Сигурност във фирма за разработка на



Дата19.02.2017
Размер187.92 Kb.
Университет за национално и световно стопанство

Икономика на инфраструктурата”

Национална и регионална сигурност”


Тема: Сигурност във фирма за разработка на

софтуеър

По дисциплина: “Корпоративна сигурност”

Изготвил: Петър Николаев Георгиев Ф.Н. 245134 гр.5245

Научен ръководител: доц. д-р Димитър Димитров

Дата: 11.05.2007г.

Само до преди десетилетие защитата срещу мрежови атаки беше съсредоточена

главно върху това да държи хората далеч от мрежата на компанията на всяка цена.

Днес развитието на интернет и мрежите на всички нива доведе до промяна на тази

концепция. В резултат ударението при защита срещу мрежови атаки пада върху

контролиране нивото на достъп и защита на критичните корпоративни данни.

Тази промяна на приоритетите се дължи и на факта, че заплахите за сигурността

идват и от служители в компанията, освен хора извън нея, било то за да се навреди

предумишлено или заради пропуски и грешки в сигурността. Според скорошно

проучване повече от 70 процента от неоторизирания достъп до информация се

извършва от служители на компанията, а 95 процента от атаките, които водят до

сериозни проблеми, в основата си са предизвикани, волно или неволно, от

служители на компанията.

Според известен специалист от Cisco (Kevin Flynn) “Мрежовите атаки стават все

по-сложни и в същото време все по-лесни за провеждане”. В основата на всичко

стои фактът, че повечето компании не са така сигурни както би трябвало да бъдат и

проблемите стават все по-големи и по-големи. Развиващите се компании

разширяват мрежите си, за да включат отдалечени нови офиси и да дадат достъп на

новите си служители. Определен достъп трябва да се дава и на партньори и

доставчици. При развитието на мрежата се допускат пропуски и грешки, които в

последствие могат да се използват от злонамерени лица.

Всяка една част от мрежата е потенциална цел на атака. Затова всяка компания

трябва да има подробно разработена стратегия затова как да свърже всеки един

компонент и стриктно спазвана вътрешна политика за сигурността.

Както беше споменато по-горе, начините на подържане на мрежова сигурност с

времето се отдалечават от традиционната “защита на периметъра”, където фокусът

пада върху създаването на виртуални бариери между корпоративната мрежа и

външния свят. Вместо това се развиват системи, в които се набляга на гъвкава

защита в дълбочина, където всяка машина се защитава и извършва контрол

самостоятелно. Тези системи се приспособяват към обстоятелствата и реагират

адекватно на заплахи.

В същото време фирмите продължават да разчитат на доказани продукти, за да

изградят сигурна инфраструктура, включително: корпоративни и лични firewalls,

суичове и рутери за подръжка на сигурни връзки, защита от външни атаки,

идентификация, контрол на нивото на достъп, едновременно и на физическо ниво,

VPN (Virtual Private Networks), антивирусен софтуеър, криптиране на данните,

сигурен безжичен достъп до мрежата.

Разпределението по отговорността за сигурността в една фирма е от върха към

основите, изключително важно е ръководството на фирмата да е наясно с

изключителната стойност на правилно развитата политика за сигурност.

PDF created with pdfFactory Pro trial version www.pdffactory.com

Най-сигурната защита срещу външни атаки върху корпоративната мрежа е firewall.

В противоречие с общо приетата представа за firewall-a обикновено това не е една

единствена система, а няколко компонента работещи заедно. Основните

изисквания за един firewall са да служи като “врата”, през която да минава целия

изходящ и входящ трафик, трябва да позволява само оторизиран трафик да минава

и трябва да предпазва от злонамерено проникване в мрежата, която пази.

По правило една организация никога не трябва да свързва корпоративната мрежа

или система към външна мрежа като интернет без firewall, освен ако въобще не се

интересува от сигурността на системата си. Firewall-a е комбинация от софтуеър и

хардуеър, които предпазват мрежата на компанията от злонамерени действия на

лица извън тази мрежа. Когато се обмислят мерките, които да се вземат за защита

на вътрешна корпоративна мрежа от външна мрежа, на която се няма пълно

доверие, трябва да се действа според размера на евентуалната външна заплаха.

Някои компании вярват, че поставянето просто на рутер, който филтрира пакети

или протокол, е достатъчна защита. Но като цяло това далеч не е достатъчна

защита, а дори напротив – твърде лесно е да се заобиколи. А и самия рутер не е бил

проектиран за да осигурява защита на мрежи.

Ето с какво е полезен един firewall: като цяло е много полезно средство за

контролиране на нежелан и неоторизиран трафик. Firewall-а може да бъде и

ефикасен начин да се осигури достъп до интернет на служители на компанията.

Firewall-a може да осигури NAT за системи и мрежи, които нямат собствен IP

адрес. Могат понякога да следят и да ви уведомяват за атаки и мрежови проблеми.

И накрая това е ефективен начин да се подържа log файл за всички предприети

действия – свързване или опит за свързване към системата.

Недостатъците на един firewall са прекаленото доверие в него – казано на по-

свободен език – като да сложиш всички яйца в една кошница. Ако се направи

грешка при конфигурирането на firewall-a може да се даде достъп до вътрешната

мрежа на неоторизирани лица. Освен това при евентуален срив на firewall-a се губи

и цялата връзка към външната мрежа. Това може да се осъществи например при

denial-of-service атака. Накрая firewall-a може донякъде да забави връзката между

външната мрежа и тази на фирмата, заради проверката на входящия и изходящия

трафик, която отнема време.

За съжаление firewall-ът може да не бъде толкова умен, колкото ни се иска.

Понякога може да не спре опасен трафик, а да не пропусне неща, които трябва да

минат. Firewall-ът сам по себе си не прави мрежата на корпорацията сигурна. Той е

само средство. Трябва да бъде конфигуриран правилно и да бъде следен

внимателно. Обща заблуда е, че ако мрежа е зад firewall, той само трябва да се

наблюдава без да се следи вътрешното състояние на мрежата, или че ако мрежата

не е свързана към интернет никакви вътрешни атаки не са възможни. Представа

крайно отдалечена от реалността. Firewall-ът не следи дейностите във вътрешната

мрежа. Наистина той прави външното проникване в мрежата по трудно, но това не

предпазва от вътрешни проблеми, дошли от собствени служители например. Освен

това самият firewall може да бъде заобиколен от външни недоброжелателни лица и

тогава трябва да се използва вътрешно следене на мрежата за евентуални login и

така нататака.

PDF created with pdfFactory Pro trial version www.pdffactory.com

При разработване на стратегията за използване на firewall има два общи подхода:

първият е да се забрани всичко, което не е изришно позволено. Вторият е да се

позволи всичко, което не е изришно забранено. Очевидно първиятподход би довел

до далеч по-голяма сигурност на мрежата.

Има няколко различни типа firewall според различните критерии – слоят на OSI

модела, в който работят, технологията, която имплементират или общия подход,

който използват. Според последното те се делят на прокси и филтриращи. Много

имплементации използват и двата подхода. Според слоя на OSI модела, в който

работят има три основни типа: мрежово ниво, ниво приложение (прокси сървър),

circuit ниво (прокси сървър).

Ето няколко доста по-евтини алтернативи на firewall-a: TIS (Trusted Information

System’s) firewall toolkit, juniper firewall toolkit, freestone и други. Всички те

изискват подходящо знание и опит на професионалист за да се конфигурират и

използват правилно.

Важна част от системата за сигурност в мрежата на една фирма е използваната

операционна система. Неправилното използване на привилегиите, които дава една

операционна система могат сериозно да застрашат сигурността. Потребителите,

които имат достъп до администрацията на операционната система, могат да

нарушат цялостта на корпоративния firewall и по този начин да изложат важни

мрежови ресурси на външни и вътрешни заплахи. Една организация може да има

няколко операционни системи в мрежата си и по принцип е задължение на

доставчика на операционната система да осигури максимална сигурност. Ето

няколко стъпки, които могат да се предприемат ако се ползва Windows NT: да се

инсталира поне Service Pack 3 и нагоре, да се следят успешните и неуспешни логин

в системата, да се въведе периодична смяна на паролата (NT пази хеш версии на

паролите), всеки, който има достъп до машината с NT може да намери името на

администратора и съответните общо достъпни директории (нещо, което може да се

промени с малка промяна на един от регистрите), хубаво е да се разчита на

подходящи програми за backup, а не на тези на NT, да се внимава с temp

директорията, която се използва да се запазват копия на файлове, които се

модифицират (евентуално криптиране на тези файлове) и други. Ако се ползва

Linux могат да се вземат следните мерки: поне веднъж седмично да се проверява

дали паролите са силни и да се сменят поне на всеки тридесет дни, да се използва

umask за правата по подразбиранепри създаване на файлове, да се следи

системните файлове да не се отварят от случайни потребители и групи, освен ако

изришно не са им дадени съответните привилегии, внимателно да се конфигурира

ядрото, ключови параметри, за които трябва да се внимава са: config_firewall,

config_ip_forward, config_syn_cookies, config_ip_firewall, config_ip_firewall_verbose,

config_ip_nosr, config_ip_masquearade и други. Linux по подразбиране стартира

услуги като HTTP, FTP, SMB, Sendmail, някои от които може да не са необходими

и трябва да бъдат спрени.

Но защитата с firewall и правилното конфигуриране и администриране на

операционната система не са достатъчни. Трябва да се вземат някои мерки и за

всяка една от машините, които са вътре в корпоративната мрежа. На първо място

правилна политика за достъп до ресурсите на всеки един от служителите, освен

PDF created with pdfFactory Pro trial version www.pdffactory.com

това редовно инсталиране на пачовете за операционната система на всяка машина и

съответните приложения, които се ползват. Трябва да се ограничи до възможния

минимум достъпа до мрежови ресурси на всяка една от машините, да се инсталира

и подновява редовно антивирусен софтуеър на всяка една машина, както и да се

правят редовни backup на всички важни данни. Не трябва да има модеми на

отделните машини и ако работата го позволява на всяка машина трябва да работи

само един служител и да се ползва само един акаунт. Може да се инсталира (ако е

възможно) личен firewall за всяка една от машините, като популярен вариант за

това е Zone Alarm. Остарели или счупени хард дискове не трябва да се пазят, ако

няма повече да се употребяват, а да се унищожават.

Съществува вариант, при който някои служители пътуват много и им трябва

мобилна връзка до мрежата на компанията. Много удобна за такива служители би

била операционната система Windows 2000. Ето няколко предпазни стъпки, които

могат да се предприемат за да се повиши сигурността при такъв достъп до мрежата

на компанията: да не се използват каквито и да било опции, които запомнят

паролата, за да не се налага да я въвеждате втори път, всички лаптопи с windows

2000 да са със задействано криптиране, а тези с windows 9x да използват за

криптиране софтуеър на трета страна като: PGP, Norton for your eyes only, RSA

SecurePC, TSS Officelock. Важно е и да се използват различни пароли за различните

акаунти, както и да не се използва една и съща парола в корпоративната мрежа и в

интернет например.

В заключение - за да се постигне сравнително добро ниво на сигурност се

използват няколко слоя на защита – външна (firewall), на ниво операционна

система и вътрешна за всяка една от машините в корпоративната мрежа. Идеята на

този многослоен модел е да се разрпредели риска между няколко стратегии за

защита, така че ако един от слоевете се окаже недостатъчен за да защити

корпоративната мрежа, друг от слоевете да предотврати нанасянето на големи

щети.

Голям проблем за една компания може да бъде изтичането на информация от



вътрешен човек или така наречения промишлен шпионаж. Често на това се гледа с

пренебрежение и се смята, че би могло да засегне само правителствени

организации и корпорации, които работят със стого секретна информация, но това

далеч не е така. От изтичането на информация може да пострада всяка средно

голяма фирма, особено такава за разработка на софтуеър, където наличието на

свежи идеи и откриването на революционни алгоритми е изключително високо

ценено. В наши дни всеки служител има достъп до огромно количество

информация, просто стоейки на бюрото си и ползвайки корпоративната мрежа. А

някъде в мрежата със сигурност има конфиденциална и секретна информация.

Високоскоростният достъп до интернет, преносимостта на данни и софтуеър

правят разкриването на вътрешен човек, който изнася данни много трудно. Според

повечето представи заплахата от вътрешен човек идва най-вече от тези, които

администрират цялата система. За съжаление това не е точно така. Всеки, който

има достъп до някаква информация представлява потенциална заплаха. Частично

решение на този проблем е да се използва принципа на най-малките привилегии.

Това означава ограничение за достъпа за четене/писане само до файлове, които

PDF created with pdfFactory Pro trial version www.pdffactory.com

действително трябват на конкретния служител за да си върши работата. Понякога

това може да означава и да се дава достъп само до файлове на собствения хард

диск. Но разработването на такава стратегия би отнело много време дори на опитен

администратор. Друго решение е да се групират служителите и да се дават

различни права на различните групи. Но разпределянето по групи трябва да бъде

изключително внимателно преценено, за да не се окаже накрая, че секретарката на

компанията има достъп до файлове със сорс код на стойност десетки, дори стотици

хиляди долари. В някои случаи могат да се вземат и по-драстични физически

мерки, като да се отстранят някои видове хардуеър. Могат да се махнат флопи

дисковете, записващите CD-та, вградените модеми и други.

Особено трябва да се внимава със служебни лаптопи за дори случайно изтичане на

информация. На тях често се съхраняват големи обеми важна информация, а те от

своя страна могат лесно да бъдат откраднати или загубени, а често се свързват с

корпоративната мрежа без необходимите защити.

За съжаление нещата, по които може да познаем евентуалната заплаха от вътрешен

човек не са много и все пак: честото ползване на софтуеър за криптиране,

разглеждането на бази данни с критична информация, свалянето на файлове, които

нямат нищо общо с конкретните отговорности на служителя. Едни и същи

компютърни вируси заразили системи с достъп до важна, секретна информация и

системи без такъв достъп, може да показват неоторизирано прехвърляне на

файлове между тях. Също така твърде честото качване и сваляне на файлове между

системи с различни права на достъп е знак за евентуално изтичане на информация

от вътрешен човек.

Вътрешно изтичане на информация е имало и ще има занапред, но ако не бъде

подценявано може да бъде силно ограничено при правилно взети мерки.

Системата за source control е от изключително значение за една фирма, която се

занимава с разработване на софтуеър. Идеята на системата за source control е да

управлява промените, които стават с един софтуеърен проект по време на

разработване. Разработчиците се нуждаят от пълна история на промените, за да

могат да се върнат към предишна версия в случай на проблем. Тъй като сорс кода е

най-важната част от един софтуеърен продукт, а разработването на софтуеър

отнема много пари и време, е важно да се отдели време за да се запази кода с

помощта на source control системи като CVS, RCS, Arch, Subversions, BitKeeper,

SourceSafe.

CVS (Concurrent version control system) е средство което позволява разработването

на софтуеър в конкурентна среда от много разработчици. Под интерфейса на

приложението стои RCS.

CVS може да записва историята на промени на файловете (обикновено, но не

винаги сорс код). CVS записва само разликата във версиите между файловете,

вместо всяка версия на всеки файл, който създавате. CVS също така пази лог на

това кой, кога и защо е променял нещо по файла. CVS е много полезно при

управлението на пускане на нова версия на софтуеъра и при конкурентното

редактиране на сорс файлове от много автори едновременно. Вместо да осигурява

контрол на версията за група файлове в единствена директория, CVS осигурява

контрол на версията за йерархична група от директории, състояща се от

PDF created with pdfFactory Pro trial version www.pdffactory.com

контролирани файлове. Тези директории и файлове могат да се комбинират за да се

оформи нова версия на софтуеърния продукт.

CVS може да се използва за да се запазват C, C++, Java, Perl, HTML и други

файлове. CVS като система е доста сложна, технологията й е наричана софтуеърно

чудо. Разработвана е много дълго време, само алгоритмите за нея са разработвани

20-30 години, а системата продалжава да се развива и днес. Започната преди

десетилетия в университети, в началото тя не е била нищо повече от няколко шел

скрипта, от които до днес в нейната имплементация не е останало нищо. А днес

почти всеки софтуеърен проект по света използва CVS.

Няма нужда да се избира между CVS и RCS, тъй като първото използва второто

под повърхността. Но CVS е далеч по-мощтно средство и може да контролира цяло

дърво със сорс код файлове. С помощта на скриптинг езици като Perl и Korn

например CVS може да добие вид удобен за работа в конкретните условия.

Основните предимства на CVS са: тя е децентрализирана, така че всеки потребител

проверява файлове и директории от хранилището и има собствено дърво със сорс

файлове, улеснено е пускането на нови версии с помощта на цялото дърво със сорс

файлове, позволява конкурентно редактиране на файлове, позволява така

нареченото ‘weak locking’ при конкурентно редактиране на файлове. При все това

CVS има и някои недостатъци: необходимост от малко повечеадминистрация от

RCS, доста сложна и “изтънчена” система, голям брой команди, които затрудняват

изучаването й от начинаещи. В сравнение с CVS RCS има следните предимсва: по-

улеснена администрация, по-полезно за прости системи, силно локване на

файловете.

За съжаление пазарът диктува основните изисквания, а те са за богат на

възможности и характеристики софтуеър, а не на сигурно написан такъв.

Софтуеърът сам по себе си е крайно сложен, десетки хиляди редове код написани

от голям екип от програмисти. Не само ниското качество на написания код води до

проблеми със сигурността. Едно много добре написано подобрение към

съществуващия продукт, което не е било предварително планирано може да доведе

до много по-сериозни проблеми със сигурността. За всяка малка промяна е нужна

проверка от гледна точка на сигурността, че системата работи нормално. Дори след

продължително тестване трябва да се имат предвид възможните проблеми, които

могат да възникнат при ползване от потребител. Писането на богат на възможности

софтуеър, а следователно и на усложнен код крие свойте рискове. “Сложността е

най-лошия враг на сигурността, продукти с много възможности и опции са много

по-малко сигурни от такива само с няколко възможности” – твърдят двама

разработчици на софтуеър с дългогодишен опит. За това и кодът трябва да се пише

с цел да се изпълни конкретната поставена задача, за да се намали до минимум

сложността.

През 1993 година се публикува Capability Maturity Model (CMM), който се

превръща в отличен водач при разработването на сигурен софтуеър от всички

софтуерни фирми. Макар този модел да не е съсредоточен върху решаване на

проблемите със сигурността, той набляга върху създаването на качествен код,

което е основата на създаването на сигурен софтуеър. Ето основните изисквания,

които всяка фирма за разработка на софтуеър трябва да се опитва да покрие:

PDF created with pdfFactory Pro trial version www.pdffactory.com

качествата и способностите на всеки отделен служител в компанията, без

формалните ограничения за заеман пост и привилегии; управление, планиране,

следене и осигуряване качеството на проекта, добро фирменообучение, връзка

между отделните софтуерни екипи, непрекъснато подобрение на написания код.

Подобен на CMM е XP (extreme programming) процеса, според който трябва да има

планиране на крайните срокове, пробни пускания на малки части от проекта,

възможно най-малко и опростен код, продължително тестване, не големи

натоварвания на програмистите и т.н. Комбинацията или оптималното придържане

към CMM и XP моделите може да помогне на една компания в разработването на

сигурен софтуеър.

Електронната поща, редом до HTTP и peer-to-peer софтуеъра като ниво на заплаха,

представлява една от главните опасности за корпоративните мрежи. Вируси и

червеи, които проникват в мрежата през SMTP, хакери които непрекъснато

сканират за възможни пропуски в сигурността, email протоколи, които са уязвими

за man-in-the-middle атаки, спам – това са само част от проблемите на електронната

поща. Ето и основните рискове при използването на email:

Първия и най-очевиден проблем е липсата на конфиденциалност, поради факта че

съобщенията се изпращат в чист вид, което се дължи на оригиналния дизайн на

SMTP. Това може да се избегне като се използват S/MIME и PGP, за да не се

предават съобщенията в чист вид.

Друга слабост е удостоверяването на самоличността, което при POP3 се извършва с

пароли в чист вид. Използват се доста разширения на протокола, като Kerberos, за

да се кодират паролите. Открадната парола би дала пълен контрол върху POP3

акаунта. Трябва да се отбележи, че схемата за удостоверяване на самоличността в

мрежата на компанията и тази на доставчика са независими, но при все това

открадването на паролата за електронната поща гарантира достъп до вътрешната

корпоративна мрежа независимо колко добра е вътрешната й защита.

Друг проблем е съхраняването на електронната поща на личната машина, което при

липса на добър backup, може да създаде големи неприятности и загуба на ценни

служебни данни, при евентуален хардуеърен проблем. Това копие на електронната

поща само по себе си трябва да бъде сигурно и добре защитено, за да не се

нарушава конфиденциалността.

Загуба на конфиденциалност може да възникне и когато POP и SMTP клиентите

разчитатна външен DNS сървър, тъй като тогава недоброжелателно лице може да

пренасочи съобщенията и паролите към друга, а не желаната дестинация.

Не трябва да се забравят и така наречения спам и вирусите, които се

разпространяват по електронната поща, защото те водят до допълнително

филтриране всеки път и добавяне на антивирусен софтуеър. За тази цел трябва да

се централизира изпращането и получаването на поща за да се улесни това

филтриране.

Какво може да се направи за да се разрешат всички тези проблеми свързани с

електронната поща на компанията? Разбира се, абсолютната конфиденциалност

при email е нереална цел, но могат да се вземат редица мерки. Mail сървъра трябва

да е вътре в защитената мрежа на компанията зад firewall. Но това не означава, че

същото трябва да стане и с DNS и web сървърите. Резултатите трябва да са

PDF created with pdfFactory Pro trial version www.pdffactory.com

следните: никакъв външен достъп до вътрешната корпоративна поща, а

служителите на компанията имат достъп само и единствено до техните съобщения.

Много компании използват web server, било то за ecommerce или просто за да

хостват уеб страницата на компанията. Често сървърът се инсталира с помощта на

консултанти, които просто оставят нещата работещи и нищо повече. В много

такива случаи сигурността остава на заден план. Всичко изглежда добре от гледна

точка на функционалността, но вратите за недобронамерени лица остават широко

отворени. За повечето сървъри непрекъснато се появяват пачове, които водят до

изчистване на пропуските в сигурността, а повечето компании дори не знаят за тях,

какво остава да ги инсталират. В същото време хакери следят излизането на такива

пачове, разучават пропуските, които коригират тези пачове и след това ги

използват за атаки срещу компаниите.

Важна част от сигурността на една фирма е да се изгради ясна политика за това кой

служител до какви мрежови ресурси има достъп. Разбира се, не е необходимо да се

направи списък на всички служители във фирмата, а просто да се оформят

различни групи – системен администратор, различните разработчици, младшите

програмисти, друг персонал и така нататак. В тези групи се слагатразлични

потребители със съответно различен достъп до вътрешната мрежа. Трябва да се

вземе предвид и евентуален външен достъп до мрежата от служители, които

работят по домовете си или докато пътуват например.

След като се реши кои потребители имат достъп до мрежовите ресурси, трябва да

се разработи политика за използване на съответните ресурси. Тази политика ще

зависи от класа потребител или с други думи в коя група попада. Тя трябва да

определя какви видове използване на мрежата са позволени и какви не, т.е. кои

достъп е ограничен. Това се нарича Acceptable Use Policy (AUP) за корпоративната

мрежа. Ако нивото на достъп до мрежов ресурс е ограничено по принцип, трябва

да се помисли какъв достъп ще имат различните групи потребители.

Корпоративното AUP може в чист вид да обявява, че всеки служител на фирмата е

отговорен за собствените си действия. Всеки служител носи собствената си

отговорност независимо от работещите механизми за сигурност. Няма смисъл да се

създава и подържа скъп firewall например, ако служител на корпорацията може да

изнесе и предостави на външни лица например служебен сорс код като го копира

на диск или дискета.

Въпреки че може да изглежда повече от очевидно, AUP трябва в чист вид да

обявява, че влизането в чужди акаунти или заобикаляне на сигурността под някаква

форма не са разрешени. Това може да помогне да се избегнат правни проблеми със

служители, които нарушават сигурността под една или друга форма, а след това

твърдят, че не са били правилно информирани или обучени за политиката на

фирмата относно вътрешната й мрежа. Ето няколко основни пункта, които трябва

да бъдат засегнати при развитието на AUP: позволено ли е влизането в чужди

акаунти, позволено ли е разбиването на чужди пароли, позволена ли е подривна

дейност, всеки файл, който може да бъде прочетен, ли трябва да бъде прочетен,

трябва ли потребител да извършва някакви модификации върху файл, който не е

PDF created with pdfFactory Pro trial version www.pdffactory.com

негова собственост, дори да има права за това, трябва ли потребителите да ползват

общи акаунти.

Освен ако организацията няма някакви много специални изисквания, отговорът на

повечето от горните въпроси е НЕ. Препоръчва се освен това, да има точка в

политиката, която да се отнася до авторския и лицензиран софтуеър. Като цяло

трябва да се забрани свалянето от мрежата на какъвто и да било нелицензиран

софтуеър. Копирането на софтуеър нелегално е подсъдимо и затова много

корпорации имат много стриктна политика относно лицензите.

Много е важно AUP ясно да указва какво е забранено, иначе може да стане много

трудно да се докаже, че даден служител е нарушил политиката на компанията. Тази

политика може да се тества от определени хора, натоварени с отговорността да

тестват слабите места в сигурността на мрежата. Така могат да се отсеят

евентуално хората, които компрометират по някакъв начин това тестване. В AUP

трябва да се уточни също: какви тестове могат да се провеждат за проверка на

сигурността на системата, какъв контрол трябва да има върху тестването на

сигурността, така че да не се получат някакви реални проблеми. Хубаво е такива

тестове да се провеждат на отделни изолирани сегменти от мрежата.

Пълната сигурност на една фирма, в която има изградена някаква компютърна

мрежа е само пожелание, но ако се вземат подхощи мерки на всички нива и не се

подценяват заплахите проблемите в тази насока могат да се сведат до минимум.

Библиография:

статии от www.cisco.com

статии от www.sans.org/rr

материали от книгите (в електронен вариант) “Fundamentals of network security”,

“Cisco – designing network security”, “Internet firewalls and network security second



edition”

PDF created with pdfFactory Pro trial version www.pdffactory.com


База данных защищена авторским правом ©obuch.info 2016
отнасят до администрацията

    Начална страница