Телекоммуникации и удаленный доступ
Телекоммуникации и средства удаленного доступа
И, наконец, в правилах должно быть отражено, каким образом организация желает защитить свои активы, используемые удаленными пользователями, имеющими доступ к сети организации. Как правило, это правила эксплуатации модемов и телефонных линий, к которым подключены модемы. Однако, с появлением новых технологий в организации может быть разрешен доступ с использованием Internet.
Безопасность связи по телефонным каналам
Когда речь идет об информационной безопасности, модем ничем не отличается от других точек доступа к сети. Модемы являются точками входа в сеть и, несмотря на то, что правилами может быть не разрешено, но входящий звонок может быть набран необязательно законным пользователем, в общей программе безопасности это должно быть обязательно учтено.
В первую очередь необходимо рассмотреть управление телефонными номерами. Как правило, большинство компаний не публикуют номера, закрепленные за модемами. Однако одна из компаний, с которой сотрудничал автор, опубликовала эти номера, поскольку хотела, чтобы в любое время клиенты имели возможность установить контакт с ее представителями. В результате, была опубликована телефонная книга с перечнем "МОДЕМ 1", "МОДЕМ 2" и т.д. Вскоре после публикации на эти модемные линии стало поступать необычное количество звонков. Поэтому, с точки зрения здравого смысла, стоит включить в правила следующую формулировку.
Телефонные номера, используемые для входящих модемных линий, не должны публиковаться ни в каких каталогах, которые могут быть доступны каждому, кто не имеет права доступа.
Другой пункт правил защиты модемов устанавливает требование периодической замены телефонных номеров. Есть компании со строгим доступом и жесткими требованиями службы безопасности менять телефонные номера доступа всякий раз после реорганизации штата служащих или завершения проектов. Однако, проведение такой политики требует очень напряженной работы руководства. Ведь помимо изменения номеров нужно информировать и тех, кому необходимо знать об этих изменениях. Кроме того, надо позаботиться о том, чтобы номера были выбраны из списка незадействованных номеров. Да и материально-техническое обеспечение процедур данного типа может бьпь настолько сложным, что проведение такой политики неприемлемо для большинства предприятий.
В дополнение к стандартным средствам управления доступом, можно рассмотреть возможность расширения системы аутентификации, необходимость в которой появляется при подключении к сети посредством модемов. В качестве примера можно привести использование одноразового пароля или алгоритма защиты с применением ключей для защиты пользователей модемов. Однако, это не единственный способ, позволяющий обеспечить доступ в сеть только разрешенному удаленному пользователю. Прежде, чем зафиксировать это в правилах, необходимо познакомиться с технологиями, которые применяются в вашей организации. Обычно с ними знакомятся в процессе обследования объекта. Даже если еще не установлены расширенные системы аутентификации, в правилах должно быть отражено только то, что уже есть в наличии, или просто нужно составлять формулировки правил доступа в общем виде, оставляя подробности на усмотрение администратора.
Получение доступа к сети посредством модемов, подключенных к телефонным каналам, должно сопровождаться дополнительным этапом аутентификации, чтобы гарантировать законность этого доступа.
Туннелирование через Internet
Несмотря на то, что выбор доступа в сеть с использованием средств зашиты Internet имеет много преимуществ, во многих организациях побаиваются использовать Internet до тех пор, пока протоколы и технические средства не станут достаточно защищенными. Но если использование Internet является частью бизнес-плана вашей организации, то в документы политики следует включить минимальные требования к безопасности подключений. Например, можно потребовать, чтобы информация, пересылаемая между пользователями и сетью, шифровалась. Можно также потребовать аутентификацию пользователей Internet наподобие аутентификации внешних пользователей, получающих доступ по телефонным каналам. Не важно сколько требований будет включено в правила, важно, чтобы они не мешали администраторам изменять инструкции при введении новых технологий безопасного туннелирования через Internet.