Политика защиты должна обязательно отражать следующее:
– контроль доступа (запрет на доступ пользователя к ма
териалам, которыми ему не разрешено пользоваться);
– идентификацию и аутентификацию (использование
паролей или других механизмов для проверки стату
са пользователя);
– учет (запись всех действий пользователя в сети);
– контрольный журнал (журнал позволяет определить,
когда и где произошло нарушение защиты);
– аккуратность (защита от любых случайных нарушений);
– надежность (предотвращение монополизации ресур
сов системы одним пользователем);
– обмен данными (защита всех коммуникаций).
Доступ определяется политикой в отношении бранд
мауэров: доступ к системным ресурсам и данным из се
ти можно описать на уровне операционной системы
и при необходимости дополнить программами защиты
независимых разработчиков. Пароли могут быть самой
ценной частью вашей среды защиты, но при неправиль
ном использовании или обращении они могут стать клю
чом в вашу сеть. Политика правильного использования
паролей особенно полезна при управлении временными бюджетами, чтобы кто-нибудь не воспользовался действительным паролем после того, как временные сотрудники или подрядчики завершили работу.
Некоторые операционные системы предлагают также такую возможность, как квалификация, т. е. вводят минимальный уровень трудности паролей. В этих системах администратор защиты может просто задать правило «Не использовать легко угадываемых паролей». Например, пароль, в котором указаны только имя и возраст пользователя, система не примет. Конечные же пользователи обычно, несмотря на все предупреждения, выбирают самые простые пути. Если им приходится иметь дело со слишком большим числом паролей, они будут использовать один и тот же пароль или задавать легко запоминаемые пароли, или, хуже того, записывать их на листке и хранить в ящике стола, а то и прилепят листок с паролем на монитор.
Изобилие устройств защиты, брандмауэров, шлюзов и VPN (виртуальная частная сеть), а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков, ведет к созданию сложной среды защиты, трудной для управления. Правила для многих из перечисленных устройств приходится часто задавать отдельно.
По мере того как крупные корпорации продолжают объединяться и поглощать более мелкие компании, среда защиты (и сеть в целом) все чаще принимает бессистемный и многоуровневый характер. Когда это происходит, управлять правилами становится нереально сложно.
