Политика безопасности при работе в Интернете
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
только теми сотрудниками, кому он требуется в силу их обязанностей.
Для симметричных систем шифрования, таких как DES, ключи должны распространяться среди сотрудников с помощью защищенных каналов. Так как компрометация этих секретных ключей сделает шифрование бесполезным, политика безопасности должна детально описывать допустимые способы распространения таких ключей.
При использовании шифрования для распространения секретных ключей должны использоваться безопасные способы. Допустимыми способами являются:
- использование алгоритмов обмена открытыми ключами
- внутреннее письмо в двойном конверте
- письмо, посланное курьерской почтой, в двойном конверте
Ключи шифрования не должны посылаться электронной почтой, если только электронное письмо не было зашифровано с помощью ключей, обмен которыми уже произошел по защищенному каналу . Ключи, используемые для шифрования информации, должны меняться так же часто, как и пароли, используемые для доступа к информации.
Зашифрованные данные могут быть навсегда потеряны при утере или искажении ключа. Так как шифрование обычно используется для защиты важной информации, потеря ключей шифрования может привести к значительным потерям. Был разработан ряд подходов для того, чтобы обеспечить гарантии постоянное доступности ключей шифрования и реализован в коммерческих продуктах. Но так как эта технология только появилась, при совместном использовании нескольких продуктов возможны проблемы - сотрудники отдела безопасности должны разработать список допустимых технологий и комбинаций продуктов.
Все средства шифрования должны обеспечивать гарантии доступности ключей шифрования для руководства организации при шифровании информации организации. При использовании шифрования должна использоваться утвержденная в компании технология восстановления ключа. Использование шифрования с отсутствием такой. возможности должно требовать получения письменного разрешения руководства.
Использование технологий шифрования с открытыми ключами требует создания для каждого пользователя секретного и открытого ключей и их рассылки. Открытые ключи должны распространяться и храниться таким образом, чтобы они были доступны всем пользователям. В продвинутых приложениях могут использоваться электронные сертификаты для распространения открытых ключей через центры сертификатов. Закрытые ключи аналогичны паролям, и должны храниться в тайне каждым пользователем. Организации могут принять решение о том, чтобы все секретные ключи сотрудников были известны руководству.
Низкий
Организация должна иметь список открытых ключей для всех авторизованных на это сотрудников. Этот список должен храниться на сервере аутентификации или распространяться по электронной почте. Секретные ключи пользователей должны храниться так же, как и пароли.
Средний-высокий
Сервер сертификационного центра организации должен хранить текущие открытые ключи для всех авторизованных на это сотрудников. Для безопасного взаимодействия с внешними пользователями организация должна использовать электронные сертификаты только из утвержденного списка сертификационных центров.
Секретные ключи пользователей должны храниться так же, как и пароли. О любом подозрении на компрометацию секретного ключа пользователь должен немедленно доложить в службу безопасности.
5.3.2. Удаленный доступ
Организации могут использовать для удаленного доступа как Интернет, так и телефонные линии. За обоими видами соединений требуется контроль, но большую опасность представляют соединения с Интернетом. Злоумышленник, перехватывающий сеанс удаленного пользователя может прочитать весь трафик, включая передаваемые файлы, письма, и информацию для аутентификации. Проблемперехвата сеансов уже обсуждалась в разделе про аутентификацию. Если же организации шифруют весь сеанс, то это решит как проблему аутентификации, так и вопросы конфиденциальности. Для организаций с уровнем риска, не ниже среднего, следует использовать шифрование для предотвращения неавторизованного просмотра информации, передаваемой в ходе сеанса удаленного пользователя.
Средний-высокий
Весь удаленный доступ к компьютерам организации либо через Интернет, либо через телефонные линии, должен использовать шифрование для обеспечения конфиденциальности сеанса. Для удаленного доступа должны использоваться только утвержденные в организации продукты, чтобы обеспечить гарантии взаимной работоспособности программ, реализующих технологии шифрования удаленного доступа к серверу.
Информация о получении доступа к компьютерам организации, такая как телефонные номера модемов, iитается конфиденциальной. Эта информация не должна сообщаться в BBS, телефонных справочниках, визитных картах, или иным способом быть доступной посторонним лицам без письменного разрешения начальника отдела автоматизации. Начальник отдела автоматизации периодически сканирует входящие телефонные линии для проверки соблюдения политик безопасности и может периодически менять телефонные номера, чтобы сделать более трудным обнаружение посторонними лицами телефонных номеров организации.
5.3.3. Виртуальные частные сети (Virtual Private Networks)
Шифрование также используется для создания виртуальных частных сетей в Интернете. Этот вопрос рассматривается далее.
5.4. Архитектура системы
Соединение с Интернетом приводит