Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00519 007988 10466720 na godz. na dobę w sumie
Bezpieczeństwo w sieci - książka
Bezpieczeństwo w sieci - książka
Autor: , , Liczba stron: 440
Wydawca: Helion Język publikacji: polski
ISBN: 83-7197-801-4 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> sieci komputerowe >> inne
Porównaj ceny (książka, ebook, audiobook).
Internet, oferuje takie same możliwości tym, którzy chcą wykorzystać go dla wspólnego dobra, jak i tym, którzy widzą w nim instrument wykorzystywany do niesienia zła. Zamierzeniem tej książki jest wyposażenie specjalistów zajmujących się kwestiami bezpieczeństwa w przewodnik, który przeprowadzi ich przez cały proces tworzenia bezpiecznej infrastruktury internetowej: od stworzenia polityki bezpieczeństwa do bezpieczeństwa realnego. Autorzy skupiają się na rzeczywistych, znanych im z wieloletniego doświadczenia zagrożeniach (są pracownikami firmy TrustWave Corporation, zajmującej się zabezpieczeniami sieci komputerowych).

Rzeczywiste przypadki, możliwe do zastosowania rozwiązania i daleko posunięty realizm to jest to, co odróżnia tą książkę od innych publikacji. Poznasz wszystkie najważniejsze technologie, które pozwolą Ci bezpiecznie komunikować się z ogólnoświatową siecią. Książka nie tylko przedstawi je teoretycznie, lecz dostarczy Ci sprawdzone, skutecznie działające rozwiązania.

Po przeczytaniu będziesz bogatszy o wiedzę na temat:

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI Bezpieczeñstwo w sieci KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Autorzy: E. Schetina, K. Green, J. Carlson T³umaczenie: Arkadiusz Romanek ISBN: 83-7197-801-4 Tytu³ orygina³u: Internet Site Security Format: B5, stron: 416 Internet, oferuje takie same mo¿liwoġci tym, którzy chc¹ wykorzystaæ go dla wspólnego dobra, jak i tym, którzy widz¹ w nim instrument wykorzystywany do niesienia z³a. Zamierzeniem tej ksi¹¿ki jest wyposa¿enie specjalistów zajmuj¹cych siê kwestiami bezpieczeñstwa w przewodnik, który przeprowadzi ich przez ca³y proces tworzenia bezpiecznej infrastruktury internetowej: od stworzenia polityki bezpieczeñstwa do bezpieczeñstwa realnego. Autorzy skupiaj¹ siê na rzeczywistych, znanych im z wieloletniego doġwiadczenia zagro¿eniach (s¹ pracownikami firmy TrustWave Corporation, zajmuj¹cej siê zabezpieczeniami sieci komputerowych). Rzeczywiste przypadki, mo¿liwe do zastosowania rozwi¹zania i daleko posuniêty realizm to jest to, co odró¿nia t¹ ksi¹¿kê od innych publikacji. Poznasz wszystkie najwa¿niejsze technologie, które pozwol¹ Ci bezpiecznie komunikowaæ siê z ogólnoġwiatow¹ sieci¹. Ksi¹¿ka nie tylko przedstawi je teoretycznie, lecz dostarczy Ci sprawdzone, skutecznie dzia³aj¹ce rozwi¹zania. Po przeczytaniu bêdziesz bogatszy o wiedzê na temat: • Tworzenia ca³oġciowej strategii tworzenia bezpiecznej infrastruktury internetowej • Konstruowania i uzasadniania bud¿etu na cele bezpieczeñstwa • Zabezpieczania systemów Windows i Unix • Pisania bezpiecznych aplikacji internetowych • Tworzenia procedur bezpieczeñstwa, integrowania firewalli i systemów wykrywania w³amañ • Reagowania na niebezpieczne incydenty i wykrywania ich sprawców Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Spis treści O Autorach ...................................................h................................... 11 Wprowadzenie ...................................................h.............................. 13 Rozdział 1. Pojęcia kluczowe: ryzyko, zagrożenia i wrażliwość systemu ............... 17 Pierwsze kroki ...................................................o...................................................o.............17 Określenie zasobów...................................................o...................................................o.....19 Informacje zastrzeżone i własność intelektualna...................................................o.....19 Reputacja firmy lub jej wizerunek...................................................o...........................20 Procesy biznesowe ...................................................o...................................................o20 Zagrożenia...................................................o...................................................o...................20 Zagrożenia wewnętrzne ...................................................o...........................................21 Zagrożenia zewnętrzne ...................................................o............................................23 Określanie ryzyka...................................................o...................................................o........24 Podsumowanie ...................................................o...................................................o............25 Rozdział 2. Tworzenie bezpiecznej infrastruktury sieciowej.................................. 27 Potrzeba bezpieczeństwa...................................................o................................................27 Co oznacza termin „bezpieczeństwo”? ...................................................o..........................28 Proces zapewnienia bezpieczeństwa ...................................................o..............................29 Ocena i polityka ...................................................o...................................................o..........31 Programy IA...................................................o...................................................o..........32 Ocena funkcjonalna ...................................................o.................................................34 Tworzenie polityki ...................................................o...................................................o37 Tworzenie procedur i dokumentów operacyjnych...................................................o...38 Ocena techniczna ...................................................o...................................................o..39 Ochrona zasobów ...................................................o...................................................o........47 Wdrożenie polityki bezpieczeństwa ...................................................o........................47 Środki ochronne ...................................................o...................................................o....48 Monitorowanie i wykrywanie ...................................................o........................................51 Przeglądanie dzienników zdarzeń systemowych ...................................................o.....52 Systemy wykrywania włamań (IDS) ...................................................o.......................53 Fuzja danych ...................................................o...................................................o.........54 Reakcja i odzyskiwanie danych ...................................................o.....................................55 Podsumowanie ...................................................o...................................................o............56 Rozdział 3. Komponenty infrastruktury sieciowej — z dalszej perspektywy .......... 59 Podstawowe informacje i połączenie z Internetem ...................................................o........60 Dostawcy usług internetowych ...................................................o................................60 Jakie usługi oferuje ISP?...................................................o..........................................63 Wybór dostawcy usług internetowych a kwestie bezpieczeństwa..............................64 Transport informacji...................................................o...................................................o....66 Adresowanie ...................................................o...................................................o.........67 Sieci...................................................o...................................................o.................... ...67 2 Bezpieczeństwo w sieci Wyznaczanie drogi pakietów...................................................o...................................68 Ogólny opis TCP/IP...................................................o.................................................69 Usługa identyfikacji nazw domen...................................................o............................71 Zarządzanie Internetem ...................................................o..................................................74 ICANN...................................................o...................................................o..................75 Rejestracja nazw domen ...................................................o..........................................77 Bazy danych whois ...................................................o..................................................78 Co sprawia, że Internet jest (nie)bezpieczny?...................................................o................79 Brak wbudowanych technologii zabezpieczających...................................................o80 Domniemane zaufanie ...................................................o.............................................80 Brak uwierzytelniania ...................................................o..............................................81 Anonimowość ...................................................o...................................................o.......81 Brak prywatności ...................................................o...................................................o..82 Brak centralnego zarządzania systemami bezpieczeństwa i danymi logowania ........82 Codzienne praktyki służące zachowaniu niezbędnego poziomu obezpieczeństwa nie są łatwe!...................................................o...................................................o........83 Dlaczego Internet jest tak atrakcyjny dla biznesu? ...................................................o........83 Obsługa serwisów sieciowych ...................................................o.................................84 Przekazywanie danych...................................................o.............................................85 Usługi informacyjne...................................................o.................................................85 Usługi finansowe ...................................................o...................................................o..86 Produkty...................................................o...................................................o................86 Podsumowanie ...................................................o...................................................o............87 Rozdział 4. Protokoły warstw aplikacji i sieci: TCP/IP ........................................ 89 Wprowadzenie: jak ważne są szczegóły?...................................................o.......................89 Krótka historia pracy w sieci i protokołów ...................................................o....................90 ARPANET ...................................................o...................................................o............91 NSFnet ...................................................o...................................................o..................93 Komercjalizacja Internetu...................................................o........................................94 Model OSI i jego związek z protokołami TCP/IP ...................................................o...96 Warstwa łącza danych: przesyłanie informacji przez jeden kanał transmisji.............96 Warstwa sieci: przesyłanie informacji przez kilka łączy wykorzystujących protokół IP...................................................o.............................100 Protokoły trasowania ...................................................o.............................................106 ICMP...................................................o...................................................o...................107 System nazw domen (DNS)...................................................o...................................108 Ponowna wizyta na warstwie łącza danych: Ethernet i IP........................................114 Konfiguracja komputera do pracy w sieci IP...................................................o.........117 Warstwa transportowa: bezpieczny transfer danych przy wykorozystaniu protokołu TCP (i nie tak znowu bezpieczny przy wykorzystaniu UDP)......................118 Multipleksowanie dzięki UDP...................................................o...............................118 Zwiększanie niezawodności dzięki TCP ...................................................o...............120 Kontrolowanie połączeń TCP ...................................................o................................122 Najczęściej wykorzystywane porty...................................................o........................124 Najczęściej spotykane protokoły warstwy aplikacji ...................................................o....126 Najbardziej znane protokoły internetowe ...................................................o..............126 Zdalne wywołania procedury (RPC) w systemie Unix.............................................126 SNMP...................................................o...................................................o..................... ...128 Protokoły sieciowe Microsoft i TCP/IP ...................................................o.......................129 Krótka historia IBM i sieci Microsoft Networks ...................................................o...129 Nazwy NetBIOS ...................................................o...................................................o.130 NetBIOS over TCP (NBT)...................................................o.....................................130 SMB i dzielenie plików ...................................................o.........................................132 Otoczenie sieciowe i Browser Protocol ...................................................o.................132 RPC w sieciach Microsoft ...................................................o.....................................132 Spis treści 3 Ogólne wskazówki dotyczące konfiguracji sieci domowych ...................................133 Podsumowanie zagadnień dotyczących protokołów sieciowych z rodziny Microsoft ...................................................o.............................................133 Krótka wzmianka o innych protokołach sieciowych ...................................................o...133 Podsumowanie ...................................................o...................................................o..........135 Rozdział 5. Protokoły bezpieczeństwa ...................................................h........... 137 Bezpieczne protokoły...................................................o...................................................o138 Implementacja protokołów bezpieczeństwa ...................................................o..........138 Rozwiązania zwiększające bezpieczeństwo — warstwa sieci..................................139 Protokoły wirtualnych sieci prywatnych i kapsułkowanie .................................................140 IPSec ...................................................o...................................................o...................141 Połączenia punkt-punkt z tunelowaniem (protokół PPTP).......................................148 L2F...................................................o...................................................o......................149 Layer 2 Tunneling Protocol ...................................................o...................................150 Protokół bezpiecznej transmisji danych SSL...................................................o.........151 Algorytm WEP...................................................o...................................................o....153 Powłoka bezpieczeństwa (SSH)...................................................o...................................154 Uwierzytelnianie SSH...................................................o............................................154 Uwierzytelnianie serwera SSH ...................................................o..............................154 Tunelowanie SSH ...................................................o..................................................155 Uwierzytelnianie ...................................................o...................................................o.......155 Hasła ...................................................o...................................................o...................157 Mechanizm pytanie-odpowiedź ...................................................o.............................160 Mechanizmy biometryczne...................................................o....................................161 Certyfikaty cyfrowe ...................................................o...............................................162 Podsumowanie ...................................................o...................................................o..........165 Rozdział 6. Przykłady architektury sieciowej i analiza konkretnych rozwiązań .... 167 Tworzenie bezpiecznej sieci...................................................o.........................................167 Sieć korporacyjna...................................................o...................................................o......168 Typowa sieć zakładowa ...................................................o.........................................169 Zagrożenia z zewnątrz ...................................................o...........................................169 Zabezpieczanie łączy zewnętrznych ...................................................o......................172 Łącza wewnętrzne i zagrożenia ...................................................o.............................186 Sieć SOHO ...................................................o...................................................o................195 Witryny internetowe...................................................o...................................................o..197 Zewnętrzne serwery hostingowe...................................................o............................197 Witryny dostarczające treści ...................................................o..................................197 Witryny e-commerce ...................................................o.............................................199 Podsumowanie ...................................................o...................................................o..........201 Rozdział 7. System operacyjny i oprogramowanie serwera ................................ 203 Koncepcje bezpieczeństwa w systemach Windows NT i 2000 ......................................204 Uwierzytelnianie, środki dostępu, identyfikatory bezpieczeństwa...........................205 Lista kontroli dostępu do obiektów...................................................o........................206 Zdalne wywołania procedur (RPC) i model obiektów składowych (COM).............208 Mechanizmy bezpieczeństwa RPC/COM...................................................o..............209 Umacnianie Windows...................................................o............................................210 Ograniczanie praw użytkowników w systemach Windows......................................214 Inspekcja zdarzeń bezpieczeństwa ...................................................o...............................215 Koncepcje bezpieczeństwa w systemach Linux...................................................o...........216 Spojrzenie na jądro systemu operacyjnego Linux ...................................................o.216 Spojrzenie na przestrzeń użytkownika z systemie Linux .........................................217 Prawa dostępu do plików w systemie Linux...................................................o..........217 Mechanizmy uwierzytelniania w systemie Linux...................................................o..220 Jak działa PAM? ...................................................o...................................................o.220 4 Bezpieczeństwo w sieci Struktura /etc/pam.conf...................................................o..........................................221 Przykłady dyrektyw PAM...................................................o......................................223 Uniksowe usługi sieciowe i sposoby ich zabezpieczenia................................................224 Dostęp zdalny i transfer plików ...................................................o.............................225 Graficzny interfejs użytkownika...................................................o............................226 RPC ...................................................o...................................................o.....................229 NFS ...................................................o...................................................o.....................230 Bezpieczeństwo oprogramowania...................................................o................................232 Zaczynamy od bezpiecznego systemu operacyjnego ...............................................232 Bezpieczeństwo serwera sieciowego ...................................................o.....................234 Bezpieczeństwo serwera poczty ...................................................o............................235 Bezpieczeństwo serwera nazw...................................................o...............................238 Bezpieczeństwo serwerów ftp...................................................o................................243 Podsumowanie ...................................................o...................................................o..........243 Rozdział 8. Scenariusze ataków ...................................................h.................... 245 Ataki DoS...................................................o...................................................o................ ..246 Jeden strzał, jeden zabity — ataki DoS ...................................................o.................246 Wyczerpanie zasobów systemowych — ataki DoS..................................................247 Nadużycie sieci ...................................................o...................................................o...249 Amplification attack...................................................o...............................................250 Fragmentation attack...................................................o..............................................251 Rozproszony atak typu „odmowa usług” (DDoS) ...................................................o.251 Techniki penetracji systemów...................................................o......................................253 Rekonesans...................................................o...................................................o................255 Zbieranie informacji o sieci ...................................................o...................................256 Próbkowanie sieci i techniki uniknięcia wykrycia...................................................o.258 Omiatanie sieci (network sweeps) ...................................................o.........................259 Informacje trasowania sieci ...................................................o...................................260 Zbieranie informacji o konkretnych systemach...................................................o.....260 Określenie słabych punktów i wybór celów ...................................................o................265 Zdobycie kontroli nad systemem ...................................................o.................................267 ./0wnit ...................................................o...................................................o.................267 Zgadywanie haseł...................................................o...................................................o268 Wykorzystanie specjalnie stworzonych wirusów i koni trojańskich ........................268 Sięgamy głębiej...................................................o...................................................o...269 Podsłuchiwanie ruchu ...................................................o............................................269 Wykorzystanie relacji zaufania...................................................o..............................269 Podsumowanie ...................................................o...................................................o..........270 Rozdział 9. W obronie twojej infrastruktury ...................................................h... 271 Co powinna robić zapora sieciowa?...................................................o.............................272 Funkcje zapory sieciowej ...................................................o.............................................273 Pomocnicze funkcje zapory sieciowej ...................................................o.........................274 Podstawowe typy zapór sieciowych...................................................o.............................276 Zapora filtrująca pakiety ...................................................o........................................276 Zapora sieciowa z inspekcją stanów ...................................................o......................279 Pośredniczące zapory aplikacyjne ...................................................o.........................282 Hybrydy ...................................................o...................................................o..............284 „Szczelina powietrzna”...................................................o..........................................285 Drugorzędne funkcje zapory sieciowej ...................................................o........................286 Translacja adresów...................................................o.................................................286 Antispoofing ...................................................o...................................................o.......290 Korzystanie z wirtualnych sieci LAN (VLAN) ...................................................o.....292 Funkcje VPN...................................................o...................................................o.......293 Funkcje zarządzania...................................................o...............................................295 Uwierzytelnianie ...................................................o...................................................o.295 Spis treści 5 Dyspozycyjność (HA — High Availability)...................................................o..........297 Platformy zapór sieciowych...................................................o...................................299 Integracja funkcji ...................................................o...................................................o303 Narzędzia ochrony przed DoS ...................................................o...............................305 Wydajność i efektywność pracy ...................................................o............................306 Implementacja i wskazówki ...................................................o.........................................308 Architektura zapory sieciowej ...................................................o...............................308 Wykrywanie włamań ...................................................o.............................................309 Zagadnienia związane z translacją adresów ...................................................o..........309 Złożone zestawy reguł ...................................................o...........................................311 Rejestracja danych dziennika zdarzeń, monitorowanie i audyt ................................311 Słabości zapór sieciowych ...................................................o...........................................313 Ukryte kanały...................................................o...................................................o......313 Błędy i wady zapór sieciowych ...................................................o.............................314 Podsumowanie ...................................................o...................................................o..........314 Rozdział 10. Obserwacja sieci — systemy wykrywania włamań........................... 317 Co to jest IDS? ...................................................o...................................................o..........317 W jaki sposób wykorzystuje się systemy IDS w ośrodkach internetowych? .................318 Różne typy systemów IDS...................................................o.....................................319 Możliwości IDS ...................................................o...................................................o..322 Testy protokołów TCP/IP...................................................o.............................................326 NetBIOS w TCP/IP (NBT) ...................................................o..........................................327 Inne protokoły sieciowe ...................................................o...............................................328 Ethernet i inne nagłówki w warstwie danych...................................................o...............328 Protokoły warstwy aplikacyjnej...................................................o.............................330 Dane aplikacji ...................................................o...................................................o.....332 Integralność pliku...................................................o...................................................o332 Przetwarzanie danych z dzienników zdarzeń systemowych.....................................334 Obrona przed systemami IDS ...................................................o......................................335 Złożoność analizy ...................................................o..................................................335 Fragmentacja IP i segmentacja TCP ...................................................o......................336 Uniknięcie wykrycia przez IDS dzięki kodowaniu w warstwie aplikacji ................339 Inne techniki unikania wykrycia przez IDS...................................................o...........341 Atak typu DoS na system IDS ...................................................o...............................342 Praktyczne zagadnienia związane z implementacją systemów IDS ...............................343 Sieci przełączane...................................................o...................................................o.344 Szyfrowanie ...................................................o...................................................o........345 Dostrajanie czujników IDS ...................................................o..........................................347 Zarządzanie systemem IDS...................................................o..........................................351 Odpowiedzialność za bezpieczeństwo...................................................o...................351 Personel ...................................................o...................................................o.....................352 Prywatność...................................................o...................................................o..........353 Reakcja na incydent i odzyskiwanie ...................................................o............................354 Stopień zagrożenia powodowanego przez zdarzenia raportowane przez IDS..........354 Reakcja automatyczna ...................................................o...........................................355 Odpowiedź operatorów grupy reagowania ...................................................o............356 Reakcja na prawdziwe incydenty...................................................o...........................356 Kontratak — nie ma mowy! ...................................................o..................................357 IDS — na własną rękę czy stałe podwykonawstwo?...................................................o...358 Podsumowanie ...................................................o...................................................o..........359 Rozdział 11. Reakcja na incydent i zagadnienia prawne...................................... 361 Co oznacza termin „reakcja na incydent”? ...................................................o..................361 Przygotowanie na incydent ...................................................o..........................................362 Zachowywanie dzienników zdarzeń ...................................................o......................363 Zachowywanie kont użytkowników ...................................................o......................364 6 Bezpieczeństwo w sieci Określanie czasu zdarzenia ...................................................o....................................364 Tworzenie banerów...................................................o................................................364 Tworzenie sum kontrolnych ...................................................o..................................365 Reakcja na incydent w czasie rzeczywistym...................................................o................365 Polityka reakcji ...................................................o...................................................o...365 Procedury reagowania...................................................o............................................366 Rola i zakres odpowiedzialności jednostek wewnątrz organizacji ...........................366 Szkolenie...................................................o...................................................o.............367 Wyciąganie wniosków ...................................................o...........................................367 Co oznacza termin „przestępstwo elektroniczne”? ...................................................o......368 Dopuszczalność dowodów cyfrowych...................................................o...................369 Łańcuch dowodowy i dokumentacja ...................................................o.....................369 Dlaczego ważne jest korzystanie z licencjonowanego oprogramowania? ...............371 Wiarygodność osoby prowadzącej dochodzenie ...................................................o...372 Zagadnienia odpowiedzialności prawnej i prawa do prywatności ...........................372 Techniki dochodzeniowe...................................................o..............................................373 Zabezpieczenie miejsca przestępstwa...................................................o....................373 Wyłączanie urządzeń ...................................................o.............................................374 Kopiowanie dysków twardych i dyskietek ...................................................o............374 Przeszukiwanie dysków twardych ...................................................o.........................375 Prowadzenie audytu systemu...................................................o.................................378 Śledzenie intruza...................................................o...................................................o.383 Analiza przypadków...................................................o...................................................o..386 Hakowanie witryny sieciowej...................................................o................................386 Niestabilni pracownicy IT...................................................o......................................387 Nadużycie zasobów przedsiębiorstwa ...................................................o...................388 Kilka słów na temat anonimowych publikacji...................................................o.......389 Współpraca z wymiarem sprawiedliwości...................................................o...................390 Podsumowanie ...................................................o...................................................o..........391 Bibliografia........................................o...................................................o...........................392 Rozdział 12. Tworzenie bezpiecznych aplikacji sieciowych .................................. 393 Najpowszechniejsze źródła błędów programistycznych.................................................394 Metaznaki ...................................................o...................................................o..................395 Niebezpieczeństwo związane z metaznakami ...................................................o.......396 Bezpieczna praca z metaznakami ...................................................o..........................397 Wykorzystanie kodu wykonawczego...................................................o...........................400 Przepełnienie bufora ...................................................o..............................................401 Przykład: funkcje łańcuchów w C ...................................................o.........................403 Jak hakerzy wykorzystują przepełnienie bufora ...................................................o....404 Błędy formatowania łańcucha...................................................o................................405 Kilka ostatnich uwag odnośnie do nadużyć kodu wykonawczego...........................406 Bezpieczeństwo na poziomie aplikacji ...................................................o........................407 Pliki cookies...................................................o...................................................o........407 Adresy IP źródła ...................................................o...................................................o.408 Efektywne zarządzanie sesją...................................................o..................................409 Replay Attacks i bezpieczeństwo sesji ...................................................o..................410 Sprawdzanie tożsamości użytkowników aplikacji...................................................o.411 Przykład: kontrola dostępu dla systemu z sygnalizacją błędów ...............................412 Standardy kodowania i przegląd kodu programistycznego.............................................414 Podsumowanie ...................................................o...................................................o..........415 Skorowidz...................................................h................................... 417 Rozdział 2. Tworzenie bezpiecznej infrastruktury sieciowej W poprzednim rozdziale omawialiśmy różnego rodzaju zagrożenia, które wywołują potrzebę zapewnienia bezpieczeństwa naszym zasobom. Doszliśmy do wniosku, że prawdziwym celem dobrego systemu bezpieczeństwa jest ochrona naprawdę istot- nych zasobów firmy, których utrata bądź uszkodzenie może wpłynąć na zaprzestanie lub zakłócenie działalności przedsiębiorstwa. Takimi ważnymi zasobami mogą być: obraz i wizerunek firmy, jej wytwory, mechanizmy dystrybucji produktów, własność intelektualna lub zdolność do prowadzenia działań handlowych. Na poziomie technicz- nym zwykle skupiamy się na ochranianiu systemów a nie samych zasobów. Admini- stratorzy koncentrują się najczęściej na zapewnianiu najnowszych uaktualnień i łatek systemowych, na wprowadzaniu programowych poprawek, których celem jest utrud- nienie zadania włamywaczowi, bądź na monitorowaniu plików z raportami w poszu- kiwaniu podejrzanych zachowań użytkowników systemu. Na ogół nie myślą oni o tym, czy ich działania pasują do ogólnego obrazu i jak współgrają z polityką i procedurami bezpieczeństwa obowiązującymi w ich miejscu pracy. Potrzeba bezpieczeństwa Zamierzeniem autorów jest przedstawienie w tym rozdziale tego, w jaki sposób od- osobnione czynniki, jak zarządzanie, systemy, architektura, polityka bezpieczeństwa i audyt, składają się na pewną całość — plan bezpieczeństwa. Celem nadrzędnym planu jest zapewnienie ochrony zasobów i funkcji biznesowych przedsiębiorstwa, a jego wdrożenie przekłada się na praktyczne rozwiązania służące na przykład ochronie serwe- rów sieciowych i pocztowych. Umiejętność spojrzenia na całość zagadnienia z szerszej perspektywy jest tym, co odróżnia prawdziwego specjalistę od zwykłego, choć dobrego, technika. Książka ta w głównej mierze opisuje różne ziagadnienia techniczne takie, jak sposób zabezpieczenia serwera czy wzmocnienia bezpieczeństwa systemu Linux. Jednak ten rozdział, w odróżnieniu od kolejnych, umożliwia spojrzenie na zagadnienie z pewnej odległości pozwalającej na właściwą ocenę prawdziwej wagi bezpieczeństwa. 28 Bezpieczeństwo w sieci Chcielibyśmy, aby czytelnik przestał krótkowzrocznie skupiać się na rozwiązaniach punktowych takich, jak zapory sieciowe czy listy dostępowe i przeniósł wzrok trochę wyżej, na poziom, z którego wyraźnie widać, jak ważne są pojedyncze składniki pla- nu bezpieczeństwa. Zajmijmy się teraz prostym przypadkiem (który w gruncie rzeczy nie ma nic wspól- nego z aspektami technicznymi zapewnienia bezpieczeństwa), tj. zakończeniem współ- pracy z jednym z pracowników firmy. Z punktu widzenia działu zasobów ludzkich (HR), najważniejszymi czynnościami, które trzeba wykonać w takim przypadku, są: zwrot identyfikatora, poinformowanie odchodzącego pracownika o usługach zdrowot- nych, z których wciąż może skorzystać, upewnienie się co do poprawności adresu, na który trafi ostatnie wynagrodzenie czy też wyrównanie pieniężne za niewykorzystane dni urlopu. Jedną z ważnych czynności, o której często się zapomina, jest zawiado- mienie o fakcie rozwiązania umowy pracowników działu IT i podjęcie decyzji co do przyszłości konta dostępowego tego pracownika i informacji, które na nim przecho- wuje. Czy konto powinno być usunięte natychmiast, czy raczej zarchiwizowane i prze- chowywane przez pewien określony czas? Co z jego komputerem przenośnym? Czy jego dysk twardy powinien być sformatowany, a sprzęt przekazany innemu pracow- nikowi? Czy pliki umieszczone na koncie w sieci powinny być zachowane czy usu- nięte? I wreszcie najważniejsze — co zrobić z dostępem do sieci korporacyjnej? W wielu przypadkach pracownik zostaje zwolniony, a po pewnym czasie okazuje się, iż konto, dzięki któremu mógł zdalnie logować się do sieci, nie zostało zablokowane i wciąż jest wykorzystywane choćby do wysyłania i odbierania poczty elektronicznej. To, w jaki sposób wygląda likwidowanie konta i blokowanie dostępu zwalnianego pracownika, czę- sto zależy od prywatnych decyzji administratora systemu, mimo że powinno zostać wy- raźnie określone w procedurach bezpieczeństwa obowiąizujących wszystkie piony firmy. W przypadku gdy pracownik jest zwalniany z powodu skłonności do wysyłania nie- wybrednych (być może ordynarnych czy nielegalnych) wiadomości elektronicznych, ważne jest, aby jego konto pocztowe zostało zablokowane i zarchiwizowane na przykład na potrzeby przyszłego procesu sądowego. O takim postępowaniu nie myśli zwykle administrator, któremu powiedziano, że pewna osoba przestała być pracownikiem firmy i istnienie jej konta jest zbyteczne. Przy tworzeniu możliwie najbezpieczniejszej infrastruktury sieciowej konieczne jest postrzeganie bezpieczeństwa jako całości. Każdy ci to powie: łańcuch jest tak mocny jak jego najsłabsze ogniwo. W tym rozdziale zajmiemy się poszczególnymi ogniwami. Sprawdzimy, w jaki sposób ze sobą współpracują i wzajemnie od siebie zależą. W trakcie tego sprawdzianu chcielibyśmy pokazać, jak wszyscy w jakiś sposób odpowiedzialni za zapewnienie bezpieczeństwa mogą ze sobą współdziałać, dążąc do tego samego celu, którym jest bezpieczeństwo zasobów firmy. Co oznacza termin „bezpieczeństwo”? Każdy inaczej rozumie bezpieczeństwo systemu. Dla administratorów termin ten może oznaczać pewność, że system, nad którym sprawują pieczę, nie zostanie zhakowany; dla twórców stron internetowych bezpieczeństwo gwarantowane jest przez SSL podczas Rozdział 2. ♦ Tworzenie bezpiecznej infrastruktury sieciowej 29 przetwarzania informacji o numerach kart kredytowych klientów dokonujących zaku- pów poprzez witrynę internetową; dla członków zarządu bezpieczeństwo oznacza stan, w którym firma jest odpowiednio chroniona przed stratami, a oni sami się do te- go w jakiś sposób przyczynili. Specjalista IT znajduje się gdzieś pomiędzy tymi róż- nymi stanowiskami i przejmuje się nie tylko technicznymi aspektami zapewnienia bezpieczeństwa, ale i takimi zagadnieniami, jak zachowanie prywatności klientów, poprawny audyt i kontrola nad konfiguracjami sprzętiowymi i programowymi. Często różnym funkcjom i poziomom odpowiedzialności towarzyszy obojętny stosu- nek do poczynań współpracowników — administrator nie przejmuje się procedurami i procesem, a menedżera nie interesuje proces implementacji rozwiązań bezpieczeń- stwa. Z racji tego, że książka ta skierowana jest w głównej mierze do czytelników, do których należy zajmowanie się kwestiami technicznymi tj. specjalistów IT, projek- tantów stron i administratorów, uznaliśmy, iż ważne jest, aby zaznajomić ich z cało- ścią zagadnienia ochrony zasobów informacyjnych. Powód jest prosty — naprawdę powinni oni być zainteresowani obowiązującą polityką bezpieczeństwa i całościowym procesem. W kolejnych podrozdziałach znajdą się przemyślenia dotyczące aspektu bezpieczeństwa informacji, na który spojrzymy z perspektywy realizatorów, admini- stratorów i dyrektorów technicznych. Chcielibyśmy pokazać im obszary, na które szcze- gólnie powinni zwrócić uwagę i, być może, uczulić ich na niektóre komponenty cało- ściowego zagadnienia zapewnienia bezpieczeństwa czaisami umykające uwadze. Proces zapewnienia bezpieczeństwa Każda książka dotycząca bezpieczeństwa, czy jest to praca czysto techniczna opisująca luki w protokole TCP/IP czy poradnik audytorski przedstawiający metody tworzenia strategii, powinna mówić o procesie zapewnienia bezpieczeństwa jako całości i nie koncentrować się na szczegółach pojedynczego przypadku. Przez cały czas będziemy się starali podkreślać, że bezpieczeństwo to ciągły proces a nie ostateczny cel, o któ- rym, kiedy zostanie osiągnięty, można zapomnieć. W tym podrozdziale zajmiemy się nie tylko pojedynczymi składnikami i celami stawianymi przed procesem, ale i nim samym. Na kolejnych stronach chcielibyśmy zaprezentować przegląd czynności skła- dających się na proces zapewnienia bezpieczeństwa. Nie jest ważna twoja funkcja w firmie i zakres odpowiedzialności — chcielibyśmy, abyś zrozumiał, jaka jest twoja rola w całym procesie i dowiedział się, jakie elementy powinny szczególnie przykuwać twoją uwagę i jakie czynniki mogą mieć wpływ na końicowy wynik twoich poczynań. Jak powiedziano wcześniej — bezpieczeństwo to proces a nie moment w czasie. Pro- ces ten może być podzielony na cztery główne fazy:  ocena i polityka,  ochrona zasobów,  monitorowanie i wykrywanie,  reakcja i odzyskiwanie. 30 Bezpieczeństwo w sieci Te cztery komponenty wchodzą w skład procesu, który graficznie może być przed- stawiany jako „koło bezpieczeństwa”. Rysunek 2.1. Proces zapewnienia bezpieczeństwa W stadium nazwanym ocena i polityka organizacje określają swoje wymagania doty- czące bezpieczeństwa, a także zakres odpowiedzialności i przydzielają funkcje organi- zacyjne. Na tym etapie może także nastąpić przegląd aktualnych mechanizmów bezpie- czeństwa i podjęcie decyzji o tym, czy są one wystarczające. Wyniki analizy przekładają się na zasady polityki bezpieczeństwa, w której definiuje się sposoby i metody ochro- ny zasobów firmy. Kiedy polityka i procedury bezpieczeństwa są już zdefiniowane, przechodzimy do kolej- nego stadium nazwanego ochroną zasobów. W tej fazie wprowadza się właściwe środki ochronne odpowiadające poszczególnym elementom polityki bezpieczeństwa. Środki te mogą mieć charakter proceduralny (na przykład regularne przeglądanie plików raportów systemowych) lub implementacyjny (na przykład instalaicja zapór sieciowych). Po zastosowaniu pewnych środków zapewnienia bezpieczeństwa należy sprawdzić ich efektywność. Ten sprawdzian odbywa się podczas fazy nazwanej monitorowanie i wy- krywanie. Jeżeli na przykład nigdy nie przyglądasz się ruchowi, jaki odbywa się po- przez zainstalowany firewall, możesz być pewny, że nie wiesz, czy poprawnie spełnia on swoje zadanie. I wreszcie, jako że żadne środki nie zapewniają 100 bezpieczeństwa, w procesie musi być miejsce na fazę zwaną reakcją i odzyskiwaniem. Musisz wiedzieć na przykład, jak powinieneś zareagować w przypadku ataku typu denial-of-service (w dowolnym tłumaczeniu „blokada usług” — w dalszej części książki używany będzie skrót DoS — dop. tłum.). Czy wiesz, kogo powinieneś wtedy powiadomić, do kogo zadzwonić? A jeżeli nastąpi awaria serwera sieciowego i strona korporacyjna przestanie być do- stępna dla internautów? Czy wiesz, jakie działania niależy podjąć, aby znów działała? Rozdział 2. ♦ Tworzenie bezpiecznej infrastruktury sieciowej 31 Kiedy przejdziesz już przez wszystkie cztery fazy, nadchodzi czas na rozpoczęcie procesu od nowa i ponowną ocenę i korekty polityki bezpieczeństwa. Jeżeli strategia, zastosowane środki, monitoring i mechanizmy reakcji nie są regularnie analizowane, istnieje duża szansa, że szybko staną się przestarzałe i zostaniesz zaskoczony przez jakieś nowe technologie, nowe zagrożenia lub niekorzystne zmiany, jakie dokonały się w organizacji czy w sieci. Jeśli program zapewnienia bezpieczeństwa ma być efektywny, musi być wspierany przez wszystkie środowiska i grupy wewnątrz firmy — od dyrektora wykonawczego, przez menedżerów, aż po użytkownika końcowego, dział zasobów ludzkich, pracowników administracyjnych i pracowników działu IT. Każdy z przedstawicieli tych grup ma w procesie do odegrania swoją rolę, gdy chodzi o tworzenie, wdrażanie czy też monitorowanie zastosowanych rozwiązań i ich zgod- ności z procedurami obowiązującymi w firmie. Bez wkładu, jaki wnoszą do procesu pojedyncze jednostki (a szczególnie osoby z kręgu menedżerów wyższego stopnia i dyrektorów), program bezpieczeństwa nigdy nie odniiesie sukcesu. Zajmijmy się teraz bardziej szczegółowo każdą z opisanych faz procesu zapewnienia bezpieczeństwa. Ocena i polityka Faza ta wydaje się być dla specjalistów IT najmniej interesująca. Dzieje się tak praw- dopodobnie dlatego, że wiąże się ona z potrzebą wielu rozmów, wywiadów i mnó- stwem pracy papierkowej i niewiele ma wspólnego z tworzeniem i zarządzaniem serwerami, pisaniem kodów i projektowaniem nowej architektury sieciowej. Ogólne odczucie, które towarzyszy przechodzącym przez to stadium, wiąże się z przekona- niem o niskiej wartości tych działań — być może dlatego, iż w tej fazie nie dostajemy odpowiedzi na pytanie „jak?”. Wynikiem zakończonej fazy oceny jest tylko kilka „co (należy zrobić)?” Przyjęta polityka bezpieczeństwa nie powie ci na przykład, że potrzebujesz zastoso- wania wirtualnej sieci prywatnej. Będziesz wiedział tylko o istnieniu potrzeby zabez- pieczenia przesyłu informacji pomiędzy siedzibą firmy a filiami, w których korzysta się z dostępu zdalnego. Taka informacja nie jest zbyt ekscytująca. Z drugiej jednak strony pewna grupa specjalistów IT wydaje się być zadowolona z posiadania jasno określonej polityki bezpieczeństwa wskazującej, które elementy są ważniejsze od in- nych. Ogólnie mówiąc, polityka pomaga im zdefiniować własne cele i, patrząc na to z perspektywy walki o fundusze, stanowi silną kartę przetargową podczas określania budżetu. Jeżeli na przykład powiesz swemu szefowi: „Proszę posłuchać, potrzebuje- my dyspozycyjnej zapory sieciowej i będzie to kosztowało 200 tys. złotych”, pierw- szą reakcją zapewne nie będzie natychmiastowe wystawienie zlecenia zakupu. Jeżeli jednak inaczej ubierzesz to w słowa, mówiąc: „Proszę posłuchać, nasza polityka bez- pieczeństwa zakłada, że przez 99,9 czasu będziemy potrzebowali dostępu do sieci ogólnoświatowej — potrzebujemy nowej zapory sieciowej”, wtedy prawdopodobnie reakcja będzie bardziej pozytywna. Jeśli szef okaże się mało podatny na tego rodzaju propozycje, możesz wspomnieć, że zarząd powołał grupę specjalistów, których zada- niem będzie przeprowadzenie sprawdzianu zgodności sytuacji w firmie z założeniami 32 Bezpieczeństwo w sieci przyjętej polityki bezpieczeństwa, a kolejne spotkanie podsumowujące wyniki testu odbędzie się już za miesiąc. Zdziwisz się, jak szybko tego rodzaju oświadczenia uwal- niają potrzebne fundusze i zasoby. Wielu spośród administratorów ma tendencję do lekceważenia testów penetracyjnych sieci, które przeprowadzane są przez firmy zewnętrzne. Są zdania, że jeżeli takie testy cokolwiek wykażą, to będzie to ukazanie administratorów w złym świetle. Jeśli jed- nak testy uzmysłowią wszystkim, że twoja sieć przypomina szwajcarski ser, wtedy być może ktoś zacznie wreszcie brać na poważnie uwagi o potrzebie systemu wykry- wania włamań, wzmocnienia metody uwierzytelniania i dodatkowego etatu dla admi- nistratora, który pomoże nadążyć za nowymi programami korygującymi i naprawiają- cymi odkryte luki w systemach zainstalowanych na twoich serwerach. Wiesz już, dlaczego tak ważne jest twoje zaangażowanie w proces oceny i tworzenia polityki bezpieczeństwa? Ostatecznie przecież wyniki tego procesu mogą zaważyć na wyso- kości otrzymywanych przez ciebie funduszy. Programy IA Punktem wyjścia dla procesu zapewnienia bezpieczeństwa są czynności na poziomie organizacyjnym a nie fizycznym, na którym zaczynasz od konfiguracji serwera czy systemu operacyjnego. Przywołując dobrze znaną i trochę oklepaną analogię, nie zbu- dujesz domu, który ma ci służyć przez lata, stawiając go na słabych fundamentach. W przypadku procesu bezpieczeństwa fundamentem jest program ochrony informacji IA (skrót IA pochodzi od angielskiego information assurance). Mówiąc o IA, mamy na myśli program łączący wszystkie aspekty bezpieczeństwa, poczynając od odpo- wiedzialności organizacyjnej do ról pojedynczych osób, od całości łańcucha odpo- wiedzialności do mechanizmów audytu. Pierwszą decyzją, jaka jest podejmowana podczas programu IA, jest wskazanie pewnej osoby wewnątrz firmy, która będzie po- siadała właściwe upoważnienia i będzie odpowiedzialna za przeprowadzenie progra- mu IA w przedsiębiorstwie. Pełnomocnictwo i obowiązki tego rodzaju mogą być udzielone pojedynczej osobie albo też całemu pionowi lub działowi w firmie. Odpo- wiedzialność obejmuje podjęcie kompleksowych działań zmierzających do zapewnie- nia bezpieczeństwa zasobom informacyjnym i systemom służącym do przetwarzania chronionych informacji. Zwykle programem IA kieruje dyrektor IA, który odpowiada bezpośrednio przed pre- zesem lub radą nadzorczą przedsiębiorstwa. Wewnątrz każdej organizacji, czy będzie to dział zasobów ludzkich (HR), IT, pion produkcji, sprzedaży czy też pion operacyjny, ktoś sprawuje funkcję specjalisty IA. Jest to osoba kontaktowa, jeśli chodzi o wszyst- kie sprawy związane z zagadnieniami bezpieczeństwa w firmie, i składa raporty bez- pośrednio dyrektorowi IA. W zależności od wielkości firmy i jej potrzeb człowiek ten może być zatrudniony na pół etatu bądź też może to być jego jedyne zajęcie. Każda z wyznaczonych osób ma wpływ na rozwój i monitorowanie zgodności programu z przyjętą w firmie polityką bezpieczeństwa. Podstawowym celem poprawnie wdrożonego programu IA ma być uruchomienie „koła bezpieczeństwa”, które zacznie działać we wszystkich działach i pionach przedsię- biorstwa. Do zadań jednostkowych zalicza się: Rozdział 2. ♦ Tworzenie bezpiecznej infrastruktury sieciowej 33 1. Ocenę infrastruktury informacyjnej, określenie zasobóiw krytycznych i stworzenie dokumentu, w którym jasno opisane zostaną istotne ziasoby i ich wrażliwość. 2. Stworzenie polityki bezpieczeństwa odpowiadającej eilementom, które zostały zawarte w powstałym dokumencie. 3. Określenie zakresu odpowiedzialności organizacyjneji i planu wdrażania polityki bezpieczeństwa. 4. Implementację środków technicznych służących do wdrażainia polityki bezpieczeństwa. 5. Wprowadzenie w życie procedur administracyjnych słuiżących do wdrażania polityki bezpieczeństwa. 6. Monitorowanie i ulepszanie programu IA. Rozumienie wagi programu IA Pewna firma telekomunikacyjna zleciła nam niedawno przeprowadzenie oceny stanu bez- pieczeństwa. Na początku procesu stwierdziliśmy, że nikt spoza pionu IT nie tylko nie zo- stał powiadomiony o fakcie przeprowadzania takiej oceny, ale że w trakcie operacji nawet nie planowano żadnej współpracy pomiędzy przedstawicielami innych działów. Odpowie- dzialność za politykę bezpieczeństwa w firmie spoczywała na pracowniku z działu HR, ale osoba ta nie miała żadnych uprawnień do wydawania decyzji związanych z pozostałymi dzia- łami — czy to pionem produkcji czy też centrum operamcyjnym. Kiedy wytłumaczyliśmy, na czym właściwie polega proces oceny, nasze wyjaśnienia spowo- dowały konieczność zastanowienia się nad rzeczywistymi potrzebami firmy. Ostatecznie nasz projekt został zaprezentowany CEO, który wyznaczył zastępców kierowników każdego działu jako współodpowiedzialnych za proces oceny bezpieczeństwa. Pierwszym naszym zadaniem, jeszcze przez rozpoczęciem całości procesu, była więc pomoc w stworzeniu struktur organizacyjnych i uświadomieniu celów programu IA. Efektem końcowym było prze- sunięcie odpowiedzialności za proces oceny na wyższy poziom, ponieważ osoba odpowie- dzialna za program IA składała raporty bezpośrednio cmzłonkom rady nadzorczej. Gdyby program przeprowadzony został w sytuacji organizacyjnej, którą zastaliśmy pierwsze- go dnia, raporty o stanie bezpieczeństwa mogłyby ugrzęznąć na poziomie pracownika HR pełniącego obowiązki specjalisty IA. Stałoby się tak niechybnie, gdyby ocena bezpieczeń- stwa stawiała kogoś w złym świetle (szczególnie gdyby chodziło o pracowników z działu HR). Po zmianach organizacyjnych wszystkie uwagi mogłyby docierać (gdyby okazało się to konieczne) bezpośrednio do rady nadzorczej firmy. Były także inne zalety tych zmian. Dzięki możliwości konsultacji z menedżerami, zastępcami kierowników itp. grupa ludzi zajmująca się przeprowadzaniem oceny mogła teraz zebrać dużo więcej istotnych informacji dotyczą- cych struktury przedsiębiorstwa, zasobów krytycznych. Informacji byłoby mniej, gdyby ocena ograniczyła się tylko do pracowników pionu IT. Najważniejsze pytanie, które zadawaliśmy, brzmiało: „Jaka strata lub jakiego rodzaju prze- rwa w działalności może spowodować bankructwo firmy?” Nie jest to pytanie, na które po- trafi odpowiedzieć zwykły administrator systemu. Potrafi za to ktoś z grona kierowniczego. Nasze działania doprowadziły do przeprowadzenia oceny stanu bezpieczeństwa w firmie, ale także do określenia programu IA i zdefiniowania pierwszej w historii firmy polityki bez- pieczeństwa. Przytoczony tutaj przykład wskazuje wyraźnie, jak ważne jest rozpoczęcie pro- cesu od odpowiedniego miejsca i stworzenie podwalin procedur i polityki bezpieczeństwa. Elementy te są ważniejsze niż zbyt pochopne koncentrowmanie się na aspektach technicznych. 34 Bezpieczeństwo w sieci Ocena funkcjonalna Jeśli w firmie zdefiniowano już program IA lub przynajmniej określono rolę i zakres odpowiedzialności osoby, której zadaniem będzie przeprowadzenie procesu oceny, następnym krokiem jest ocena funkcjonalna. Cel tej fazy jest jasno określony: identy- fikacja zasobów informacyjnych będących w posiadaniu organizacji i klasyfikacja ich w zależności od „poziomu krytyczności”, wagi, wartości i wpływu, jaki miałaby ich utrata na działalność firmy. Na tym etapie w dużej mierze będziemy mieli do czynienia z tzw. „robotą papierko- wą”, której rezultatem niekoniecznie musi być rekomendacja zakupu nowej zapory sieciowej czy zalecenie wskazujące na konieczną zmianę długości hasła i jego formy (składu hasła). Jednym z najważniejszych elementów przydatnych nam w dalszej pra- cy, a jednocześnie pozornie nie mającym żadnego związku z zagadnieniami bezpie- czeństwa jest tzw. matryca krytyczności (tj. matryca, w której sklasyfikowane będą zasoby informacyjne, przy czym głównym kryterium będzie waga danych zasobów — ich krytyczność z punktu widzenia działalności firmyi). Zanim zdecydujesz się na opuszczenie pozostałej części rozdziału, dobrze by było gdybyś poświęcił trochę czasu, żeby dowiedzieć się, czym tak naprawdę jest matryca krytyczności. Podstawowym powodem wymuszającym na nas utworzenie matrycy krytyczności jest stwierdzenie, iż dopóki nie wiesz, które zasoby są rzeczywiście istotne z punktu widzenia działalności organizacji, nie znasz ich wpływu na procesy biznesowe zachodzące w firmie i nie wiesz, co stałoby się z przedsiębiorstwem, jeśli dane zasoby uległyby zniszczeniu, dopóty nie określisz poprawnie niezbędnych środ- ków bezpieczeństwa. Jako administrator możesz na przykład spędzać mnóstwo czasu, zabezpieczając serwer sieciowy i nie przejmować się ochroną istotnej bazy danych, która w tym czasie mogłaby być bez trudu splądrowana czy wykradziona. Jeżeli w ta- kim przypadku włamanie na serwer przynosi nieporównywalnie niższe straty niż utrata danych z bazy, twoje wysiłki idą na marne. Będąc pracownikiem działu IT, możesz niestety nie wiedzieć, gdzie ukryte są prawdziwe skarby. Ta wiedza często dana jest menedżerom, członkom zarządu i innym pracownikom firmy, którzy nie należą do kadry pracowniczej pionu IT. Jeśli wszyscy ci ludzie dobrze wykonują swoją pracę, członkowie zespołu dokonują- cego oceny zajmą się wszystkimi elementami, które mają jakikolwiek wpływ na bez- pieczeństwo zasobów. Elementy te będą się zmieniać w zależności od rodzaju doko- nywanej oceny i nazewnictwa stosowanego przez dokonujących analizy. Można jednak uznać, że w mniejszym lub większym stopniu piokrywać się będą z elementami wyszczególnionymi poniżej:  polityka;  zarządzanie ryzykiem;  zarządzanie i kontrola nad kontami użytkowników;  sterowanie konfiguracją sprzętową i programową;  kontrola sesji; Rozdział 2. ♦ Tworzenie bezpiecznej infrastruktury sieciowej 35  bezpieczeństwo sieci;  dostęp zdalny;  administrowanie systemem;  reakcja na incydent;  audyt;  ochrona antywirusowa;  planowanie reakcji na przypadkowe zdarzenia;  kopie bezpieczeństwa i odzyskiwanie;  konserwacja, utrzymanie sprzętu itd.;  bezpieczeństwo fizyczne;  aspekty bezpieczeństwa w odniesieniu do personelu;  szkolenia i zwiększanie świadomości dotyczącej bezpiieczeństwa;  odzyskiwanie danych po naruszeniu bezpieczeństwa. Zadaniem oceny funkcjonalnej jest zdobycie wszystkich istotnych informacji, dzięki którym będziesz mógł stworzyć podstawy polityki bezpieczeństwa odnoszącej się do elementów ważnych z punktu widzenia działalności firmy. Proces oceny rozpoczyna najczęściej spotkanie informacyjne, na którym wszyscy zainteresowani poznają spo- sób, w jaki proces będzie przebiegał. Ważne jest, aby na spotkaniu pojawili się repre- zentanci wszystkich grup, które będą w jakiś sposób zaangażowane w proces: osoby reprezentujące pion IT, dział zasobów ludzkich (HR), działy sprzedaży i marketingu, dyrektorzy i kierownicy przedsiębiorstwa, przedstawiciele działu prawnego, pracow- nicy eksploatacji i technicy oraz wszystkie inne osoby reprezentujące istotne z punktu widzenia działalności firmy działy i departamenty. Powinni oni znać swoją rolę i jej znaczenie dla całości procesu. Dzięki uczestnictwu w pierwszym spotkaniu informa- cyjno-organizacyjnym i poznaniu wagi procesu ci wszyscy ludzie stają się naszymi sprzymierzeńcami. Kolejnym krokiem zespołu oceny będzie gromadzenie jak n
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Bezpieczeństwo w sieci
Autor:
, ,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: