Политика безопасности при работе в Интернете

       

Коммерческие требования


Коммерческие и другие организации используют Интернет потому,что он предоставляет полезные сервисы. Организации должны принять решение - будут ли использоваться или нет сервисы на базе Интернета на основании анализа бизнес-плана или плана развития информационных технологий. Другими словами, организации должны проанализировать свои потребности, выявить потенциальные методы их удовлетворения и уточнить их после учета требований со стороны безопасности помимо влияния других факторов.

Большинство организаций используют Интернет-сервисы для того, чтобы обеспечить улучшенное взаимодействие между подразделениями организации, или между организацией и ее клиентами, или чтобы сократить расходы на автоматизацию коммерческой деятельности. Безопасность должна учитываться прежде всего - один инцидент с безопасностью может зачеркнуть любые финансовые выгоды, предоставляемые соединением с Интернетом.

Может также существовать несколько технологических решений для удовлетворения коммерческих потребностей организации, некоторые из которых могут быть обезопасены легче, чем другие. Рисунок 4.1 показывает типичную сетевую архитектуру в организации для использования Интернета.

Рисунок 4.1 Типичная архитектура подключения к Интернету

Оставшаяся часть этой главы кратко рассматривает основные сервисы, обеспечиваемые связью с Интернетом. В ней также будет указано с помощью каких средств безопасности надо защищать эти сервисы. В таблице 4.2 показано соответствие между имеющимися средствами безопасности и Интернет-сервисами, часто используемыми организациями. Крестики показывают, какие средства безопасности часто используются для организации безопасной работы данного сервиса. Некоторые из средств, такие как улаживание последствий инцидентов с безопасностью, обеспечивают безопасность для всех сервисов, в таких случаях знак стоит напротив тех сервисов, для которых данное средство необходимо.

Таблица 4.2 Использование средств безопасности для защиты сервисов

Идентификация и аутентификацияУправление доступомБрандмауэрСредства контроля импортируемых про-граммШифро-
вание
АрхитектураУстранение последствий инцидентовОрганиза-
ционные меры
Удаленный доступ XXX X  X
Электронная почта X  XX  X
Публикация информации  XX  X X
Исследования  XXX X X
Электронная коммерция XXXXXXXX
Постоянная доступность      X X
Легкость использования      X X



Содержание раздела