Разработка процедур обеспечения безопасности

Процедуры обеспечения безопасности реализуют политику безопасности. Эти про­цедуры определяют процессы конфигурирования, задание имен пользователей в сети (login), аудита и поддержки сети. Процедуры безопасности должны быть написаны для конечных пользователей, сетевых администраторов и администраторов по вопросам безопасности. Эти процедуры определять действия сотрудников в случае возникнове­ния проблем с безопасностью сети (что следует делать и кого проинформировать в случае обнаружения вторжения в сеть). Пользователи и администраторы могут быть ознакомлены с процедурами безопасности на проводимых инструкторами занятиях или изучены самостоятельно.

Механизмы обеспечения безопасности

В настоящем разделе описаны некоторые типичные элементы проектирования сети с учетом требований безопасности. В процессе проектирования сети из них можно выбрать требуемые решения общих проблем безопасности.

Аутентификация

В процессе аутентификации определяется кто запрашивает сетевые службы. Тер­мин аутентификация (authentication) обычно относится к аутентификации пользова­телей, однако может также относиться к процессам, выполняемым программным обеспечением. Например, некоторые протоколы маршрутизации поддерживают ау­тентификацию маршрутов, в процессе которой маршрутизатор, рассылающий об­новления маршрутизации, должен удовлетворять некоторым критериям, чтобы эти обновления были приняты другим маршрутизатором.

В большинстве случаев политика безопасности требует, чтобы пользователь ввел свой идентификатор ID (login ID) и пароль, по отношению к которым сервер безо­пасности выполняет аутентификацию. Для обеспечения максимального уровня безопасности могут использоваться одноразовые (динамические) пароли. При ис­пользовании системы одноразовых паролей пароль пользователя постоянно изменя­ется. Часто это осуществляется с помощью карты безопасности. Карта безопасности представляет собой физическое устройство примерно такого же размера как и кре­дитная карточка. Пользователь набирает на карточке личный идентификационный но­мер (Personal Identification Number— PIN). Номер PIN является первоначальным уровнем обеспечения безопасности, который дает пользователю разрешение исполь­зовать карту. Карта обеспечивает одноразовый пароль, предоставляющий доступ к корпоративной сети на ограниченное время. Пароль синхронизирован с централь­ным сервером карт безопасности, который находится в сети. Карты безопасности обычно используются телеработниками и мобильными пользователями (для доступа к сетям LAN карты безопасности обычно не используются).

Авторизация

Аутентификация контролирует, кто имеет право доступа к сетевым ресурсам, а ав­торизация (authorization) определяет, какие действия разрешены пользователю или процессу после получения доступа к сетевым ресурсам. Авторизация позволяет адми­нистратору в сфере безопасности управлять отдельными частями сети, такими как ка­талоги и файлы на серверах. Авторизация различна для разных пользователей и час­тично зависит от отдела, в котором работает пользователь и от его рабочих функций. Например, политика безопасности может определять, что получать данные о заработ­ной плате сотрудников, не находящихся в непосредственном подчинении, могут толь­ко сотрудники отдела кадров. Явное перечисление авторизованных действий каждого пользователя в отношении всех ресурсов довольно сложно, поэтому для упрощения этого процесса используются различные специальные методы. Например, сетевой ме­неджер может создать группы пользователей, имеющих одинаковые привилегии.