10
первоочередных мер по повышению уровня безопасности вашей
сети
С самого начала необходимо сделать акцент на следующем:
безопасность -- это не техническая проблема, как склонны
утверждать некоторые. Безопасность является и всегда
являлась проблемой человеческого фактора. Так как данная
статья написана в большей части нетехническим языком,
руководство вашей компании, прочитав ее, сможет понять
что-то, что заставит их предусмотреть в бюджете больше
средств, необходимых для лучшей организации системы
безопасности.
1. Политика безопасности
Самым главным является выработка правил. Вам необходимо
осознать, что вы собираетесь защищать и почему. О политике
компаний в области безопасности говорится много, и на то
есть причина: этот вопрос действительно важен.
Иногда такая политика может быть поистине драконовской,
когда карманы и сумки у всех обыскиваются при входе и
выходе из здания. Компания может принять решение о контроле
электронных сообщений, чтении личных писем и их пересылке.
Эффективно? Возможно, но можно применять и какие-нибудь
обходные методы. Но какой настрой это создаст у ваших
работников?
Выработка политики безопасности является вашим долгом, и
частью этого процесса будет выяснение того, где находится
наиболее ценная информация, на каких серверах она хранится?
Имеются ли резервные копии? У кого они хранятся? Есть ли
копии наиболее важных файлов, и как ими распоряжаются? Кто
несет ответственность за этот процесс? Кто обеспечивает
защиту компании от наводнения, урагана или удара молнии?
Разработать политику безопасности непросто, а еще
труднее ее выполнять, но, тем не менее, это необходимо
сделать. Кроме этого, следует помнить, что также как и ваш
бизнес, разработка политики безопасности является
процессом, который должен постоянно развиваться и меняться
в соответствии с потребностями организации, по мере того,
как она растет и меняется.
2. Необходимость знать
своих сотрудников
Безопасность -- это, прежде всего, проблема людей, и
никакая технология в мире не поможет вам решить эту
проблему, если только персонал вашей компании не состоит на
100% из роботов.
Значительный процент удавшихся атак на компьютерные сети
вашей компании становится возможным благодаря тем, кому вы
доверяете -- вашим сотрудникам, а происходит это по целому
ряду причин, среди которых:
- Каким-то образом у них развивается позиция,
направленная против интересов компании, и они решают
что-то украсть или как-то подорвать ваш бизнес.
- Они уже не работают в компании, но знают, как
получить доступ к ее важным системам.
- Некто со стороны нанимает или завлекает их для
совместных действий с целью извлечения выгоды.
Наиболее часто встречающимися проблемами являются
простые ошибки, которые могут принести большой вред
неподготовленной компании. С грустью следует признать, что
мы приближаемся к тому моменту, когда нам необходимо знать
о своих работниках больше чем то, что они сообщают в своей
анкете при приеме на работу. На особо ответственных
объектах и в отношении администрирования сетей, возможно
следует рассмотреть вариант психологического тестирования
сотрудников для того, чтобы узнать, как они могут себя
повести в критической, с точки зрения безопасности,
ситуации (до того, как таковая произойдет), а также узнать
об их нравственных принципах, морали, склонностях и
предрасположенности. Разумеется, необходимо помнить, что на
потенциальных соискателей рабочих мест такая политика может
произвести впечатление того, что вы не доверяете своим
работникам. Но, с другой стороны, не забывайте, что в руках
у ваших системных администраторов находятся ключи к вашему
электронному царству. Это от их отношения и квалификации
зависит, будут ли ваши системы работать или рано или поздно
остановятся. Правило Caveat Emptor "покупатель действует на
свой риск" применимо также и к отношениям работодателя с
работниками.
3. Обучайте свой
персонал
Обучение работников и развитие их понимания и
осведомленности в области вопросов безопасности также
должно находиться среди первых пунктов вашей программы
безопасности. Постоянно держите ваш персонал в курсе всех
аспектов безопасности компании и того, как они могут стать
частью системы по обеспечению безопасности. 40% внутренних
нарушений правил безопасности не являются умышленными; они
вызваны случайностью, ошибкой, недосмотром или незнанием.
Ваша цель -- привлечение персонала на свою сторону так,
чтобы работники стали частью решения проблемы, а не частью
самой проблемы, и вашей обязанностью является обучить их
лучшим методам организации работ, корпоративной политике и
мерам по повышению уровня безопасности.
Необходимо научить своих сотрудников быть бдительными в
отношении событий и людей, каким-то образом способных
повлиять на безопасность, распознавать такие события и
людей, и осознавать, насколько важно оперативно сообщать о
них сотрудникам, ответственным за безопасность.
4. Внешняя безопасность
сетей
Внешняя защита сетей предотвращает получение
несанкционированного доступа.
Средства межсетевой защиты, такие как брандмауэр или
маршрутизатор представляют собой первую "линию обороны"
сети и должны использоваться при любых соединениях с
внешним миром. Надежные средства опознавания/идентификации
пользователя также очень важны. Будет ли это длинный, легко
запоминающийся пароль, который регулярно меняется или
жетонное средство идентификации, такое как смарт-карта, вам
необходимо иметь возможность знать, кто пытается получить
доступ к вашим сетям.
Многие компании настаивают на создании безопасного
дистанционного доступа к своим сетям. Для более безопасного
удаленного доступа к сети следует рассмотреть использование
шифрования и VPN -- виртуальной частной сети.
Частью внешней безопасности являются средства управления
защитой и их правильная конфигурация. Блокируйте все
неиспользуемые сервисы и сетевые протоколы. Поменяйте все
стандартные настройки, заданные "по умолчанию"
изготовителем и периодически оценивайте уровень полномочий
и права доступа пользователей. Помимо этого, нужно
разработать и применять политику и процедуру исключения
прав доступа бывших работников к любым ресурсам вашей сети
и используйте своего рода систему распознавания
проникновения, достаточно часто проверяя результаты ее
действия.
5. Тщательный анализ
системы защиты
Технические аспекты защиты не заканчиваются на
Интернет-узле или на периметре сети. Они распространяются и
туда, куда выезжают ваши сотрудники, а затем связываются
дистанционно с вашей сетью, а также и в компьютеры тех из
них, кто часть работы выполняет на дому. Помимо этого, ваша
сеть становится частью сетей ваших партнеров, поэтому их
проблемы безопасности могут превратится в ваши проблемы.
Вам необходимо рассредоточить средства безопасности по
всей вашей организации.
Возможно, это будут брандмауэры для изоляции особо
важных ресурсов различных отделов; механизмы контроля
доступа на главных компьютерах; средства обнаружения
проникновения и аномального поведения во всей сети.
Не забывайте обновлять ваше антивирусное программное
обеспечение, а ваши системные администраторы должны
устанавливать патчи (дополнительные программные коды для
исправления программной ошибки) на главные компьютеры,
операционные системы и приложения, как только такие патчи
появляются. Хакеры быстро находят или разрабатывают
средства обнаружения уязвимых мест в программных продуктах.
В корпоративных сетях в настоящее время применяются и
личные брандмауэры.
Периодически тестируйте уровень безопасности ваших
сетей. Меняются модели вашего бизнеса; ваши сети
развиваются, возрастает необходимость дистанционного
доступа. Проверяйте все аспекты безопасности вашего
предприятия, оценивайте влияние на безопасность новых
приложений до того, как они будут установлены, и, по
крайней мере, раз в год, проводите полный анализ
системы безопасности. Но даже если результаты анализа
будут удовлетворительными -- это не повод для
самоуспокоенности. Проверка безопасности -- это всего лишь
моментальный снимок состояния вашей системы.
Само собой разумеется, что процедура создания резервных
копий важных данных, файлов и приложений является
неотъемлемым компонентом хорошо организованной
системы безопасности. Сохранение пользователями
резервных копий больших файлов на дискетах является
трудоемким процессом, поэтому использование сетевых
архивных серверов, на которых автоматически создаются
резервные копии в нерабочие часы, является наиболее простым
решением данной проблемы.
6 -- Реагирование на
события, нарушающие безопасность
Событие, имеющее отношение к безопасности, может
представлять собой попытку группы хакеров взломать ваши
сети. И, наоборот, кто-либо внутри компании может
попытаться проникнуть в сеть своего бывшего работодателя,
прикрываясь вашим именем.
Неважно, о каком событии безопасности вам станет
известно, но самое плохое, из всего, что вы сможете
предпринять -- это проигнорировать такое событие. Политика
безопасности должна предусматривать меры реагирования на
непредвиденные события.
Ваша служба реагирования на чрезвычайные ситуации с
компьютерами (CERT) должна представлять собой группу людей
из состава вашей организации, которые совместно работают
над разрешением любых проблем безопасности и чрезвычайных
происшествий, а также взаимодействуют с организациями
обеспечения сетевой безопасности по всему миру и в вашей
отрасли так, чтобы бдительно реагировать на все события,
которые в какой-то степени могут быть взаимосвязаны.
7. Физическая защита
Физическая защита также является ключевой составляющей
информационной безопасности. Не следует забывать о самых
простых вещах. Кто имеет доступ к электрошкафам, шкафам с
телефонной разводкой и помещениям, где находится
коммутационный концентратор? Откуда вы знаете, что монтер
связи это действительно монтер связи -- только потому, что
он одет в соответствующую спецодежду?
Обеспечивайте физический контроль мусора до тех пор,
пока он должным образом не будет вывезен хорошо известной
вам компанией в место, предназначенное для утилизации
мусора.
8. Проверка нефизических
компонентов
- Так как компьютеры вашей компании объединены в сеть,
не следует позволять вашим работникам приносить свои
программы для использования их в работе, так как это
приводит к заражению систем вирусами. Также не следует
допускать, чтобы сотрудники уносили домой какую-либо
конфиденциальную информацию компании.
- Уничтожайте важные документы в бумагорезательной
машине или сжигайте их: такие как списки работников, их
идентификационные данные, документацию отдела кадров,
руководства по эксплуатации и описания действующих
информационных систем и процессов, файлы с данными о
клиентах, внутреннюю переписку и любые другие данные,
которые могут представлять интерес для посторонних.
- Снабжайте электронные носители с особо важной
информацией наклейками "конфиденциально".
- Определяйте разные уровни защиты и конфиденциальности
данных, соответствующим образом их помечайте и
обращайтесь с ними в соответствии с присвоенным уровнем.
- Следите за тем, чтобы работники закрывали на ключ
свои кабинеты, шкафы с документами и не оставляли важные
документы, разбросанными по столам.
9. Старайтесь быть в
курсе событий
Важно всегда быть в курсе последних новостей по теме
безопасности, в том числе тех, что публикуются в сети
Интернет. Во всемирной паутине можно найти десятки сайтов,
на которых сообщается об обнаруживаемых уязвимых местах
систем, а также есть много другой сопутствующей информации.
Слабые места в защите сетей могут возникать по самым
разным причинам, включая:
- Приложение изначально было разработано со слабыми
местами и поэтому может подвергнуться атаке с
использованием простейших сценариев, находящихся в
свободном доступе в сети Интернет.
- В систему инсталлируется новое оборудование, и, как
результат, возникают бреши в защите.
- Ваша сеть расширяется и меняется день ото дня. Когда
вы подключаете новые системы, вам необходимо знать, что
означают номера новых версий, и с какими потенциальными
рисками вы можете столкнуться. Когда вы соединяетесь с
сетью партнера, знаете ли вы, насколько надежна ее
безопасность, и как она может повлиять на вашу сеть?
- Новые программы появляются практически каждый день, и
мы не знаем, насколько хорошо они защищены до тех пор,
пока кто-нибудь не предпримет успешную попытку взломать
такие приложения.
Использование маршрутизаторов, серверов электронной
почты, а также других аппаратных и программных средств
представляет определенные последствия с точки зрения
безопасности. Зайдите на веб-сайт изготовителя, подпишитесь
на рассылки о новостях этой компании-поставщика и, когда
появляется новая версия или дополнительный код (патч) для
исправления ошибки -- установите их! Если вы этого не
сделаете, то "плохие ребята" быстро об этом узнают, и ваш
риск снова повысится.
10. С самого начала
безопасность должна становиться неотъемлемой частью ваших
систем
В подавляющем большинстве организаций не задумываются о
безопасности в начале выполнения каких-либо проектов.
Если вы создаете какие-либо системы внутри компании, то
безопасность не должны быть каким-то запоздалым
соображением; она изначально должна быть частью проектных
критериев и функциональности программного обеспечения.
Продумайте разработку
системы безопасности с использованием уже имеющихся
стандартов так, чтобы вы могли достигнуть больших
возможностей взаимодействия программного обеспечения,
аппаратных средств и защитных функций.
И наконец, еще раз повторим, что безопасность в основном
зависит от людей, как стало уже очевидным из всего
вышесказанного. Предлагаем краткий перечень мер
предосторожности, которые должны соблюдать ваши работники:
- Никогда, ни в коем случае, никому не сообщайте свое
идентификационное имя пользователя и пароль доступа к
какой-либо системе компании.
- Соблюдайте осторожность, чтобы не выдать случайно,
или не потерять любую информацию, являющуюся
собственностью фирмы.
- Не подсоединяйте какие-либо компьютеры, модемы или
другое оборудование к корпоративной сети, не имея на это
разрешения.
- Используйте только лицензионное и санкционированное
для использования программное обеспечение.
- Защищайте свою рабочую станцию: используйте
"хранители экрана" (скрин сейверы) и никогда не забывайте
правильно выходить из сети.
- Регулярно создавайте резервные копии ваших файлов и
сохраняйте их в надежном месте.
- Всегда проверяйте вложения к электронным сообщениям,
а также любые загруженные из сети программы при помощи
антивирусных приложений.
- Обращайтесь с электронными сообщениями также, как вы
обращаетесь с бумажными бланками компании. Как только
электронное сообщение отправлено, его не вернешь обратно,
а в нем указано имя вашей компании.
- Всегда уничтожайте конфиденциальную информацию на
бумаге, дисках или пленке при помощи специального
оборудования (шреддеров).
- Оперативно сообщайте обо всех инцидентах, имеющих
отношение к безопасности, в отдел информационной
безопасности вашей компании.
Hi-Tech Security Solutions
Уинн Швартау (Winn Schwartau)
Источник
:
security news
Другие материалы по этой теме: