Mamy tu porady dotyczšce...

Sposoby ochrony œrodowiska webowego

1. Ograniczyć liczbę ludzi posiadajšcych zdalny dostęp do oœrodka webowego w celach administracyjnych i œciœle kontrolować ten proces. Zdalne administrowanie - równoznaczne z dostępem do katalogu głównego - dostarcza hakerowi najlepszej sposobnoœci do włamania
2. Należy upewnić się, że listy kontrolne dostępu sš właœciwie skonfigurowane i stale uaktualniane w celu odzwierciedlenia codziennych potrzeb firmy, takich jak: dołšczanie nowych pracowników i klientów oraz usuwanie pracowników zwolnionych i nieaktualnych klientów
3. Izolowanie serwera handlu elektronicznego od innych usług, w takim zakresie, jak to tylko jest możliwe - w celu usunięcia słabych punktów. Uszczelnienie serwera przez zamknięcie ubocznych mechanizmów w aplikacjach i systemach operacyjnych
4. Implementacja systemu wykrywania intruzów, który bezpoœrednio powiadamia zarzšdzajšcego o problemach wymagajšcych interwencji. W końcu wykrycie hakera to nie wszystko: podstawowym celem jest uniemożliwienie działania mu
5. Należy się upewnić, czy oprogramowanie wykrywania intruzów identyfikuje nienormalne zachowania na serwerach - nie można zatrzymać nieproszonych goœci, jeœli się nie wie, co oni robiš
6. Skrypty Perl i CGI mogš wprowadzać nieszczelnoœci do systemu ochrony, jeœli sš nieodpowiednio napisane, skonfigurowane czy zainstalowane. Narzędzi tych należy urzywać oszczędnie i zapewnić dobre ich przetestowanie przez doœwiadczonych programistów
7. Hasła nie sš wystarczajšce dla niektórych oœrodków komercyjnych. Należy więc rozważyć wyposażenie klientów oœrodka w żetony fizyczne lub karty magnetyczne
8. Także administratorzy posiadajšcy dostęp do katalogu głównego powinni być identyfikowani metodami biometrycznymi: głosem, po odciskach palców czy na podstawie siatkówki oka
9. Oœrodek zdajšcy się na inne sieci czy systemy w zakresie operacji przelewów pieniężnych, czy akceptujšcych karty kredytowe lub używajšcy mainframe do kompletacji zdalnych transakcji bankowych i do komunikacji z systemami krytycznymi powinien stosować protokoły, takie jak SSL, SHTP lub Kerberos
10. Należy zastanowić się nad instalacjš zintegrowanej osłony wokół krytycznych danych i powišzanych plików systemowych. Kryptograficzna otoczka wokół tych plików zapobiega modyfikacji lub wprowadzaniu złoœliwych kodów do plików

Tanie sposoby wzmocnienia ochrony wewnętrznej

1. Może zajœć potrzeba uzyskania większej wiedzy o przyszłych pracownikach niż wynikajšca z ich ankiet personalnych, specjalnie zaœ o tych, którzy majš zajmować stanowisko w strukturach informatycznych, np. administratorów sieciowych. Należy w takim przypadku rozważyć możliwoœć uzyskania psychologicznego portretu kandydata: jego zasad etycznych, moralnoœci i skłonnoœci
2. Rozważyć usunięcie stacji dyskowych z pecetów pracowników, co utrudni im znacznie instalowanie prywatnego oprogramowania i gier, często infekujšcych system wirusami i prywatnymi informacjami. Ograniczy to też inny potencjalny problem ochrony - utratę kontroli nad dyskami rozproszonymi po desktopach
3. Nie należy dopuszczać do przyznawania użytkownikowi więcej niż jednego identyfikatora na maszynę. Wdrożenie ochronnych wygaszaczy ekranów minimalizuje problemy administracyjne
4. Ograniczyć przywileje dostępu do głównego katalogu tylko dla tych administratorów, którzy rzeczywiœcie tego potrzebujš. Każdy przywilej dostępu do katalogu głównego jest potencjalnš okazjš do wykorzystania
5. Niszczyć nieodwracalnie ważne wykorzystane dokumenty: listy personelu, identyfikatory użytkowników, informacje personalne, pliki klientów, notatki, rysunki sieci i wszystko inne, co może stanowić potencjalnš wartoœć dla osób postronnych
6. Gromadzenie odpadków przed utylizacjš wewnštrz budynku, gdzie można utrzymać kontrolę nad dostępem do nich. Zewnętrzne pojemniki odpadków sš zaproszeniem dla "wyspecjalizowanych szperaczy"
7. Z zespołu informatyków należy utworzyć grupę partnerskš, współpracujšcš przy podnoszeniu stopnia bezpieczeństwa, a nie rywalizujšcych adwersarzy
8. Ostrożna ocena produktów z zakresu ochrony: dobrze jest upewnić się, czy rzeczywiœcie wykonujš one wszystko to, co reklamuje dostawca. Wiedzieć, jakie inne ulepszenia ochronne można uzyskać przed wdrożeniem technoligii, która wymaga opieki, zasilania i zarzšdzania
9. Upoważnienie wybranej osoby do podjęcia szybkiej akcji w razie zagrożenia bezpieczeństwa: niezależnie czy wymaga ona zamknięcia oœrodka webowego, czy tylko powiadomienia ochrony budynku o potrzebie usunięcia niepożšdanych goœci
10. Powiadomić załogę, że używane sš zaawansowane metody monitoringu w sieci. Należy wyjaœnić, że narzędzia te służš do ochrony sieci przed niepożšdanymi goœćmi, a nie majš pełnić roli "Wielkiego Brata". Może to wyzwolić wœród pracowników większš ostrożnoœć i zniechęcić do nielegalnego używania systemu i naruszania zasad bezpieczeństwa.

Sposoby na utrzymanie odpowiedniego poziomu czujnoœci

1. Regularne ponawianie testowania systemów ochrony ma nadšżać za ewolucjš systemu, sieci i zmianami w zachowaniu personelu. Należy rozważyć aspekty comiesięcznej wyrywkowej kontroli przedsiębiorstwa, sprawdzać wpływ na ochrone nowych aplikacji przed ich wprowadzeniem do eksploatacji i wykonywać analizę stanu bezpieczeństwa w odniesieniu do całego przedsiębiorstwa co najmniej raz do roku
2. Zmiana haseł identyfikujšcych użytkownika. Długie hasła sš zdecydowanie lepsze od krótkich, ponieważ sš trudniejsze do odgadnięcia, ale z drugiej strony sš też trudniejsze do zapamiętania bez zapisywania. Poniższe przykłady ilustrujš możliwoœć tworzenia krótkich, ale trudnych do odgadnięcia haseł: PaSsWoRd; fiat4301; 3kot; wro1kry; w1nn13
3. Uregulowanie i kontrola dostępu i użytkowania Internetu przez pracowników firmy
4. Jako częœć programu edukacyjnego można rozważyć użycie specjalnych gier i symulatorów wspomagajšcych personel w nabywaniu doœwiadczenia i uœwiadamianiu efektów niedbałych praktyk ochronnych
5. Podzielenie wewnętrznej organizacji i oddziałów według używanych mechanizmów kontroli dostępu i intrasieci. Izolowanie zasobów i informacji znacznie zwiększa bezpieczeństwo. Można także rozważyć użycie bezpiecznego systemu poczty elektronicznej jako jedynego œrodka kontaktu między pracownikami
6. Subskrypcja zwišzanych z bezpieczeństwem zasobów Internetu, takich jak doradztwo w zakresie ochrony i przeszukiwacza kluczowych oœrodków webowych na bieżšco. Użyteczne pod tym względem mogš być adresy takie jak np. www.ntbugtraq.com czy www.infowar.com/hackers i www.techbroker.happyhacker.html
7. Natychmiastowa instalacja i używanie wszystkich uaktualnień i łatek systemów operacyjnych i aplikacji dostarczanych przez dostawcę. Podwójne sprawdzanie, czy nowe oprogramowanie nie wnosi negatywnych efektów do innych systemów
8. Utworzenie w firmie grupy funkcjonujšcej na zasadzie pogotowia, składajšcej się z ekspertów, którzy będš mogli przeprowadzić firmę przez "potop" kłopotów wynikłych z załamania się systemu komputerowego lub sieci komputerowej
9. Regularne uaktualnianie i przeglšdanie uprawnień użytkowników na listach kontrolnych dostępu. Okresowe rewizje i ograniczanie dostępu pozwala utrzymać sterowanie ochronš w ryzach
10. Traktowanie ochrony jako procesu, a nie zestawu produktów. Implementacja systemu ochrony nie jest pojedynczym etapem "odfajkowanym" na wykresie Ganta. Proces wewnętrznej ochrony musi być zaprojektowany w sposób odzwierciedlajšcy zmiany zachodzšce w firmie, a zwišzane z wymogami biznesu

Podstawowe zasady bezpieczeństwa

1. Polityka bezpieczeństwa organizacji powinna zawierać listę podstawowych praktyk ochronnych - zarówno wewnętrznych, jak i zewnętrznych.
2. Regularne szkolenie personelu i prowadzenie akcji uœwiadamiajšcych ma utrzymać wysoki poziom wiedzy o wszystkich aspektach ochrony instytucji i o tym, w jakim stopniu każdy z nich w ochronie uczestniczy
3. Okresowe testowanie ochrony i jej ocena dla oszacowania, w jakim stopniu zakres i wewnętrzne systemy ochrony spełniajš założenia polityki bezpieczeństwa
4. Nie należy zapominać o prostych aspektach ochrony fizycznej. Kontrolowanie dostępu do rozdzielni elektrycznych, serwerów, centralek telefonów wewnętrzych i hubów w takim samym stopniu jak do centrów danych
5. Rozważyć powierzenie ochrony specjalizowanej firmie, która będzie współpracować z zespołem informatyków. Firma taka może być lepiej wyposażona w œrodki całodobowej ochrony, chociaż trzeba oddać pod jej kontrolę pewnš częœć biznesu