Алекс Экслер - Омерт@. Учебник по информационной безопасности для больших боссов

4. Проверка на соответствие требованиям сложности

Часть из того, о чем я говорил в разделе, посвящённом паролям, можно заставить проверять сам сервер. Если включить дополнительную проверку на соответствие пароля требованиям сложности, сервер уже не разрешит вводить никаких «Серёж» или «Наташ», а заставит пользователя при вводе пароля выполнить мои рекомендации: использование различных регистров (прописные и строчные буквы), десятичных цифр и символов, не принадлежащих алфавитно-цифровому набору. Пользователи при этом, конечно, скажут много-много горьких, а иногда даже нецензурных слов, но их пароли будут соответствовать хоть каким-то требованиям безопасности.

Другой вопрос – как добиться от пользователей, чтобы они не писали пароль у себя на лбу или на стикере, прилепленном к монитору, но этому будет посвящена отдельная глава.

Программа защиты и реабилитации свидетелей

Теперь, когда у тебя все данные (надеюсь) лежат на сервере, возникает другой вопрос: как защитить сам сервер. Мы всю информацию доверили одному компьютеру (путь даже вполне продвинутому и надёжному), но если различные существа с лёгкостью получат к нему доступ – грош цена всей нашей тщательно разработанной системе, правильно? Оно, конечно, без знания администраторского пароля доступ к данным они просто так не получат, но и админ может какнуть в родное гнездо, продав пароль, и без этого пароля всё-таки можно влезть в компьютер, как это ни печально звучит.

Поэтому сервер также должен быть защищён. Чисто физически. Для этого его помещают в отдельную комнату со стальной дверью, доступ в которую разрешён только админу и тебе, Большому Боссу. Да и тебе, если честно, там делать совершенно нечего. Обычно рядом с сервером находится только админ – в основном для того, чтобы в случае наступления «Времени П» сделать с сервером что-нибудь нехорошее, дабы он не достался врагу.

Есть самые разнообразные способы физически защитить сервер. Принимая решение о том, какой из них использовать, задумайся вот на какую тему: если ставить на помещение с сервером хорошую стальную дверь стоимостью долларов в семьсот, вряд ли имеет смысл снабжать её кодовым замком долларов за двадцать, который открывается расческой доллара за полтора. Я понимаю, что эта фраза звучит предельно банально, но ты не поверишь, как часто в офисах я встречал именно такую ситуацию – совершенно дурацкий замок на дорогой двери, ведущей в серверную.

Этот странный зверь по кличке «сетевой администратор»

Раз уж мы заговорили о локальной сети, нужно хотя бы в общих чертах побеседовать о том, кто же такой этот сетевой администратор (админ), как он должен работать, сколько получать и с чем его едят в случае необходимости…

В народе бытуют легенды о том, что самый хороший сетевой администратор – это тот, который с утра до вечера сидит за своим компьютером и занимается следующими важными делами: болтает по Интернету с другими сетевыми администраторами, также изнывающими от тоски, со вкусом играет в весьма сложные компьютерные игры и составляет различные музыкальные или художественные (я имею в виду порнуху) коллекции. Ты спросишь, почему этот бездельник ещё и считается лучшим? Потому что, дескать, у него сеть работает настолько безукоризненно, что с ней и делать ничего не надо – все пашет само собой, а ему остается только сидеть рядом «на всякий пожарный».

Верно это или нет? С одной стороны, какая-то сермяга в подобном определении всё-таки существует: намного лучше иметь бездельничающего админа, у которого сеть работает безукоризненно, чем админа, который с утра до вечера в поте лица пытается разобраться, почему у него всё глючит на различных направлениях, а сеть при этом толком не работает. Но с другой, если у тебя достаточно развитая сеть (скажем, от 10-20 компьютеров), то админ от безделья там точно не помрёт, потому что даже обычное обслуживание подобной сети занимает ощутимое время, не говоря уж о том, что в любой фирме сеть имеет обыкновение развиваться: старая техника меняется на новую, добавляются новые компьютеры, устанавливаются дополнительные сервисы и так далее.

Разумеется, основная загрузка у админа бывает на этапе стартапа: когда он прокладывает сеть, подключает компьютеры, запускает сервер, разрабатывает и устанавливает виды доступа, разгребает различные стартаповые проблемы. Это может длиться несколько недель или даже месяцев (в зависимости от размера сети и поставленных перед админом задач). Однако суровая беготня во время стартапа вовсе не означает, что когда всё будет сделано, админ теперь пожизненно должен сидеть на заднице и развлекаться в Интернете. Процесс сопровождения локальной сети включает в себя определенное количество мероприятий, которые должны проводиться ежедневно. Если админ это всё делает раз в неделю, а то и раз в месяц – грош цена такому админу. Конечно, часть процедур можно автоматизировать, и от админа требуется только проверять, всё ли прошло как надо, однако есть вещи, которые автоматизировать невозможно.