Vállalati rendszerek védelme

A megfelelő menedzsment a védelem alapja. Ez igaz mind az egyfelhasználós környezetre (otthoni felhasználóra), mind a többfelhasználós (intézményi, vállalati) környezetre, de az utóbbi sokkal összetettebb, a vezetőség által elrendelt szabályzatokon és a kialakult szokásokon nyugszik. Nélkülözhetetlen, hogy írott szabályok rögzítsék az alapvető illetékességi, felelősségi, hierarchikus viszonyokat. Szintén nélkülözhetetlen, hogy világosan és pontosan megfogalmazott és kihirdetett felhasználási politika, üzemeltetési szabályzatok legyenek.

A menedzsment része a biztonsági menedzsment, a felhasználási politika részben magában foglalja a biztonsági politikát. Követelmény, hogy a biztonsági politika szintén írásos alapon nyugodjon, nyílt legyen, azaz nyilvánosan hozzáférhető, s ne tartalmazzon bizalmas elemeket (a szerzők véleménye szerint). Természetesen a biztonsági politikát be kell tartani és tartatni. Emiatt fontos, hogy az ésszerűség határai között legyen csak szigorú (tartalmazzon kötelező és ajánlott elemeket).

A biztonsági politika legfontosabb elemei, a legfontosabb kívánalmak:

• világos, pontos, körülhatárolt, előre meg- és kihirdetett, mindent lefedő legyen;
• jelölje meg az illetékességi viszonyokat, határozza meg a felelősségeket és a felelősöket, a felelős személyek valóban felelősök legyenek;
• hálózatok, fontosabb berendezések (routerek, domain név szolgáltatás, hálózatmenedzsment eszközök és hasonlóak) és nagyobb szerverek rendelkezzenek egyértelműen meghatározott felelős üzemeltetőkkel, s önálló szabályzattal;
• a fejlesztési tervek és a fejlesztések biztonsági szempontból is legyenek átgondoltak;
• biztosított legyen a rendszeres tájékoztatás, oktatás és gyakorlás;
• átgondolt, következetes és gondosan végrehajtott mentési rend kell;
• legyen terv a rendkívüli eseményekre (katasztrófa terv);
• vezessünk gépkönyveket, naplózzunk minden privilegizált accounttal kapcsolatos és rendkívüli eseményt (itt részben automatikus (online), részben manuális naplózást kell végeznünk);
• gépkönyveket, naplófile-okat gondosan archiváljuk, rendszergazda váltás esetén fordítsunk figyelmet az átadásra.

Alapvető, hogy egy intézményen belül főbb vonalakban egységes biztonsági politika érvényesüljön, ez legyen összhangban a társintézményekével, partnerekével, s legyen összhangban a használt globális hálózatokéval is.

Az informatikai menedzsment biztonsági feladatai nem közömbösek a felhasználók számára, így némi betekintés kívánatos e területre. Példák a menedzsment feladataiból (a teljesség igénye nélkül):

• napi, heti, havi mentés, visszaállítási gyakorlat (utóbbi persze nem napi rutinfeladat);
• logfile-ok, rekordok ellenőrzése;
• naplózás;
• nem használt felhasználói bejegyzések
  (dormant account) felülvizsgálata, törlése;
• rendkívüli események kivizsgálása;
• jelszó menedzsment (jelszó nélküli accountok felszámolása);
• felhasználók figyelmeztetése rossz jelszó használat stb. esetén;
• vírusellenőrzés;
• rutin és szúrópróbaszerű ellenőrzések;
• hibák elhárítása, kiküszöbölése;
• hálózatbejárás;
• szünetmentes tápegységek ellenőrzése;
• tájékoztatás, figyelmeztetés, riasztás stb.

Időszakonként a rendszer teljes átvilágítása válhat szükségessé, ez mindig megteendő súlyosabb biztonsági események után. Sajnos a fenti követelményeket sehol sem teljesítik maradéktalanul. Az észszerű biztonsági politika nem teszi lehetetlenné a működést, betartása több előnnyel jár, mint hátránnyal.

Megbízhatóság

A megbízhatóság alatt a hardver, a perifériák és a szoftver elvárható szintű üzemképességét, használhatóságát, ill. hibátlan működését értjük. Tapasztalataink szerint a legtöbb hibát, problémát nem a szigorúan vett biztonsági hiányosságok, vírusok, ellopott jelszavak okozzák, hanem a hardver és a szoftver hibák, hibás installálás, véletlen törlés, nem kielégítő karbantartás, rosszul tervezett, toldott-foldott hálózat. Más biztonsági eseményeket is kiváltanak, vagy ilyenekben közrejátszanak a fent említettek. A biztonság alapja a megbízható hardver és szoftver. A megbízhatóság szorosan összefügg a menedzsment és a fizikai biztonság helyzetével. E kérdéskör annyira szerteágazó és helyspecifikus, hogy az alábbiakban csak pontokba szedve emelünk ki néhány kérdést, ill. útmutatást adunk:

A megbízhatóság alapja:

• a képzettség és gondosság, mind a menedzsment, mind a felhasználók részéről;
• a gondosan kiépített, dokumentált, menedzsment és kontroll eszközökkel ellátott hálózat;
• a megbízható szervizháttér, egységes, jól integrált rendszerek;
• a fizikai biztonság megteremtése alapvető, enélkül biztonságot nem remélhetünk;
• dedikált berendezések, feladatok/szolgáltatások szétosztása növeli a biztonságot, bár nehézségeket is teremt, ugyanis több berendezést kell ellátnunk;
• törekedjünk az egyszerűen kezelhető, karbantartható, jól dokumentált (szükség esetén magyar dokumentációval rendelkező) termékek használatára;
• automatizáljuk a mentési, áram-kimaradási, menedzsment stb. funkciókat;
• robusztus technológiát alkalmazzunk;
• vezessünk gépkönyveket a javításokról, fontosabb változtatásokról;
• dokumentáljuk, hogy a konfigurációs file-okban és hasonlókban ki, mit, mikor és miért változtatott.

A hardver megbízhatóságának alapja:

• vállalati környezetben szinte mindig kifizetődőbb egységes brandname márkák alkalmazása a noname-ekkel szemben, így ezeket részesítsük előnyben;
• szerver feladatokra szerver kiépítésű/rendeltetésű berendezéseket célszerű alkalmazni;
• kellő tartalékot (skálázhatóságot) biztosítsunk a méretezésnél;
• állítsunk be tartalék eszközöket (elsősorban ‘meleg’ tartalék javasolt, azaz folyamatosan elérhető, használt, de adott kiesett funkciók átvételére képes gép);
• technikában nem kifutó, hanem már érett, de még terjedő, felfutóban lévő, de már széles körben elterjedt technikát alkalmazzunk.

Számos hardver és szoftver technika használatos fokozott hibatűrés biztosítására (redundáns adattárolástól szerver tükrözésig), a hibák figyelésére és előrejelzésére, az egyszerű (esetleg működés közbeni) javíthatóság biztosítására.
A szoftverek biztonsága sokkal összetettebb kérdés. E tárgykört nem igazán lehet lefedni néhány tanáccsal. Inkább csak példaként néhány megjegyzés:

• házilag összetákolt szoftverek kétes értékűek állandó, folyamatosan jelentkező igények teljesítésére;
• márkás vagy közismert szabad szoftvereket alkalmazzunk;
• ha lehet adaptáljunk és ne fejlesszünk;
• csak jól dokumentált szoftvert használjunk;

Az alkalmazott szoftverek esetében szintén fontos azok gondos összehangoltsága, itt is törekednünk kell az egységesítésre, összhangra. A szoftverek kiválasztása, installálása, konfigurálása, update-je és upgrade-je jelentős támogatási igényt követel, mind a felhasználók, mind a menedzsment részéről. A hálózatok megbízhatósága majdnem olyan összetett kérdés, mint a szoftvereké. De vannak egyszerű alapszabályok (itt csak a fizikai szint kérdéseire kitérve):

• ‘strukturált’ hálózatot, árnyékolatlan sodrott érpárt, részben üvegszálat alkalmazzunk;
• külső hálózatban vagy üvegszálat, optikai, mikrohullámú átvitelt részesítsünk előnyben, vagy kisebb sebességű technikát alkalmazzunk;
• mindig komoly (neves, referált) hálózatépítő céggel dolgoztassunk, adott esetben rendszerintegrátort alkalmazzunk;
• korszerű hubokat alkalmazzunk, ilyenekre térjünk át;
• alkalmazzunk túlfeszültség (pl. villám) elleni berendezéseket;
• a földelésekre nagy gondot fordítsunk, a földeléseket szakember vizsgálja felül;
• a hálózat nyomvonal vezetése, méretezése kritikus kérdés;
• a hálózati vezetékek védett csatornákban fussanak, zárható kábelrendezőket alkalmazzunk;
• a hálózati berendezések mindig a lehető legegységesebb típusúak, márkájúak legyenek, mindig kiváló minőségűek;

A kábeleink, a csatlakozóink, a berendezések portjai, a lengőkábelek áttekinthetően és közérthetően legyenek címkékkel ellátva. Mindig tüntessük fel, hogy egy helyiségbe, kábelcsatornába belépő kábel merre halad, merre hagyja el a helyiséget, honnan érkezik. Persze ez többe kerül, mint a legolcsóbb út. A kapott funkcionalitás, bővíthetőség, fejlesztési lehetőség és a biztonság arányban áll az ebből adódó többletköltséggel.