Итак, мы имеем «пентагон», который требует защиты, а точнее:

1. ОС сервера (Linux, Windows, Solaris, et cetera)
   • Нуждается в постоянном обновлении
   • Нуждается в компетентной администрации
2. Веб сервер (Apache, IIS, Zeus, et cetera)
   • Требует тонкой настройки дабы соответствовать возложенной на него задаче
   • Требует постоянного тестирования и мониторинга
3. Транспортный Канал (TCP/IP, Ethernet, et cetera)
   • Все “sensitive” данные должны передаваться в зашифрованном виде
   • Требуется установка процесса верификации достоверности «клиент/сервер»
4. Клиент
   • Веб Броузер (IE, Mozilla, Opera, et cetera)
     • Требует постоянных обновлений
     • Требует тонкой настройки
   • ОС Клиента (Windows, Linux, et cetera)
     • Требует постоянных обновлений
     • Необходимы визиты «специалистов» для постоянного мониторинга системы на предмет вирусов и прочих недоброкачественных программ
5. Люди, которые за всей этой шелухой следят
   • Сисадмины (отвечают за ОС сервера и Веб Сервер)
     • Необходим постоянный процесс обучения
     • Две головы всегда лучше чем одна, экономить на этом вредно
   • Сетевые Техники (строят локальную сеть, настраивают брандмаур, составляют политику «доступа» машин друг к другу)
     • Опять же — две головы лушче чем одна
     • Как и сисадмины, должны иметь доступ к постоянному повышению своей квалификации
   • Программисты (используют ресурсы: Веб Сервера, ОС сервера и машины клиенты для создания сетевых приложений)
     • Не имеют доступа к ресурсам сервера напрямую. Все свои действия должны координировать с Сисадминами и Сетевыми Техниками.
   • Продвинутые пользователи (вкурсе всяких гадостей, пытаются сами от них защищаться, обычно IT отдел любой компании кишит такими «знайками»)
     • Для них следует держать отдельный раздел в интранете компании, где обсуждаются все политики безопасности. Тем не менее, их деятельность должна находится под присмотром «технарей», которые, в свою очередь, получают ЦУ от сисадминов.
   • Простые пользователи (вкурсе терминов «вирус» и «хакер», однако на практике не предпринимают шагов к своей защите).
     • Любые действия внутри системы мониторятся общей системой безопасности. При любом намёке на нестандартное поведение в сети — аккаунт блокируется до выяснения обсстоятельств.
   • Общие ЦУ
     • Смена паролей доступа раз в неделю
       • Простые пароли не должны приниматься системой
     • Наряду в паролем должен присутствовать второй метод аутенфикации (смарткарта, отпечаток пальца, скан ретины — что угодно)
     • Постоянное проведение семинаров по повышению “awareness”
       • Инкогнито симулировать нападения на всю информационную сеть, далее на семинаре публично обсуждать провал. Все работники должны быть в кусре своих же слабостей.
     • Paperless Office
       • В нерабочее время на столах сотрудников не должно находится ни одного листка бумаги. Все ящики должны быть заперты. Уборщикам дать ЦУ по уничтожению любых свободнодоступных бумаг.