Les systèmes de bureau souvent ont la sécurité la plus relâchée parce que les différents employés administrent souvent leurs propres machines ou ont le privilège spécial et accèdent à leur système respectif. Il est souvent infaisable pour que le personnel de technologie de l'information administre tous les postes de travail de bureau, donc le développement d'une politique de sécurité qui régit leur création et utilisation est très important. La politique de sécurité d'emplacement et d'infrastructure pour les systèmes de bureau établit les normes employées pour créer elles, y compris les logiciels d'exploitation, des applications, et des utilités. Les contraintes de sécurité se composent généralement de l'information de configuration par laquelle les administrateurs peuvent replier le système de bureau à un niveau connu de sécurité. Les politiques présentent également les directives pour l'interaction de système de bureau avec les serveurs et le réseau.
Etant donné l'arrangement que les systèmes de bureau sont susceptibles d'être non contrôlés par IL personnel, les politiques efficaces d'infrastructure essayent de réduire au minimum la quantité de données, d'applications, et de toute autre information qui demeure sur le système de bureau. Ceci augmente la sécurité et la disponibilité d'information dans l'organisation. Beaucoup de compagnies centralisent le stockage des données et des applications d'utilisateur à un serveur ou à un ensemble simple de serveurs. En cas d'un échec d'un dessus de bureau, l'effort exigé pour le rendre fonctionnel encore est réduit au minimum—toute l'essentiel et les données importantes sont sur le serveur et ne deviennent pas perdues ou n'exigent pas l'heure et l'effort significatifs de reconstituer.
Les systèmes de serveur deviennent un point focal car ils ont la responsabilité sûrement de stocker et permettre d'accéder aux données partagées, à l'information privée d'utilisateur, aux applications, et aux services pour l'organisation.
Une politique de degré de sécurité de serveur devrait entourer les composants suivants :
|
|
· Service la configuration
· Permissions de données et contrôle d'accès partagés
· Permissions d'informations confidentielles d'utilisateur et contrôle d'accès
· Procédures de protection et de restauration
· Réponse d'incident
La configuration de service nécessite la méthode initiale employée pour fixer le serveur. La plupart des logiciels d'exploitation fournissent un vaste choix de services et de possibilités potentiels, pas qui sont nécessaires ou désirés par l'organisation. Chacun de ces services a ses propres ramifications de sécurité, qui devraient être considérées en le permettant ou en neutralisant. La décision pour permettre un service est souvent une issue de coût contre l'analyse de risque. Si le service fournit une fonction exigée qui a des risques inhérents de sécurité, les administrateurs devraient déterminer s'il y a les substituts appropriés pour le service. Si des produits de remplacement sont disponibles, le coût et l'effort exigés pour les mettre en application devraient être pesés contre les risques de sécurité et le coût de l'original. Il est important de documenter dans la politique de sécurité la base pour des décisions et identifier les risques connus de sécurité a accepté par l'organisation. En outre relié est l'entretien du logiciel et des logiciels d'exploitation fonctionnant sur les mesures de sécurité—de serveurs devraient être mis à jour fréquemment, car de nouvelles vulnérabilités sont découvertes. Des mises à jour devraient être appliquées et surveillées. Les personnes écrivant la politique de sécurité ne seront pas toujours employées probablement à l'organisation, donc connaître le fond d'une décision est important pour les futurs défenseurs de la politique de sécurité.
La politique de degré de sécurité du serveur du z de compagnie est comme suit :
· Des serveurs devraient être configurés pour soutenir seulement les services exigés et pour neutraliser le logiciel et les services inutiles afin de réduire au minimum des risques de sécurité.
· Des systèmes de serveur devraient être physiquement fixés, permettant seulement l'accès administratif.
· Les logiciels d'exploitation et le logiciel de serveur devraient être mis à jour quand de nouvelles vulnérabilités et pièces rapportées suivantes sont libérées.
· En cas des incidents tels que l'échec de matériel, le compromis de système, ou d'autres attaques, le serveur devrait être enlevé du réseau et gauche dans son état actuel afin de laisser les médecines légales efficaces fonctionnent.
· Un plan d'urgence devrait être créé et suivi pour récupérer des désastres.
Pour se concentrer sur des politiques de sécurité au lieu de la configuration de système, la politique de degré de sécurité de serveur de la compagnie Z exclut la plupart des détails techniques liés au lockdown bloqué des serveurs et des logiciels d'exploitation. Les normes de la configuration, de l'accès, et de l'entretien sont des composants importants qui devraient être incorporés à la politique. La réponse d'incident pour des serveurs est raisonnablement complexe ; afin d'éviter l'évidence potentielle préjudiciable après qu'une attaque soit découverte, le système devrait être laissé intact pour l'analyse des valeurs et les médecines légales fonctionnent.
Les données partagées sont souvent le but primaire d'un serveur, permettant à des employés d'accéder aux dossiers communs, à des applications, et à d'autres données. Les logiciels d'exploitation de serveur soutiennent généralement des méthodes multiples pour fournir l'accès à utilisateurs multiples aux données. En établissant la politique de sécurité d'infrastructure, les détails techniques entourant des données partagées devraient être clairement décrits.
La politique de sécurité d'emplacement et d'infrastructure pour la compagnie Z établit les critères suivants pour des données partagées sur des serveurs :
· Aucun partage de données ne devrait être initialisé par l'intermédiaire "chacun" du groupe sur des serveurs de Windows ou de l'accès lecture/écriture du "monde" sur des systèmes d'UNIX.
· L'accès par "chacun" le groupe et les permissions lecture/écriture du "monde" devraient être enlevés ou neutralisés des données partagées.
· L'accès global ou commun à tous les employés devrait être commandé par l'intermédiaire de l'adhésion dans le groupe particulièrement créé des "employés" sur les serveurs.
· Une fois nécessaires, de plus petits groupes de privilège devraient être créés et des données partagées être coordonnés avec ces groupes pour répondre aux exigences de contrôle d'accès pour un utilisateur.
La politique du z de compagnie souligne un niveau strict de sécurité pour des données partagées. Elle identifie et distingue les données sans réserve partagées et le besoin vrai de données partagées. Des données sont partagées seulement entre les employés, et la commande de sécurité est exercée pour s'assurer que seulement les individus autorisés ont accès à lui. Dans ce modèle, le contrôle d'accès est réalisé par l'intermédiaire de l'adhésion dans divers groupes d'utilisateur, et la permission est ajustée en conséquence.
L'information confidentielle d'utilisateur inclut les annuaires respectifs de l'"maison" d'un utilisateur ou les secteurs dans lesquels ses dossiers personnels sont stockés. Puisque ces dossiers sont également souvent gardés sur le serveur, il est important de décrire le niveau de la sécurité que l'utilisateur peut prévoir, aussi bien que la méthode par laquelle il est fourni.
La compagnie Z détaille cette politique de sécurité pour les répertoires locaux d'utilisateur et les secteurs de stockage privé :
· des répertoires locaux Serveur-basés d'utilisateur sont donnés pour le stockage des données privées et personnelles.
· Sur des serveurs de Windows, les permissions devraient être placées pour permettre à l'utilisateur respectif pleine lue et écrivent des permissions pour un annuaire, et pour permettre également le système au processus de secours d'accéder aux données en soutenant le système de stockage.
· Aucun autre utilisateur ne devrait avoir accès à n'importe quel répertoire local hormis leurs propres.
· Des utilisateurs sont encouragés à employer leurs annuaires serveur-basés pour le stockage de données afin de fournir la sécurité et faciliter le rétablissement simple des données en cas d'un incident.
Les employés stockent souvent l'information personnelle et sensible sur leurs systèmes car le travail et la vie personnelle ne peuvent pas être complètement isolés. Afin de fournir la sécurité de données et éviter la perte de données en cas d'un système de bureau, des utilisateurs à la compagnie Z sont encouragés à stocker leurs données sur les serveurs et sont fournis un degré élevé de protection contre les yeux de soulèvement.
Les procédures de protection et de restauration remplissent beaucoup de fonctions dans une organisation. Celles-ci incluent la protection des données en cas d'un incident catastrophique, la restauration des dossiers accidentellement enlevés, et la fourniture de fiabilité générale d'infrastructure. Des données de secours sont souvent employées dans les médecines légales des incidents de sécurité pour évaluer la fiabilité des données—de données changées par un attaquant peuvent souvent être détectées par une comparaison entre elles et la version qui est sur les médias de secours. Le stockage physique des médias sur lesquels les protections sont faites est également important pour la sécurité. Beaucoup d'organismes emploient des organismes spéciaux de stockage d'offsite pour s'assurer que les protections sont solidement stockées.
Les considérations de la sécurité du z de compagnie pour des protections de système incluent
· Toutes les protections doivent être stockées dans une zone de stockage verrouillée avant le stockage d'offsite.
· Des protections hebdomadaires sont entrées dans le stockage d'offsite par l'intermédiaire d'un représentant de compagnie de stockage à un temps programmé de collecte.
· Les protections se composent d'une pleine protection de système, par système, par semaine avec les protections de nuit par accroissement de toutes les données modifiées.
· L'utilisation des applications de protection et de restauration devrait être limitée aux administrateurs autorisés seulement.
· En cas d'un désastre, de l'échec de matériel, ou de tout autre événement qui a comme conséquence la perte de données, l'employé devrait l'informer personnel.
· L'information sera reconstituée des dernières pleines archives avec les changements par accroissement posés plus de, jusqu'à la période de l'événement.
Les protections fournissent un niveau de fiabilité et de sécurité à l'information stockée et utilisée dans l'organisation. La politique de sécurité indique la méthode pour des protections, le rétablissement pendant les incidents, et les privilèges exigés pour accéder à l'information. La sécurité physique des données de secours est également soulignée afin de créer une politique complète qui protège efficacement l'organisation.
La réponse d'incident prend plusieurs significations, mais peut être récapitulée comme meilleure ligne de conduite en cas des circonstances anormales. Pour les buts de cette discussion, les circonstances actuelles ne sont pas aussi importantes que la réaction pour eux. Les politiques de sécurité fournissent les avantages principaux dans le secteur de la réponse d'incident en identifiant et en organisant l'information essentielle à une réaction sûre. Les politiques de sécurité devraient inclure les méthodes suggérées pour réagir aux incidents et à l'information convenable de contact. Le but primaire des directives d'incident-réponse est d'éviter les réponses de réflexe patellaire et avec émotion motivées qui se produisent souvent rapidement et sans analyse soigneuse. En ayant une approche étape-par-étape à manipuler des incidents déjà à disposition—comprenant les étapes appropriées pour identifier, commander, et des issues de résolution que—ceux impliqués peut réagir sans risque
Online: 648 users browsing the articles directory
|
|