Раздел: Документация

0 ... 23 24 25 26 27 28 29 ... 125

Рекомендуется включить в него следующие пункты:

О запрет на установку на компьютере любых приложений, не одобренных и не приобретенных компанией, в том числе «нелегальных» копий программ и условно бесплатных (shareware) программ, загруженных из Internet;

О запрет на копирование приложений, принадлежащих компании, для работы с ними в другом месте, например на домашнем компьютере пользователя;

О требование выхода пользователя из системы при его отсутствии за компьютером. В качестве альтернативы для защиты оставленного без присмотра компьютера допустимо применять хранитель экрана с проверкой пароля;

О требование докладывать ответственному лицу о любой подозрительной активности;

О запрет на применение компьютера или приложений на нем для причинения беспокойства другому лицу или угроз в отношении него;

О запрет на использование электронной почты в личных целях;

О запрет на попытки доступа к данным, не связанным непосредственно с производственными обязанностями, иногда называемые зондированием сети (probing the network).

Если какой-либо из этих пунктов кажется вам слишком суровым, подумайте о том, к чему может привести его невыполнение. Так, существуют тысячи и тысячи бесплатных и условно бесплатных программ, загружаемых из Internet. Например, загрузка графических файлов, которые пригодятся для оформления документов компании, кажется не слишком опасной. Но что, если загруженный файл содержит вирус? Или эта программа является копией материала, защищенного авторским правом? Все ли пользователи способны принять правильное решение относительно того, какие файлы опасны, а какие нет?

Компьютерное «пиратство»

Проблема нелегального копирования программного обеспечения распространена достаточно широко. Многие пользователи не задумываются о том, что копируя программу на свой домашний компьютер, они совершают преступление. Важно, чтобы все пользователи понимали, что компьютерное пиратство может привести к серьезным последствиям. Если вам нужна помощь в организации антипиратской программы, посетите Web-сайт Software & Information Industry Association (Ассоциация производителей программ и информации} Http:// www.siia.net. Эта организация образовалась в результате произошедшего I января 1999 года слияния Software Publishers Association (SPA, Ассоциация распространителей программного обеспечения) и Information Industry Association (НА, Ассоциация производителей информации).

Приведенный выше список также неполон. Составьте собственный список с учетом бизнес-окружения, в котором работает ваша компания. Обсудите политику допустимых применений с менеджерами всех подразделений, чтобы понять,

---

чего они ожидают от сети, и попытайтесь создать набор правил, позволяющий пользователям выполнять свою работу, не нарушая безопасности сети и не вовлекая компанию в судебные издержки.

Строгая политика безопасности

Заметим, что политика безопасности должна быть разумной, а не чрезмерно строгой. Разумеется, следует запрещать действия, которые могут стать источником проблем безопасности, но необходимо убедиться, что пользователи смогут нормально выполнять свою работу. Столкнувшись со слишком жесткой политикой или бескомпромиссным администратором, пользователь будет искать другой способ добиться выполнения задачи, который создаст больше проблем, чем исходный. Когда пользователи требуют установки новой версии программы или запрашивают разрешения работать с какой-либо бесплатной утилитой, хороший администратор должен тщательно проанализировать их запросы. Если программа действительно полезна, вы можете установить ее в сети после тестирования в лабораторных условиях.

Постоянные и временные сотрудники

Хорошая политика безопасности - это первый шаг на пути к защите сетевых ресурсов от злоупотреблений и неправильного использования. Но сложно заранее предвидеть все возможные ситуации. Поэтому рекомендуется не только обратить внимание пользователей на особенности политики безопасности, но и дать им представление о том, каким образом она формулируется.

Одна из тем, которые стоит обсудить, - запрет на зондирование сети. Многие пользователи считают: «если сеть не закрыта, не будет ничего плохого, если я загляну в нее». Объясните им, что, конечно, имеется возможность закрыть часть информации от посторонних, но всегда есть вероятность упустить что-либо. Дайте пользователям понять, что им не следует просматривать что-либо, не относящееся к их производственным обязанностям. Это касается и принтерных распечаток. Читать выходящие из принтера чужие отчеты, пока вы ждете вывода своего задания печати, так же неприлично, как стоять за спиной у человека и просматривать его электронную почту.

Короче говоря, объясните пользователям, что их поведение на работе должно быть этичным!

При создании политики безопасности, которую необходимо прочитать и подписать всем штатным сотрудникам, прежде чем получить доступ к сети, не забудьте и про других возможных пользователей вашей сети.

Для участия в коротких проектах часто нанимают временных сотрудников, работающих по контракту. Кроме того, бывают случаи, когда дешевле заключать долговременные соглашения с лицами, не являющимися служащими компании. При формировании политики безопасности не следует забывать и о них. Если для таких пользователей создаются учетные записи, то они также должны прочесть и подписать политику безопасности компании.

---

ПРОЕКТИРОВАНИЕ 83

i "т.,......Jb..........

Политика брандмауэра

С политикой безопасности часто путают политику брандмауэра (firewall policy). После разработки политики безопасности и выбора сервисов и протоколов, которым будет разрешена работа через брандмауэр, и необходимых настроек, вы сможете принять решение о том, как реализовать эту политику. Межсетевой экран использует набор правил, определяющих, какие пакеты (в случае пакетного фильтра) или сервисы (в случае proxy-сервера или шлюза) будут работать через него. При этом выбирается одна из следующих двух стратегий:

О разрешить любой доступ, не запрещенный правилами; О запретить любой доступ, не разрешенный правилами.

Хотя может показаться, что эти две стратегии очень просты и почти не отличаются друг от друга, на самом деле это не так. При выборе первой стратегии вам придется создавать правила, которые бы учитывали все возможные запреты. Это не только приведет к необходимости иметь множество правил, но и заставит пересматривать их при появлении каждого нового протокола или сервиса, которые существующими правилами не охватываются.

Вторая стратегия проще и безопаснее. Запретив весь трафик и задав правила, разрешающие доступ через экран только для нужных протоколов и сервисов, вы будете в состоянии намного строже управлять брандмауэром. В подобной ситуации потенциальному нарушителю придется искать способ каким-то образом воспользоваться доступом в ограниченных вами условиях.

После выбора стратегии следует определить, каким сервисам будет разрешено работать через межсетевой экран и в каком направлении. Вы сумеете отобрать их на основе общей политики безопасности. Например, если вы хотите запретить загрузку программ из Internet, стоит заблокировать в межсетевом экране установку входящих соединений FTP. Если вы беспокоитесь о том, чтобы пользователи не применяли FTP для пересылки наружу конфиденциальных данных или программ, имеет смысл запретить передачу файлов по FTP. Аналогично можно ограничивать работу с другими службами, такими как Telnet или HTTP.

Для определения служб, на самом деле необходимых, важно действовать в тесном контакте с пользователями. Например, если полностью запретить работу с протоколом FTP, как вы будете получать обновления и исправления программ? Разумнее сделать исключение для одного укрепленного компьютера, доступ к которому будут иметь только определенные пользователи. Другое решение - выделить для этого компьютер, не подключенный к локальной сети и выходящий в Internet через модем.

Например, ваш список может состоять из таких правил:

О электронная почта может пересылаться в обоих направлениях, но должна

проходить через защищенный SMTP-сервер; О запрещена работа любых служб, требующих установки прямого соединения

между внутренним клиентом и внешним сервером. Все разрешенные службы

обязаны пользоваться proxy-сервером;

0 ... 23 24 25 26 27 28 29 ... 125