          
Смотри дальше: Доступ
внутреннего комплекса |
Разработка политики
безопасности предприятия
Определение политики безопасности предприятия является одним из краеугольных камней разработки сети предприятия. Это так же важно, как и определение диапазона требований или потребностей резервирования. Политика безопасности определяет и устанавливает руководящие принципы, которых должен придерживаться персонал, получивший доступ к технологическим и информационным ресурсам организации. Ниже приведены преимущества разработки корпоративной политики безопасности:
Политика безопасности предприятия является результатом оценки риска и определения важных средств и возможных угроз. Средства сети в себя включают:
Вы должны установить, как средства Вашей сети, так и степень, в которой каждое из этих средств должно быть защищено. Если устройства сети или данные подвергнуты риску, приведет ли это к затруднению или краху? Чем больше вероятность краха, тем строже должна быть политика обеспечения безопасности. Угрозы обычно возникают в виде перехвата или кражи информации, нарушения возможности доступа к ресурсам сети (нападения типа "отказ в сервисе"), несанкционированный доступ к ресурсам или манипуляция данными. Особыми внимание уделяется зонам подключения к сети, точкам удаленного доступа, а также важным устройствам и серверам инфраструктуры сети. При разработке политики безопасности необходимо учитывать требование сбалансировать легкость доступа к информации и адекватный механизм идентификации разрешенного пользователя и обеспечения целостности и конфиденциальности данных. Политика безопасности должна внедрятся принудительно как технически, так и организационно. Для начала необходимо определить, что и от чего должно быть защищено. Кроме того, должна быть учтена вероятность угроз. Обычно самым легким путем является разделение сети предприятия на три отличительных составных части: главный комплекс зданий - далее по тексту "комплекс", подключение удаленного доступа и подключение к сети Интернет, как показано на рисунке:
Сеть главного комплекса включает центральную сеть предприятия. Компонент удаленного доступа содержит подключение для удаленных отделений предприятия, надомных и/или мобильных пользователей. Компонент сети Интернет, который может быть назван периметром сети, обеспечивает подключение от центрального комплекса к сети Интернет. Все три компонента: главный комплекс, удаленный доступ и сеть Интернет могут быть рассмотрены отдельно для разработки всеобъемлющей политики безопасности. В политике безопасности рассматриваются три главных элемента: идентичность, целостность и аудит. Идентичность – это элемент, который включает как идентификацию, так и авторизацию. Функция идентификации отвечает на вопрос: "Кто Вы?" и "Где Вы?", а функция авторизации - "К чему Вы имеете допуск?". Механизмы идентичности необходимо внедрять осторожно, т.к. даже самая продуманная политика может быть расстроена, если сложно использовать усовершенствования. Классическим примером является запись пароля на клочке бумаги и прикрепление его к монитору компьютера – что является выходом для потребителя, который должен помнить множество паролей для получения доступа к меняющимся составным частям сети. Обременительные или чрезмерно дублированные системы верификации и авторизации могут расстроить пользователей, поэтому их следует избегать. Целостность – это элемент, который включает безопасность устройства инфраструктуры сети (физический и логический доступ), безопасность периметра и конфиденциальность данных. Безопасность физического доступа может выражаться в размещении оборудования сети в специально созданных для этого оборудования шкафах, которые имеют ограниченный доступ. Безопасность логического доступа главным образом относится к обеспечению механизмов идентичности (идентификации и авторизации) перед тем, как дать доступ для сети связи Telnet или для терминала к компонентам инфраструктуры общей сети (например, маршрутизаторам или межсетевым экранам). Безопасность периметра связана с функциями межсетевых экранов, определяющих, какой трафик разрешен или запрещен от различных зон сети, обычно – между сетью Интернет и главным комплексом или между пользователями удаленного доступа и главным комплексом. Последним главным элементом системы безопасности является аудит, который необходим для слежения и верификации процесса исследования политики безопасности. Для испытания эффективности инфраструктуры системы безопасности, аудит безопасности должен происходить часто, через равные промежутки времени, а также должен включать проверки установки новой системы, методы для определения возможной вредительских действий кого-либо из внутреннего персонала и возможного наличия особого класса проблем (нападения типа "отказ в сервисе"), а также общее следование политике безопасности объекта. Ниже приведен примерный список вопросов для оказания помощи в определении политики безопасности предприятия для данной среды. Сами по себе вопросы достаточно прямые. Именно ответы могут стать сложными из-за неизвестного риска для информации, находящейся под угрозой. Во-первых, необходимо выполнить общую оценку в масштабах компании с последующим уточнением деталей для составных частей: внутреннего комплекса, внешнего подключения удаленного допуска и внешней сети Интернет. Политика в отношении информации
В следующих разделах на рисунках отдельно показаны три составные части сети вместе с образцами вопросов для облегчения выработки соответствующей политики безопасности.
|
All contents copyright © 1992--2001 Cisco Systems, Inc. Important Notices and Privacy Statement.
