На любых компьютерных курсах для начинающих изучают сетевые модели OSI и/или DoD, поэтому всем известно, что построение модели компьютерной сети начинается с нижнего уровня, а именно - с физического. Более того, когда дело касается IT безопасности, то обеспечение физической безопасности лежит в основе всей стратегии. Однако многие организации, сбитые с толку замысловатыми функциями программ по обеспечению информационной безопасности, могут недооценить необходимость обеспечения физической безопасности компонентов корпоративной сети.
В данной статье рассмотрены 10 наиболее важных мер по обеспечению сетевой безопасности, которые необходимо принять немедленно в случае, если вы до сих пор этого не сделали.
Закройте помещение, где хранится сервер.
Перед тем, как устанавливать ограничения на сервере, более того, перед тем, как запускать корпоративную сеть в работу, необходимо убедиться в том, что дверь помещения, где стоит сервер, имеет надежный замок. Конечно, даже самый лучший в мире замок не имеет никакого значения, если его не закрывают. Поэтому на предприятии необходимо ввести такую политику, согласно которой дверь кабинета необходимо закрывать всякий раз, когда его покидаешь. В правилах также должен быть прописан перечень должностных лиц, имеющих право доступа в помещение и установить код доступа к серверу.
Кабинет, в котором хранится сервер - сердце корпоративной сети. А сотрудник, имеющий физический доступ к серверам, выключателям, маршрутизаторам, кабелям и другим устройствам в этом помещении, способен нанести большой ущерб предприятию.
Установите наблюдение.
Установка замка на дверь кабинета - это лишь первый шаг к безопасности, поскольку дверь можно взломать, а сотрудник, имеющий санкционированный доступ, может злоупотребить своим служебным положением. Поэтому необходимо также установить наблюдение за всеми, кто входит и выходит из кабинета, а также фиксировать время. Самый элементарный способ - завести журнал записи посещений. Однако такой метод имеет ряд недостатков, так как злоумышленник может просто его игнорировать.
Более действенным методом является встроенная в замок система авторизации, например, карта доступа, устройство идентификации или система биометрического сканирования, без которых открыть дверь невозможно. Таким образом, устанавливается личность каждого, кто входит в кабинет.
Журнал посещений и электронную систему доступа необходимо дополнить камерой видео-наблюдения, которую следует разместить в таком месте, где ее трудно испортить или вывести из строя (и даже найти), но все лица, входящие и выходящие из помещения, должны попадать в поле ее зрения. С помощью камеры наблюдения можно осуществлять постоянный контроль или использовать детекторы движения, улавливающие и записывающие только перемещения в пространстве. Можно настроить датчики таким образом, чтобы в случае обнаружения движений, когда их быть не должно (например, во внерабочее время), на электронную почту или телефон поступит предупредительное сообщение.
Убедитесь, что наиболее уязвимые устройства находятся в закрытом помещении.
Помните, следует побеспокоиться не только о безопасности серверов. Любой хакер может подсоединить ноутбук к хабу и воспользоваться программами-анализаторами для сбора данных, перемещаемых в сети. Следует обеспечить хранение как можно большего количества сетевых устройств в закрытом помещении. А если возникла необходимость того, чтобы они находились в другом месте офиса, их следует хранить в закрытом сейфе.
Используйте серверы, закрепленные в стойку.
Серверы, закрепленные в стойках, имеют несколько преимуществ. Кроме того, что они занимают меньше пространства в помещении, их также проще обезопасить. Такая конструкция меньше по размеру и, вероятно, легче, чем (некоторые) системы в вертикальном корпусе, ее легко монтировать в стойку, которая после подключения к нескольким серверам может быть привинчена к полу. После этого устройство невозможно даже сдвинуть с места, а тем более украсть.
Не забывайте о рабочих станциях.
Любой незащищенный компьютер, подсоединенный к сети, может быть использован злоумышленниками для доступа или удаления важной для компании информации. Особенно уязвимы компьютеры, стоящие на свободных рабочих местах или в пустых кабинетах (например, принадлежащим сотрудникам, которые сейчас находятся в отпуске или уволились из компании, а на их место еще никого не взяли), а также в местах, куда могут легко проникнуть посторонние, например, в приемной.
Следует отсоединить от сети и/или убрать компьютеры, которые в данный момент не используются, а также всегда держать закрытыми двери пустых кабинетов, даже тех, которые пустуют временно, пока работник вышел пообедать или заболел. Оборудуйте компьютеры, стоящие на свободных для постороннего доступа местах, иногда вне поля зрения сотрудников, картами доступа или биометрическими считывателями, таким образом ограничив несанкционированный доступ.
Обеспечьте невозможность взлома корпуса.
Как серверы, так и рабочие станции, должны иметь защиту от воров, которые могут вскрыть корпус и завладеть жестким диском. Гораздо проще уйти с жестким диском в кармане, чем выносить из здания громоздкое оборудование. Большинство корпусов имеют замки, которые невозможно открыть без ключа. На рынке существует масса запорных конструкций, реализуемых по доступной цене, например, от производителя Innovative Security Products.
Защитите переносное оборудование.
Особую угрозу физической безопасности сети представляют ноутбуки и карманные компьютеры. Злоумышленник может с легкостью украсть все устройство целиком, включая все данные, а также пароли доступа к сети, хранящиеся на диске. В случае, если сотрудники используют для работы в офисе ноутбуки, они должны всегда носить их с собой или ограничить доступ с помощью временного крепежа с кабельным замком, например, комплекта от производителя PC Guardian.
Карманные компьютеры можно закрывать в ящике сейфа или их просто можно унести с собой в кармане, покидая офис. На рынке также доступны устройства безопасности, подающие сигнал тревоги, реагируя на движение, например, комплект от производителя SecurityKit.com, который сработает в случае, если карманный компьютер будет сдвинут с места.
Дополнить меры физической безопасности портативного компьютера, хранящего конфиденциальную информацию, поможет шифровка всего диска, установка биометрических считывателей, а также использование специальной программы, которая «позвонит домой», если с украденного ноутбука попытаются войти в Интернет.
Сделайте резервную копию.
Резервная копия важных данных - необходимая мера для восстановления ущерба в случае хищения. Однако следует помнить, что информация, хранящаяся на таких резервных магнитных лентах и дисках, также может быть украдена и использована кем-то извне. Многие IT администраторы хранят резервные копии в закрытом помещении, где стоит сервер. По меньшей мере их нужно закрывать в ящике сейфа. В идеале комплект резервных копий должен храниться за пределами офиса. Кроме того, необходимо обеспечить полную безопасность этого места за пределами офиса.
Не оставляйте без внимания и тот факт, что некоторые сотрудники могут сохранять свои документы на дискетах, USB-флэшках или внешних жестких дисках. Если в компании подобная практика разрешена и поощряется, следует ввести правила, согласно которым резервные копии должны всегда храниться в недоступных для посторонних местах.
Выведите из строя драйверы.
Чтобы сотрудники компании не могли скопировать информацию на сменные носители, можно вывести из строя или снять драйверы гибких дисков, USB порты и другие средства для соединения с внешними устройствами. Однако технически подкованных специалистов простое отключение кабелей не остановит. В некоторых организациях заходят настолько далеко, что наполняют драйвера клеем или другими веществами, чтобы навсегда вывести их из строя, хотя можно просто воспользоваться программными механизмами запрета. Существуют электронные замки для дисководов, например, от производителя SecurityKit.com. Они вставляются в драйвера гибких дисков тех компьютеров, на которых эти устройства еще сохранились, и блокируют возможность использования других дискет.
Обезопасьте принтеры.
Нельзя упускать из виду принтеры, которые также могут представлять угрозу сетевой безопасности, поскольку во внутриплатной памяти многих современных принтеров сохраняется содержание напечатанных документов. Если злоумышленник смог похитить принтер и получить доступ к его памяти, он сможет сделать копии недавно распечатанных документов. Принтеры, также как серверы и рабочие станции, хранящие важную информацию, необходимо поместить в безопасное место и закрепить таким образом, чтобы никто не смог их унести с собой.
Следует также подумать о физической сохранности документов, которые распечатывают сотрудники офиса. Особенно о дополнительных копиях или некачественных копиях, которые оставили в принтере или просто выкинули в корзину для бумаг, откуда их можно с легкостью извлечь. Лучший способ предотвратить утечку информации - ввести на фирме правила, согласно которым ненужные распечатки следует измельчать в бумагорезательной машине. Даже те, которые не содержат конфиденциальной информации. Со временем это войдет в привычку и освободит конечного пользователя от мыслей, подлежит ли данный документ измельчению.
Вывод.
Помните, что безопасность сети начинается с физического уровня. Даже все существующие в мире системы сетевой защиты не могут остановить злоумышленника, который имеет физический доступ к корпоративной сети и компьютерам. Именно поэтому уметь хорошо закрывать сеть так же важно, как и ограничивать ее возможности.
Автор: Debra Littlejohn Shinder, MVP, MCSE Версия на английском: techrepublic.com.com Копирование статьи разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник русскоязычной версии.