Реферат: Администрирование локальных сетей

Высокий риск

Пользователь

Пользователям запрещено загружать, устанавливать или запускать программы веб-серверов.

Должен производиться контроль сетевого трафика для выявления неавторизованных веб-серверов. Операторы этих серверов будут подвергаться дисциплинарным наказаниям.

Менеджер

Руководство организации должно дать в письменном виде разрешение на работу веб-сервера, подключенного к Интернету.

Все содержимое веб-серверов компании, присоединенных к Интернету, должно быть утверждено и установлено веб-мастером.

Конфиденциальная информация не должна быть доступна с помощью веб-сайта.

К информации, размещенной на веб-сервере, применимы все законы о защите информации. Поэтому, перед размещением информации в Интернете, она должна быть просмотрена и утверждена так же, как утверждаются бумажные официальные документы организации. Должны быть защищены авторские права, и получено разрешение о публикации информации на веб-сайте.

Все публично доступные веб-сайты должны регулярно тестироваться на предмет корректности ссылок, и не должны находиться в состоянии "under construction". При реконструкции областей они должны делаться недоступными.

Сотрудник отдела автоматизации

Не должно иметься средств удаленного управления веб-сервером (то есть с мест, отличных от консоли). Все действия администратора должны делаться только с консоли. Вход в систему с удаленного терминала с правами суперпользователя должен быть запрещен.

Программы веб-серверов и операционной системы, под управлением которой работает веб-сервер, должны содержать все исправления, рекомендованные производителем для этой версии.

Входящий трафик HTTP должен сканироваться, и о случаях появления неавторизованных веб-серверов должно докладываться

Ограничение доступа к информации пользователями, адрес которых заканчивается на .GOV или .COM, обеспечивает минимальную защиту для информации, не разрешенной для показа всем. Может использоваться отдельный сервер или отдельная часть для информации с ограниченным доступом.

За всеми веб-сайтами должен осуществляться контроль как составная часть администрирования сети. Действия всех пользователей, заподозренных в некорректном использовании Интернете, могут быть запротоколированы для обоснования применения к ним в дальнейшем административных санкций.

На UNIX-системах веб-сервера не должны запускаться с правами суперпользователя.

Разработка и использование CGI-скриптов должно контролироваться. CGI-скрипты не должны обрабатывать входные данные без их проверки . Любые внешние программы, запускаемые с параметрами в командной строке, не должны содержать метасимволов. Разработчики отвечают за использование правильных регулярных выражений для сканирования метасимволов командного процессора и их удаление перед передачей входных данных программа на сервере и операционной системе.

Все WWW-сервера организации, подключенные к Интернету, должны находиться между брандмауэром и внутренней сетью организации. Любые внутренние WWW-сервера организации, обеспечивающие работу критических приложений организации должны быть защищены внутренними брандмауэрами. Критическая, конфиденциальная и персональная информация никогда не должны храниться на внешнем WWW-сервере.

Обеспечение безопасности .

• брандмауэр

• фильтрация пакетов и разделение сетей

Создание резервных копий. Технологии: Backup, mirroring.

            Необходимость создания резервных копий становится очевидной после первого слета системы, как, например, когда вы теряете практически все данные и на их восстановление уходит несколько суток, стоит задуматься об избежании таких ситуаций.

            Две основные технологии резервного копирования – простой бэкап и мирроринг. Простой бекап – это когда вы копируете всю существенную информацию сайта на какой-либо носитель, винчестер, стример, магнитооптику, PCMCI-диски и т.п. При этом рекомендуется делать так же копию всех установленных позже программ и бинарных файлов. Если позволяют размеры носителя – оптимально сделать полный бекап всей системы, в таком случае при слете сервера время восстановления определяется скоростью чтения из устройства.

            Мирроринг. Технология может быть реализована двумя методами. Первый – резервный винчестер, который может быть реализован в одном корпусе на основе технологии SCSI настройкой адаптера или с использованием технологий RAID. Второй – создание резервного сервера-зеркала, для которого информация синхронизирована с основным. Это достаточно дорогой способ, так как требует дополнительных расходов.

17.       Система безопасности HP-UX 18.       Политика и планирование системы безопасности

Не имеется несколько методов для разработки политики  защиты. Вот более  общий подход.

·     Идентифицировать то, что Вы должны защитить. Это может быть активы типа даные пользователей, доступ до аппаратных средств, данные, документация и т.д.

·      Идентифицировать потенциальные угрозы вашим ресурсам.. Они включают угрозы от природных явлений  (наводнения, землетрясения), невежество и недостаток обучения пользователей и намеренных нарушений защиты.

·     Оценить вероятность этих угроз, повреждающих ваши ресурсы.

·     Прокласифицировать риски уровнем серьезности, и определить  стоимость для сокращения того риска (это также известно как оценка риска).

·     Осуществляют меры, которые защитят ресурсы.

Общие действия защиты включают следующее:

·     Ограничить вход в систему доступ к программному обеспечению.

 

·     Пользователи должны выходить или используют команду блокировки при не использовании их терминалов.

·     Сохранить резервные ленты (диски) в отдаленных местах

·     Стереть устаревшие данные.

Подержка системы защиты включает:

·     (identification) Идентификация пользователей. Все пользователи должны иметь уникальный идентефикатор(ID) входа в систему, состоящим из названия и пароля.

·     (authentication) Установление подлинности пользователей. Когда пользователь войдет, система подтверждает подлинность его пароля,  проверяя существование в файле пароля.

·     (authorization) Разрешение пользователей. На системном уровне, HP-UX обеспечивает два вида компьютерного использования – обычный  и суперпользователь. Индивидуальным пользователям  можно предоставлять или ограниченный доступ к системным файлам через традиционные разрешения файла, списки контроля доступа, и запретить SAM

·     (audit) Ревизия gользователей. HP-UX дает возможность ревизовать компьютерное использование пользователями и события.

Установка Trusted Системы

HP-UX предлагает дополнительный инструментарий для безопасности системы.

Для конвертации в trusted систему можно использовать SAM в разделе Auditing and Security. Также можна сделать это вручною редактируя скрипт  /etc/rc.config.d/auditing.

После «конвертации» стелаються следующие действия

a.    Создает новый, защищенная база данных пароля в  /tcb/files/auth/.

b.    Зашифровка паролей с /etc/passwd файла до защищенной базы данных пароля и заменяют поле пароля в /etc/passwd со звездочкой (*). Вы должны копировать /etc/passwd файл, чтобы записать на ленту перед преобразованием.

c.     Вынуждает всех пользователей использовать пароли

d.    Создает audit ID для каждого пользователя.я.

e.     Устанавливает audit флажок на для всех существующих пользователей

f.     Конвертирует at,batch и crontab файлы, чтобы использовать установлные audit ID

Для аудитинга используют следующие команды:

audsys(1M)          установка/отмена фудитинга и показывает ревезионные файли

audusr(1M)           выбор ползователя для аудита

audevent(1M)      просмотр и изменения событий и системеных вызовов

audomon(1M)     устанавливает аудит файл и размер для мониторинга

audisp(1M)           показывает аудит установки (записи)

Также все это можно сделать визуально в SAM  разделе Auditing and Security

Управление паролями и системным доступом

Пароль - наиболее важный индивидуальный код (символы) идентификации пользователя. Этим, система подтверждает подлинность пользователя, чтобы позволить доступ к системе. Администратор и обычный пользователь в системе долженй совместно использовать ответственность за защиту пароля. Администратор исполняет следующие задачи защиты:

·     Генерирует ID и для системы новым пользователям. Чтобы поддерживать секретность пароля, SAM генерирует Номер Разрешения для каждого нового пользователя. Этот номер должен использоваться для первого входа в систему. Как только этот номер был проверен, новому пользователю будет дано установить свой новый пароль

·     устанавливает надлежащий доступ на /etc/passwd и зашифрованом  пароле, в /tcb/files/auth/user_initial/user_name файлы.

·      Устанавливает старение пароляоля.

·     Удаление(стирание) паролей у каких вышел срок действия

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51