Hasła użytkowników

Hasło powinno być łatwe do zapamiętania przez użytkownika i jednocześnie trudne do odgadnięcia przez intruza. Nie może go znać nikt, z wyjątkiem danego użytkownika. Podstawowe reguły prawidłowego obchodzenia się z hasłami są następujące:

• Administrator zna tylko hasło inicjalne.

• Hasło powinno być przechowywane w zasobach systemu w postaci zaszyfrowanej odpowiednio silnym algorytmem kryptograficznym⁵.

• Musi być zmieniane regularnie, a w wyjątkowo odpowiedzialnych systemach po każdym seansie pracy użytkownika, którego czas też może być limitowany.

3.2 Stosowanie systemowych rejestrów zdarzeń Dziennik systemowy i dziennik zmian

Podstawowym narzędziem bezpieczeństwa jest dziennik systemowy. W nim zapisywane są wszystkie próby (legalne i nielegalne) dostępu do zasobów systemu. Częstotliwość przeglądania dziennika przez administratora systemu jest ściśle powiązana z poufnością przechowywanych danych. Dziennik systemowy jest również cennym zasobem systemu i podlega takiej samej ochronie, jak dane produkcyjne. Nie może być on przypadkowo skasowany, zmodyfikowany lub skrócony. W wielu instalacjach prowadzi się bieżący zapis kopii dziennika na nośniki WORM (dyski kompaktowe jednorazowego zapisu) i/lub bezpośrednio na drukarkę.

3.3 Przechowywanie zapasowych kopii danych. Zabezpieczenia okresowe

To najbardziej tradycyjna metoda zabezpieczania danych. Stosowne kopie zbiorów tworzone są w ustalonych cyklach lub przy określonych działaniach (np. przed naprawą komputera). Zaleca się, aby kopie zbiorów newralgicznych były przechowywane poza terenem danej instytucji - właściciela systemu, np. w sejfie bankowym.

Zabezpieczanie w czasie rzeczywistym

To oprogramowanie, które ma za zadanie nanosić zmiany zbiorów i innych obiektów (np. kolejek, profili użytkowników) z maszyny produkcyjnej na odpowiadające im zbiory/obiekty na maszynie zapasowej. Systemem takim powinno się operować zarówno z maszyny nadawczej, jak i odbiorczej. Oprogramowanie powinno też umożliwiać zmianę ról maszyny produkcyjnej i zapasowej.

Zabezpieczanie takie może odbywać się w trybie asynchronicznym (komputer nadawczy nie czeka na potwierdzenie zapisu kopii transakcji na komputerze odbiorczym) lub w trybie synchronicznym. Duży wpływ na wybór trybu zabezpieczania ma niezawodność łączności między komputerami.

3.4 Ochrona przeciw atakom na sieć LAN

Potencjalny atak na tę sieć może polegać na uzyskaniu dostępu do zasobów danego serwera lub na nie kontrolowanym przedostaniu się poprzez serwer skonfigurowany jako router. Stosowane mechanizmy ochrony przed dostaniem się do serwera polegają na utrzymaniu tajności haseł użytkowników i regularnym, systemowym wymuszaniu ich zmiany. W serwerze skonfigurowanym jako router należy uruchamiać opcję blokady przenoszenia pakietów IPX z jednej sieci do drugiej.

Systemy typu firewall do zabezpieczeń przed ingerencją z zewnątrz

Zadaniem systemu firewall jest ochrona lokalnej sieci przed atakiem z zewnątrz. Ogólnie można określić, że firewall jest zestawem sprzętu komputerowego i oprogramowania, mającego za zadanie przyjęcie na siebie każdego ataku, zarejestrowanie tego faktu i uniemożliwienie rozprzestrzenienia się skutków ataku na dalszą część systemu⁶.

3.5 Ochrona przeciw wirusom i innym tego rodzaju zagrożeniom

Ochrona przeciw wirusom

Składa się ona z wielu czynności, które muszą być wykonywane regularnie przez administratora, osoby odpowiedzialne za bezpieczeństwo oraz, przede wszystkim, przez użytkowników. Bardzo dobrym zabezpieczeniem przed wirusami jest stosowanie bezdyskowych komputerów sieciowych. W celu ochrony przed ulokowaniem się wirusów komputerowych stosuje się systemy do ich zwalczania na poszczególnych stacjach roboczych, systemy do zwalczania wirusów atakujących samo środowisko sieciowe, a zwłaszcza serwery. Najczęściej wirusy trafiają poprzez dyskietki, dlatego należy rozważyć potrzebę posiadania czytników dyskietek na poszczególnych stacjach roboczych oraz ustalać drobiazgowe procedury sprawdzania i wczytywania danych z dyskietek. Podobnie należy zadbać o rozwiązania proceduralne i techniczne styku systemu z Internetem.