3. Według M. Strebe „Podstawy bezpieczeostwa sieci”
DROGA ‘TECHNICZNA’
4. Tworzenie regulaminu bezpieczeostwa
• Pierwszy etap: ustalenie wymagao
użytkowników sieci
• Znając wymagania należy
sporządzid listę funkcji potrzebnych, ale nie
niezbędnych
• Na koniec tworzymy listę wymagao
bezpieczeostwa: czyli działania zabronione
użytkownikom, środki przeciwko
anonimowemu dostępowi etc
5. Przykład:
Wymagane
Potrzebne
Wymagania
bezpieczeństwa
• Użytkownicy muszą
mied mied możliwośd w
ysyłania i odbierania
emaili
• Użytkownicy muszą
mied dostęp do
zewnętrznych serwisów
• Użytkownicy powinni
mied łatwe do
zapamiętania hasła
• Hackerzy nie mogą
mied dostępu do
wnętrza sieci
• Użytkownicy nie mogą
przypadkiem
obchodzid uprawnieo w
systemie plików
• Odgadnięcie haseł
powinno
byd niemożliwe, a ich
odkrycie przy obecnej
technologii powinno
trwad min. rok
6. Szkic regulaminu
• Mając listę ogólnych sformułowao dotyczących
wymagao i ograniczeo, badamy każde żądania,
aby ustalid jego implementację
• Tworzymy szkic, w którym wymagania będą
nagłówkami, a następnie rozbijamy je na metody,
które pomogą w ich implementacji. Zapisujemy
wszystkie sposoby w jakie można spełnid dane
wymaganie
• Nastepnie analizujemy metody, zastępując je
prostszą i konkretniejszą wersją tychże
7. Przykład:
1. Hakerzy nie mogą mied dostępu do wnętrza sieci
A. Zrezygnowad z połączenia internetowego
B. Zaimplementowad firewall dla połączenia
internetowego
1.
2.
Blokowad cały ruch przychodzący
Blokowad niebezpieczne żądania wychodzące:
a)
b)
Usuwad załączniki do emaili
Zablokowad wysyłanie plików przez http i ftp
C. Zrezygnowad z dostępu wdzwanianego
D. Zastosowad oddzwanianie dla dostępu
wdzwanianego
8. Szkic regulaminu
• Następnie eliminujemy sprzeczne wymagania:
jednakże starając się w jak najmniejszym
stopniu okroid wymagania bezpieczeostwa
• Po okrojeniu tworzymy prostą listę złożoną z
reguł i grupujemy według systemu, który
będzie je implementował (szczególna uwaga:
musimy byd ostrożni, żeby jak najmniej metod
wymagało egzekwowania przez ludzi, a jak
najwięcej działało automatycznie)
9. Reguły używania systemu
• Wiedząc, które wymagania musimy
narzucid na użytkowników, tworzymy zbiór
reguł używania systemu, dostępny dla
użytkowników
11. Aktualizacje regulaminu
bezpieczeostwa
• Identyfikacja i badanie potencjalnych słabych
stron, a także metod ich likwidacji
• Wdrożenie tychże metod
• Symulacja ataku
• Zbadanie logów serwerów i firewalli w celu
poszukiwania naruszeo bezpieczeostwa
• Ewentualne poprawki do regulaminu
13. Analiza obecnej sytuacji i ryzyka
• Jakie obecnie w firmie są standardy
bezpieczeostwa informacji i sieci?
• Jakie zasoby muszą podlegad ochronie?
• Jakie konkretne zagrożenia istnieją wobec tych
zasobów?
• Jaką szkodę mogłoby
spowodowad urzeczywistnienie
się potencjalnych zagrożeo?
14. •
•
•
•
•
•
•
Klasyfikacja danych
Procedury weryfikacyjne i autoryzacyjne
Instrukcje klasyfikacji danych
Procedury udostępniania informacji
Zarządzanie rozmowami telefonicznymi
Procedury korzystania z poczty elektronicznej
A nawet instrukcje dotyczące bezpieczeostwa
fizycznego
