Читаем Хакинг и антихакинг полностью

Политика защиты – это общий документ, где перечисляются правила доступа, определяются пути реализации политики и описывается базовая архитектура среды защиты. Сам по себе этот документ обычно состоит из нескольких страниц текста. Он формирует основу физической архитектуры сети, а содержащаяся в нем информация определяет выбор продуктов защиты. При этом документ может и не включать полного списка необходимых закупок, но выбор конкретных компонентов после его составления должен быть очевидным.

Политика защиты выходит далеко за рамки простой идеи «не впускать злоумышленников». Это очень сложный документ, определяющий доступ к данным, «характер серфинга в WWW, использование паролей или шифрования, отношение к вложениям в электронную почту, использование Java и ActiveX и многое другое. Он детализирует эти правила для отдельных лиц или групп. Нельзя забывать и об элементарной физической защите – если кто-то может проникнуть в серверную комнату и получить доступ к основному файловому серверу или выйти из офиса с резервными дискетами и дисками в кармане, то все остальные меры становятся совершенно бессмысленными и бестолковыми.

Конечно, политика не должна позволять чужакам проникнуть в сеть, но, кроме того, она должна устанавливать контроль и над потенциально нечистоплотными и неисполнительными сотрудниками вашей организации. Девиз любого администратора системы защиты – «Не Доверяй Никому!».

На первом этапе разработки политики прежде всего необходимо определиться, каким пользователям какая информация и какие сервисы должны быть доступны, какова вероятность нанесения вреда и какая защита уже имеется. Кроме этого, политика защиты должна диктовать иерархию прав доступа, т. е. пользователям следует предоставить доступ только к той информации, которая действительно нужна им для выполнения своей работы.

Политика защиты должна обязательно отражать следующее:

– контроль доступа (запрет на доступ пользователя к материалам, которыми ему не разрешено пользоваться);

– идентификацию и аутентификацию (использование паролей или других механизмов для проверки статуса пользователя);

– учет (запись всех действий пользователя в сети);

– контрольный журнал (журнал позволяет определить, когда и где произошло нарушение защиты);

– аккуратность (защита от любых случайных нарушений);

– надежность (предотвращение монополизации ресурсов системы одним пользователем);

– обмен данными (защита всех коммуникаций).

Доступ определяется политикой в отношении брандмауэров: доступ к системным ресурсам и данным из сети можно описать на уровне операционной системы и при необходимости дополнить программами защиты независимых разработчиков. Пароли могут быть самой ценной частью вашей среды защиты, но при неправильном использовании или обращении они могут стать ключом в вашу сеть. Политика правильного использования паролей особенно полезна при управлении временными бюджетами, чтобы кто-нибудь не воспользовался действительным паролем после того, как временные сотрудники или подрядчики завершили работу.

Некоторые операционные системы предлагают также такую возможность, как квалификация, т. е. вводят минимальный уровень трудности паролей. В этих системах администратор защиты может просто задать правило «Не использовать легко угадываемых паролей». Например, пароль, в котором указаны только имя и возраст пользователя, система не примет. Конечные же пользователи обычно, несмотря на все предупреждения, выбирают самые простые пути. Если им приходится иметь дело со слишком большим числом паролей, они будут использовать один и тот же пароль или задавать легко запоминаемые пароли, или, хуже того, записывать их на листке и хранить в ящике стола, а то и прилепят листок с паролем на монитор.

Изобилие устройств защиты, брандмауэров, шлюзов и VPN (виртуальная частная сеть), а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков, ведет к созданию сложной среды защиты, трудной для управления. Правила для многих из перечисленных устройств приходится часто задавать отдельно.

По мере того как крупные корпорации продолжают объединяться и поглощать более мелкие компании, среда защиты (и сеть в целом) все чаще принимает бессистемный и многоуровневый характер. Когда это происходит, управлять правилами становится нереально сложно.

Брандмауэры (как аппаратные, так и программные) позволяют определить, кто имеет право доступа в вашу сеть извне. Все брандмауэры реализуют те или иные правила; разница состоит в уровне детализации и простоте использования, обеспечиваемой интерфейсом управления. В идеале брандмауэр позволяет решить три важнейшие задачи:

– задавать правила из интуитивно понятного графического интерфейса;

– управлять доступом вплоть до уровня индивидуальных файлов и объектов;

– группировать файлы и объекты для коллективного применения к ним правил в целях упрощения управления.