- •Министерство Образования и Науки Украины
- •Вступление
- •Список используемых терминов и обозначений
- •Информация и информационные отношения. Субъекты информационных отношений, их безопасность
- •Определение требований к защищенности информации
- •Комплексные меры по защите информации Принцип «слабейшего звена»
- •Экономическая целесообразность защиты
- •Категоризация информации
- •Комплекс мер защиты
- •Часть іі. Практика Объект
- •Физическая защита
- •Организационная защита
- •Реализация политики безопасности
- •2. Реализация
- •3.3. Доступ к Интернету
- •3.3.1 Разрешенные службы
- •Программная защита
- •Безопасная настройка FreeBsd
- •1. Инсталяция:
- •2. Настройка
- •3. Пользователи.
- •4. Сообщение дня
- •6. Rc.Conf
- •8. Sysctl.Conf
- •9. Fstab
- •10. CvSup
- •11. Cron Jobs
- •12. Kernel Changes (изменения в ядре)
- •13. Права доступа к файлам.
- •14. Сетевой Протокол Времени (Network Time Protocol).
- •15. Tcp Wrappers
- •16. Console Access (доступ к консоли).
- •17. Bash Shell
- •18. Chflags
- •19. Зачистка.
- •Атрибуты файла и файловой системы
- •Способы защиты от флуда и dDoSатак. Черные дыры.
- •Защита очереди сокета от syn атак.
- •Редиректы (Перенаправления)
- •Настройка стека ip в системах unix на оптимальную производительность:
- •Другие средства защиты
- •Во FreeBsd существует еще множество средств защиты. Я не в силах рассмотреть их все, так что на этом придется закончить.
- •Надо только добавить, что необходимо также настроить аппаратные фареволы, которые стоят на точках выхода в Интернет и корпоративную сеть.
- •Литература:
3.3. Доступ к Интернету
Это - специальный случай в политике Корпорации, требующий отдельного описания и рекомендаций. При подключении Корпорации к Интернету она получает значительные выгоды при ведении своей деятельности, но также подвергается при этом большом риску. Корпорация придерживается политики быть членом Интернета, и поэтому эта часть описывает, как уменьшить риск, связанный с Интернетом.
3.3.1 Разрешенные службы
Корпорация поддерживает и поощряет свободный обмен электронной почтой между своими служащими и их корреспондентами в Интернете. Эта поддержка ограничивается такими формами обмена данными, которые не противоречат требованиям части 3.2.2. В некоторых случаях при импорте закодированных графических или аудио-файлов имеется прямая выгода для Корпорации, но в большинстве случаев такая практика запрещена.
Корпорация поддерживает свободный обмен статьями конференций новостей с другими узлами Интернета. Реальная транспортировка этих статей в и из Корпорации должна быть ограничена небольшим числом доверенных соседей-серверов новостей, другой обмен статьями конференций запрещен. Ни при каких условиях узлы Интернета не имеют права читать новости из Корпорации. Служащие должны быть проинформированы о порядке составления и передачи статей в конференции Интернета перед тем, как им будет позволено читать или посылать статьи в конференции. Корпорация будет поддерживать группы новостей, которые необязательно имеют прямую деловую направленность в интересах повышения производительности работы сотрудников, но она оставляет за собой право ограничить или удалить трафик новостей, который будет представляться ей бесполезной тратой сетевых ресурсов.
Корпорация поддерживает Службу Доменных Имен Интернет. Ни при каких обстоятельствах Корпорация не будет разрешать зональные передачи списков имен узлов Корпорации, кроме случаев, когда доверенный вторичный сервер имен запрашивает зональную передачу; сервера имен Корпорации всегда будут отвечать на UDP-запросы имен.
Администраторы безопасности отвечают за принятие решения в отношении допустимости обмена узлов Корпорации сообщениями по протоколу ICMP с другими узлами Интернета. Кроме того, они отвечают за принятие решения в отношении допустимости команды traceroute на основе протокола UDP в сетях Корпорации и границ допустимости применения этой команды.
Корпорация не имеет намерения разрешать выходящие из сети Корпорации соединения по протоколу TCP с узлами где-либо в Интернете. Администраторы безопасности отвечают за принятие решения о том, какие известные службы протокола TCP полезны для деятельности Корпорации и оценить оценку риска Корпорации, представляемого выбранными службами. Администраторы безопасности отвечают за поддержание целостности периметра между интернетами Корпорации и Интернетом. Они должны использовать все доступные средства для предотвращения несанкционированного доступа в интернеты Корпорации и всеми силами отражать любую форму атаки на периметр обороны.
Подразделения внутри Корпорации могут принять решение сделать некоторую информацию доступной для публичного доступа. Это должно делаться путем создания сервера для WWW и/или анонимного FTP. Администраторы сетевой безопасности должны обеспечить помощь в этом, согласованную с их другими обязанностями по установке таких информационных серверов. Если администраторы безопасности решат поместить сервер за периметром обороны, они должны проконсультироваться с ответственной организацией в отношении процедур, которым надо будет следовать в том случае, если сервер окажется разрушен преступниками за пределами Корпорации. Если сервер нужно установить в одном из интернетов в низкими привилегиями, администраторы безопасности отвечают за гарантию того, что пользователи таких служб не смогут обойти защиту в этих приложениях и получить доступ к информационным ценностям Корпорации.