Letyshops

Безопасность в Интернете и дипломированный бухгалтер

Марк Нидерхоффер

Начало в выпусках: #198

Марк Нидерхоффер (Marc Niederhoffer), дипломированный бухгалтер, партнер в Buchbinder Tunick & Co. LLP, член Комитета NYSSCPA по новейшим технологиям.

Меры защиты

Безопасная сеть начинается с сетевой архитектуры, в которую должны входить:

  • методы идентификации, из них наиболее распространенные – пароли. Правила должны запрещать пароли из обычных слов или имен. Рекомендуются сложные варианты, сочетающие буквы в разных регистрах с цифрами;
  • при шифровании электронное послание преобразуется, и расшифровать его можно только нужным ключом. Есть два типа шифрования: закрытым ключом (информация кодируется и декодируется одним ключом) и открытым (применяются два разных ключа). Хотя шифрование открытым ключом надежнее, оно в то же время сложнее и дороже. Лучше всего применять открытый ключ для обмена ключами и проверки соединения, а секретным – шифровать трафик;
  • промежуточный сервер (proxy server) – это программный или аппаратный пакет, который обеспечивает безопасность, маскируя сервер под источник запрошенной информации. Его помещают между Интернетом и внутренней сетью компании. Прокси-серверы в крупных сетях имеют высокий административный приоритет;
  • брандмауэр – это аппарат (программа), представляющий собой что-то вроде забора вокруг внутренней сети. Он отслеживает соединения, анализирует информацию на входе и разрешает соединение, если оно прямо связано с активной сессией. Для обслуживания некоторых брандмауэров нужны специалисты. В сетевой схеме брандмауэры обычно ставят первыми, особенно важны они для работы скоростных, постоянно включенных соединений;
  • маршрутизаторы чем-то похожи на брандмауэры, они разрешают или запрещают трафик на указанный адрес в зависимости от пакетной информации;
  • «демилитаризованная зона» – область в корпоративной сети, изолированная от локальной сети (LAN). Схема позволяет давать разрешения Интернет-серверу, блокируя остальную сеть;
  • «мертвая зона» – участок сети между двумя маршрутизаторами, который не участвует в протоколе TCP/IP (протоколы транспортного и прикладного уровня в Интернете);
  • антивирусные программы, которые следует регулярно обновлять.

С появлением домашних офисов многие компании создают виртуальные частные сети (VPN – virtual private networks), используя их для связи с удаленными рабочими местами, обычно по арендованным частным телефонным линиям. Безопасность информации в таком случае гарантирована, но обходится это дорого, да и скорость низкая. Новая тенденция – перевод VPN в сетевые линии, однако их нужно правильно спроектировать, чтобы на информацию не было выхода из Интернета.

Правила безопасности

В компании они должны регулировать следующие аспекты поведения служащих:

  • работу с электронной почтой, в том числе то, какие послания можно получать и отправлять (например, блокировать ли всю входящую почту с не авторизованных адресов, если в ней обнаружены вложенные исполняемые файлы);
  • пользование Интернетом (допустим, можно ли размещать личные сайты или конференции);
  • использование компьютеров и сетей компании для игр и хранения личной информации;
  • использование коммерческих данных (скажем, какую информацию можно, а какую нельзя сообщать служащим).

Правила должны определять приемлемое поведение, предусматривать должное обучение и меры контроля за соблюдением установленных принципов.

Системы обнаружения

Подразделяются на две основные категории:

  • централизованные внутренние системы обнаружения (HIDS)  размещаются на конкретном компьютере и ищут признаки атаки на него;
  • сетевые внутренние системы обнаружения (NIDS)  находятся в изолированной системе, ведут наблюдение за трафиком и ищут признаки атаки на данном участке сети.

Хотя NIDS дешевле, HIDS лучше подойдет для организаций, которые ценят свою информацию больше, чем хакеров.

 

 

Реклама: