Смекни!
smekni.com
Информатика

Реализация политики безопасности локальной сети организации ОК БОР с помощью программного пак (стр. 6 из 11)

Имеет смысл создавать политику безопасности брандмауэра на основе политики безопасности компании. В отличие от последней, которая обычно содержит несколько документов и охватывает широкий спектр тем, политика безопасности брандмауэра описывает детали реализации брандмауэра с тем, чтобы были выполнены требования безопасности в отношении устанавливаемых через него соединений.

2.6. Политика безопасности в компьютерных сетях

Это список того, что разрешено и запрещено делать на подключенном к сети компьютере. Политика безопасности охватывает множество различных тем и во всех деталях описывает раз решенные пользователям действия и штрафы за нарушение требований. Подробное описание политики безопасности имеет единственный недостаток: существует опасность, что пользователи не совсем поймут ее или даже не дочитают до конца, если она окажется слишком длинной. Но лучше заранее предупредить их о недопустимых действиях, чем впоследствии спорить о деталях. Политика безопасности должна быть сформулирована в одном или нескольких печатных документах.

Прежде чем сотруднику будет разрешено использовать любые компьютерные ресурсы, он должен ознакомиться с документами политики безопасности и подтвердить их прочтение. В большинстве крупных компаний эта функция возлагается на отделы кадров, и политика безопасности обычно со стоит из нескольких документов, таких как политика сетевого подключения и перечень допустимых применений, которые сотруднику следует подписать. Кроме того, полезно включить в их число документ, описывающий действия, которые нужно предпринять в случае возникновения нештатной ситуации, связан ной с нарушением безопасности.

2.7.Политика сетевого подключения.

Политикой сетевого подключения должны быть определены типы устройств, раз решенные для подключения к сети. Например, позволяя подключение серверов и рабочих станций, можно запретить подключение к сети модемных серверов удаленного доступа. Аналогично в политике подключения к сети должны быть детально определены настройки систем, которые допускается подключать к сети. Эта политика может включать в себя следующие разделы:

  • описание процесса установки и настройки операционной системы и приложений, а также их функциональные возможности, которые разрешено использовать;
  • местоположение в сети (физической подсети) систем определенного типа и процедуру разрешения вопросов адресации в сети;
  • требование об установке и регулярном обновлении антивирусного программного обеспечения;
  • описание настройки прав пользователей и защиты ресурсов, обеспечиваемых операционной системой;
  • процедуры, которым необходимо следовать для создания новой учетной записи пользователя, и аналогичные процедуры для ее удаления;
  • запрет на установку дополнительных аппаратных или программных компонентов без одобрения сетевого администратора (или другого ответственного лица).

Этот список можно дополнить. Его содержимое должно отражать специфику подключения к сети. Например, имеют ли право пользователи подключать переносные компьютеры к локальной сети или они должны обмениваться данными с настольным компьютером при помощи дискет либо других устройств хранения данных? Если подключение ноутбуков к сети разрешено, обязан ли каждый из них иметь собственный адрес или получать адрес при помощи DHCP? Далее, имеют ли право сотрудники подключать ноутбуки к другим сетям, скажем, к сети клиента при работе вне офиса?

Политика подключения к сети должна также описывать функции, для выполнения которых предназначены определенные компьютеры. Если в отделе может быть установлен Web- или FTP-сервер, полезно определить, в какой части сети его следует подключить. Например, удобно расположить его в описанной ниже демилитаризованной зоне (demilitarized zone), что позволит клиентам получать к нему доступ через Internet и в то же время не позволит такому трафику проходить через внутреннюю сеть.

Допустимые применения

Из всего бизнес-оборудования настольные компьютеры чаще всего используются не по назначению. Это означает, что кроме выполнения функций, нужных для работы, например приложений для редактирования текстов и баз данных, компьютер может служить для запуска игровых и других программ, не имеющих ничего общего со служебными обязанностями пользователя. Другому оборудованию, копировальным аппаратам или телефонам, также часто приходится исполнять неслужебные функции, но все же не в таких масштабах, как компьютерам. При подключении к Internet возможные злоупотребления такого рода возрастают многократно.

Поскольку компьютеры обладают большим потенциалом для злоупотребления и неправильного использования, важно четко определить что разрешено делать на компьютере, а какие действия являются неприемлемыми. Для этого удобно сформулировать допустимые применения в отдельном документе.

Рекомендуется включить в него следующие пункты:

  • запрет на установку на компьютере любых приложений, не одобренных и не приобретенных компанией, в том числе «нелегальных» копий программ и условно бесплатных (shareware) программ, загруженных из Internet;
  • запрет на копирование приложений, принадлежащих компании, для работы с ними в другом месте, например на домашнем компьютере пользователя;
  • требование выхода пользователя из системы при его отсутствии за компьютером. В качестве альтернативы для защиты оставленного без присмотра компьютера допустимо применять хранитель экрана с проверкой пароля;
  • требование докладывать ответственному лицу о любой подозрительной активности;
  • запрет на применение компьютера или приложений на нем для причинения беспокойства другому лицу или угроз в отношении него;
  • запрет на использование электронной почты в личных целях;
  • запрет на попытки доступа к данным, не связанным непосредственно с производственными обязанностями, иногда называемые зондированием сети (probing the network).

Приведенный выше список также неполон. Необходимо составить собственный список с учетом бизнес-окружения, в котором работает компания, обсудить политику допустимых применений с менеджерами всех подразделений, чтобы понять, чего они ожидают от сети, и попытаться создать набор правил, позволяющих пользователям выполнять свою работу, не нарушая безопасности сети.

2.8. Политика брандмауэра

С политикой безопасности часто путают политику брандмауэра (firewall policy).

После разработки политики безопасности и выбора сервисов и протоколов, которым будет разрешена работа через брандмауэр, и необходимых настроек, можно принять решение о том, как реализовать эту политику. Межсетевой экран использует набор правил, определяющих, какие пакеты (в случае пакетного фильтра) или сервисы (в случае proxy-сервера или шлюза) будут работать через него. При этом выбирается одна из следующих двух стратегий:

  • разрешить любой доступ, не запрещенный правилами;
  • запретить любой доступ, не разрешенный правилами.

При выборе первой стратегии придется создавать правила, которые бы учитывали все возможные запреты. Это не только приведет к необходимости иметь множество правил, но и заставит пересматривать их при появлении каждого нового протокола или сервиса, которые существующими правилами не охватываются.

Вторая стратегия проще и безопаснее. Запретив весь трафик и задав правила, разрешающие доступ через экран только для нужных протоколов и сервисов, можно будет намного строже управлять брандмауэром. В подобной ситуа ции потенциальному нарушителю придется искать способ каким-то образом вос пользоваться доступом в ограниченных вами условиях.

После выбора стратегии следует определить, каким сервисам будет разрешено работать через межсетевой экран и в каком направлении. Следует отобрать их на основе общей политики безопасности. Например, если нужно запретить за грузку программ из Internet, стоит заблокировать в межсетевом экране установку входящих соединений FTP. Если нужно, чтобы пользователи не применяли FTP для пересылки наружу конфиденциальных данных или про­грамм, имеет смысл запретить передачу файлов пo FTP. Аналогично можно ограничивать работу с другими службами, такими как Telnet или HTTP.

Например, если полностью запретить работу с протоколом FTP, как получать обновления и исправления программ? Разум нее сделать исключение для одного укрепленного компьютера, доступ к которому будут иметь только определенные пользователи. Другое решение - выделить для этого компьютер, не подключенный к локальной сети и выходящий в Internet через модем.

Например, список может состоять из таких правил:

  • электронная почта может пересылаться в обоих направлениях, но должна проходить через защищенный SMTP-сервер;
  • запрещена работа любых служб, требующих установки прямого соединения между внутренним клиентом и внешним сервером. Все разрешенные службы обязаны пользоваться proxy-сервером;
  • доступ к внешним узлам через Telnet разрешен только сотрудникам исследовательского отдела и запрещен всем остальным пользователям. Пользователи, которые могут войти в сеть снаружи, должны подключаться с помощью модема, установленного на защищенном сервере, помещенном в экранированную подсеть;
  • запрещен доступ по протоколу FTP в обоих направлениях;
  • серверы DNS в экранированной подсети выполняют преобразование адресов межсетевых экранов и proxy-серверов, но не клиентов во внутренней локальной сети.

Это краткий список. Его можно составить, следуя принципу запрета всего, что не разрешено.

Кроме определения разрешенных сервисов и способа их реализации (при помощи proxy-сервера или пакетного фильтра, для всех пользователей или только для избранных узлов), следует также включить в политику брандмауэра пункты задающие частоту просмотра log-файлов, настройку предупреждений и т.д.

 
назад
читать дальше
1
2
3
4
5
6
7
8
9
10
11
НАПИШИТЕ НАМ
Copyright © Smekni.com. All rigths reserved.