Организационные вопросы с брандмауэрами
 |
|
|
|
Организационные вопросы с брандмауэрами
|
|
| На главную | Контакты | Карта сайта | Регистрация доменов | Cотовая связь | Учебник PHP | Интернет |
|
Вас не должно удивлять то, что администрирование брандмауэра - это очень важная работа, которой должно уделяться маскимум времени. В небольших организациях на эту должность могут взять человека не на полную ставку, но эти обязанности должны иметь приоритет над другими. В затраты на брандмауэр должны входить затраты на администрирование брандмауэра; администрирование никогда не должно быть эпизодическим.
Как уже говорилось в предыдущих разделах, постоянно происходит большое число проникновений в системы через Интернет, что делает необходимым наличие в организации высококвалифицированных администраторов, работающих полный рабочий день. Но есть признаки того, что эта необходимость понимается далеко не всеми; многие организации плохо администрируют свои системы, и они не являются безопасными и защищенными от атак. Много системных администраторов работает на полставки в лучшем случае, и не производят обновления систем при появлении исправлений ошибок.
Квалификация администратора брандмауэра - критический фактор для этой должности, так как брандмауэр будет эффективен настолько, насколько эффективно его администрируют. Если брандмауэр плохо администрируется, он может стать небезопасным и через него могут быть осуществлены проникновения, в то время как в организации будет сохраняться иллюзия, что сеть защищена. В политике безопасности брандмауэра должно быть явно указано на необходимость серьезного отношения к администрированию брандмауэра. Руководство должно показать, что его заботит это - и нанаять специалиста на полную ставку, найти деньги на приобретение брандмауэра и его сопровождение, а также на другие необходимые ресурсы.
Брандмауэр не должен служить оправданием для плохого администрирования внутренних систем. Фактически дело обстоит наоборот: если будет осуществлено проникновение в брандмауэр, сеть, которая плохо администрировалась станет открытой для большого числа атак и в ней потенциально возможны большие разрушения. Брандмауэр никоим образом не делает ненужным хорошее системное администрирование.
В то же самое время брандмауэр может позволить сети производить "предупредительное" администрирование, а не устранение последствий инцидентов. Так как брандмауэр обеспечивает барьер, сети могут тратить больше времени на системное администрирование и меньше времени на реагирование на инциденты и устранение их последствий. Рекомендуется, чтобы организации:
Важным моментом при администрировании брандмауэра и всей сети в целом является установление связей со специальными группами по борьбе с компьютерными преступлениями для получения у них помощи. NIST рекомендует, чтобы организации создавали свои небольшие группы по улаживанию происшествий с компьютерной безопасностью, которые проводили бы расследование подозрительных событий и устранение последствий атак, и которые позволяли бы организации быть постоянно в курсе новых угроз и уязвимых мест. Из-за изменчивой природы угроз и рисков Интернете важно, чтобы сотрудники, администрирующие брандмауэр, входили в состав этих групп. Администраторы брандмауэра должны знать о всех новых уязвимых местах в продуктах, которые они используют, и уметь использовать заранее описанные технологии их устранения при обнаружении действий злоумышленника. [Cur92], [Garf92] и [RFC1244] содержат информацию о том, как создать такую группу и связаться с другими группами. NIST имеет ряд публикаций, предназначенных специально для создания таких групп [NIST91b].
Посмотрите Приложение
для получения дополнительной
информации о том, как связаться с
группами по борьбе с компьютерными
преступлениями и Форумом групп по
борьбе с компьютерными
преступлениями (Forum of Incident Response and
Security Teams - FIRST).
Назад | Содержание | Вперед
| На главную | Карта сайта | Windows 7 | Windows Registry | Stop-экраны | Update for Windows | Файл настроек .htaccess | Всё для мобильного телефона | |
|
|
po gonn © 2004 "JULI'S BEEHIVE" | |
| |
