Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов
вернуться

Шкафиц Карл
Шрифт:

2. Ограничение минимальной длины пароля

Как мы уже говорили, если задать пароль в 2-3 символа -- так лучше его вообще не задавать, чтобы, не позориться. Пароль должен быть не менее 5-6 символов, и от пользователей нужно этого требовать неукоснительно. Ну так и нет проблем! Сервер (а точнее, политика паролей) может отказаться принимать у пользователей пароли менее заранее заданного числа символов (пускай будет 5 — это по-божески).

3. Неповторяемость паролей

Хитрый пользователь может придумать два пароля — «Серёжа» и «Наташа», — после чего и будет менять один на другой. Конечно, такая комбинация будет довольно легка для запоминания, однако с точки зрения безопасности — это полное безобразие. Но если в политике паролей задать неповторяемость — второй «Серёжа» и вторая «Наташа» не пройдут, однозначно, так что пользователю придется всё-таки напрячь фантазию.

4. Проверка на соответствие требованиям сложности

Часть из того, о чем я говорил в разделе, посвящённом паролям, можно заставить проверять сам сервер. Если включить дополнительную проверку на соответствие пароля требованиям сложности, сервер уже не разрешит вводить никаких «Серёж» или «Наташ», а заставит пользователя при вводе пароля выполнить мои рекомендации: использование различных регистров (прописные и строчные буквы), десятичных цифр и символов, не принадлежащих алфавитно-цифровому набору Пользователи при этом, конечно, скажут много-много горьких, а иногда даже нецензурных слов, но их пароли будут соответствовать хоть каким-то требованиям безопасности. Другой вопрос — как добиться от пользователей, чтобы они не писали пароль у себя на лбу или на стикере, прилепленном к монитору, но этому будет посвящена отдельная глава.

ПРОГРАММА ЗАЩИТЫ В РЕАБИЛИТАЦИИ СВИДЕТЕЛЕЙ

Теперь, когда у тебя все данные (надеюсь) лежат на сервере, возникает другой вопрос: как защитить сам сервер. Мы всю информацию доверили одному компьютеру (путь даже вполне продвинутому и надёжному), но если различные существа с лёгкостью получат к нему доступ — грош цена всей нашей тщательно разработанной системе, правильно? Оно, конечно, без знания администраторского пароля доступ к данным они просто так не получат, но и админ может какнуть в родное гнездо, продав пароль, и без этого пароля всё-таки можно влезть в компьютер, как это ни печально звучит.

Поэтому сервер также должен быть защищён. Чисто физически. Для этого его помещают в отдельную комнату со стальной дверью, доступ в которую разрешён только админу и тебе, Большому Боссу. Да и тебе, если честно, там делать совершенно нечего. Обычно рядом с сервером находится только админ — в основном для того, чтобы в случае наступления «Времени Ч» сделать с сервером что-нибудь нехорошее, дабы он не достался врагу.

Есть самые разнообразные способы физически защитить сервер. Принимая решение о том, какой из них использовать, задумайся вот на какую тему: если ставить на помещение с сервером хорошую стальную дверь стоимостью долларов в семьсот, вряд ли имеет смысл снабжать её кодовым замком долларов за двадцать, который открывается расческой доллара за полтора. Я понимаю, что эта фраза звучит предельно банально, но ты не поверишь, как часто в офисах я встречал именно такую ситуацию — совершенно дурацкий замок на дорогой двери, ведущей в серверную.

ЭТОТ СТРАННЫЙ ЗВЕРЬ ПО КЛИЧКЕ «СЕТЕВОЙ АДМИНИСТРАТОР»

Раз уж мы заговорили о локальной сети, нужно хотя бы в общих чертах побеседовать о том, кто же такой этот сетевой администратор (админ), как он должен работать, сколько получать и с чем его едят в случае необходимости...

В народе бытуют легенды о том, что самый хороший сетевой администратор — это тот, который с утра до вечера сидит за своим компьютером и занимается следующими важными делами: болтает по Интернету с другими сетевыми администраторами, также изнывающими от тоски, со вкусом играет в весьма сложные компьютерные игры и составляет различные музыкальные или художественные (я имею в виду порнуху) коллекции. Ты спросишь, почему этот бездельник ещё и считается лучшим? Потому что, дескать, у него сеть работает настолько безукоризненно, что с ней и делать ничего не надо — всё пашет само собой, а ему остается только сидеть рядом «на всякий пожарный».

Верно это или нет? С одной стороны, какая-то сермяга в подобном определении всё-таки существует: намного лучше иметь бездельничающего админа, у которого сеть работает безукоризненно, чем админа, который с утра до вечера в поте лица пытается разобраться, почему у него всё глючит на различных направлениях, а сеть при этом толком не работает. Но с другой, если у тебя достаточно развитая сеть (скажем, от 10-20 компьютеров), то админ от безделья там точно не помрёт, потому что даже обычное обслуживание подобной сети занимает ощутимое время, не говоря уж о том, что в любой фирме сеть имеет обыкновение развиваться: старая техника меняется на новую, добавляются новые компьютеры, устанавливаются дополнительные сервисы и так далее.

Разумеется, основная загрузка у админа бывает на этапе стартапа: когда он прокладывает сеть, подключает компьютеры, запускает сервер, разрабатывает и устанавливает виды доступа, разгребает различные стартаповые проблемы. Это может длиться несколько недель или даже месяцев (в зависимости от размера сети и поставленных перед админом задач). Однако суровая беготня во время стартапа вовсе не означает, что когда всё будет сделано, админ теперь пожизненно должен сидеть на заднице и развлекаться в Интернете. Процесс сопровождения локальной сети включает в себя определенное количество мероприятий, которые должны проводиться ежедневно. Если админ это всё делает раз в неделю, а то и раз в месяц — грош цена такому админу. Конечно, часть процедур можно автоматизировать, и от админа требуется только проверять, всё ли прошло как надо, однако есть вещи, которые автоматизировать невозможно.

Так вот, проблема как раз и заключается в том, что лучший контроль — совесть админа. Которой у него, как правило, почти нет. Потому что ни один начальник толком не знает, что именно этот админ должен делать. Хорошего админа берут на работу формулируя спектр его деятельности следующим образом: «Ты знаешь, что нужно делать, вот и делай! Но только смотри, чтобы всё было пучком!».

Что именно в данном случае будет пучком и будет ли вообще — зависит от самого админа. От его знаний, опыта и чувства ответственности. Определить его знания толком не может никто, особенно ты или начальник отдела кадров. Оценить его опыт — вообще невозможно. (Впрочем, как и во многих других случаях.) Ответственность — для многих работников вещь вообще достаточно эфемерная.