Neon-komputadór

Segurança

O seguinte pode ser declarado de facto. Em alguma fase uma rede de computador estará sujeito a um vírus, uso sem autorização e acesso (físico e virtual), ou um ataque de negação-de-serviço deliberado. A tarefa do administrador de sistema é reduzir a quantidade, severidade e efeito destes segurança quebra por desenvolver e implementar uma segurança e dados política posterior, enquanto tendo planos de contingência de desastre, enquanto instalando e mantendo uma barreira à prova de fogo, assegurando proteção de vírus e a instalação e revisão de remendos de vendedor. Isto economizará a organização de um administrador de sistemas tempo significante e dinheiro

O primeiro passo para administrador de sistema assegurando físico e segurança de dados é identificar fraquezas na rede atual e operações administrativas relativo para o local e importância de dados e equipamento. Em parte isto consiste inicialmente em manutenção preventiva - assegurando aqueles auxílios de dados acontecem em uma base regular e que o ambiente de computação é mantido limpe e há políticas em lugar prevenir dano de expansão térmica e contração (particularmente importante para um clima quente, úmido, pardo como Timor Oriental!). Dados planos posteriores exigem para o administrador de sistema que considere que tipo de dispositivo será usado para o auxílio, com que freqüência o auxílio é acontecer, que é responsável pelo auxílio, quando eles acontecerão, e se ou não eles são armazenados fora-local.

A próxima consideração deveria ser segurança física. Isto é, em muitas formas, a melhor segurança. Embora como seguro um computador está em termos de proteção de software, leva uns cinco minutos e chave de fenda somente para remover todos os dados de uma máquina - ou levar a máquina inteira no caso de um laptop. Se um computador fisicamente inseguro estiver em uma rede, isto provê para acessar outras máquinas. Assim, a regra básica deveria ser isso só usuários legítimos podem ter acesso físico aos computadores de uma organização. Tudo deve ser proibido outro expressamente através de política. Uma elaboração adicional deste princípio é assegurar que os computadores centrais de uma rede (os vários servidores) está fisicamente isolado do resto da rede e é detido um seguro, lockable se alojam onde as únicas pessoas que podem acessar o quarto são esses com razões específicas e legítimas para ter acesso a tais computadores. Incapacitando calçando as botas do disquete e CD-ROM também é recomendado, com BIOS contra-senha proteção.

Manutenção preventiva pretensiosa e medidas de segurança físicas estão em lugar, segurança de usuário deve ser considerada, e os meios primários de segurança neste exemplo são contra-senhas. Execução rígida e implementação de uma política de contra-senha segura têm que acontecer em qualquer organização que trata segurança com qualquer grau de seriedade. Os princípios fundamentais são ter uma contra-senha longa - ou melhor ainda, passar-frase (mínimo oito caráter), um que usa caráter diferente se agrupa (letras maiúsculas, números, outros símbolos), um que é sem igual, diferente a contra-senhas previamente escolhidas e mudanças em uma base regular. Em uma organização de governo, como o Ministério de Relações exterior e Cooperação, distribuição da contra-senha de um usuário é considerada uma brecha de segurança nacional e deveria ser tratada como tal. Qualquer usuário que quebra estas políticas deve ser negociado rapidamente com - o modo mais seguro e mais rápido é incapacitar a conta deles/delas. Não seja suave. Transmita em rede infrações de segurança são muito sérias.

Administradores de sistemas também têm que fixar cotas em espaço de usuário em passeios compartilhados. Um usuário malicioso ou sem autorização pode criar destruição somente enchendo para cima passeios de manuscrito de lixo. Segurança monitorar devem ser um habitual, preferivelmente várias vezes um dia, tarefa - ou pelos arquivos de tronco em Linux ou Espectador de Evento em Windows 2000. Deveriam ser restringidas políticas de usuário ao mínimo requerido - qualquer serviço ou software que não são requeridos explicitamente são inválidos - inclusive horas de acesso.

Um administrador de sistema tem que ter um procedimento de manutenção como bem. Estes incluem cheques diários para alertas de vírus, enquanto alertando os usuários de erupções de vírus, e colecionando e instalando remendos de vendedor para vírus, com www.cert.org que é um útil primeiro porto de escala. Deveriam ser corridas Filesystem, gestão de redes e configuração que examinam software e deveriam ser revisadas como bem em uma base de dialy.

Uma barreira à prova de fogo protege computador de intrusão eletrônica limitando acesso a um ponto de acesso particular. Eles não provêem proteção para problemas de segurança físicos ou internos, mas eles provêem proteção de externo tenta quebrar segurança. Há dois tipos básicos de barreira à prova de fogo: uma barreira à prova de fogo absoluta e um servidor de procuração. Em uma barreira à prova de fogo absoluta, é permitido nenhum tráfico exclua pelo ponto de acesso designado. No tipo posterior, uma máquina de procuração faz a conexão para o usuário. A característica comum nestes tipos e várias implementações são o uso de pacote que filtra para prevenir conexões sem autorização. Servidores de procuração requerem mais configuração, porém o uso deles/delas é transparente ao usuário, a quem uma barreira à prova de fogo absoluta pode provar difícil. Deveriam ser fixadas barreiras à prova de fogo a um nível do que não é permitido expressamente é proibido."

Há um número grande de sistemas de software de procuração disponível. Os mais comuns em Linux são transproxy, lula, meias e TIS FWTK. Para MS-Windows 2000, o ISA de Microsoft provê caching de teia excelente e serviços de barreira à prova de fogo. Cada pacote tem capacidades diferentes e opções de configuração. TIS FWTK (Confiou em Barreira à prova de fogo de Sistemas de Informação Toolkit), é um jogo de programas para a construção de barreiras à prova de fogo. Note o uso do plural. Cada protocolo tem seu próprio daemon, e cada daemon tem seu próprio arquivo de configuração. Em comparação, Lula apóia FTP, HTTP, ICP, GOPHER, e WAIS protocola, a Camada de Cova Segura, e lookup de DNS pede (mas notavelmente não ReadAudio, ESTOURO e NNTP). a força de Lula está em sua versatilidade, enquanto não só executando caching, mas também redirection (http://squid.nlanr.net).