Безопасность, по большому счету, - «проблема персонала». За претворение в жизнь механизмов безопасности отвечают люди, а не компьютеры, и при нарушении системы безопасности ответственность ложится именно на людей.
Следовательно, сетевая безопасность неэффективна, если персонал не в курсе собственных обязанностей. Очень важно создать руководящий документ, описывающий политику безопасности и четко определяющий права и обязанности каждого. Политика безопасности сети должна определять следующие моменты:
Обязанности по обеспечению безопасности отдельных пользователей сети Политика безопасности может требовать от пользователей регулярной смены паролей, применения паролей, соответствующих определенным правилам, либо выполнения определенных проверок с целью выяснить, пользовался ли учетной записью посторонний. Какими бы ни были обязанности пользователей, они должны быть четко определены.
Обязанности системного администратора Политика может требовать применения определенных средств обеспечения безопасности на каждом узле, присутствия уведомляющих приветственных сообщений для пользователей, равно как организации работы механизмов наблюдения и учета. Кроме того, могут быть перечислены приложения, запрещенные к применению на узлах сети.
Надлежащее использование ресурсов сети Укажите, кому разрешено использовать ресурсы сети, как разрешено использовать ресурсы, что запрещено делать. Если ваша организация считает, что сообщения электронной почты, файлы и история активности пользователей являются предметом изучения для службы безопасности, доведите до сведения пользователей, что таковы правила.
Регламент действий при обнаружении проблемы безопасности Что следует сделать, если обнаружена проблема безопасности? Кого уведомить? В момент кризиса легко что-то пропустить, поэтому необходимо четко определить точные шаги, которые должен предпринять администратор или пользователь при нарушении системы безопасности. Это может быть просто фраза «ничего не трогать, сообщить сотруднику службы безопасности». Но даже столь простые действия должны быть регламентированы в письменном виде в руководящем документе политики безопасности и доступны для изучения в любой момент.
Подключение к сети Интернет привносит определенные обязанности, связанные с безопасностью. В документе RFC 1281, A Guideline for the Secure Operation of the Internet (Указания по безопасной работе сети Интернет), приведены руководящие указания для пользователей и сетевых администраторов относительно безопасной и ответственной работы с сетью Интернет. Прочтение этого документа даст вам понимание того, какая информация должна быть представлена в руководящем документе по политике безопасности.
Чтобы создать полноценную политику безопасности, необходимо многое продумать. Приведенный выше примерный план описывает содержание такого документа, но если вы лично отвечаете за его создание, необходимо более подробное руководство. Я рекомендую прочесть RFC 2196, документ весьма полезный при создании плана обеспечения безопасности.
Планирование безопасности (оценка угрозы, распределение обязанностей и создание политики безопасности) - это фундамент сетевой безопасности, однако план должен быть проведен в жизнь, прежде чем даст результаты. В оставшейся части главы мы сосредоточимся на реализации базовых механизмов обеспечения безопасности.