Що таке політика безпеки?
В
Питання безпеки завжди стояв перед комп'ютерними мережами, але сьогодні як ніколи зростає усвідомлення того, наскільки важлива безпека комп'ютерних мереж в корпоративних інфраструктурах. В даний час для кожної корпоративної мережі необхідно мати чітку політику в області безпеки. Ця політика розробляється на основі аналізу ризиків, визначення критично важливих ресурсів і можливих загроз.
Політикою безпеки можна назвати і прості правила використання мережевих ресурсів, і детальні описи всіх з'єднань і їх особливостей, що займають сотні сторінок. Визначення RFC 2196 (яке вважається кілька вузьким і обмеженим) описує політику безпеки таким чином: "Політика безпеки - Це формальний виклад правил, яким повинні підпорядковуватися особи, які отримують доступ до корпоративної технології та інформації ".
Важливо зрозуміти, що мережева безпека - це еволюційний процес. Немає жодного продукту, здатного надати корпорації повну безпеку. Надійний захист мережі досягається поєднанням продуктів і послуг, а також грамотною політикою безпеки та її дотриманням усіма співробітниками зверху до низу. Можна помітити, що правильна політика безпеки навіть без виділених засобів захисту дає кращі результати, ніж засоби захисту без політики безпеки.
Політика безпеки мережі підприємства є результатом оцінки ризику та визначення важливих засобів і можливих загроз. Засоби мережі в себе включають:
В· Хости мережі (такі як ПК; включає операційні системи, програми і дані хостів)
В· Пристрої мережі (Такі як маршрутизатори, комутатори і міжмережеві екрани)
В· Дані мережі (Дані, які передаються з даної мережі)
Ви повинні встановити, як кошти Вашої мережі, так і ступінь, в якій кожне з цих коштів має бути захищене. Якщо пристрої мережі або дані піддані ризику, чи призведе це до утруднення або краху? Чим більше ймовірність краху, тим суворіше повинна бути політика забезпечення безпеки.
Базовими елементами політики в галузі безпеки є ідентифікація, цілісність і активна перевірка. Ідентифікація покликана запобігти загрозу знеособлення і несанкціонованого доступу до ресурсів і даних. Цілісність забезпечує захист від підслуховування і маніпулювання даними, підтримуючи конфіденційність і незмінність переданої інформації. І нарешті, активна перевірка (аудит) означає перевірку правильності реалізації елементів політики безпеки і допомагає виявляти несанкціоноване проникнення в мережу і атаки типу DoS.
Механізми ідентичності необхідно впроваджувати обережно, тому що навіть найбільш продумана політика може бути засмучена, якщо складно використовувати удосконалення. Класичним прикладом є запис пароля на клаптику паперу і прикріплення його до монітора комп'ютера - що є виходом для споживача, який повинен пам'ятати безліч паролів для отримання доступу до мінливих складовим частинам мережі. Обтяжливі або надмірно дубльовані системи верифікації та авторизації можуть засмутити користувачів, тому їх слід уникати. Методи ідентифікації можуть грунтуватися на протоколі S/Key або здійснюватися при допомогою спеціальних апаратних засобів (token password authentication). А в середовищі модемного доступу часто застосовується механізм ідентифікації по протоколу Point-to-Point Protocol (PPP), який включає використання протоколів Password Authentication Protocol (PAP), Challenge Handshake Protocol (CHAP) і Extensible Authentication Protocol (EAP). p> Цілісність - це елемент, який включає безпеку пристрою інфраструктури мережі (Фізичний і логічний доступ), безпека периметра та конфіденційність даних. Безпека фізичного доступу може виражатися в розміщенні обладнання мережі в спеціально створених для цього обладнання шафах, які мають обмежений доступ.
Безпека логічного доступу головним чином ставиться до забезпечення механізмів ідентичності (Ідентифікації та авторизації) перед тим, як дати доступ для мережі зв'язку Telnet або для терміналу до компонентів інфраструктури загальної мережі (наприклад, маршрутизаторів чи міжмережевих екранів). Безпека периметра пов'язана з функціями міжмережевих екранів, що визначають, який трафік дозволений або заборонений від різних зон мережі, зазвичай - між мережею Інтернет і головним комплексом або між користувачами віддаленого доступу і головним комплексом.
Конфіденційність даних може забезпечуватися протоколами безпеки на транспортному рівні SSL і Secure Shell Protocol (SSH), які здійснюють безпечну передачу даних між клієнтом і сервером. Безпечний протокол передачі гіпертексту (S-HTTP) надає надійний механізм Web-транзакцій, проте в даний час найбільш популярним засобом є SSL. Засіб SOCKS є рамкової структурою, що дозволяє додаткам клієнт/сервер в доменах TCP і UDP зручно і безпечно користуватися послугами мережевого брандмауера. Протокол безпеки IP (IPSec) являє собою набір стандартів підтримки цілісності та конфіденційності даних на мережевому рівні (у...
