| pl.comp.www FAQ | ||||
|---|---|---|---|---|
| Poprzedni | Poprzedni rozdział | Następny rozdział | Następny | |
_
Problem bezpiecznego nawigowania po pajęczynie został omówiony w rozdziale Bezpieczne nawigowanie.
Spróbuję tutaj opisać jedynie to co dotyczy dostawców informacji, i usług związanych z udostępnianiem danych.
Bezpieczeństwo w tym kontekście rozumiem jako działania mające na celu ochronę udostępniania usług, dbania o autentyczność dostarczanej informacji oraz o zachowanie prywatności i poufności na poziomie wymaganym przez użytkowników.
Istnieje wiele ,,uczonych'' definicji bezpieczeństwa systemów komputerowych. Chyba każda wymienia następujące czynniki opisujące stan bezpieczeństwa systemu teleinformatycznego:
poufność
uwierzytelnienie --- zapewnienie autentyczności informacji i osób
nienaruszalność --- zapewnienie integralności komunikacji
niezaprzeczalność --- niemożność zaprzecznia faktowi wysłania/odebrania informacji
kontrola dostępu --- możliwość kontrolowania dostępu poprzez identyfikacje i uwierzytelnienia
dyspozycyjność --- ograniczanie skutków ataki
Jednocześnie ma to niewiele wspólnego z codzienną, ,,doświadczalną'' praktyką. Definicje te pomocne są w czasie tworzenia polityki bezpieczeństwa, czy szerzej polityki wykorzystania zasobów informatycznych firmy. Na co dzień jednak pozostaje raczej trzymanie się bardziej praktycznych wytycznych --- formułowanych właśnie w takich dokumentach jak polityka bezpieczeństwa, na stworzenie której zwykle jednak nie ma czasu i chęci ;-).
Z punktu widzenia administratora systemu serwer WWW (wraz z innymi czasem potrzebnymi serwisami takimi jak np. SQL, SMTP, FTP czy jakaś forma zdalnego terminala) jest jeszcze jedną usługą którą trzeba zarządzać i kontrolować. Do tego dochodzą jeszcze problemy związane z rozmaitymi aplikacjami wykonywanymi po stronie serwera (CGI, SSI, rozmaite inne ,,server side parsed Language'' takie jak PHP3 lub ASP) oraz problem dostępności usługi z zewnątrz oraz kłopoty związane z jej udostępnianiem. Internet jako ,,sieć sieci'' powoli przestaje istnieć. Powstają sieci prywatne ze strzeżonym wyjściem na zewnątrz i umieszczonym na zewnątrz serwerem informacyjnym/komunikacyjnym.
Z punktu widzenia webmastera (czyli administratora tej konkretnej usługi jaką jest serwer WWW) poza funkcjonowaniem całości serwera istotne są takie elementy jak ciągłość działania kluczowych serwisów, niezawodność i stabilność aplikacji.
Do zadań obydwu należy wymagana prawem i umowami ochrona danych osobowych klientów (,,Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych'') a także zapewnienie odpowiedniej autoryzacji dostępu do zasobów.
Można stwierdzić, że niezależnie od stosunkowo wysokich kosztów dzierżawy powierzchni dyskowej u ISP być może opłacalną jest rezygnacja z własnego serwowania dokumentów i powierzenie tego bardziej fachowym siłom --- mogącym zapewnić nie tylko serwer WWW ale i jakąś formę reasekuracji.
Jeśli jednak nadal jesteś zdecydowany samodzielnie udostępniać swe informacje... spróbuj pamiętać o następujących radach:
śledź na bieżąco informacje na temat wykrytych przez producenta i użytkowników luk w bezpieczeństwie używanych przez Ciebie systemów operacyjnych. Pomocne mogą być przy tym CERT Advisories oraz listy dyskusyjne i dystrybucyjne takie jak bugtraq, ciac-users, best-of-security czy (w wypadku MS Windows NT) ntbugtraq.
uruchamiaj jedynie tu usługi które są niezbędne, starając się uruchamiać demony z jak najmniejszymi uprawnieniami
opracuj i przećwicz instrukcję postępowania w sytuacjach awaryjnych takich jak na przykład:
| utrata danych (z powodu np. awarii jednego dysków) |
| włamania na konto administratora, webmastera |
| utraty/poważnego uszkodzenia większości sprzętu |
pamiętaj o regularnie wykonywanych kopiach zapasowych bo: ,,Ci, którzy zapominają o przeszłości są na nią skazani'' (George Santayana -- ``Life of Reason'')
rozważ możliwość umieszczenia całej swej sieci za firewallem (wpuszczając tylko część połączeń) [inna rzecz, że jeśli potrzebujesz na swe wewnętrzne potrzeby takich narzędzi Uniksowych jak NIS czy RPC lub Windowsowych SMB/NetBIOS over TCP bądź DOM jakaś forma filtrowania pakietów na routerze brzegowym jest niezbędna].
Patrz też:
RFC 2196 --- ``Site Security Handbook''
Netsurfer Focus poświęcone bezpieczeństwu sieci komputerowych
COAST : Computer Operations, Audit and Security Technology (na Purdue University)
Computer Security, Law & Privacy Gene Spafforda --- współautora ``Bezpieczeństwo w Unixie i Internecie''
UNIX Computer Security Checklist opracowana przez Australijski CERT
Internet Firewalls Frequently Asked Questions Marcus J. Ranum
NIST Computer Security Resource Clearinghouse oraz Federal Information Processing Standards
archiwa listy Bugtraq służącej dyskusji o błędach w oprogramowaniu Uniksowym
Computer Security Technology Center's Computer and Network Security Resources.
NT BugTraq archiwa listy poświęconej bezpieczeństwu MS Windows NT
Almost Everything You Ever Wanted To Know About Security (comp.securty.misc FAQ)
| Poprzedni | Spis treści | Następny |
| Jak rozpoznać w jakiej przeglądarki używa odwiedzający? | CGI, API serwerów |