Иллюстрированный самоучитель по Development of safety

       

Правила безопасности Internet довольно сложно



Правила безопасности Internet довольно сложно разрабатывать из-за быстрого изменения технологий. Вместо того, чтобы разрабатывать одно общее правило, разработчик может подойти к разработке правил безопасности Internet, разбив известные технологии на логические группы и создавая правило для каждой области применения.
  • 1. Подход к Internet.

  • Прежде чем разрабатывать правила для Internet, необходимо определить количество вопросов, которые должны быть отражены в этих правилах. На первом этапе необходимо разобраться в основах архитектуры, а также понять значение брандмауэра и преобразования сетевых адресов.

  • Следующий шаг заключается в определении вспомогательных процедур, которые могут пропускаться через шлюз. Чтобы понять, что именно рассматривать, может оказаться полезным классифицировать вспомогательные процедуры по типу протоколов, а также по их принадлежности к входящим или исходящим процедурам.

  • Затем необходимо определить различия между приложениями-промежуточными звеньями, фильтрацией пакетов и проверкой сохраняемых адресов на брандмауэре.

  • 2. Административные обязанности.

  • Правила, регламентирующие административные обязанности, должны предписывать обеспечение определенного уровня поддержки работы систем; должны являться частью правил группы обеспечения правовых санкций.

  • 3. Обязанности пользователей.

  • Пользователи, конечно, могут думать, что им вовсе не нужен инструктаж для доступа к Internet, но в правилах должны быть требования по проведению инструктажа для разъяснения служащим их обязанностей, описанных в правилах.

  • Правила, рсгламентирующие обязанности пользователей, должны разъяснять, в каком виде организация желает быть представленной при посещении пользователями различных узлов Internet.

  • Большинство организаций заботятся о представлении своей секретной или патентованной информации. Для разъяснения того, каким образом работать с данной информацией, необходимо разработать правила.

  • Насколько это увлекательно, настолько и полезно загружать извне условно бесплатное программное обеспечение. Но такое удовольствие может обернуться бедой, особенно в отношении защиты информации. В данных правилах необходимо либо запретить загрузку условно бесплатных программ, либо разъяснить администраторам, какие следует разработать процедуры для работы с таким типом программного обеспечения.



  • 4. Правила работы в WWW.

  • Если организация располагает собственной службой Web или пользуется внешними источниками, из которых возможен доступ к сетевой инфраструктуре организации, для защиты этого интерфейса также необходимо иметь соответствующие правила.

  • Правила защиты и сопровождения сервисных программ и сценариев должны предписывать ревизию этих программ на предмет безопасности и наличия ошибок. Кроме того, необходимо рассмотреть сопровождение и обеспечение защиты средств, поставляемых извне, используемых для поддержки Web-услуг.

  • В некоторых организациях желают иметь правила управления информацией, находящейся на Web-узле. В ином случае ответственным за данные и процессы лицам предоставляется право определять, какой информацией они должны управлять.

  • Самый спорный аспект услуг Web заключается в том, что могут делать ответственные за информацию с собранной информацией. С этим проблем быть не должно: необходимо ввести правила, которые сделают общедоступным правило конфиденциальности, которым следует руководствоваться при получении Web-услуг.

  • При разработке правил работы в Web нельзя забывать о пользователе. В правилах должна быть короткая формулировка, в которой определена ответственность пользователей при использовании ими Internet.

  • 5. Ответственность за приложения.

  • Ответственные за приложения и процессы лица должны нести ответственность за пересылаемую информацию, а также за ее надежность и обеспечение гарантий того, что информация распространяется только среди пользователей, которым даны соответствующие полномочия.

  • Правила разработки приложений могут зависеть от правил разработки программного обеспечения или всего лишь предписывать руководствоваться в этом деле передовым опытом.

  • Для получения доступа к данным следует запросить приложения, которые идентифицируют внешних участников обмена через Internet, а также обеспечат расширенную аутентификацию пользователей, обращающихся к Internet. Так должны работать все приложения, получающие доступ к данным организации.

  • 6. Виртуальные частные сети, экстрасети и другие туннели.

  • Эти технологии нужны не всем организациям. Для тех организаций, которым это необходимо, правила могут выглядеть в виде простой формулировки, в которой определены ключевые положения, которыми должна руководствоваться организация.

  • 7. Модемы и прочие лазейки.

  • Еще один способ расширить доступ к сети организации заключается в использовании модемов. Помимо атак на отказы в обслуживании, проблема, которая может вынудить администраторов не спать по ночам, заключается в установке модема на неправильно сконфигурированной сети. Для руководства тем, где и как устанавливать модемы, также можно разработать правила.

  • Те, кто организовал модемный доступ к сети, должны позаботиться о разработке правил, которые разрешат администраторам централизованный мониторинг и управление этими модемами.

  • Поскольку получить доступ к модемам может кто угодно, было бы неплохо разработать правила, которые предписывают строгую аутентификацию тех, кто получает доступ к сети.

  • 8. Применение PKI и других средств контроля.

  • Наиболее широко PKI используется в электронной торговле, которая доступна через Web и броузеры. Поскольку не рассматривается "реальный" PKI. то этот вопрос можно рассматривать в правилах электронной торговли.

  • Стандарты РКI и технологии постоянно меняются, поэтому довольно сложно разработать единое правило, которое будет удовлетворять при работе с PKI.

  • 9. Электронная торговля.

  • В правилах электронной торговли должна быть рассмотрена вся инфраструктура, которая задействована в этом процессе. Вопросы, затрагиваемые правилами, могут быть следующими.

    • Хранение данных

    • Идентификация и аутентификация

    • Защита пересылки данных

    • Методы обработки заказов

    • Даже если организация при ведении электронной торговли пользуется внешними источниками, разработанные вами правила безопасности могут быть основой для составления контрактов вашей организации с провайдерами услуг.





    Содержание раздела