Facilități ale sistemului de operare Windows

Capitolul 1

Securitatea sistemelor IT

Pentru a reduce riscurile de securitate în utilizarea si administrarea sistemelor IT, cea mai buna strategie este cea pe ansamblu (security in depth). Aceasta presupune evaluarea pe ansamblu a infrastructurii IT si clasificarea expunerii la riscuri de securitate. Pentru fiecare dintre riscurile identificate trebuie realizate planuri de masuri, fie pentru reducerea expunerii la acele riscuri (mitigation), fie pentru reducerea impactului odata ce riscul s-a produs (contingency). La polul opus se afla abordarea punctuala, a implementarii unui sistem specific de securitate, de exemplu antivirus sau intrusion detection. Desi aceste sisteme sunt foarte utile în cadrul ariei specifice de aplicabilitate, aceasta abordare lasa descoperite alte zone cu posibile brese de securitate. Foarte multe companii cad în greseala de a investi mult în astfel de sisteme, fara însa a avea o strategie de securitate cap-coada. Pentru a avea o abordare de ansamblu, trebuie pornit de la lucrurile elementare: uniformitatea infrastructurii din punct de vedere al sistemelor folosite, administrarea centralizata, mentinerea la zi a sistemelor din punct de vedere al patch-urilor si fix-urilor, aplicarea unor configurari standard de securitate pe toate serverele si statiile de lucru, în functie de rolul functional al acestora, proceduri standard de utilizare si administrare.

1.1 Securitatea – problema sau caracteristica a sistemelor IT

Mai toate discutiile despre securitate se rezuma la problemele identificate la diverse sisteme. Ceea ce se uita însa este faptul ca pentru a avea un sistem sigur nu e suficient sa avem tehnologia corespunzatoare. Studiile arata ca în medie 90% din bresele de securitate identificate nu sunt datorate problemelor tehnologice ci instalarii si configurarii necorespunzatoare sau datorita nerespectarii unor proceduri de utilizare si administrare a sistemului. În multe cazuri, aceste proceduri nici nu exista. Trebuie deci sa privim problema pe ansamblu, adresând tehnologia, oamenii si procedurile interne ale companiei. A privi deci securitatea doar prin prisma problemelor tehnologice este un punct de vedere îngust. Nu ne putem astepta ca un sistem care nu a fost instalat si configurat corespunzator, care nu e mentinut la zi cu patch-urile sau pentru care nu se respecta niste proceduri simple de utilizare si administrare, sa fie un sistem sigur. Securitatea trebuie sa fie o caracteristica intrinseca a sistemului. Un sistem sigur este unul bine proiectat, implementat, utilizat si administrat.

1.2 Arii de abordare

În continuare vom trece în revista câteva dintre ariile de securitate tipice care trebuie abordate pentru o securitate pe ansamblu:

- Securitatea serverelor si a statiilor de lucru

- Securitatea perimetrului retelei

- Securitatea comunicatiei în retea

- Securitatea aplicatiilor

- Securitatea datelor

- Solutii pentru managementul patch-urilor

Pentru fiecare dintre aceste arii specifice sunt prezentate recomandari de materiale suplimentare care pot fi studiate si implementate în cadrul companiilor.

1.2.1 Securitatea serverelor si a statiilor de lucru

Atunci când instalam servere si statii de lucru în retea, trebuie sa avem în vedere 2 lucruri importante:

- Acestea trebuie sa fie mentinute la zi din punct de vedere al aplicarii patch-urilor si fix-urilor de securitate. Puteti gasi în cuprinsul acestui articol informatii despre managementul patch-urilor.

- Trebuie sa realizam o configurare standard din punct de vedere al setarilor de securitate, în functie de rolul functional al serverului sau al statiei de lucru si al nivelului de securitate dorit.

La aplicarea unei configurari de securitate asupra serverelor sau a statiilor de lucru trebuie realizat un compromis între functionalitate si securitate. Gradul de securitate dorit trebuie aplicat în functie de importanta resurselor stocate sau utilizate pe acel server sau statie de lucru. Cel mai simplu mod de aplicare al unor template-uri de securitate este cu ajutorul lui Active Directory si Group Policy. În acest fel ne asiguram si de faptul ca setarile de securitate aplicate sunt si mentinute.

Îmi ofera platforma Windows un nivel de securitate suficient de bun?

Windows 2000 cu Service Pack 3 a obtinut certificarea Common Criteria la nivelul EAL4. Ce este util însa , este faptul ca Microsoft a publicat ghidurile de configurare ce descriu pasii de implementare ce trebuie efectuati pentru a atinge acest nivel de securitate.