Что нужно для внутренней защиты

При необходимости обеспечить внутреннюю безопасность ситуация еще более усложняется. В предельном случае все внутренние компьютеры должны рассматриваться как потенциально уязвимые со всеми вытекающими последствиями: отслеживанием их конфигурации и постоянным мониторингом уязвимостей. К счастью, эту задачу, хороший сканер безопасности позволяет сильно упростить и в значительной степени автоматизировать.

Кроме того, тут сразу возникает еще как минимум пара задач:

1) создание грамотной архитектуры внутренней сети (кроме единовременного повышения защищенности она к тому же позволяет минимизировать усилия на дальнейшее обеспечение безопасности)

2) разработка и соблюдение так называемой политики (или нескольких политик) безопасности, то есть набора правил, касающихся различных вопросов работы сети (создание и модификация паролей, регламент доступа к тем или иным ресурсам).

Первый пункт можно сделать, что называется, "за раз", а вот вторым надо заниматься постоянно, и именно он оказывается, как правило, самым тяжелым — главным образом, в организационном плане. Самое неприятное, что его реализацию невозможно в значительной степени автоматизировать.

Но, несмотря на то, что достичь идеально работающей архитектуры и политики безопасности достаточно трудно, можно построить сеть с очень высокой степенью защищенности. В этих обстоятельствах ключевым оказывается опять-таки постоянный мониторинг уязвимостей отдельных компьютеров. В принципе, даже далекая от идеала сеть, в которой каждый отдельный компьютер является неуязвимым, может рассматриваться как хорошо защищенная. Другими словами, грамотное решение задачи аудита сетевой безопасности (которая хорошо автоматизируется) позволяет в значительной степени компенсировать недоработки в тех областях, где решение проблем более трудоемко или затруднено по тем или иным причинам.