Раздел: Документация

0 ... 22 23 24 25 26 27 28 ... 125

Политика безопасности и стратегии создания """брандмауэра

Проектирование

В главе 1 межсетевой экран определялся как система компонентов, предназначенная для защиты ресурсов вашей локальной сети от вредоносных воздействий из Internet. Не следует подходить к выбору используемых компонентов и их настройке легкомысленно. Вы должны сесть, тщательно проанализировать требования к безопасности своей сети и создать проект брандмауэра, с помощью которого будет обеспечено строгое соблюдение политики безопасности.

Возможно, у вас возникнет искушение довериться продавцам и просто приобрести последнюю и наилучшую (по их словам) версию брандмауэра, но это не самое мудрое решение. В какой-то степени можно довериться представителю вашего постоянного партнера и положиться на сведения, которые он сообщает. Подобные долговременные отношения, как правило, подразумевают, что производитель не собирается продать вам нечто ради сиюминутной выгоды. Приобретя же брандмауэр у одной из новых компаний-производителей ПО, которые постоянно возникают на рынке, вы рискуете обнаружить, что эта компания не имеет достаточных ресурсов для его поддержки. Не исключено, что без такой поддержки вы окажетесь совершенно неподготовленными, если произойдет серьезное нарушение безопасности.

Имеет смысл создавать политику безопасности брандмауэра на основе политики безопасности компании. В отличие от последней, которая обычно содержит несколько документов и охватывает широкий спектр тем, политика безопасности брандмауэра описывает детали реализации брандмауэра с тем, чтобы были выполнены требования безопасности в отношении устанавливаемых через него соединений.

Политика безопасности компании

Что такое политика безопасности? Это всего лишь список того, что разрешено и запрещено делать на подключенном к сети компьютере. Хотя может создаться

---

впечатление, что речь идет об очень простой вещи, в действительности хорошая политика охватывает множество различных тем и во всех деталях описывает разрешенные пользователям действия и штрафы за нарушение требований. Подробное описание политики безопасности имеет единственный недостаток: существует опасность, что пользователи не совсем поймут ее или даже не дочитают до конца, если она окажется слишком длинной. Но лучше заранее предупредить их о недопустимых действиях, чем впоследствии спорить о деталях. Если у вас возникают какие-то сомнения на этот счет, посоветуйтесь с юристами своей компании.

Политика безопасности должна быть сформулирована в одном или нескольких печатных документах. Прежде чем сотруднику будет разрешено использовать любые компьютерные ресурсы, он должен ознакомиться с документами политики безопасности и подтвердить их прочтение. В большинстве крупных компаний эта функция возлагается на отделы кадров, и политика безопасности обычно состоит из нескольких документов, таких как политика сетевого подключения и перечень допустимых применений, которые сотруднику следует подписать. Кроме того, полезно включить в их число документ, описывающий действия, которые нужно предпринять в случае возникновения нештатной ситуации, связанной с нарушением безопасности.

Политика сетевого подключения

Политикой сетевого подключения должны быть определены типы устройств, разрешенные для подключения к сети. Например, позволяя подключение серверов и рабочих станций, вы можете запретить подключение к сети модемных серверов удаленного доступа. Аналогично в политике подключения к сети должны быть детально определены настройки систем, которые допускается подключать к сети. Эта политика может включать в себя следующие разделы:

О описание процесса установки и настройки операционной системы и приложений, а также их функциональные возможности, которые разрешено использовать;

О местоположение в сети (физической подсети) систем определенного типа и процедуру разрешения вопросов адресации в сети;

О требование об установке и регулярном обновлении антивирусного ПО;

О описание настройки прав пользователей и защиты ресурсов, обеспечиваемых операционной системой;

О процедуры, которым необходимо следовать для создания новой учетной записи пользователя, и аналогичные процедуры для ее удаления;

О запрет настаттовку дополнительных аппаратных или программных компонентов без одобрения сетевого администратора (или другого ответственного лица).

Этот список, конечно же, можно дополнить. Его содержимое должно отражать специфику подключения к сети в вашей компании. Например, имеют ли право пользователи подключать переносные компьютеры к локальной сети или они должны обмениваться данными с настольным компьютером при помощи дискет

---

либо других устройств хранения данных? Если подключение ноутбуков к сети разрешено, обязан ли каждый из них иметь собственный адрес или получать адрес при помощи DHCP? Далее, имеют ли право сотрудники подключать ноутбуки к другим сетям, скажем, к сети клиента при работе вне офиса?

Политика подключения к сети должна также описывать функции, для выполнения которых предназначены определенные компьютеры. Если в отделе может быть установлен Web- или FTP-сервер, полезно определить, в какой части сети его следует подключить. Например, удобно расположить его в описанной ниже демилитаризованной зоне (demilitarized zone), что позволит вашим клиентам получать к нему доступ через Internet и в то же время не позволит такому трафику проходить через внутреннюю сеть.

Что должна включать в себя политика безопасности?

Прежде чем приступать к созданию новой политики безопасности или обновлению существующей, полезно прочитать документ RFC 1244 «Site Security Handboob (Руководство по безопасности предприятия). Этот RFC содержит список типичных ресурсов сети и описывает возможные проблемы безопасности.

Допустимые применения

Из всего бизнес-оборудования настольные компьютеры, наверное, чаще всего используются не по назначению. Это означает, что кроме выполнения функций, нужных для работы, например приложений для редактирования текстов и баз данных, компьютер может служить для запуска игровых и других программ, не имеющих ничего общего со служебными обязанностями пользователя. Другому оборудованию, скажем, копировальным аппаратам или телефонам, также часто приходится исполнять неслужебные функции, но все же не в таких масштабах, как компьютерам. При подключении к Internet возможные злоупотребления такого рода возрастают многократно!

Естественно, что вас не слишком беспокоит, если сотрудник иногда позвонит врачу и подтвердит время визита или снимет копию со своей налоговой декларации. Такие действия обычно не приводят к большим финансовым потерям. Более того, в какой-то мере подобные «злоупотребления» можно рассматривать как небольшой бонус для сотрудников. Но расходы, связанные со злоупотреблением компьютерами, могут оказаться значительными. Достаточно, чтобы единственный пользователь просто запустил зараженную программу с дискеты, чтобы вирус смог распространиться по всей вашей сети. Для начала судебного преследования вашей компании хватит единственного клеветнического письма, которое один сотрудник перешлет по электронной почте другому сотруднику или какому-нибудь из важных клиентов.

Поскольку компьютеры обладают большим потенциалом для злоупотреблений и неправильного использования, важно четко определить что разрешено делать на компьютере, а какие действия являются неприемлемыми. Для этого удобно сформулировать допустимые применения в отдельном документе.

0 ... 22 23 24 25 26 27 28 ... 125