведении электронной торговли пользуется внешними источниками,
разработанные вами правила безопасности могут быть основой
для составления контрактов вашей организации с провайдерами
услуг.
|
|
| |
|
Партнёры антивирусного
сайта: |
| |
|
|
|
