Thursday, April 28, 2011

Turvalisuse ja privaatsuse küsimused: ettevõtte turvaaudit

Andmesidevõrku iseloomustavad kolm peamist omadust – turvalisus, käideldavus ja hallatavus. Nagu ei seisa püsti ühe jala kaotanud kolme jalaga laud, nii ei ole ka ühest neist omadustest ilma jäetud andmesidevõrk kõlblik ettevõtte ärikriitilise infrastruktuuri osana kasutamiseks.

Allpool ülevaade ühe Eesti ettevõtte turvasüsteemist.

Ettevõtte arvutivõrk on kaitstud riistvaralise tulemüüriga. See keelab enamiku väljastpoolt tulevad ühendused ja lubab läbi vaid vajalikud. Et aga mitmed sisevõrgu serverid vajavad ligipääsu väljastpoolt, on tulemüüris kirjeldatud ka palju erandeid. Seetõttu on oht, et mõne reegli hoolimatul muutmisel avaneb soovimatu turvaauk. Tuleks optimeerida ja võimalusel minimiseerida väljastpoolt lubatud ühenduste arv.

Töökoha arvutitena kasutatakse enamasti sülearvuteid ja neisse on installeeritud ESET NOD32 Antivirus. Kuna sülearvuteid kantakse kaasas ja neil ei ole alati internetiühendust, siis viirusetõrje uuendused saadakse võrguühenduse taastumisel. Siin on vajalik tõsta kasutajate teadlikkust, et esmalt uuendataks alati viirustõrje ja alles siis alustataks muud tööd, mis nõuab võrguühendust. Samuti oleks kasulik tundliku sisuga failide ja kaustade krüptimiseks kasutada failikrüptimissüsteemi (Encrypted File System – EFS). Kui sülearvuti varastatakse, on failid ja kaustad kaitstud, kuna krüptitud faile saab avada ainult erilise krüptimisvõtme abil.

Mailiserver töötab Linuxi operatsioonisüsteemis ja seal kasutatakse kombineeritud kaitsemehhanismi. Viirusetõrjeks on ClamAV ning samuti blokeeritakse spämm SpamAssassin-i ja aktiivsete antispam serverite abil (spamhaus.org, spamcop.net, dnsbl.njabl.org jt.). Siiski ka need vahendid ei anna 100% garantiid ja kasutajatele tuleb regulaarselt meelde tuletada, et nad ei avaks tundmatuid e-maile.

Ärikriitilised rakendused töötavad terminalserveris, mida haldab koolitatud IT personal. Tavakasutajad ei saa ise installeerida serverisse tarkvara. Kasutajate ligipääs serverisse on piiratud kasutajanimede ja paroolidega, mida muudetakse kokkulepitud aja tagant. Paroolide keerukus on etteantud vastava malliga. Lahkunud töötajate kontod suletakse koheselt ja andmed arhiveeritakse. Siin tuleks aga ka töötajaid regulaarselt kontrollida ja jälgida, et paroole ei kirjutataks üles näiteks lipikuga ekraanile või klaviatuuri alla. Selline kasutajatest tulenev hooletu suhtumine võib nullida IT osakonna muidu hästi läbimõeldud turvakontseptsiooni.

Liikuvad töökohad saavad ühenduse serveriga VPN ühenduste kaudu ja neile kehtivad samad ülaltoodud kasutajapõhised piirangud ja ettevaatusabinõud.

Regulaarsete varukoopiatena säilitamiseks on määratud järgmised andmed:
  1. raamatupidamisandmed
  2. kliendi objektide andmed
  3. kliendihalduse andmed
  4. ISO dokumendiregister
 Nimetatud andmetest tehakse perioodiliselt turvakoopiaid:
  1. iga tööpäeva lõpul serverikeskuses asuvasse varundusserverisse
  2. iga töönädala lõpus väljaspool kontorit asuvasse varuserverisse
  3. igakuiselt korduvkasutatavale andmekandjale, mida säilitatakse vähemalt kaks aastat firma arhiivis
Turvakoopiate tegemise eest vastutab firmas IT osakonna juhi poolt selleks määratud isik. Tema ülesandeks on jälgida piisava kettaruumi olemasolu varundusserverites.

No comments:

Post a Comment