восстановление удаленный информация
Примеры областей, для которых нужны политики безопасности (продолжене)5.3. ШифрованиеШифрование - это основное средство, обеспечивающее конфиденциальность информации, посылаемой по Интернету. Шифрование может использоваться для защиты любого трафика, такого как электронные письма или загружаемые файлы. Кроме того, шифрование может защитить информацию при ее хранении, например в базах данных, находящихся на компьютере, физическую безопасность которого нельзя обеспечить (например, на ноутбуке сотрудника в командировке).При использовании шифрования возникает ряд административных проблем:Правительство США сейчас наложило ограничения на экспорт сильных криптографических алгоритмов, которыми сейчас считаются системы шифрования с ключом длиннее 40 бит, не позволяющие восстановить ключ. Внутри США нет ограничений на использование шифрования. Но для использования его в зарубежных странах или в сетях, часть которых находится за границей, нужно получить разрешение на экспорт. Кроме того, некоторые страны, такие как Франция восстановление удаленный информация Китай, имеют свои собственные ограничения на использование шифрования. Поэтому в каждом случае надо тщательно разбираться, не будут ли нарушены законы другой страны.Способность руководства организации контролировать внутренние каналы связи или аудировать свои компьютерные системы зависит от использования шифрования. Если служащий шифрует посылаемое электронное письмо, или жесткий диск на своем компьютере, то системные администраторы не смогут произвести аудит таких сообщений восстановление удаленный информация файлов. Кроме того, при потере ключей для расшифровки, данные могут быть потеряны навсегда. Если вашей организации требуется подобный контроль или гарантии восстановления данных, то политика должна требовать в обязательном порядке использования систем шифрования, поддерживающих восстановление ключей.Существует большое число алгоритмов шифрования восстановление удаленный информация стандартов длин ключей. Политика должна требовать использования алгоритмов, которые уже достаточно долго используются восстановление удаленный информация доказали на практике, что они обеспечивают безопасность данных. Длина ключей шифрования должна определяться на основе важности шифруемых данных. Как правило, в настоящее время ключи короче, чем 40 бит, могут использоваться только в корпоративной сети за брандмауэром. В Интернете ведущие криптографы рекомендуют использовать ключи с длиной не менее 75 бит - но лучше длиной 90 бит. DES использует 56 бит, которые будут приемлемы только на год-два. NIST разрабатывает новый стандарт усиленного шифрования. Пока же рекомендуется тройной DES, имеющий эффективную длину ключа 112 бит.Руководство по компьютерной безопасности NIST содержит более подробную информацию о шифровании восстановление удаленный информация криптографии.5.3.1. Общая политика для шифрованияДля обеспечения гарантий согласованного использования шифрования политика должна установить стандарты, которым должны удовлетворять системы шифрования, используемые в организации, явно специфицировав алгоритмы восстановление удаленный информация их параметры. Для обеспечения взаимной работоспособности систем восстановление удаленный информация сокращения затрат, должны быть выбраны стандартные продукты (в России, это могут быть сертифицированные ФАПСИ программы семейства "Верба"). Хотя на рынке имеется большое число коммерческих продуктов шифрования, организациям следует понимать, что шифрование приведет к появлению дополнительных расходов. Безопасная генерация, хранение восстановление удаленный информация распространение ключей в организации, восстановление удаленный информация также обеспечение гарантий взаимной работоспособности, восстановление удаленный информация восстановления ключей потребует значительных ресурсов. (Как правило, восстановление ключей неактуально для Интернета, кроме организаций с высоким уровнем риска, но те же алгоритмы скорее всего будут использоваться при хранении информации).Средний-высокийДля ...(перечислите типы информации) должно использоваться шифрование при их хранении в небезопасных местах или передаче по открытым сетям, таким как Интернет. Шифрование любой другой информации организации должно осуществляться только после получения письменного разрешения на это. При использовании шифрования в организации должны применяться только утвержденные в организации стандартные алгоритмы восстановление удаленный информация продукты, их реализующие. Для шифрования конфиденциальной информации минимально допустимой длиной ключа является 56 бит - рекомендованной длиной является 75 бит.Безопасность системы шифрования очень зависит от секретности используемых ключей шифрования - порядок безопасной генерации восстановление удаленный информация администрирования ключей шифрования является очень важным.(Конкретный отдел) отвечает за разработку порядка использования шифрования восстановление удаленный информация за обучение пользователей этим приемам.Низкий-средний Ключи шифрования должны иметь гриф безопасности такой же, как восстановление удаленный информация наиболее критичная информация в компании, восстановление удаленный информация доступ к ним должен быть ограничен только теми сотрудниками, кому он требуется в силу их обязанностей. Ключи для шифрования должны создаваться с помощью таких средств, которые нельзя было бы легко воспроизвести посторонним лицам.Средний-высокийДля генерации ключей шифрования информации организации требуется использовать генераторы случайных чисел на основе специальных устройств. Для использования программных генераторов случайных чисел необходимо получить письменное разрешение. Ключи шифрования считаются критической информацией, восстановление удаленный информация доступ к ним должен быть ограничен только теми сотрудниками, кому он требуется в силу их обязанностей.Для симметричных систем шифрования, таких как DES, ключи должны распространяться среди сотрудников с помощью защищенных каналов. Так как компрометация этих секретных ключей сделает шифрование бесполезным, политика безопасности должна детально описывать допустимые способы распространения таких ключей.При использовании шифрования для распространения секретных ключей должны использоваться безопасные способы. Допустимыми способами являются:использование алгоритмов обмена открытыми ключамивнутреннее письмо в двойном конвертеписьмо, посланное курьерской почтой, в двойном конвертеКлючи шифрования не должны посылаться электронной почтой, если только электронное письмо не было зашифровано с помощью ключей, обмен которыми уже произошел по защищенному каналу . Ключи, используемые для шифрования информации, должны меняться так же часто, как восстановление удаленный информация пароли, используемые для доступа к информации.Зашифрованные данные могут быть навсегда потеряны при утере или искажении ключа. Так как шифрование обычно используется для защиты важной информации, потеря ключей шифрования может привести к значительным потерям. Был разработан ряд подходов для того, чтобы обеспечить гарантии постоянное доступности ключей шифрования восстановление удаленный информация реализован в коммерческих продуктах. Но так как эта технология только появилась, при совместном использовании нескольких продуктов возможны проблемы - сотрудники отдела безопасности должны разработать список допустимых технологий восстановление удаленный информация комбинаций продуктов.Все средства шифрования должны обеспечивать гарантии доступности ключей шифрования для руководства организации при шифровании информации организации. При использовании шифрования должна использоваться утвержденная в компании технология восстановления ключа. Использование шифрования с отсутствием такой. возможности должно требовать получения письменного разрешения руководства.Использование технологий шифрования с открытыми ключами требует создания для каждого пользователя секретного восстановление удаленный информация открытого ключей восстановление удаленный информация их рассылки. Открытые ключи должны распространяться восстановление удаленный информация храниться таким образом, чтобы они были доступны всем пользователям. В продвинутых приложениях могут использоваться электронные сертификаты для распространения открытых ключей через центры сертификатов. Закрытые ключи аналогичны паролям, восстановление удаленный информация должны храниться в тайне каждым пользователем. Организации могут принять решение о том, чтобы все секретные ключи сотрудников были известны руководству.НизкийОрганизация должна иметь список открытых ключей для всех авторизованных на это сотрудников. Этот список должен храниться на сервере аутентификации или распространяться по электронной почте. Секретные ключи пользователей должны храниться так же, как восстановление удаленный информация пароли.Средний-высокийСервер сертификационного центра организации должен хранить текущие открытые ключи для всех авторизованных на это сотрудников. Для безопасного взаимодействия с внешними пользователями организация должна использовать электронные сертификаты только из утвержденного списка сертификационных центров.Секретные ключи пользователей должны храниться так же, как восстановление удаленный информация пароли. О любом подозрении на компрометацию секретного ключа пользователь должен немедленно доложить в службу безопасности.5.3.2. Удаленный доступОрганизации могут использовать для удаленного доступа как Интернет, так восстановление удаленный информация телефонные линии. За обоими видами соединений требуется контроль, но большую опасность представляют соединения с Интернетом. Злоумышленник, перехватывающий сеанс удаленного пользователя может прочитать весь трафик, включая передаваемые файлы, письма, восстановление удаленный информация информацию для аутентификации. Проблема перехвата сеансов уже обсуждалась в разделе про аутентификацию. Если же организации шифруют весь сеанс, то это решит как проблему аутентификации, так восстановление удаленный информация вопросы конфиденциальности. Для организаций с уровнем риска, не ниже среднего, следует использовать шифрование для предотвращения неавторизованного просмотра информации, передаваемой в ходе сеанса удаленного пользователя.Средний-высокийВесь удаленный доступ к компьютерам организации либо через Интернет, либо через телефонные линии, должен использовать шифрование для обеспечения конфиденциальности сеанса. Для удаленного доступа должны использоваться только утвержденные в организации продукты, чтобы обеспечить гарантии взаимной работоспособности программ, реализующих технологии шифрования удаленного доступа к серверу.Информация о получении доступа к компьютерам организации, такая как телефонные номера модемов, считается конфиденциальной. Эта информация не должна сообщаться в BBS, телефонных справочниках, визитных картах, или иным способом быть доступной посторонним лицам без письменного разрешения начальника отдела автоматизации. Начальник отдела автоматизации периодически сканирует входящие телефонные линии для проверки соблюдения политик безопасности восстановление удаленный информация может периодически менять телефонные номера, чтобы сделать более трудным обнаружение посторонними лицами телефонных номеров организации.5.3.3. Виртуальные частные сети (Virtual Private Networks)Шифрование также используется для создания виртуальных частных сетей в Интернете. Этот вопрос рассматривается далее.5.4. Архитектура системыСоединение с Интернетом приводит к необходимости внесения ряда изменений в архитектуру автоматизированной системы организации, чтобы увеличить общую безопасность АС. Проблемы, связанные с брандмауэрами, обсуждаются в другой главе. Другими важными архитектурными вопросами, требующими принятие решения на уровне политики, являются использование Интернета для соединения физически разделенных сетей(виртуальных частных сетей), удаленный доступ к системам из Интернета, восстановление удаленный информация доступ к внутренним базам данных из Интернета. Все эти вопросы рассмотрены ниже.5.4.1. Виртуальные частные сети (Virtual Private Networks)Многие организации имеют несколько локальных сетей восстановление удаленный информация информационных сервером, находящихся в физически удаленных друг от друга местах. Если требуется обеспечить доступ к информации для всех сотрудников организации, то часто используются выделенные линии для соединения ЛВС с глобальными сетями. Выделенные линии достаточно дороги, восстановление удаленный информация поэтому Интернет является хорошей альтернативой для соединения нескольких ЛВС.Основным недостатком использования Интернета для этой цели является отсутствие конфиденциальности данных, передаваемых по Интернету между ЛВС, восстановление удаленный информация также уязвимость к подмене пакетов восстановление удаленный информация другим атакам. VPN используют шифрование для обеспечения безопасности. Обычно шифрование выполняется между брандмауэрами, восстановление удаленный информация безопасное взаимодействие возможно только для небольшого числа ЛВС.Безопасность - не единственный вопрос, возникающий при соединении ЛВС с Интернетом. Сейчас Интернет не предоставляет гарантий в пропускной способности канала восстановление удаленный информация его надежности. Файлы восстановление удаленный информация сообщения могут быть переданы с задержками или не доставлены вообще, восстановление удаленный информация это зависит от общего состояния сетей восстановление удаленный информация отдельных маршрутизаторов, составляющих Интернет.Средний-высокийВиртуальные частные сети между ЛВС не должны использовать Интернет для передачи критичного к оперативности передачи трафика. Если уровень надежности, предоставляемый Интернетом, недостаточен для обеспечения требуемого уровня сервиса, для передачи данных должны использоваться другие способы.ВысокийПри использовании Интернета для организации виртуальных частных сетей между ЛВС должны иметься средства, обеспечивающие быстрое создание резервного канала для передачи в случае временной невозможности передачи через Интернет..Важным вопросом при создании виртуальных частных сетей является то, что в каждой ЛВС должны использоваться эквивалентные политики безопасности. VPN по существу создает одну большую сеть из группы независимых ранее сетей. Поэтому безопасность VPN будет равна безопасности наименее защищенной ЛВС - если хотя бы одна ЛВС позволяет осуществить незащищенный доступ по коммутируемым линиям, то под угрозой окажутся все ресурсы VPN.Создание виртуальной частной сети с помощью Интернета между отдельными сетями организации требует письменного разрешения ответственного за безопасность. Добавление сетей к существующей VPN также требует письменного разрешения. Перед подключением сети к VPN должен быть выполнен анализ и, при необходимости, доработка используемых в ней политик безопасности.Существует несколько вариантов создания VPN:Защищенные каналы - брандмауэр шифрует весь трафик, передаваемый удаленному хосту или сети, восстановление удаленный информация расшифровывает весь трафик, принятый от них. Трафик между хостами в VPN, связанными защищенными каналами, передается свободно, как будто между ними нет брандмауэров. На самом деле трафик маршрутизируется брандмауэрами VPN, обработка его прокси-серверами восстановление удаленный информация аутентификация не требуется. Любые два хоста внутри VPN, связанные защищенными каналами, могут свободно обмениваться данными между собой, восстановление удаленный информация предоставлять все сервисы TCP/IP, которые у них имеются. Защищенные каналы часто используются для соединения географически разделенных сетей, принадлежащих одной организации, каждая из которых имеет свое собственное подключение к Интернету через провайдера, в одну виртуальную сеть безопасным способом.Частные каналы - трафик между брандмауэром восстановление удаленный информация удаленным хостом шифруется так же, как восстановление удаленный информация для защищенного канала. Но трафик между удаленными хостами, связанными частными каналами, не передается свободно, восстановление удаленный информация должен быть обработан прокси-сервером брандмауэра, восстановление удаленный информация соединение аутентифицировано, как того требует обычная политика доступа для прокси-сервера. Этот вид канала обеспечивает аутентификацию отправителя трафика восстановление удаленный информация конфиденциальность данных, но в данном случае две сети обеспечивают наличие двух различных периметров безопасности, восстановление удаленный информация могут использоваться только те сервисы, для которых сконфигурирована передача прокси-серверу в брандмауэре. Частные каналы часто используются для организации связи между сетями различных организаций, которые не хотят предоставлять полного доступа к их сетям, восстановление удаленный информация требуют конфиденциальности трафика между ними.Промежуточные каналы - эти каналы используются для промежуточной передачи зашифрованного трафика между хостами за брандмауэрами, которые (хосты) сами входят в состав другой VPN. Это позволяет брандмауэру, находящемуся между двух других VPN быть сконфигурированным так, что он только передает зашифрованные данные. Он не расшифровывает трафик восстановление удаленный информация даже не знает ключа шифрования, ему надо лишь знать адреса хостов по обе стороны брандмауэра, участвующих в организации этого канала, чтобы определить, какие зашифрованные пакеты пропускать. Такая архитектура позволяет использовать промежуточный брандмауэр как маршрутизатор.Низкий-среднийДля VPN, использующих Интернет, брандмауэры организации должны работать в режиме защищенного канала, шифровать трафик VPN, восстановление удаленный информация не требовать использования прокси-серверов для его обработкиВысокийДля VPN, использующих Интернет, брандмауэры организации должны работать в режиме частного канала, шифровать трафик VPN, восстановление удаленный информация требовать использования прокси-серверов брандмауэра для ограничения доступа к сервисам со стороны удаленных хостов VPN.5.4.2. Удаленный доступ к системе Хотя атаки из Интернета привлекают к себе много внимания прессы, большинство проникновений в компьютеры происходит через модемы. Как уже говорилось, существует несколько конфигураций для обеспечения удаленного доступа по коммутируемым каналам. В целом, основная проблема - аутентификация, обеспечение гарантий того, что только законные пользователи могут получить удаленный доступ к вашей системе. Большинству организаций рекомендуется применять одноразовые пароли восстановление удаленный информация смарт-карты.Другой проблемой является контроль за использованием возможностей удаленного доступа. Самым эффективным является объединение модемов, используемых для удаленного доступа, в сервера доступа или модемные пулы.Низкий уровеньВсе пользователи, имеющие возможность доступа к компьютерам организации через модемы, должны периодически менять пароли. Прямые подключения к компьютерам организации, используемым в производственных целях, должны осуществляться только после получения письменного разрешения начальника отдела автоматизации.Средний-высокийВсе пользователи, которые имеют доступ к компьютерам организации через модемы, должны использовать одноразовые пароли. Прямые подключения к компьютерам организации, используемым в производственных целях, должны осуществляться только после получения письменного разрешения начальника отдела автоматизации восстановление удаленный информация начальника отдела информационной безопасности. Использование отдельных модемов для подключения к компьютерам организации запрещено.Низкий-средний-высокийИнформация о получении доступа к компьютерам организации, такая как телефонные номера модемов, считается конфиденциальной. Эта информация не должна сообщаться в BBS, телефонных справочниках, визитных картах, или иным способом быть доступной посторонним лицам без письменного разрешения начальника отдела автоматизации. Начальник отдела автоматизации периодически сканирует входящие телефонные линии для проверки соблюдения политик безопасности восстановление удаленный информация может периодически менять телефонные номера, чтобы сделать более трудным обнаружение посторонними лицами телефонных номеров организации.5.4.3. Доступ к внутренним базам данныхДругим важным вопросом является обеспечение безопасности доступа извне к внутренним базам данных. Для небольших, относительно статичных групп пользователей (сотрудников организации), решением может оказаться создание VPN, которая охватывает всех пользователей, которым нужен доступ к внутренним базам. Но для больших восстановление удаленный информация часто меняющихся групп пользователей требуютс другие способы обеспечения безопасности доступа.Одним из решений является размещение базы данных снаружи брандмауэра. Это приводит к снижению риска для внутренних систем, но делает базу данных уязвимой для атак извне, восстановление удаленный информация может потребовать организации взаимодействия через брандмауэр с внутренними системами для внесения изменений в базу. Такой подход является в большинстве случаев неприемлемым во многих случаях, когда к базе данных требуется частый доступ из внутренних систем.Другой подход - обеспечить доступ к базе со стороны внешнего (находящегося за брандмауэром) сервера через брандмауэра. Многие брандмауэры сейчас имеют в составе SQL-прокси для снижения риска при использовании такого варианта. Использование прокси-серверов такого рода достаточно сложно, требует обучения сотрудников восстановление удаленный информация привлечения специалистов для обеспечения гарантий безопасности. Конфигурирование брандмауэра таким образом, чтобы он просто разрешал такие соединения, очень увеличивает риск восстановление удаленный информация должно избегаться.Низкий-среднийВсе соединения внешних пользователей с внутренними базами данных должны проходить через соответствующие прокси-сервера на брандмауэре организации. На брандмауэре могут быть установлены только те прокси-сервера, которые утверждены начальником отдела автоматизации. ВысокийДоступ внешних пользователей к внутренним базам данных запрещен. Если деятельность организации требует WWW-доступа или доступа через Интернет к базам данных организации, эти базы данных должны быть размещены за пределами брандмауэра организации. Обновления в эти базы данных вносятся с помощью таких носителей информации, как флоппи-диски восстановление удаленный информация другие переносимые носители информации. Вся конфиденциальная или критическая информация на внешнем сервере должна быть зашифрована.5.4.4. Использование нескольких брандмауэровVPN - это только один пример использования нескольких брандмауэров. Требования обеспечения большой пропускной способности канала, его надежности часто могут потребовать установки нескольких брандмауэров, работающих параллельно. Так как они работают параллельно, политики безопасности, реализуемые ими, должны быть идентичны, или результирующий уровень безопасности будет равен уровню безопасности наименее безопасного брандмауэра.При использовании нескольких параллельно работающих брандмауэров для обеспечения нужной надежности или пропускной способности, конфигурация каждого брандмауэра должна быть идентичной, восстановление удаленный информация все они должны администрироваться одним восстановление удаленный информация тем же администратором. Начальник отдела автоматизации должен утверждать любые изменения в брандмауэрах такого типа.Несколько внутренних брандмауэров могут также использоваться для сегментации сетей в целях управления доступом к критическим данным восстановление удаленный информация протоколирования такого доступа. Называемые брандмауэрами "интранета", такие конфигурации брандмауэров часто используются в организациях с уровнем риска, выше среднего, для защиты компьютеров, работающих с финансовой информацией или информацией о сотрудниках.Средний-высокийЛюбая критическая или конфиденциальная информация, доступная из внутренних сетей, соединенных с Интернетом, должна быть защищена с помощью брандмауэра, установка которого утверждена руководством. Этот брандмауэр должен быть сконфигурирован так, чтобы доступ к таким данным могли иметь только авторизованные на это внутренние пользователи.Управление нагрузкой - это процесс, посредством которого сетевой трафик, проходящий по сети, распределяется между несколькими брандмауэрами для достижения высокой пропускной способности сети. Причин для этого две - необходимость разделения наргузки восстановление удаленный информация наличия резервного брандмауэра (в случае выхода из строя одного брандмауэра безопасность будет все равно обеспечиваться). Поэтому, организация может включить в политику следующее положение:Может быть установлен более чем один брандмауэр, чтобы в случае выхода из строя одного брандмауэра, доступ к нашей сети контролировался брандмауэром, восстановление удаленный информация чтобы нагрузка равномерно распределялась между брандмауэрами. В такой конфигурации параметры всех брандмауэров должны быть идентичны для поддержания согласованной безопасности. Назад | Содержание | Впередразделы
растворитель 646
подбор эмаль
рассылка адрес
шелкография
деловой разведка
изготовление презентация
конвейер
горячий обед
дэнас
электрический прочность
холодильный централь
гайковерт электрический
пленка пэ
protherm
трубогиб дорном
срезанный цвет
биоэпиляция
корпаративные праздник
купить ножовка
залог кострома
холодильник дешево
компания доминике
купить чейнджер
аэробика мячом
купить nokia 8910
одевание бахила
аденома предстательный железа
спецобувь
выделение кислорода
наркомания
доставка ноутбук
вызов водитель
li-da
рефрижератор
узи тошиба
шампанский заказ
профессиональный фарфор
рефрижератор
электрокамин dimplex model silver (sp4)
гнб
мини пекарня
мини пекарня
5440.11 (крышка)
нестандартный коробка
колодец канализационный пластиковый
силикон
штукатурка фасадный
куллер 478
эфирный антенна kaasi
дирижабль
пп-пленка
кулер бесшумный
барбекю
ваза 2114
дмитрий шумок
помещение шиномонтаж
краска ржавчина
доставка суша
организовать рассылка
бордюр
купить угольник
учиться танго
витрина мороженый
куллер 478
сборный доставка
тач-скрин монитор
дезинфекция белье
бак накопитель
вытяжка крона
спецобувь заказ
комплексный сайт
пленка пэ
решетка
хендэ соната
компания доминике
иностранный долг
кулер
госпиталь мэш
электрокотел
свойство краска
бестраншейный облицовка
штанга насосный
профиль salamander
купить 6131
паркетный лак
свойство краска
искать фотограф
курьерский почта
теннисный ракетка
бордюр
головка винторезный
компания макса линдера
детский мир
купить ножовка
вызов врач
проведение лотерея
бордюр обоев
конвейер
срочный перевод
протеин
книга кремль
ванна моечный
тонирование авто
shell omala
букмекерский контора фаворит
светоотражающий краска
кулер винчестер
набор гинекологический
сделать пазл
курьерский почта
подводный гидромассаж
измеритель rlc
шарошка алмазный
диагностический стенд
man гильза
базовый шпатлевка
вихревой теплогенераторы
обогащение кислородом
экстракт корень лопух сух.
100 девчонка одна лифт
tognana фарфор
сейфовые ячейка
цвет гармония
аэробика
двухтарифные электросчетчик
поставщик вина
монитор видеодомофона, монитор, видеодомофон
de luxe 5040.11
сервис alfa laval
внешний антенна
катушка контактор
травертин
штамповка
культура танго
сенсорный дисплей
gislaved отзыв
время архангельск
структурный штукатурка
плата видеозахвата
подбор эмаль
уличный барбекю
крутой компания
shell omala
новосельский доломит
время архангельск
тач-скрин монитор
стелаж
купить nokia 8910
организовать рассылка
изолента
ножной пластырь
китайский махровый
брусок алмазный
mobil pegasus
машина r-600
лечение слух
стальной топкий spartherm
лад
бюро похоронный услуга
дезинфекция белье
пионовая беседка
управление ярославль
лечение головокружение
восстановление удаленный информация