Иллюстрированный самоучитель по разработке безопасности

Резюме

Правила безопасности Internet довольно сложно разрабатывать из-за быстрого изменения технологий. Вместо того, чтобы разрабатывать одно общее правило, разработчик может подойти к разработке правил безопасности Internet, разбив известные технологии на логические группы и создавая правило для каждой области применения.

  1. Подход к Internet.
    • Прежде чем разрабатывать правила для Internet, необходимо определить количество вопросов, которые должны быть отражены в этих правилах. На первом этапе необходимо разобраться в основах архитектуры, а также понять значение брандмауэра и преобразования сетевых адресов.
    • Следующий шаг заключается в определении вспомогательных процедур, которые могут пропускаться через шлюз. Чтобы понять, что именно рассматривать, может оказаться полезным классифицировать вспомогательные процедуры по типу протоколов, а также по их принадлежности к входящим или исходящим процедурам.
    • Затем необходимо определить различия между приложениями-промежуточными звеньями, фильтрацией пакетов и проверкой сохраняемых адресов на брандмауэре.
  2. Административные обязанности.
    • Правила, регламентирующие административные обязанности, должны предписывать обеспечение определенного уровня поддержки работы систем; должны являться частью правил группы обеспечения правовых санкций.
  3. Обязанности пользователей.
    • Пользователи, конечно, могут думать, что им вовсе не нужен инструктаж для доступа к Internet, но в правилах должны быть требования по проведению инструктажа для разъяснения служащим их обязанностей, описанных в правилах.
    • Правила, регламентирующие обязанности пользователей, должны разъяснять, в каком виде организация желает быть представленной при посещении пользователями различных узлов Internet.
    • Большинство организаций заботятся о представлении своей секретной или патентованной информации. Для разъяснения того, каким образом работать с данной информацией, необходимо разработать правила.
    • Насколько это увлекательно, настолько и полезно загружать извне условно бесплатное программное обеспечение. Но такое удовольствие может обернуться бедой, особенно в отношении защиты информации. В данных правилах необходимо либо запретить загрузку условно бесплатных программ, либо разъяснить администраторам, какие следует разработать процедуры для работы с таким типом программного обеспечения.
  4. Правила работы в WWW.
    • Если организация располагает собственной службой Web или пользуется внешними источниками, из которых возможен доступ к сетевой инфраструктуре организации, для защиты этого интерфейса также необходимо иметь соответствующие правила.
    • Правила защиты и сопровождения сервисных программ и сценариев должны предписывать ревизию этих программ на предмет безопасности и наличия ошибок. Кроме того, необходимо рассмотреть сопровождение и обеспечение защиты средств, поставляемых извне, используемых для поддержки Web-услуг.
    • В некоторых организациях желают иметь правила управления информацией, находящейся на Web-узле. В ином случае ответственным за данные и процессы лицам предоставляется право определять, какой информацией они должны управлять.
    • Самый спорный аспект услуг Web заключается в том, что могут делать ответственные за информацию с собранной информацией. С этим проблем быть не должно: необходимо ввести правила, которые сделают общедоступным правило конфиденциальности, которым следует руководствоваться при получении Web-услуг.
    • При разработке правил работы в Web нельзя забывать о пользователе. В правилах должна быть короткая формулировка, в которой определена ответственность пользователей при использовании ими Internet.
  5. Ответственность за приложения.
    • Ответственные за приложения и процессы лица должны нести ответственность за пересылаемую информацию, а также за ее надежность и обеспечение гарантий того, что информация распространяется только среди пользователей, которым даны соответствующие полномочия.
    • Правила разработки приложений могут зависеть от правил разработки программного обеспечения или всего лишь предписывать руководствоваться в этом деле передовым опытом.
    • Для получения доступа к данным следует запросить приложения, которые идентифицируют внешних участников обмена через Internet, а также обеспечат расширенную аутентификацию пользователей, обращающихся к Internet. Так должны работать все приложения, получающие доступ к данным организации.
  6. Виртуальные частные сети, экстрасети и другие туннели.
    • Эти технологии нужны не всем организациям. Для тех организаций, которым это необходимо, правила могут выглядеть в виде простой формулировки, в которой определены ключевые положения, которыми должна руководствоваться организация.
  7. Модемы и прочие лазейки.
    • Еще один способ расширить доступ к сети организации заключается в использовании модемов. Помимо атак на отказы в обслуживании, проблема, которая может вынудить администраторов не спать по ночам, заключается в установке модема на неправильно сконфигурированной сети. Для руководства тем, где и как устанавливать модемы, также можно разработать правила.
    • Те, кто организовал модемный доступ к сети, должны позаботиться о разработке правил, которые разрешат администраторам централизованный мониторинг и управление этими модемами.
    • Поскольку получить доступ к модемам может кто угодно, было бы неплохо разработать правила, которые предписывают строгую аутентификацию тех, кто получает доступ к сети.
  8. Применение PKI и других средств контроля.
    • Наиболее широко PKI используется в электронной торговле, которая доступна через Web и браузеры. Поскольку не рассматривается "реальный" PKI. то этот вопрос можно рассматривать в правилах электронной торговли.
    • Стандарты РКI и технологии постоянно меняются, поэтому довольно сложно разработать единое правило, которое будет удовлетворять при работе с PKI.
  9. Электронная торговля.
    • В правилах электронной торговли должна быть рассмотрена вся инфраструктура, которая задействована в этом процессе. Вопросы, затрагиваемые правилами, могут быть следующими.
      • Хранение данных
      • Идентификация и аутентификация
      • Защита пересылки данных
      • Методы обработки заказов
    • Даже если организация при ведении электронной торговли пользуется внешними источниками, разработанные вами правила безопасности могут быть основой для составления контрактов вашей организации с провайдерами услуг.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.