Политика безопасности при работе в Интернете
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
ий-средний
Для VPN, использующих Интернет, брандмауэры организации должны работать в режиме защищенного канала, шифровать трафик VPN, и не требовать использования прокси-серверов для его обработки
Высокий
Для VPN, использующих Интернет, брандмауэры организации должны работать в режиме частного канала, шифровать трафик VPN, и требовать использования прокси-серверов брандмауэра для ограничения доступа к сервисам со стороны удаленных хостов VPN.
5.4.2. Удаленный доступ к системе
Хотя атаки из Интернета привлекают к себе много внимания прессы, большинство проникновений в компьютеры происходит через модемы. Как уже говорилось, существует несколько конфигураций для обеспечения удаленного доступа по коммутируемым каналам. В целом, основная проблема - аутентификация, обеспечение гарантий того, что только законные пользователи могут получить удаленный доступ к вашей системе. Большинству организаций рекомендуется применять одноразовые пароли и смарт-карты.
Другой проблемой является контроль за использованием возможностей удаленного доступа. Самым эффективным является объединение модемов, используемых для удаленного доступа, в сервера доступа или модемные пулы.
Низкий уровень
Все пользователи, имеющие возможность доступа к компьютерам организации через модемы, должны периодически менять пароли. Прямые подключения к компьютерам организации, используемым в производственных целях, должны осуществляться только после получения письменного разрешения начальника отдела автоматизации.
Средний-высокий
Все пользователи, которые имеют доступ к компьютерам организации через модемы, должны использовать одноразовые пароли. Прямые подключения к компьютерам организации, используемым в производственных целях, должны осуществляться только после получения письменного разрешения начальника отдела автоматизации и начальника отдела информационной безопасности. Использование отдельных модемов для подключения к компьютерам организации запрещено.
Низкий-средний-высокий
Информация о получении доступа к компьютерам организации, такая как телефонные номера модемов, iитается конфиденциальной. Эта информация не должна сообщаться в BBS, телефонных справочниках, визитных картах, или иным способом быть доступной посторонним лицам без письменного разрешения начальника отдела автоматизации. Начальник отдела автоматизации периодически сканирует входящие телефонные линии для проверки соблюдения политик безопасности и может периодически менять телефонные номера, чтобы сделать более трудным обнаружение посторонними лицами телефонных номеров организации.
5.4.3. Доступ к внутренним базам данных
Другим важным вопросом является обеспечение безопасности доступа извне к внутренним базам данных. Для небольших, относительно статичных групп пользователей (сотрудников организации), решением может оказаться создание VPN, которая охватывает всех пользователей, которым нужен доступ к внутренним базам. Но для больших и часто меняющихся групп пользователей требуютс другие способы обеспечения безопасности доступа.
Одним из решений является размещение базы данных снаружи брандмауэра. Это приводит к снижению риска для внутренних систем, но делает базу данных уязвимой для атак извне, и может потребовать организации взаимодействия через брандмауэр с внутренними системами для внесения изменений в базу. Такой подход является в большинстве случаев неприемлемым во многих случаях, когда к базе данных требуется частый доступ из внутренних систем.
Другой подход - обеспечить доступ к базе со стороны внешнего (находящегося за брандмауэром) сервера через брандмауэра. Многие брандмауэры сейчас имеют в составе SQL-прокси для снижения риска при использовании такого варианта. Использование прокси-серверов такого рода достаточно сложно, требует обучения сотрудников и привлечения специалистов для обеспечения гарантий безопасности. Конфигурирование брандмауэра таким образом, чтобы он просто разрешал такие соединения, очень увеличивает риск и должно избегаться.
Низкий-средний
Все соединения внешних пользователей с внутренними базами данных должны проходить через соответствующие прокси-сервера на брандмауэре организации. На брандмауэре могут быть установлены только те прокси-сервера, которые утверждены начальником отдела автоматизации.
Высокий
Доступ внешних пользователей к внутренним базам данных запрещен. Если деятельность организации требует WWW-доступа или доступа через Интернет к базам данных организации, эти базы данных должны быть размещены за пределами брандмауэра организации. Обновления в эти базы данных вносятся с помощью таких носителей информации, как флоппи-диски и другие переносимые носители информации. Вся конфиденциальная или критическая информация на внешнем сервере должна быть зашифрована.
5.4.4. Использование нескольких брандмауэров
VPN - это только один пример использования нескольких брандмауэров. Требования обеспечения большой пропускной способности канала, его надежности часто могут потребовать установки нескольких брандмауэров, работающих параллельно. Так как они работают параллельно, политики безопасности, реализуемые ими, должны быть идентичны, или результирующий уровень безопасности будет равен уровню безопасности наименее безопасного брандмауэра.
При использовании нескольких параллельно работающих брандмауэро