2. Hírek
  3. Biztonság

Gyakorlati tanácsok az informatikai biztonsághoz

A Computerworld oldalán folyamatosan jelennek meg különböző kutatási eredmények összefoglalói, amelyek között az informatikai biztonsággal kapcsolatos dokumentumokat akár 195 amerikai dollárért meg is kaphatja az érdeklődő. A kutatók állítása szerint sokéves szakmai tapasztalat van pontokba gyűjtve összefoglalva munkáikban, amelyek közül ízelítőként néhányat közszemlére is tettek. Lássuk ezeket!

  • Alacsonyabb hozzáférési jogosultsági szinteket is meg kell határozni: logikusnak tűnik, hogy nem kell mindenkinek mindenhez hozzáférnie (pl. a titkárnőnek nem kell a tűzfal logjában nézelődnie).
  • Változtassák meg a jelszavakat, amikor a régi rendszergazdának felmondanak: logikus és betartandó követelmény. Aki nem teszi meg, az magára vessen!
  • Évente egyszer, legalább két teljes (egymást követő) hét szabadság kivételére kell kötelezni a rendszergazdát – jó szokássá vált, hogy a kényszerpihenő ideje alatt ellenőrizni tudják a rendszergazda adatait, tevékenységeit, vajon csinált-e a cég számára káros dolgot.
  • A biztonsági szolgálatot ellátó céggel szemben legyenek szigorú követelmények (pl. válaszidő adott problémánál ne haladja meg a 15 percet): bizonyos problémáknál valóban lehet és kell is a gyors reagálás, tipikusan napjaink vírusháborúja megköveteli a gyors és helyes segítséget akár 15 percen belül is.
  • A biztonsági szolgálatot ellátó céggel kötött szerződésben legyenek pontos feltételek, amelyek nem teljesítése esetén fel lehet bontani a megállapodást: az erőforrások kihelyezése (outsourcing) adatvédelmi és egyéb szempontok miatt is aggályos, hát még akkor, ha ezen cégek nem végzik megfelelően a feladatukat.
  • Az elégedetlenkedések megelőzése: ismeretes, hogy a támadások 40%-a (más felmérések még ennél is többet regisztráltak) belső emberektől indul ki, ezért szigorúan kell szabályozni az alkalmazottak mozgásterét, hozzáférési jogosultágait, illetve a megszerzett bizalmas információk feletti rendelkezést, de ennél is egyszerűbb, ha inkább meghallgatják az alkalmazottak panaszait, amelyek vonatkozhatnak a fizetésre is, de akár olyan egyszerű dolgokra is, mint pl. a másik levelezőprogram jobban tetszett, mert abban szebbek voltak a gombok.
  • A belépési kártyák (ajtó, épület) ellenőrzése és az it-rendszerbe való bejelentkezés legyen központilag felügyelhető: tiszta sor, pl. este, ha valaki bemegy az épületbe és a számítógépeket is használja, akkor nyomon lehessen követni minden mozdulatát.
  • Két ember végezzen minden bizalmas adatokkal kapcsolatos műveletet: ez szintén arra utal, hogy ne egy személy kezében összpontosuljon minden egy adott műveletnél, mert úgy könnyebben jöhetnek bűnös gondolatok, ellenben egy cinkostárs beszervezése már elég nagy hátráltató tényező lehetne egy esetleges károkozásnál.
  • Állományok átvitelének tiltása azonnali üzenetküldésnél (instant messaging): rendszergazdák nem szívlelik ezen programokat (pl. MSN Messenger), pedig sokan használják. Természetesen észnél kell lenni, figyelni és telepíteni kell a frissítéseket (gondoljunk csak a mostani, 2004 márciusi hibára, amely az MSN Messenger 6.0 és későbbi verzióit érinti), illetve a megfelelő óvintézkedéseket is meg kell tenni (pl. a Beállítások -> Üzenetek ablakban meg kell jelölni a Fájlátvitel sorban a vírusellenőrző alkalmazást, amely akár on-access, akár on-demand keresés révén szűrni tud).
  • Külső, megbízható, képzett felügyelőket kell alkalmazni számítógépes bűntények esetén: nyilvánvalóan egy mindenféle jogosultsággal rendelkező rendszergazda könnyedén félre tudná vinni a nyomozást, ha érdekében állna a bizonyítékok megmásítása, az árulkodó nyomok eltakarítása.
  • Évente részt kell venni a Def Con hackerkonferencián: a lényeg az, hogy képben legyenek a biztonsági szakértők, ezért figyelni kell a híreket, képzéseken kell részt venni, önképzéseket kell tartani.

A hasznos tanácsok között lehet találni néhány olyat, aminek a címzettje a Chief Security Officer (CSO).

  • alkalmazottak képzése (pl. ne ragasszák fel a képernyő szélére a jelszavukat)
  • szabályzatok meghatározása a távoli hozzáféréshez kapcsolódóan (pl. laptop, PDA)
  • hitelesítéshez intelligens kártya (birtok) vagy biometria használata a jelszó (tudás) mellett
  • fizikai és hálózati hozzáférés szabályozása a bizalmas, tárolt adatokhoz
  • a webserver elleni támadásokra (pl. deface) való felkészülés
  • a forgalom figyelése a DoS (Denial of Service) támadások elkerülése végett
  • a számítógépes rendszerhez kapcsolódó frissítések figyelése és telepítése
  • az elbocsátott alkalmazottak utáni tisztogatás a rendszerben (pl. user account megszüntetése)
  • tartalomszabályozás (pl. néhány cég túl sok bizalmas információt tesz fel honlapjára)
  • a beszállítók, ügyfelek és szolgáltatók figyelése (betartják-e a biztonságos működésre vonatkozó feltételeket)

Az ízelítőként kapott tanácsok hasznosak, azonban megfontolandó, hogy érdemes-e kiadni a teljes anyagért ennyi pénzt, hiszen sokan, sok helyen tettek már közzé ingyenesen is hasonló gyűjteményt.

Szabó Áron (BME IK ITSec – IHM-együttműködés)

 

Azóta történt

Előzmények