Общая проверка безопасности при проведении внутренних аудитов

27-02-2024

В большинстве организаций под словосочетанием «внутренний аудит безопасности» в первую очередь подразумевают, если не физическую проверку офиса на предмет жучков и попыток проникновения людьми из органов, то, как минимум, приход серьезного вида «айтишника» в костюме от одной из крупных консалтинговых контор. Многие сисадмины, без сомнения, впадают в тихий ужас и рвут на себе волосы в ожидании того, что консультант найдет серьезные прорехи в мерах защиты или хотя бы небезопасные послабления, сделанные для удобства пользователей.

Необходимость обеспечения внутренней безопасности сети чаще всего недооценивается администраторами. Даже если какие-то опции, связанные с безопасностью, изначально были запланированы и установлены, то позже по просьбе пользователей они убираются для упрощения процесса «общения» с компьютером и сетью. Нередки случаи, когда средства обеспечения внутренней безопасности вообще отсутствуют и пользователь открывает вместо какого-то конкретного фолдера доступ ко всему диску, устанавливая разрешения на чтение/запись, минуя списки контроля доступа, доверительные отношения и настройки безопасности по установке. Большинство такого рода дополнений для удобства работы значительно понижает требования к навыкам нападающего и ставит целостность сетей и систем под угрозу.

В толково спроектированной и настроенной сети большинство пользователей не нуждается в доступе и не должно иметь его к машинам других пользователей, за исключением ресурсов, специально предназначенных для совместной работы . Они также не должны иметь доступа к административным функциям и ресурсам, сетевым устройствам и т. д.

12

Смотрите также:
 RAID или не RAID
 Портативный сетевой тестер EtherScope
 Незащищенные системы
 СРЕДСТВО ПОДДЕРЖКИ МАТЕМАТИЧЕСКОГО ОБРАЗОВАНИЯ
 ARP-протокол

Добавить комментарий:
Введите ваше имя:

Комментарий:

Защита от спама - решите пример: