Scentralizowania ochrona

Jednym z faworyzowanych podejść technologicznych do problemu ochrony rozproszonej sieci przedsiębiorstwa jest schemat centralnego zarządzania zawierający serwer ochrony. Musi on spełniać kilka warunków niezbędnych do tego, aby sieć była dostatecznie bezpieczna i jednocześnie sprawnie zarządzana:

1. Możliwość dodawania, zmiany lub usuwania (przez upoważnione osoby) użytkowników pochodzących z różnych platform - systemów operacyjnych i aplikacji. Znane jest to pod pojęciem pojedynczego punktu rejestracji SPR (Single Point of Registration). Pozwala on zarządowi ochrony na rejestrowanie nowych użytkowników w scentralizowanej bazie danych.

2. Niezależnie od tego, czy sieć składa się z jednorodnego zestawu platform czy też jest ich heterogeniczną mieszanką, kolejną ważną funkcją jest SSO (Single Sign-On) jednorazowe uwierzytelnienie. SSO pozwala użytkownikowi uwierzytelniać się na poziomie klienta. W ten sposób jest on automatycznie uwierzytelniany dla każdej, kolejnej aplikacji czy zasobu, wybieranych zgodnie z posiadanymi uprawnieniami. Automatyczne uwierzytelnianie pomiędzy węzłami i zasobami jest niezwykle istotne, ponieważ powoli zanikają takie pojęcia jak "moja sieć" - "twoja sieć".

3. Dobrze zarządzany serwer ochrony przedsiębiorstwa powinien być funkcjonalnie transparentny dla użytkownika, ponieważ jest krytycznym elementem w wydajności jego pracy. Niezależnie od tego, jaki system operacyjny jest używany po stronie klienta (Windows, Unix i Macintosh), graficzna prezentacja zakresu dostępu do aplikacji, systemów i zasobów ma odzwierciedlać wszystkie aspekty ochrony. Mówiąc inaczej: jeżeli użytkownicy nie mają prawa dostępu do pewnych zasobów, to nie ma potrzeby ujawniania im na ekranie faktu istnienia ich w sieci.

4. Idealny system ochrony sieci przedsiębiorstwa powinien być zdolny do wykrywania niektórych działań i zachowań pochodzących zarówno z wewnątrz, jak i z zewnątrz – które mogą być uznane za podejrzane. Wykrywanie intruzów jest niezwykle istotne w związku z zagrożeniami wynikającymi z korzystania z Internetu. Z doświadczeń wynika jednak, że ponad 50 proc. przestępstw komputerowych popełnianych jest przez byłych lub obecnych pracowników! Dobry system monitoruje uporczywe próby dostania się do zasobu metodą generowania losowych haseł w krótkim przedziale czasowym lub próby logowania się tego samego użytkownika na kilku różnych terminalach lub klientach w różnych miejscach, w tym samym czasie. Systemy wykrywania wtargnięć stosują często podejście heurystyczne, oznaczające system samouczący się i zmieniający zasady działania stopniowo, w miarę upływu czasu.

5. System ochrony, który może reagować automatycznie na podejrzaną sytuację, jest najskuteczniejszy. Reakcje mogą być proste: na przykład wysłanie zawiadomienia na konsolę lub ekran zarządzającego ochroną. Bardziej rozbudowane mechanizmy reakcji mogą powoływać do wykonania wcześniej zdefiniowane procesy. Należy pamiętać, że dopóki reakcja na wtargnięcie nie osiąga zasadniczego celu (powstrzymania ataku lub identyfikacji napastnika), to jest bezużyteczna.

Sama technologia nie jest receptą na wszystkie problemy. Sporo elementów ochrony leży w sferze organizacji i dyscypliny. Na przykład w praktyce jednoczesny dostęp do zasobów bazy danych kadrowych lub internetowych skrzynek pocztowych jest potrzebny tylko niektórym pracownikom. Można im oddać do dyspozycji szybkie i niedrogie rozwiązanie: odłączyć komputer zawierający bazę kadrową od sieci przedsiębiorstwa i Internetu, a pracowników tych wyposażyć w dodatkowe pecety, z których mogą mieć dostęp do poczty i Internetu. Koszty wyniosą wówczas ułamek procenta nakładów, jakie trzeba by ponieść na zapewnienie pełnej ochrony. Jest to jeszcze jeden przykład na to, że technologia nie stanowi o wszystkim, często problem może zostać rozwiązany prostym działaniem organizacyjnym.