Цитата dmitryst:
|
Но остаются еще рядовые сотрудники, которым ничего не стОит принести конягу на флешке, и по боку вся авторизация. Моё мнение - сервис не должен иметь связи с локальной сетью, либо только через vlan с рабочей машиной администратора. Это ограничит доступ (и как следствие, атаки) с локальных рабочих мест, и даст возможность сосредоточиться только на внешней безопасности. »
|
"Кошерная" реализация требует идентичной процедуры входа и проверки для всех пользователей, в том числе и включая ЛВС. Иное дело, что для Инетовский она должна быть дополнительно усилена. Изоляция системы в отдельный сегмент - это азы, тут даже книжек читать не надо, достаточно все руководящие документы по ИТ безопасности пролистать.
Цитата dmitryst:
|
Snort + Unix отсекут еще процентов 60 атакующих ("скрипт-кидди") »
|
Системы типа IDS, IPS хороши в донастроенном варианте, .т. е. когда настройщик знает точно нормальный режим работы системы и может описать аномалии.
Про SQL-инекции и тому подобные угрозы молчу, т. к. приличная система должна ВСЕГДА анализировать вводимые данные на валидность, вне зависимости от того защищенная она или нет.
