private policy

Сетевая безопасность

1. Головной файрвол. Обязателен антивирусный контроль трафика на файрволе (АВП с еженедельным обновлением через Интернет). Файрвол администрируется локально или удаленно (с обязаельным использованием средств шифрования трафика и только из внутренней сети с виртуального фиксированного НАТ адреса администратора).

Из операционной системы на файрволе удаляются все не нужные сервисы и протоколы, ставятся и регулярно обновляются необходимые патчи, создается максимально безопасная конфигурация ОС. Пользователь имеется только один - администратор.

Фильтрация на головном файрволе.

ДОСТУП из Интернет в корпоративную сеть:

· во внутреннюю приватную сеть доступ извне запрещен

· к файрволу извне доступ запрещен

· В ДМЗ (демилитаризованная зона) доступ разрешен ТОЛЬКО к следующим портам на объектах (в остальных случаях доступ запрещен):

o § Веб-сервер.

1. анонимный доступ всем разрешен только к 80 порту.

2. разрешен авторизованный FTP-доступ на 21 порт и 20 порт (возможно с предварительной идентификацией / аутенитификацией на файрволе) администратору веб-сервера только из сегмента административного управления (с приватного ИП-адреса администратора).

3. из приватной сети, только из сегмента административного управления (с ИП-адреса администратора) возможен удаленный терминальный доступ по протоколу rsh на веб-сервер

o § Мейл - сервер (SMTP and POP3)

1. разрешен доступ только из приватной корпоративной сети к сервису POP3 - 110 порт, исключая учебную подсеть

2. разрешен доступ к SMTP сервису - 25 порт только из приватной сети, исключая учебную подсеть

Доступ из корпоративной сети в Интернет разрешен без ограничений

2. Свитч - Доступ из учебной сети во всю рабочую сеть (три сегмента) запрещен (но доступ из учебного сегмента в Интернет разрешен)

Доступ из сети персонала в сети менеджеров и административного управления запрещен

Свитч выбирается такой, чтобы можно было задавать политику безопасности и запрещать доступ из одного сегмента в другой. Также свитч должен быть по возможности устойчив к ARP-атаке, чтобы такая атака, переполнив ARP-таблицу свитча, не перевела его в режим хаба

3. Электронная почта. Необходимо обеспечить возможность безопасной отправки - приема почты через корпоративный сервер через Интернет.

1. Универсальное решение - это ssl- редиректор. Клиент посылает запрос на 110 или 25 порт сервера; попытка установления соединения обнаруживается клиентским редиректором, пропускается через (например) socks с ssl и отправляется на сервер (какой-нибудь другой порт). Там это получает аналогичный редиректор, расшифровывает и перебрасывает на 110 порт.

Плюсы решения: стандартные клиент и сервер, не надо писать свои.

Минусы решения: клиенту все же надо иметь с собой спец. софт, но это терпимо, если он компактный и не требует настройки.

4. Система обнаружения атак .(IDS-Intrusion Detection System)

Можно использовать ISS Real Secure или любую иную программу данного типа (в том случае, если применяется файрвол Check Point, имеющий возможность сопряжения с ISS Real Secure (RS), которая обладает возможностью автоматической реконфигурации данного файрвола в случае обнаружения атаки) или бесплатная юникс программа snort. Располагается на выделенных компьютерах, контролируя входной трафик из Интернет на файрвол и трафик внутри сегментов корпоративной сети. Консоль управления RS находится в сегменте административного управления (или RS администрируется локально).

5. Контроль содержания трафика. Для контроля содержимого трафика устанавливается система анализа и контроля трафика типа MIMEsweeper (Baltimore)

6. Протоколирование и регулярный мониторинг доступа.

· На межсетевом экране заводится лог-файл, куда записываются все обращения (попытки создания соединений) в корпоративную сеть и из корпоративной сети. Лог файл должен храниться локально и удаленно

· Система обнаружения атак сохраняет информацию об атаках и подозрительной активности в лог-файл. Лог файл должен храниться локально и удаленно

· Веб-сервер сохраняет информацию о его посещении в лог-файл. Лог файл должен храниться локально и удаленно

· Сервер анализа контента сохраняет информацию о нарушениях в лог-файл. Лог файл должен храниться локально и удаленно

Локальная безопасность (безопасность рабочих станций и серверов)
1. Антивирусный контроль. Обязательный антивирусный контроль на рабочих станциях. Обязателен автоматический запуск антивирусного монитора и обязательно его автоматическое обновление через Интернет каждую неделю

2. Защита от НСД. Необходимо поставить аппаратную систему защиты от НСД, которая должна контролировать и разграничивать доступ к каждой рабочей станции и серверу на аппаратном уровне (при загрузке). Система должна быть:

· ОС-независима и выполнена в виде платы к ЭВМ.

· при загрузке идентификация пользователя должна производиться при помощи смарт карты или электронной «таблетки» и при помощи пароля.

· блокировать доступ в сетап всех рабочих станций и серверов всем пользователям кроме администратора.

· блокировать компьютер, если пользователь покинул свое место (либо по нажатию клавиш, либо по таймауту)

3. Криптографическая защита данных

Сотрудники компании должны сохранять информацию начиная с уровня «Строго Конфиденциально» (см. положение о уровнях секретности информации) на PGP крипто диске (или на крипто диске иной разработки), разрешенном менеджментом компании.

4. Защита персональным файрволом

Все рабочие станции и мобильные компьютеры должны быть защищены персональным файрволом.

5. Резервирование данных.

Обязательным является резервирование пользователями важных данных на персональных компьютерах на внутреннем сервере данных компании.

Обязательно наличие бэкап-диска для сервера данных. Бэкап делается либо каждую недел

ю, либо после серьезных изменений в системе. Необходимо сохранять три цикла генерации бэкапа.

6. Протоколирование доступа

· При локальном доступе пользователя к рабочей станции ведется лог-файл его посещений (протоколируются все удачные и неудачные попытки входа в систему)

· При локальном доступе администратора к серверам ведется лог-файл его посещений (протоколируются все удачные и неудачные попытки входа в систему)

Физическая безопасность
1. Файрвол, веб-сервер, сервера IDS и контроля за трафиком и все сервера данных должны находится в отдельном помещении, доступ в которое разрешен только администраторам, у которых есть ключ или магнитная карта к этой комнате (комната обычно закрыта). Необходимо введение отдельной должности администратора безопасности, и все изменения в системах они будут делать только вдвоем: одна часть пароля администратора имеется у ИТ - администратора, вторая - у администратора безопасности.

2. Помещение должно быть оборудовано принудительной вентиляцией и пожарной защитой (полуавтоматической или автоматической) и, возможно, видео наблюдением за действиями администраторов.

3. Вход в офис компании должен осуществляться только по магнитным картам