Реклама
 
 

Резюме

Правила безопасности Internet довольно сложно разрабатывать из-за быстрого изменения технологий. Вместо того, чтобы разрабатывать одно общее правило, разработчик может подойти к разработке правил безопасности Internet, разбив известные технологии на логические группы и создавая правило для каждой области применения.

  1. 1. Подход к Internet.
  • Прежде чем разрабатывать правила для Internet, необходимо определить количество вопросов, которые должны быть отражены в этих правилах. На первом этапе необходимо разобраться в основах архитектуры, а также понять значение брандмауэра и преобразования сетевых адресов.
  • Следующий шаг заключается в определении вспомогательных процедур, которые могут пропускаться через шлюз. Чтобы понять, что именно рассматривать, может оказаться полезным классифицировать вспомогательные процедуры по типу протоколов, а также по их принадлежности к входящим или исходящим процедурам.
  • Затем необходимо определить различия между приложениями-промежуточными звеньями, фильтрацией пакетов и проверкой сохраняемых адресов на брандмауэре.
  1. 2. Административные обязанности.
  • Правила, регламентирующие административные обязанности, должны предписывать обеспечение определенного уровня поддержки работы систем; должны являться частью правил группы обеспечения правовых санкций.
  1. 3. Обязанности пользователей.
  • Пользователи, конечно, могут думать, что им вовсе не нужен инструктаж для доступа к Internet, но в правилах должны быть требования по проведению инструктажа для разъяснения служащим их обязанностей, описанных в правилах.
  • Правила, рсгламентирующие обязанности пользователей, должны разъяснять, в каком виде организация желает быть представленной при посещении пользователями различных узлов Internet.
  • Большинство организаций заботятся о представлении своей секретной или патентованной информации. Для разъяснения того, каким образом работать с данной информацией, необходимо разработать правила.
  • Насколько это увлекательно, настолько и полезно загружать извне условно бесплатное программное обеспечение. Но такое удовольствие может обернуться бедой, особенно в отношении защиты информации. В данных правилах необходимо либо запретить загрузку условно бесплатных программ, либо разъяснить администраторам, какие следует разработать процедуры для работы с таким типом программного обеспечения.
  1. 4. Правила работы в WWW.
  • Если организация располагает собственной службой Web или пользуется внешними источниками, из которых возможен доступ к сетевой инфраструктуре организации, для защиты этого интерфейса также необходимо иметь соответствующие правила.
  • Правила защиты и сопровождения сервисных программ и сценариев должны предписывать ревизию этих программ на предмет безопасности и наличия ошибок. Кроме того, необходимо рассмотреть сопровождение и обеспечение защиты средств, поставляемых извне, используемых для поддержки Web-услуг.
  • В некоторых организациях желают иметь правила управления информацией, находящейся на Web-узле. В ином случае ответственным за данные и процессы лицам предоставляется право определять, какой информацией они должны управлять.
  • Самый спорный аспект услуг Web заключается в том, что могут делать ответственные за информацию с собранной информацией. С этим проблем быть не должно: необходимо ввести правила, которые сделают общедоступным правило конфиденциальности, которым следует руководствоваться при получении Web-услуг.
  • При разработке правил работы в Web нельзя забывать о пользователе. В правилах должна быть короткая формулировка, в которой определена ответственность пользователей при использовании ими Internet.
  1. 5. Ответственность за приложения.
  • Ответственные за приложения и процессы лица должны нести ответственность за пересылаемую информацию, а также за ее надежность и обеспечение гарантий того, что информация распространяется только среди пользователей, которым даны соответствующие полномочия.
  • Правила разработки приложений могут зависеть от правил разработки программного обеспечения или всего лишь предписывать руководствоваться в этом деле передовым опытом.
  • Для получения доступа к данным следует запросить приложения, которые идентифицируют внешних участников обмена через Internet, а также обеспечат расширенную аутентификацию пользователей, обращающихся к Internet. Так должны работать все приложения, получающие доступ к данным организации.
  1. 6. Виртуальные частные сети, экстрасети и другие туннели.
  • Эти технологии нужны не всем организациям. Для тех организаций, которым это необходимо, правила могут выглядеть в виде простой формулировки, в которой определены ключевые положения, которыми должна руководствоваться организация.
  1. 7. Модемы и прочие лазейки.
  • Еще один способ расширить доступ к сети организации заключается в использовании модемов. Помимо атак на отказы в обслуживании, проблема, которая может вынудить администраторов не спать по ночам, заключается в установке модема на неправильно сконфигурированной сети. Для руководства тем, где и как устанавливать модемы, также можно разработать правила.
  • Те, кто организовал модемный доступ к сети, должны позаботиться о разработке правил, которые разрешат администраторам централизованный мониторинг и управление этими модемами.
  • Поскольку получить доступ к модемам может кто угодно, было бы неплохо разработать правила, которые предписывают строгую аутентификацию тех, кто получает доступ к сети.
  1. 8. Применение PKI и других средств контроля.
  • Наиболее широко PKI используется в электронной торговле, которая доступна через Web и броузеры. Поскольку не рассматривается "реальный" PKI. то этот вопрос можно рассматривать в правилах электронной торговли.
  • Стандарты РКI и технологии постоянно меняются, поэтому довольно сложно разработать единое правило, которое будет удовлетворять при работе с PKI.
  1. 9. Электронная торговля.
  • В правилах электронной торговли должна быть рассмотрена вся инфраструктура, которая задействована в этом процессе. Вопросы, затрагиваемые правилами, могут быть следующими.
    • Хранение данных
    • Идентификация и аутентификация
    • Защита пересылки данных
    • Методы обработки заказов
  • Даже если организация при ведении электронной торговли пользуется внешними источниками, разработанные вами правила безопасности могут быть основой для составления контрактов вашей организации с провайдерами услуг.