Інформаційна безпека в Intranet

Аналіз ризиків - найважливіший етап вироблення політики безпеки. При оцінці ризиків, яким піддані Intranet-системи, потрібно враховувати наступні обставини:

• нові погрози стосовно старих сервісам, що випливають з можливості пасивного чи активного прослуховування мережі. Пасивне прослуховування означає читання мережного трафіка, а активне - його зміна (крадіжку, чи дублювання модифікацію переданих даних). Наприклад, аутентифікація вилученого клієнта за допомогою пароля багаторазового використання не може вважатися надійної в мережному середовищі, незалежно від довжини пароля;

• нові (мережні) сервіси й асоційовані з ними погрози.

Як правило, у Intranet-системах варто дотримувати принципу “усе, що не дозволено, заборонене”, оскільки “зайвий” мережний сервіс може надати канал проникнення в корпоративну систему. У принципі, ту ж думку виражає положення “усе незрозуміле небезпечне”.

ПРОЦЕДУРНІ МІРИ

У загальному і цілому Intranet-технологія не пред'являє яких-небудь специфічних вимог до мір процедурного рівня. На наш погляд, окремого розгляду заслуговують лише дві обставини:

• опис посад, зв'язаних з визначенням, наповненням і підтримкою корпоративної гіпертекстової структури офіційних документів;

• підтримка життєвого циклу інформації, що наповняє Intranet.

При описі посад доцільно виходити з аналогії між Intranet і видавництвом. У видавництві існує директор, що визначає загальну спрямованість діяльності. У Intranet йому відповідає Web-адміністратор, що вирішує, яка корпоративна інформація повинна бути присутнім на Web-сервері і як випливає структурне дерево (точніше, граф) HTML-документів.

У багато профільних видавництвах існують редакції, що займаються конкретними напрямками (математичні книги, книги для дітей і т.п.). Аналогічно, у Intranet доцільно виділити посада публікатора, що відає появою документів окремих підрозділів і визначального перелік і характер публікацій.

У кожної книги є титульний редактор, що відповідає перед видавництвом за свою роботу. У Intranet редактори займаються вставкою документів у корпоративне дерево, їхньою корекцією і видаленням. У великих організаціях “шар” публікатор/редактор може складатися з декількох рівнів.

Нарешті, і у видавництві, і в Intranet повинні бути автори, що створюють документи. Підкреслимо, що вони не повинні мати прав на модифікацію корпоративного дерева й окремих документів. Їхня справа - передати своя праця редакторові.

Крім офіційних, корпоративних, у Intranet можуть бути присутнім групові й особисті документи, порядок роботи з який (ролі, права доступу) визначається, відповідно, груповими й особистими інтересами.

Переходячи до питань підтримки життєвого циклу Intranet-інформації, нагадаємо про необхідність використання засобів конфігураційного керування. Важливе достоїнство Intranet-технології полягає в тому, що основні операції конфігураційного керування - внесення змін (створення нової версії) і витяг старої версії документа - природним образом вписуються в рамки Web-інтерфейсу. Ті, для кого це необхідно, можуть працювати з деревом усіх версій усіх документів, підмножиною якого є дерево самих свіжих версій.

КЕРУВАННЯ ДОСТУПОМ ШЛЯХОМ ФІЛЬТРАЦІЇ ІНФОРМАЦІЇ

Ми переходимо до розгляду мір програмно-технічного рівня, спрямованих на забезпечення інформаційної безпеки систем, побудованих у технології Intranet. На перше місце серед таких мір ми поставимо міжмережеві екрани - засіб розмежування доступу, що служить для захисту від зовнішніх погроз і від погроз з боку користувачів інших сегментів корпоративних мереж.Відзначимо, що бороти з погрозами, властивому мережному середовищу, засобами універсальних операційних систем не представляється можливим. Універсальна ОС - це величезна програма, що напевно містить, крім явних помилок, деякі особливості, що можуть бути використані для одержання нелегальних привілеїв. Сучасна технологія програмування не дозволяє зробити настільки великі програми безпечними. Крім того, адміністратор, що має справу зі складною системою, далеко не завжди в стані врахувати всі наслідки вироблених змін (як і лікар, що не відає всіх побічних впливів лік, що рекомендуються,). Нарешті, в універсальної системі пролому в безпеці постійно створюються самими користувачами (слабкі і/чи рідко змінювані паролі, невдало встановлені права доступу, залишений без догляду термінал і т.п.).