Állítsd be, hogy az Economx az elsők között legyen a Google-találatokban!
A számítógépes rendszerek, a hálózatok működésének központi elemévé vált a biztonság. A fenyegetések fizikai és emberek által okozottak lehetnek. Előbbiek a bombák, tüzek, árvizek és földrengések, utóbbiak a kétbalkezes rendszergazdák, a "képzett" alkalmazottak és a hackerek, az értékes adatainkra áhítozó behatolók. Egy betörés akkor is okoz veszteséget, ha nem tesz kárt semmiben. Amikor egy cég elektronikus behatolást észlel, lezárhatja a teljes internetforgalmat - ami lehetetlenné teszi az üzletmenetet az ügyfelek, beszállítók és fiókirodák között.
A biztonsági rendszerek felállításakor vagy kiértékelésekor néhány fontos alapszabályt szem előtt kell tartani. A biztonság csak annyira erős, amennyire a rendszer leggyengébb láncszeme. A biztonsági irányelveket az egész rendszerben, a cég teljes ügyvitelében, életében érvényesíteni kell, máskülönben értelmetlenek. Nincs százszázalékos biztonság, ennek ellenére folyamatosan frissíteni kell rendszereinket és módszereinket, hogy a lehető legmagasabb szintet nyújtsuk. Valakiben meg kell bízni. A repülőterek géppisztolyos katonákkal való biztosítása például csak akkor hatásos, ha a legénység és feljebbvalóik hátterét előzőleg szigorúan ellenőrizték. Az IT-világban a rendszergazdákban kell megbízni, hiszen valakinek működtetnie kell a rendszereket, ellenőrizni a hozzáféréseket, védelmet kell nyújtania az informatikai infrastruktúra számára. Senki sincs biztonságban a katasztrófáktól vagy szabotázsakcióktól. A kérdés: ha lehetetlen teljes biztonságba helyezni cégünk hálózatát, mivel kell elkezdeni a folyamatot?
Bármely biztonsági program alapja három elv: épség, bizalmasság, elérhetőség. Azaz a biztonsági programnak meg kell akadályoznia, hogy az adatokat rosszindulatúan manipulálják; meghatározott adatokat csak meghatározott személyek számára kell láthatóvá tennie; csak azok számára kell elérhetővé tennie az adatokat, akiknek szükségük van rá.
Számos cég nyújt átfogó biztonsági értékelést, azaz sebezhetőségi vagy biztonsági kockázatfelmérést. Ezek a "felügyelt biztonsági szolgáltatók" (Managed Security Service Providers, MSSP-k) feltárják a megrendelő IT környezetének minden tulajdonságát, beleértve annak meghatározását, hogy fizikailag ki férhet hozzá az érzékeny adatokhoz.
Hatalmas feladat egy cég biztonsági értékelése. Csak lépésről lépésre érdemes végrehajtani, elsőként például föl kell venni a hálózat pontos és friss térképét. A biztonsági irányelvek megírása a biztonsági elemzés legelhanyagoltabb területe. Rögzíteni kell, hogy mindig fel legyenek telepítve a legfrissebb javítások; hogy csak az arra feljogosítottak léphessenek be a szerverszobába; hogy a számviteli rendszerbe csak intelligens kártyával lehessen bejelentkezni.
Az elviselhető költségek nyilván a védendő érték nagyságától függenek. De mennyit érnek a cég adatai? A legegyszerűbb felelet szerint annyit, amennyibe a teljes visszaállításuk kerülne, ha elvesznének (például néhány gigabájtnyi törzsadatfelvitel). Kiértékeléskor többféle esemény hatását is számba lehet venni; a legrosszabb esetet, mint egy pusztító tüzet, vagy egy valószínűbb forgatókönyvet, például egy szabotázst.
Meglepő, de a javítások telepítése kritikus kérdés. Döbbenetes, hogy frissítetlen rendszerek csatlakoznak az internetre, amikor a frissítések nagy része éppen a biztonsági javításokat tartalmazza. Az ilyen rendszerek szükségképpen "lyukasak", és a kódbűvészek keresőprogramjai pont ezeket a lyukakat keresik és találják is meg nagy hatékonysággal.
Figyelmeztetni kell a felhasználókat az ismeretlen eredetű küldemények veszélyességére, legyenek azok fizikaiak vagy elektronikusak. Utóbbiak közül különösen a melléklettel rendelkezők gyanúsak. Tapasztalat szerint olyan nagy a kísértés az ilyen küldemények felnyitására, hogy célszerű lehet még azelőtt központilag kiszűrni az ismeretlen eredetű, melléklettel ellátott e-maileket, mielőtt a címzettek hozzáférnének.
Bármely számítógéprendszer alapeleme a felhasználó azonosítása. Az a probléma, hogy minden rendszer másképpen azonosítja ugyanazt a felhasználót. Az évek során számos megoldási kísérlet vált ismertté, de egyik sem okozott áttörést. A különféle rendszerek nem kommunikálnak egymással könnyedén, és a cégek nem szívesen térnek át nyomósabb ok nélkül az újabb, széles körben elfogadott szabványokon alapuló megoldásokra. Az azonosítási eljárások tartománya az egyszerű név-jelszó páros begépelésétől bonyolult biometrikus módszerekig terjedhet.
Az adatok arra valók, hogy használjuk, azaz legalább megtekinthessük és/vagy kinyomtathassuk azokat. Ha van hálózat, és mindenki mindenhez hozzáfér, a másolásuk is könnyű, az illetéktelen hallgatózó mindent megszerezhet egyetlen kábelkapcsolat segítségével. Két elemi lehetőségünk van: kizárjuk az elérésből azokat, akiknek nincs szükségük az adott információkra és/vagy titkosítjuk az adatforgalmat.
Bár a noteszgépek jobban segítik a mobil munkavégzést, mint valaha, egyben a legkevésbé biztonságos adattárolónak számítanak. Évente százezerszámra lopnak el noteszgépeket - átlagosan minden tizennegyediket -, és legtöbbjükön védtelenek az adatok. Ha a noteszgép operációs rendszere megkövetel is valamilyen jelszót, a tolvajnak vannak eszközei a hozzáféréshez. Biztonsági másolat híján a géppel együtt az adatok is elvesznek.
Amikor a felhasználók az interneten át kívánják elérni a belső erőforrásokat, a rendszergazdák indokoltan aggodalmaskodnak. Ha az ügyfelek is kérik a hozzáférést, az már valódi kitárulkozás. A védelem első vonala a tűzfal (firewall). Nincs olyan eszköz, amely egymagában megvéd egy egész hálózatot, és tilos is egyetlen eszközre hagyatkozni a védelemben. A védőgát valójában rendszerek, szolgáltatások és irányelvek összessége, amelyek megvédik a belső hálózatot a behatolóktól és az adatvesztéstől. Ennélfogva egy védőgát-megoldás szoftvereket és hardvereket - szervereket, internetátjárókat, sőt munkaállomásokat - egyaránt magában foglal. Ennek része kell legyen a behatolásjelző rendszer, az autentikáció és annak felügyelete, auditáló és megfigyelő eszközök, vírusok elleni védelem, valamint azok az irányelvek, melyek gondoskodnak arról, hogy a felhasználók be is tartsák a szabályokat.
Azt is szem előtt kell tartanunk, hogy a legfőbb érték maga az ember. Néha kicsit nehéz a "júzerekkel", de leggyakrabban ők vannak a védelem első vonalában. Kérjük fel őket, hogy vegyenek részt a biztonsági folyamatban - javasolja Alan Mark.
Keretes1:
Az IT-biztonság tízparancsolata
1. Létre kell hozni és naprakészen kell tartani a hálózat sémáját annak meghatározása céljából is, hogy hol és miképpen lehetséges a behatolás. Hackereszközök segítségével kell feltárni a rendszer sebezhető pontjait - vagy fel kell bérelni megfelelő személyt/szervezetet erre a célra (legal hacking).
2. Fel kell állítani az üzletmenet szempontjából kritikus kiszolgálók és rendszerek listáját, amelyben fel kell tüntetni a telepítés dátumát, a telepítő személyt és az alkalmazott javításokat. Rendszeresen látogatni kell a biztonsággal foglalkozó webhelyeket az aktuális fenyegetések megismerése és az ellenük létrehozott javítások beszerzése céljából.
3. Meg kell határozni minden rendszergazda és hálózatüzemeltető számára a kötelezően betartandó irányelveket. Az első és legfontosabb irányelv, hogy mindig telepítsük a használt szoftverek legfrissebb javításait. Szerepelnie kell az irányelvek között, hogy kövessék a gyártók vonatkozó levelezőlistáit, továbbá hogy rendszeresen változtassák a jelszavakat, vagy használjanak hardveres - mágnes- vagy aktívkártyás - autentikáló eszközöket. Annak is egyértelműnek kell lennie, hogy mely rendszernek ki(k) a felelőse(i), és milyen adatok vannak a rendszerben.
4. Létre kell hozni azokat a dokumentumokat, amelyek meghatározzák az alkalmazottak számára az információs rendszerek rendeltetésszerű használatát. Ezekben például fel kell sorolni azokat a teendőket, amelyeket egy felhasználónak el kell végeznie, ha gépén vírusfertőzésre gyanakszik. Meg kell határozni azt is, hogy milyen feltételekkel közölhetik egymással jelszavaikat, mit kell tenniük, amikor munkahelyüket rövidebb-hosszabb időre elhagyják, és hogy miképpen kell kezelniük a bizalmas adatokat.
5. Ki kell értékelni, hogyan tárolódnak az adatok és hogyan érhetők el. Biztonságos-e az e-mail-rendszer? Kerülhet-e bizalmas adat helyi merevlemezre (nevezetesen: noteszgépre) úgy, hogy nincs biztonsági másolata valamely szerveren? Titkosítottak-e a hálózaton közlekedő adatok? Ha egy tároló adatai titkosítottak, hogyan érhetők el, amikor használójuk kilép vagy beteg? Mi a következménye, ha egy noteszgépet ellopnak vagy tönkremegy?
6. Meg kell határozni, mi a következménye, ha elektronikus támadás miatt le kell kapcsolódni az internetről.
7. Meg kell határozni, mi a következménye, ha tűz vagy egyéb katasztrófa éri az adatközpontot. Lehetséges-e valamilyen alternatíva beindítása?
8. Meg kell határozni, mi a következménye, ha elvesztünk egy kulcsfontosságú alkalmazottat.
9. A felhasználók tevékenységéről és a hálózati történésekről részletes jelentéseket készítő elektronikus auditáló és megfigyelő rendszert kell kiépíteni a vállalat összes szervere és címtára alá.
10. Jól fizetettek-e a hálózati rendszergazdák? Fizetésük megemelése nem javítja a teljesítményüket, viszont jobb jelöltek fognak jelentkezni az állásokra.
Forrás: www.novell.hu
Keretes2:
Mindegy, hogy milyen a biztonsági szabályzatod, ha nem tartatod be
A virushirado.hu-n olvasható a következő történet. "Az ügyfelem "hamarosan-ex-felesége" nyilvánvalóan vissza akart vágni - magyarázta az ügyvéd, egyike a keleti part legmenőbb válóperes ügyvédeinek. Ezért aztán valahogy bejutott a férje irodájába, és az asszisztensének számítógépét használva egy e-mail-t küldött a cég minden dolgozójának, kiteregetve férje viszonyát az egyik kollégájával. Tovább beszélgetve, a barátom mesélt a kellemetlenségről, amit az e-mail okozott az ügyfelének. Én csupán azon csodálkoztam, hogy lehet bármely cég biztonsági politikája olyan laza, hogy egy kívülálló beosonhasson és email-t küldhessen az egész vállalatnak. Nem tudták a cég vezetői, hogy felelősséggel tartoznak az ügyfeleik és a többi alkalmazott személyes adatainak biztonságáért, valamint hogy megvédjék a cég működéséhez szükséges kritikus információkat? Kétségtelenül nem."
Girnt József
