Устанавливает реселлер аппаратные или программные сетевые средства безопасность зачастую остается без внимания. И последствия бывают самыми серьезными: финансовые убытки, судебные иски, утрата или порча данных, потеря конкурентоспособности и запятнанное имя корпорации. Что же до реселлера, то он должен обеспечить надлежащий баланс допустимых и недопустимых рисков с точки зрения безопасности.
Ни одно из средств защиты не в состоянии дать 100%-ной гарантии; цель в том, чтобы меньше подвергать сеть риску. Системы защиты должны учитывать потенциальные проблемы, касающиеся архитектуры, операционных систем, прикладных программ, а также «человеческий фактор».
Архитектура системы, совершенная с точки зрения перспектив организации сети, может оказаться уязвимой в плане безопасности. И сам Интернет, и корпоративная интрасеть подобны автомагистралям: по ним в обе стороны движутся потоки данных. Однако, как на автострадах могут найтись места, где можно «срезать», - объезды в стороне от светофоров или мосты через заторы, - так и в сети могут иметься «лазейки» для вторжения. Чтобы достичь баланса, позволив входить в сеть проверенным пользователям и не допускать в нее «чужих», требуется учесть большое число архитектурных моментов. Средства управления доступом в «демилитаризованную зону» и сильные протоколы аутентификации - вот лишь два из многих способов укрепления сети.
К сожалению, даже следование рекомендованным процедурам по интеграции в сеть новых аппаратных или программных средств не гарантирует успеха, ибо при стандартной инсталляции большинства компонентов в системах Unix или NT обычной (по умолчанию) конфигурации часто остается немало разного рода «дыр». Для устранения таких «дыр» в операционной системе может потребоваться удаление или деактивация кода либо установка «заплат».
Такие прикладные программы, как электронная почта и браузеры Web, похоже, подвергают систему риску. Хакеры часто используют для проникновения именно электронную почту, так как это практически прямой путь к ресурсам частной системы. Приложения на базе HTTP, такие, как сценарии CGI, тоже имеют «лазейки», через которые злоумышленник может добраться до ОС. Путь для вируса или «троянского коня» открыт по таким магистралям, как HTTP, FTP или SMTP. Злонамеренные Java-апплеты и элементы управления ActiveX тоже угрожают безопасности.
Одна из наиболее эффективных мер защиты - размещение брандмауэра, работающего своеобразным «привратником», устанавливая различные замки и запоры, открыть которые можно лишь с помощью ключа. И помните: попытки вторжения извне - это еще не все. Работающие внутри пользователи «с доверием» могут попытаться достичь системных ресурсов, на доступ к которым они не имеют полномочий. Администратор сети должен быть хорошо подкован в вопросах безопасности и ясно представлять себе все риски, сложности и способы защиты. Ему следует почаще обращаться к опыту квалифицированных консультантов по средствам защиты, ибо только эксперт по сетевой защите способен противостоять хакеру.
Ричард Рашинг - технический директор VAR-компании SecureIT, специализирующейся на корпоративной и Интернет-безопасности.