Для чего создается периметр безопасности


Особенности создания периметра информационной безопасности. Часть первая

Большинство руководителей понимают важность использования современных систем защиты. Однако количество утечек информации растет с каждым годом. Конечно, немаловажную роль играет возрастающая сложность кибератак. Полк хакеров с немыслимой скоростью пополняется новыми адептами, а их инструменты регулярно переживают апгрейд.

Но не только внешние опасности грозят бизнесу. В жизни любой компании всегда есть место для одного маленького, но очень коварного инсайдера. Планомерные действия такого индивидуума неминуемо ведут к утечкам данных.

В круговороте различных рисков легко потерять голову и, при создании периметра информационной безопасности, совершить две ключевые ошибки.

Ошибка первая: система безопасности «оторвана» от рабочих процессов

Принцип «разделяй и властвуй» совершенно не пригоден, когда речь идет о корпоративных системах защиты. Но, к сожалению, именно им руководствуется большинство управленцев. Разделение заключается в следующем: компания, в лице ее работников, живет своей жизнью. А средства безопасности – своей. И эти миры не соприкасаются.

Большая часть средств ориентирована на противодействие внешним угрозам и реагирует на непосредственные нарушения периметра всевозможными вирусами. При этом действия работников выносятся за скобки.

Компания, оставляющая персонал без надзора – рай для инсайдера. Украсть можно все, а главное – никто даже не заметит пропажу. Бизнесу не стоит обольщаться. По данным последнего исследования, проведенного компанией Intel, около 43% инцидентов, связанных с утечкой информации, были результатом деятельности сотрудников, спланировавших кражу.

Конечно, любой босс хочет доверять своим подчиненным. Но ведь «крот» не всегда действует по злому умыслу. Фишинг и социальная инженерия нацелены на абсолютно лояльных, но, при этом, крайне доверчивых сотрудников. Которые, без задней мысли, прочтут опасное письмо и запустят вредонос. Итоги для компании очевидны: падение инфраструктуры, утечка данных, потери времени и денег.

Без постоянного мониторинга действий сотрудников бизнес оказывается безоружным перед широким спектром внутренних и внешних угроз.

Ошибка вторая: выбор из двух зол

Владельцы бизнеса любят кидаться из крайности в крайность, благодаря чему на свет появились два деструктивных подхода к методам защиты информации.

Приверженцы одного из них считают, что средства обороны усложняют рабочие процессы. И, чем больше «безопасности» в компании, тем меньше эффективность ее сотрудников. Чтобы облегчить жизнь персоналу, они предпочитают внедрять минимум инструментов.

В результате бэкапы делаются крайне редко, коды доступа не меняются десятилетиями, а из цифровых средств защиты в наличии только древний антивирус.

Первая утечка данных, которая неминуемо происходит, чаще всего становится последней, поскольку к ней никто не готов ни морально, ни технически.

Сторонники второго подхода действуют иначе. Все, что можно шифровать – шифруется, все, что не надо – защищается. На апгрейд систем тратятся миллионы. И, вроде бы все должно быть хорошо, но есть сотрудники, которые через пару дней работы в такой фирме начинают лезть на стенку от безысходности.

Ведь для выполнения простых рабочих задач необходимо пройти 3 аутентификации и 2 авторизации. При этом каждый пароль минимум 16 символов в двух регистрах. Работник оказывается перед выбором: или категорически не успевать выполнять должностные обязанности, или искать способ обойти ограничения. Желающие демонстрировать высокую эффективность и выполнять KPI обязательно найдут, как обдурить электронных церберов.

Для бизнеса это означает: часть персонала работает далеко не на полную катушку, и компания теряет деньги. А другая половина офисных тружеников уже проделала дыры в периметре безопасности, и о надежности защиты говорить не приходится.

Чтобы избежать проблем, боссу важно помнить: система безопасности должна быть комплексная, а главное — незаметная!

Продолжение следует…

stakhanovets.ru

периметр безопасности - это... Что такое периметр безопасности?

  • периметр безопасности — Воображаемая граница между высоконадежным вычислительным ядром и другими системными функциями. [http://www.morepc.ru/dict/] Тематики информационные технологии в целом EN security perimeter …   Справочник технического переводчика

  • Периметр — граница охраняемой зоны, оборудованная физическими барьерами и контрольно пропускными пунктами. Источник …   Словарь-справочник терминов нормативно-технической документации

  • периметр охраняемой зоны — Граница охраняемой зоны, оборудованная физическими барьерами и контрольно пропускными пунктами. [РД 25.03.001 2002] Тематики системы охраны и безопасности объектов EN guarded area perimeter …   Справочник технического переводчика

  • периметр охраняемой зоны — 2.22.2.1 периметр охраняемой зоны: Граница охраняемой зоны, оборудованная физическими барьерами и контрольно пропускными пунктами Источник: РД 25.03.001 2002: Системы охраны и безопасности объектов. Термины и определения …   Словарь-справочник терминов нормативно-технической документации

  • Критерии определения безопасности компьютерных систем — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria …   Википедия

  • РД 25.03.001-2002: Системы охраны и безопасности объектов. Термины и определения — Терминология РД 25.03.001 2002: Системы охраны и безопасности объектов. Термины и определения: 2.36.8 аварийное освещение (на охраняемом объекте): Действующее при аварии на объекте только в момент отключения основного освещение, позволяющее… …   Словарь-справочник терминов нормативно-технической документации

  • ТР 205-09: Технические требования по проектированию систем антитеррористической защищенности и комплексной безопасности высотных и уникальных зданий — Терминология ТР 205 09: Технические требования по проектированию систем антитеррористической защищенности и комплексной безопасности высотных и уникальных зданий: Безопасность состояние, при котором отсутствует недопустимый риск, связанный с… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р 52551-2006: Системы охраны и безопасности. Термины и определения — Терминология ГОСТ Р 52551 2006: Системы охраны и безопасности. Термины и определения оригинал документа: 2.2.1 безопасность: Состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз (по… …   Словарь-справочник терминов нормативно-технической документации

  • ГОСТ Р ИСО 15025-2007: Система стандартов безопасности труда. Одежда специальная для защиты от тепла и пламени. Метод испытаний на ограниченное распространение пламени — Терминология ГОСТ Р ИСО 15025 2007: Система стандартов безопасности труда. Одежда специальная для защиты от тепла и пламени. Метод испытаний на ограниченное распространение пламени оригинал документа: 2.1 время воздействия пламени (flame… …   Словарь-справочник терминов нормативно-технической документации

  • Критерии оценки доверенных компьютерных систем — стандарт Министерства обороны США (англ. Department of Defense Trusted Computer System Evaliation Criteria, TCSEC, DoD 5200.28 STD, December 26, 1985), более известный под именем Оранжевая книга (англ. Orange Book ) из за цвета обложки. Данный… …   Википедия

  • Корейская война — Холодная война По часовой стрелке: Морская пехота США бе …   Википедия

dic.academic.ru

7.1.1 Периметр охраняемой зоны

Физическая защита может быть достигнута созданием нескольких физических барьеров (преград) вокруг помещений компании и средств обработки информации. Барьеры устанавливают отдельные периметры безопасности, каждый из которых обеспечивает усиление защиты в целом. Организациям следует использовать периметры безопасности для защиты зон расположения средств обработки информации (7.1.3). Периметр безопасности - это граница, создающая барьер, например, проходная, оборудованная средствами контроля входа (въезда) по идентификационным карточкам или сотрудник на стойке регистрации. Расположение и уровень защиты (стойкости) каждого барьера зависят от результатов оценки рисков.

Рекомендуется рассматривать и внедрять при необходимости следующие мероприятия по обеспечению информационной безопасности:

- периметр безопасности должен быть четко определен;

- периметр здания или помещений, где расположены средства обработки информации, должен быть физически сплошным (то есть не должно быть никаких промежутков в периметре или мест, через которые можно было бы легко проникнуть). Внешние стены помещений должны иметь достаточно прочную конструкцию, а все внешние двери должны быть соответствующим образом защищены от неавторизованного доступа, например, оснащены устройствами контроля доступа, шлагбаумами, сигнализацией, замками и т.п.;

- должна быть выделенная и укомплектованная персоналом зона регистрации посетителей или должны существовать другие мероприятия по управлению физическим доступом в помещения или здания. Доступ в помещения и здания должен быть предоставлен только авторизованному персоналу;

- физические барьеры, в случае необходимости, должны быть расширены от пола до потолка, для предотвращения неавторизованных проникновений, а также исключения загрязнения окружающей среды в случае пожара или затоплений;

- все противопожарные выходы в периметре безопасности должны быть оборудованы аварийной сигнализацией и плотно закрываться.

7.1.2 Контроль доступа в охраняемые зоны

Зоны информационной безопасности необходимо защищать с помощью соответствующих мер контроля входа для обеспечения уверенности в том, что доступ позволен только авторизованному персоналу. Необходимо рассматривать следующие меры контроля:

- посетители зон безопасности должны сопровождаться или обладать соответствующим допуском; дату и время входа и выхода следует регистрировать. Доступ следует предоставлять только для выполнения определенных авторизованных задач. Необходимо также знакомить посетителей с требованиями безопасности и действиями на случай аварийных ситуаций;

- доступ к важной информации и средствам ее обработки должен контролироваться и предоставляться только авторизованным лицам. Следует использовать средства аутентификации, например, карты доступа плюс PIN-код для авторизации и предоставления соответствующего доступа. Необходимо также надежным образом проводить аудит журналов регистрации доступа;

- необходимо требовать, чтобы весь персонал носил признаки видимой идентификации, следует поощрять его внимание к незнакомым несопровождаемым посетителям, не имеющим идентификационных карт сотрудников;

- права доступа сотрудников в зоны информационной безопасности следует регулярно анализировать и пересматривать.

studfiles.net

Периметр безопасности

04.07.2007 Рэнди Франклин Смит

озможно, вы еще помните те времена, когда защита чаще всего сводилась к использованию брандмауэров. Но даже тогда эта концепция считалась ограниченной. Установка внешних средств безопасности (периметра безопасности) подразумевает нечто большее, чем использование брандмауэров и обнаружение несанкционированных подключений. Брандмауэр является лишь одним из компонентов периметра безопасности, а периметр безопасности — только один из компонентов безопасности. Мне бы хотелось привести некоторые соображения, которые нужно обязательно принимать во внимание при создании периметра безопасности, а также контрольный список решений, которые можно использовать при планировании периметра безопасности в современной среде с растущим числом соединений.

За брандмауэрами

И все же периметр безопасности начинается с почтенного брандмауэра. Многие ошибочно полагают, что брандмауэр внимательно просматривает каждый входящий пакет. Брандмауэры — это только первая линия обороны, и они отражают лишь самые примитивные атаки. Проще говоря, брандмауэры оценивают пакеты в соответствии с протоколом доступа сообщений и по состоянию соединения между внешним и внутренним компьютером. Если пакет согласуется с протоколом, разрешенным для входящих соединений, или является частью установленного исходящего соединения, брандмауэр пропускает его. Любое вредоносное содержимое внутри разрешенного протоколом или инициируемого исходящим сообщением соединения пройдет через брандмауэр незамеченным. Например, если у вас за брандмауэром имеется сервер электронной почты, вы, скорее всего, откроете на брандмауэре порт 25 (SMTP) для входящих соединений, который будет переадресовывать их на ваш сервер электронной почты. Как только брандмауэр обнаружит, что пакет соответствует SMTP, он немедленно направит его на сервер электронной почты.

Любой приобретаемый сегодня брандмауэр включает две основные характеристики: инспектирование пакетов с хранением адресов и преобразование (трансляция) сетевых адресов. Инспектирование пакетов повышает интеллектуальность брандмауэра и заставляет его более внимательно относиться к протоколам, ориентированным на установление логических соединений типа TCP, что лишает нарушителей возможности засылать через брандмауэр вредоносные пакеты под видом уже установленного соединения. Преобразование сетевых адресов позволяет скрывать информацию о внутренней сети, например внутренние адреса и топологию локальных сетей, сообщая вместо адреса и порта внутренней сети собственный адрес в Internet и новый номер порта.

Шлюзы приложений

Каждый протокол и приложение уязвимы из-за плохо сформированных данных и случайных ошибок разработчиков сопутствующих программ. Все больше приложений становятся открытыми для потенциально враждебных компьютеров и вредоносного контента и трафика Internet, который может содержать опасные данные. Риск продолжает расти по мере перехода на мобильные системы. Чтобы повысить гибкость эксплуатации для пользователей мобильных устройств, обычной практикой является переход от виртуальных частных сетей (VPN) к безопасному удаленному доступу на уровне приложений. Например, поддержка системой Microsoft Exchange 2003 вызовов удаленных процедур по HTTP позволяет пользователям задействовать Outlook внутри или вне локальной сети независимо от их опыта. Все чаще компании осуществляют сделки со своими деловыми партнерами через протокол SOAP и связанные с ним протоколы. В результате все больший объем информации предприятий становится доступным для атак на уровне приложений, чем и пользуются хакеры.

Вероятность атак, направленных на высокоуровневые приложения, можно уменьшить. Для этого нужно полностью обновить все приложения, использующиеся для связи с потенциально ненадежными внешними системами. Профилактическая постановка всех исправлений в операционных системах и приложениях является основным фактором обеспечения периметра безопасности. Нужно помнить о том, что установка исправления может быть сорвана, если новые уязвимые места станут известны до того, как она будет готова.

Можно реализовать проактивный подход к атакам по сети на уровне приложений путем использования шлюзов приложений (известных также как инвертированные proxy-серверы). Шлюзы приложений могут осуществлять поиск конкретных известных методов атаки, но это не является их основной функцией. Шлюз приложений представляет собой систему между Internet и сервером приложений, которая понимает релевантный протокол приложений, использующийся в настоящий момент. Эта система сo шлюзом приложений воспринимается извне как конечный сервер приложений, но на самом деле шлюз интерпретирует каждый входящий запрос, преобразовывает его в собственный внутренний формат сервера приложений, а затем заново создает новый запрос, чтобы аннулировать любое вредоносное содержание или предупредить его проникновение. Далее шлюз посылает новый запрос на фактический (действующий) сервер приложений и аналогичным образом обрабатывает ответ сервера. Например, шлюз SMTP, который тщательно разбирает входящее сообщение SMTP, а затем заново создает его в строгом соответствии со спецификациями протокола SMTP, отбрасывает любые дефектные данные, например нарушенные последовательности символов или избыточные данные в сообщении.

В разных компаниях требуются разные шлюзы приложений, но почти везде используются приложения и протоколы для просмотра Web-страниц (через HTTP), для электронной почты (через SMTP) и для оперативной пересылки сообщений (IM). Эти три протокола делают приложения особенно привлекательными мишенями для четырех видов атак: прямых атак, заражения вирусом, фишинга и атаки на исходящий контент. Прямые атаки, использующие переполнение буферов или другие уязвимые места, направлены на конкретные слабые места клиентов электронной почты и серверов, Web-серверов и клиентов IM. Поскольку HTTP, SMTP и IM поддерживают пересылку файлов, они подвержены заражению вирусом, а также уязвимы для атак методом социальной инженерии, например фишинга. Риски, связанные с этими протоколами, касаются не только входящих/исходящих сообщений, отправляемых сотрудниками, но угрожают конфиденциальности предприятия и нарушают соответствие требованиям нормативов.

Ни один продукт на рынке не поддерживает шлюз приложений для каждого протокола и приложения, однако ISA Server от Microsoft поддерживает самый широкий диапазон собственных протоколов (в том числе SMTP, HTTP, FTP и RPC). Помимо этого, ISA Server поддерживает множество разработанных партнерами дополнительных программных модулей для других протоколов и приложений. Расширяемая архитектура ISA Server и удачное сотрудничество Microsoft с партнерами делают ISA Server универсальным шлюзом приложений, но для конкретных применений можно воспользоваться и другими решениями (например, решениями FaceTime для защиты пересылки сообщений и создания «антишпионских» программ). Web-фильтры, разрабатываемые компаниями Barracuda Networks, Websense, St.Bernard Software и SurfControl, помогают применять политики, определяющие, к какой Web-странице внутренние пользователи могут перейти. Используя управление по ключевому слову, такие решения позволяют контролировать сотрудников или блокировать поступление к ним конфиденциальной информации либо почтовых сообщений, а также блокировать их доступ к не предназначенной для них информации.

Кроме Web, электронной почты и IM, слабыми местами периметра безопасности являются одноранговые сети (2Р2), Internet-конференции и XML. Многие разработчики шлюзов приложений, изначально предназначавшихся для Web-фильтрации и безопасности IM, расширили свои решения для поддержки одноранговых сетей и Internet-конференций.

Широкое применение коммуникаций в формате XML, особенно в виде SOAP, для осуществления финансовых сделок создает проблемы, которые отличаются от проблем технологий, в большей степени ориентированных на конечного пользователя, о которых я рассказывал. ИT используют XML для установления связи между важнейшими бизнес-системами и соответствующими системами деловых партнеров. Из-за текстового характера XML любое средство защиты сильно нагружает центральный процессор и потребляет ресурсы памяти из-за использования рекурсивного синтаксического разбора. Вполне понятно, что администраторы резко отрицательно относятся к дополнительной нагрузке на сервер приложений, и в организациях, использующих XML, количество поврежденных серверов может быстро увеличиться и выйти из-под контроля. Если в вашей организации используется XML, то к средствам защиты периметра придется добавить аппаратный брандмауэр XML. Решения предлагаются компаниями DataPower, Xtradyne, Reactivity и Layer7 Technologies.

Одной из самых грубых ошибок, которые могут быть допущены в отношении периметра безопасности, является создание политик, запрещающих применение определенных технологий, например IM или Web-конференций. Пользователи будут игнорировать эти политики, а провайдеры услуг и разработчики найдут способ обойти простые брандмауэры, призванные блокировать «несанкционированное» соединение. Не стоит рисковать своей репутацией профессионала в области ИТ, запрещая технологии вместо того, чтобы способствовать их развитию. Занимаясь вопросами безопасности, помогайте распространению новых технологий.

Виртуальные частные сети (VPN) и протоколы SSL для VPN

Несмотря на тенденцию обеспечения удаленного доступа на уровне приложений, доступ VPN все еще остается очень важным для пользователей мобильных и удаленных устройств. Появление так называемых VPN с Secure Socket Layer (SSL) вызвало некоторое смятение в рядах сторонников VPN. Поговорим сначала о традиционных VPN, а потом перейдем к определению SSL VPN и обсудим все «за» и «против».

Традиционно использование VPN для удаленного доступа означало просто установление связи с локальной сетью компании через Internet с помощью туннельного протокола, например PPTP и L2TP. Подсоединившись к сети, удаленные пользователи становились виртуальными членами внутренних локальных сетей и получали доступ через IP к ресурсам локальной сети, как если бы они находились в офисе (хотя из-за запаздывания дистанционного соединения доступ осуществлялся гораздо медленнее).

Истинные виртуальные частные сети на базе PPTP или IPsec незаслуженно имеют репутацию сетей, неудобных для управления и обслуживания (основная жалоба сводится к необходимости установки частного клиентского программного обеспечения на все компьютеры удаленных пользователей). Я не понимаю, почему компании так сильно рассчитывают на сторонние VPN, а не на внутренние Windows PPTP и L2TP. Сервер RRAS устанавливается просто, а Windows имеет встроенный клиентский VPN еще со времен Windows NT. Особенно прост в применении PPTP. Если вам нужно осуществить двухфакторную аутентификацию с использованием клиентских сертификатов, необходимо задействовать L2TP и развернуть клиентские сертификаты (это справедливо в отношении двухфакторной аутентификации любого типа). Используя комплект управления соединениями СМАК, вы можете создать мастер, который будет автоматически устанавливать VPN-соединение в папке сетевых соединений пользователя. Можно распространить мастер как приложение к электронной почте, на компакт-диске или путем загрузки с Web.

Самая большая проблема с VPN, с которой я столкнулся, была вызвана брандмауэрами между VPN-сервером и удаленным пользователем. Большая часть брандмауэров может быть сконфигурирована так, чтобы пропускать PPTP или IPsec (L2TP проходит внутри IPsec) при исходящих VPN-соединениях, на что соглашаются далеко не все администраторы. Эти периодически возникающие проблемы соединений и являются одной из причин использования SSL VPN вместо VPN.

Не все SSL VPN есть истинные VPN — многие являются просто реверсивными представителями защищенного протокола HTTP (HTTPS). С инвертированным proxy-сервером можно использовать приложения для браузера, первоначально предназначенные для доступа пользователей из внутренних локальных сетей, и сделать их доступными для удаленных пользователей без изменения внутреннего сервера приложений. Proxy-сервер является надежным Web-сервером в Internet; после успешного подсоединения и аутентификации удаленного пользователя с помощью обычных Web-браузеров proxy-сервер играет роль посредника между пользователем и сервером внутри сети. Это уже много лет делает ISA Server, но после того, как инвертированными proxy-серверами стали пользоваться новые компании, в обиход вошел термин SSL VPN. Основное преимущество использования инвертированных proxy-серверов заключается в том, что они позволяют сделать внутренние Web-приложения доступными для удаленных пользователей без какой-либо установки со стороны пользователя и без модификации внутреннего Web-приложения. Кроме того, у вас не будет проблем с соединениями, которые возникают в связи с блокировкой брандмауэрами исходящих туннельных протоколов.

Используйте инвертированный proxy-сервер, когда требуется обеспечить удаленный доступ к внутреннему Web-приложению. Используйте SSL VPN, когда необходим доступ от удаленной сети к внутренней сети на транспортном уровне (TCP/UDP). Истинные SSL VPN обеспечивают туннелирование трафика IP между внутренней локальной сетью и удаленным пользователем. OpenVPN является решением с открытым кодом для создания SSL VPN. Более подробная информация приведена в статье «Работаем с OpenVPN» (http://old.osp.ru/win2000/506_36.htm).  Другие истинные SSL VPN выпускаются независимыми поставщиками программного обеспечения, например компаниями Aventail и Citrix. SSL VPN очень перспективны с точки зрения простоты применения и администрирования и низкой стоимости эксплуатации, но если вы используете такие возможности управления, как, например, CMAK, Group Policy и Certificate Services, то неплохо работают и собственные варианты VPN-соединений Windows. Если требуется поддерживать удаленных пользователей, работающих не с Windows, а с другими системами, более подходящим вариантом будет SSL VPN. Справочная информация по продуктам SSL VPN приведена в статье «Продукты SSL VPN» (опубликованной в Windows IT Pro/RE № 3 за 2005 г.).

Обнаружение вторжений

Несмотря на самые серьезные намерения внедрить целый комплекс средств защиты периметра, риск проникновения злоумышленников в сеть все-таки сохраняется, поэтому следует подумать об обнаружении и предупреждении вторжений. Системы обнаружения вторжений (IDS) и системы предупреждения вторжений (IPS) используют для обнаружения нарушителей один или несколько из трех основных методов: проверку пакетов, настройку политики и анализ моделей. Большинство IDS- и IPS-решений проверяют пакеты на известные сигнатуры атак. Эффективность этого метода проверки зависит от того, сколько сигнатур атак производитель встраивает в свой продукт и как часто он обновляется. Большая часть систем позволяет также настраивать политики, определяющие предполагаемые модели сетевого трафика, но этот метод связан с проведением обширного анализа и с большим объемом работы, причем необходимо модифицировать политики при введении новых приложений и изменении моделей трафика. Некоторые системы используют разные алгоритмы и анализ моделей передачи для автоматического детектирования аномального трафика. Эти системы перспективны, но в данный момент они страдают теми же ограничениями и ложноположительными результатами, что и решения антиспама, основанные на эвристическом принципе и байесовском анализе.

Главные различия между IDS и IPS заключаются не столько в способах проверки, сколько в способах реагирования на обнаружение подозрительного или несанкционированного трафика. IDS действуют через регистрацию и оповещение. IPS пытаются остановить вторжение путем изменения конфигурации брандмауэра в реальном времени или путем обнуления протоколов управления передачей данных (TCP). Когда IDS ошибается (дает ложноположительный результат), ящик входящей почты заполняется и ваш пейджер приходит в аварийное состояние из-за слишком большого количества тревожных сигналов. Если ошибку допускает IPS, то важные деловые процедуры прочно застывают на своих маршрутах. Если нет возможности назначить специальный персонал для обслуживания IDS и IPS, лучше потратиться на средства прямой защиты периметра.

Безопасность периметра раньше сводилась к изменению правил настройки брандмауэра; теперь же периметр безопасности представляет собой многогранный, многоуровневый и гораздо более сложный аспект безопасности и является не просто границей между Internet и внутренней сетью. Сегодня многие приложения соединяют эти две сети через логические соединения, которые осуществляются в обход брандмауэра. Первый шаг планирования периметра безопасности заключается в идентификации как физических, так и логических соединений с внешним миром. Важно помнить о том, что периметр безопасности постоянно меняется, и неожиданно могут возникнуть новые соединения с периметром по мере разработки новых Internet-технологий. Например, быстро развиваются виды услуг, осуществляемые на основе удаленного управления, такие как GotoMyPC. Пользователи могут легко стать абонентом GotoMyPC и задействовать его для удаленного доступа, но при этом через свои компьютеры они открывают ход прямо в корпоративную сеть.

Как уже говорилось выше, сопротивление новым видам подключения к внешнему миру бесполезно и даже может оказаться пагубным для компании. Если вы попытаетесь остановить технический прогресс, например игнорируя системы IM и Web-конференции, ваши клиенты найдут способ обойтись без вашей компании. Будьте бдительны, планируйте заранее. Повышайте надежность своих систем.

Рэнди Франклин Смит ([email protected]/com) — Редактор Windows IT Pro, консультант по вопросам информационной безопасности, главный управляющий компании Monterey Technology Group. Преподает на курсах Ultimate Windows Security и имеет сертификаты SSCP, CISA и MVP

Планирование периметра безопасности

  • Идентифицируйте все логические и физические соединения с «внешним миром».

  • С самого начала сделайте своей целью использование новых безопасных Internet-технологий.

  • Защитите антивирусной программой все маршруты, через которые в сеть могут поступить файлы.

  • Всегда устанавливайте исправления во все операционные системы, средства безопасности периметра, приложения и серверы, как только исправления будут доступны.

  • Изолируйте приложения с дистанционным доступом с помощью шлюзов приложений, например ISA Server и программных модулей партнеров по ISA Server.

  • Рассмотрите возможность использования усовершенствованных решений периметра безопасности для IM, XML и Web-фильтрации.

  • Если вам нужны IDS или IPS, запланируйте необходимую поддержку и обслуживание этих систем.

www.osp.ru


Смотрите также