Информационная безопасность

       

Политика сетевых соединений


Документы этого типа содержат перечень устройств, которые разрешается подключать к сети, а также свод требований по обеспечению безопасности - какие функции операционной системы используются, кто утверждает подключение к сети новых устройств. Должны быть предусмотрены прямые инструкции на случай настройки нового компьютера, коммутатора и даже маршрутизатора - что разрешено делать, а что запрещено.

Отдельно составляется политика сетевых подключений для брандмауэров - с описанием того, какой тип сетевого трафика пропускается через брандмауэр в сеть и из сети.

Если пользователям разрешено соединение через виртуальную частную сеть (Virtual Private Network, VPN), необходимо разработать специальные документы с подробным описанием настройки портативных и настольных компьютеров.

В документации следует также описать все процедуры получения учетной записи компьютера, а также права и привилегии всех типов, которые могут быть предоставлены учетной записи, сетевые адреса, которые могут быть использованы, и способы их контроля. Наконец, необходимо явно оговорить, что никакие соединения, идущие вразрез с описанными процедурами и происходящие без ведома ответственных лиц, не допускаются.

Если пользователям предоставлено право коммутируемого доступа, они должны четко понимать, что ни в коем случае нельзя сообщать информацию, необходимую для такого доступа, кому бы то ни было - как внутри, так и вне компании. Сколько раз хакеры проникали в сеть не посредством подбора пароля, а просто потому, что пользователь оставляет бумажку с паролем где попало или выбирает слишком очевидный пароль!

Пожалуй, наихудшее из возможных решений - позволить кому-либо из пользователей работать дома с собственного компьютера. Используя компьютер и для работы, и для личных нужд, он открывает доступ в сеть компании для вирусов и троянов всех сортов. Если же руководство компании все-таки сочтет такой шаг необходимым, следует разработать политику, которая требовала бы наличия отдельного компьютера (например, портативного) и запрещала бы пользователю заниматься на этом компьютере личными делами, а также изменять конфигурацию.
Только так можно обеспечить некоторую безопасность сети.

И все равно любой, без исключений, доступ к сети должен осуществляться через VPN или коммутируемый канал с использованием брандмауэра. Даже если сетевые политики будут строго запрещать сотрудникам использовать компьютеры компании и мобильные компьютеры для посторонних вещей, обеспечить соблюдение такой политики наверняка не удастся - такова природа человеческая. Пользователи все равно будут проверять личные почтовые ящики, заходить на любимые сайты и, что еще хуже, загружать невинные на вид программы, MP3-плееры например. В защищенной сетевой среде такие вещи недопустимы - и единственным средством оградить от них сеть является брандмауэр.

Невозможно переоценить важность строгих инструкций по настойке компьютеров и необходимости письменных заявлений пользователей, желающих получить разрешение на любое послабление установленной политики. Если программа не поддерживается ИТ-отделом компании, нельзя давать разрешение на ее установку - разве что по причине острой производственной необходимости. В последнем случае программу необходимо внести в политику сетевых соединений и обучить ИТ-персонал ее использованию. Ни при каких обстоятельствах нельзя разрешать пользователям загружать и устанавливать программы из интернета.

Отдельное внимание следует обратить на попытки доступа к данным, не имеющим отношения к служебным обязанностям пользователя. Такие действия называют "прощупыванием" сети и рассматриваются как причина для увольнения. Если пользователь желает знать, где хранятся данные или приложения, он может обсудить этот вопрос с руководством или ИТ-службой.


Содержание раздела