Системный администратор JFC Дэйв ясно представлял себе, что безопасность нужна. Но у него не возникло ни одной мысли, как ее настроить. Если вы окажетесь в подобной ситуации, то учитесь, как настраивать безопасность, у того, кто это знает. Ни на кого не надейтесь. Дэйв уже так поступил. Он подумал, что Фред возьмет на себя решение проблемы. К несчастью, Фред не считал обеспечение безопасности Drug 10 частью своей работы. Дэйв добился бы большего, если бы Фред научил его, как настраивать безопасность в данном случае. Еще большего Дэйв добился бы, если бы его начальник обеспечил надлежащее обучение.
Проследить весь процесс настройки
Если я вам скажу, что установлю на вашей системе безопасную конфигурацию, то как проверить, что я именно так и сделаю? Если конечная ответственность за систему лежит на вас, то потрудитесь отслеживать, как вам оказывается обещанная помощь. Используйте случай приобрести опыт по настройке безопасности, наблюдая за реальным выполнением процедур. Если у вас не было возможности присутствовать при этом, то хотя бы решительно спросите специалиста, все ли он (она) сделал в соответствии с планом. Из-за ограничений по времени, наложения приоритетов решения проблем и просто спешки не всегда нужно надеяться, что люди сделают то, что они собирались сделать.
Никогда не считайте, что проблемы безопасности решены, не проверив действительного положения.
Не подключать незащищенные системы к Интернету
Это и так известно всем, но для еще большей ясности: Никогда в жизни не подключайте незащищенный сервер базы данных к Интернету! (Если, конечно, вы не задумали в дальнейшем ходить от двери к двери в униформе вашей компании и торговать энциклопедиями…)
Используйте этот список для определения того, что делается в вашей компании для контроля внешних подключений. Можете ли вы поставить «Да» напротив каждого пункта?
— Участвует ли руководство в процессе утверждения внешних подключений?
— Отслеживает ли кто-либо (предпочтительнее, кто-либо важный) внешние подключения?
— Знает ли руководство, сколько сотрудников компании и подрядчиков имеет внешние подключения?
— Выключены ли ненужные сетевые службы?
— Оценивается ли необходимость всех внешних подключений перед их утверждением?
— Проводятся ли в вашей компании профилактические аудиты для поддержания контроля над внешними подключениями?
— Обеспечивается ли достаточное обучение сотрудников, отвечающих за безопасность?
