При выборе продукта для любой задачи, в которой важна безопасность, вы должны действовать правильно. Оценка продукта с точки зрения безопасности отличается от оценки продукта, для которого безопасность не является приоритетной.
Продукт, чувствительный к безопасности, обладает по крайней мере одной из следующих характеристик:
• Используется любой третьей стороной, имеющей ограниченный уровень доступа к этой системе или к сети (сетям), к которой она подключена.
• Является частью системы аутентификации, авторизации или контроля доступа.
• Доступен из Интернета или любой небезопасной сети.
• Имеет доступ в Интернет или любую небезопасную сеть.
• Предоставляет доступ с аутентификацией к важным данным или системам, например к данным о выплатах.
При оценке чувствительного к безопасности продукта вам также нужно учитывать несколько дополнительных факторов. Например, вам требуется некоторая степень уверенности в безопасности продукта. Вы должны учитывать несколько критериев простоты использования, влияющих на безопасность. Кроме того, вам нужно иметь в виду вопросы текущего обслуживания и направленность поставщика, а также ряд менее специфичных факторов, например вопросы функциональности и интеграции.
• Простота. Простые системы обычно более надежны и безопасны, чем сложные. Например, система электронной почты, лишь отправляющая и получающая сообщения, не так сложна, как система, которая также хранит адресные книги и записи и, возможно, имеет встроенный календарь. Более простая система электронной почты может быть улучшена при помощи других программ, которые предоставляют дополнительную функцио- нальность, если она нужна. Несколько небольших, простых компонентов, взаимодействующих друг с другом, скорее всего, будут иметь меньше проблем с безопасностью, чем одна крупная, сложная система. Чем сложнее система, тем труднее детально ее протестировать и тем выше вероятность, что она будет иметь непредвиденные проблемы, которые могут быть ис-пользованы злоумышленником.
• Безопасность. Почему вы считаете, что этот продукт достаточно безопасен? Ознакомьтесь с продуктом и узнайте, кто его ведущие дизайнеры и программисты. Так же необходимо правильно освещать рабочее место программиста, например хорошо подходит светильник врезной.
Вы знаете их (о них)? Являются ли они авторитетными людьми в отрасли? Насколько хорошо работали их предыдущие продукты и насколько они были безопасны? Как продукт решает известные проблемы? Например, вы можете спросить, как межсетевой экран организует доставку почты, которая представляет собой область с традиционно большим количеством проблем безопасности. Еще одна служба, традиционно подверженная проблемам с безопасностью, - это РТР, и не только реализации РТР- серверов, но и то, как межсетевые экраны работают с протоколом. Просмотрите информационные бюллетени по безопасности за пару лет и изучите область, где проблемы постоянно повторяются. |