Рассылка закрыта
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Безопасность в Интернет
| Безопасность в Интернет #27 | ноябрь 2000 |
Друзья!
Вести рассылку без обратной связи очень сложно, особенно по такой теме. Судить о популярности рассылки и актуальности материалов только по статистике количества подписчиков -- не всегда объективно. А заставить вас быть активнее я не могу.
Поэтому, когда мне каждый день стало приходить по 10-15 писем, я увлекся. И стал реже помещать актуальные, информативные статьи, больше внимания уделяя вашим письмам.
В ближайшее время я постараюсь восстановить баланс между полезными материалами и откликами, приходящими от вас. А для того, чтобы этот баланс стал действительно "оптимальным", хотел бы услышать ваше мнение о том, какую часть стоит отдавать статьям, а какую -- вашим письмам. Также интересно было бы узнать ваше мнение о периодичности рассылки.
Очень много отзывов пришло на статью В.Момитько. Ниже я предлагаю вашему вниманию наиболее спокойное и объективное письмо:
"Уважаемый А.Б.
На днях вы опубликовали статью Владимира Момитько <Компьютерная безопасность>, я так думаю что ваша рассылка предназначена для отображения реальной информации о системах Безопасности и Криптографии, а данная статья -- это все-таки пугалка для людей, которые не знакомы с системами безопасности.
Я не считаю себя истиной в последней инстанции, но, тем не менее, приведу небольшую рецензию этой статьи, даже не рецензию, а так, мысли в слух, т.к. я думаю что эту рассылку читают не только специалисты, которые ограничатся улыбкой, но также и не особо подкованные пользователи, которые могут принять всерьез ее содержание.
Итак, во-первых, давайте забудем о сотрудниках ФСБ, СНБ, КГБ, FBI, CIA и т.п. по одной простой причине -- данная категория <злодеев> в случае, если захочет получить данные находящиеся у вас на компьютере, не будет пользоваться способами описанными в научно фантастической литературе, а получит их простым и не затейливым (варварским) способом -- забрав ваш компьютер, вместе с вами к себе в подвалы, где вы сами, добровольно и с песней объясните им какие у вас пароли, ключи и где именно искать интересующие их данные.
Ради кого тогда нужны системы компьютерной безопасности?
Существует две основных категории лиц, против которых устанавливается СБ. Первые -- это конкуренты, а вторые -- компьютерные хулиганы. Первое что надо сделать, решив навесить на свой компьютер систему безопасности -- это решить, против какой из этих категорий она должна быть направлена, т.е. против хулиганов конечно защититься не помешает в любом случае, а вот система безопасности против конкурентов -- нужна ли она Вам ? Устанавливать серьезные системы безопасности, которые рассчитаны на злонамеренное, профессиональное проникновение в вашу систему с целью разрушить или украсть ваши данные, требуют от вас достаточно много как материальных, так моральных затрат. Существует такая формула -- уровень безопасности системы обратно пропорционален её защищенности, т.е. чем надежнее ваша система с точки зрения безопасности, тем менее удобно ей пользоваться.
Если вы решили, что ваши данные стоят <усиленной> защиты, а вы слабо представляете себе что такое <Системы Компьютерной Безопасности>, то первым делом наймите профессионалов, которые обследует вашу систему, дадут рекомендации и внедрят под ключ функционирующую СБ ( ведь данные для вас имеют большую ценность, а сэкономить -- значит оставить лазейку для <врага>) .
Если же вы считаете, что ваши данные конечно ценны, но тем не менее нанимать команду не видите смысла (например если стоимость ваших данных меньше чем конкурент заплатит за профессиональный <взлом>), но хотите сделать вашу систему элементарно защищенной, то вот несколько тезисов и их разъяснений.
1) Не существует действительно надежных систем безопасности если <злодей> имеет физический доступ к вашему оборудованию.
2) Защищать один компьютер много проще чем все.
3) Не возможно защитить систему, если пользователи не выполняют элементарные правила безопасности.
4) Чрезмерная защита приводит к снижению производительности, неудобная СБ приводит к тому, что пользователи не выполняют правил безопасности
5) Безопасность за которую никто не отвечает через некоторое время превращается в громкое слово.
6) Любые изменения системы могут оказать влияние на безопасность
7) Начальник -- это не Администратор (root ) и Административные привилегии ему не нужны.
8) Левый софт -- источник проблем !
9) Прогресс не стоит на месте.
Ну вот пожалуй и все основные утверждения. Осталось рассказать что я этим хотел сказать...
1) Ограничьте доступ к оборудованию, на котором хранится Конфиденциальная информация!
2) Если у вас в офисе существует компьютерная сеть, то желательно выделить отдельную машину под сервер и хранить всю конфиденциальную информацию именно там. (Помимо безопасности это может помочь увеличить так же и сохранность информации от непредвиденных обстоятельств)
3) Если система безопасности требует ввода пароля, то нужно требовать от пользователя, чтобы этот пароль во-первых был, а во-вторых был хоть чуть-чуть сложнее имени пользователя или, скажем, его жены.
4) Если пользователю для написания конфиденциального сообщения требуется 3 перезагрузки компьютера, то он потратит вместо, скажем, 15 минут (время на написание), те же 15 минут плюс 30 - 45 минут на перезагрузки. Это в случае использования СБ предложенной Владимиром (иметь два HDD -- один для нормальной работы, а второй для написания конфиденциальной информации). А так как данный способ защиты является помимо всего прочего крайне неудобным, то пользователь на эту систему вероятнее всего очень скоро плюнет.
5) В любом обществе должен быть <козел отпущения>, это правило не обошло и компьютерный мир. У вас должен быть человек, который является ответственным за компьютерную безопасность, он должен знать как работает СБ, сильные и слабые ее стороны. Это защитит вас от того, что в какой-то момент вы окажетесь абсолютно не <защищенными>.
6) Если вы решили что-то поменять или добавить в вашу компьютерную систему, выясните как это отразится на СБ.
7) Я конечно понимаю, что иметь абсолютные права над Сервером -- это звучит гордо и спасает от неудобных сообщений, что мол вы не имеете прав на то или иное действие, но лучше быть скромным и решать эти мелкие проблемы по мере их возникновения с Администратором, чем ненароком (по незнанию) развалить отлаженную систему.
8) Ну с этим я думаю все понятно. Любое программное обеспечение должно быть проверенно на вирусы (надпись на CD <проверено вирусов нет> таковой проверкой не считается. Покупая Лицензионный софт вы на 99% можете быть уверены, что он будет работать как положено, а если у вас возникают проблемы, существуют службы поддержки клиентов.
9) Ну и последнее: следите за прогрессом! Появляются как новые СБ, так и новые системы взлома и когда-нибудь ваша современная система безопастности станет открытой дверью для <злых дядь>.
P.S. Если вы считаете, что данная статья, рецензия, мысля, является интересной, мой русский -- таким, что его даже можно читать, и у вас есть вопросы, пишите и я продолжу свой монолог.
Искренне Ваш Michael Zelenin"
Со следующего номера я начну знакомить вас с аналитической статьей специалистов компании Элвис+ -- системного интегратора, одним из основных направлений деятельности которого является информационная безопасность. В статье рассматриваются общие вопросы защиты информации, методы и конкретные способы построения систем защиты.
И по-прежнему жду ваших писем!
Искренне ваш, А.Бочаров
| Ваши отклики - andboc@mail.ru |
 |
 |
|
http://subscribe.ru/
E-mail: ask@subscribe.ru |
| В избранное | ||
