Du kan med fordel forsoege at besvare de spoergsmaal som stilles i
OSS'en (fx. hvad beskytter du og fra hvem?):
http://sikkerhed-faq.dk/indledning#bedste
Morten Snedker wrote:
[..]
> Nu har vi så langt om længe besluttet os for, at nu vil vi have os en
> egentlig sikkerhedspolitik.
[..]
Du siger du vil skrive en sikkerhedspolitik men de fleste af dine
spoergsmaal handler om teknik. Det er der for saa vidt ikke noget i
vejen med, men du skal vaere klar over hvilken retning du gaar i.
*Hvis* du vil gaa i retningen af en sikkerhedspolitik skal du have en
fornemmelse for prisen af jeres data - ikke noedvendigvis i kroner, men
hvert fald i kategorierne "hoej", "medium" og "lav." - hvad koster det i
mandetimer at genskabe jeres setup? Hvad koster det i mandetimer at
komme sig oven paa at andre faar fat i jeres data?
> Vi har én server, som fungerer både som filserver for virksomheden
> internt, samt som webserver og MS-SQL server.
Er det en ekstern webserver som hele verdenen tilgaar?
Jeres interne data skal ikke vaere ret meget vaerd for det let kan
betale sig at flytte websitet ud i byen som opdateringer saa skubbes ud
til naar de er klar. Det vil flytte en del risiko vaek fra jeres data.
Saaledes kan jeres angrebsflade reduceres til VPN serveren og de
klientprogrammer (mail klienter, PDF readers, picture viewers, media
players, etc) der modtager data fra tilfaeldige kilder.
> Serveren er en SBS-2000 med ISA-server. Lige foran den en Zyxell
> firewall. Sidstnævnte er egentlig kun implementeret af praktiske
> årsager i forbindelse med noget VPN, som vi ikke kunne få til at virke
> på SBS.
>
> Jeg skal nu lave et oplæg. Hvilke sikkerhedsmæssige problematikker kan
> I se i ovenstående oplysninger?
Small Business Server bryder kraftigt med reglen om at firewalls ikke
boer lave andet end at firewalle. Derfor kan man sige at produktet er et
problem i sig selv, men praecist hvor linen mellem acceptabelt og
uacceptabelt gaar er svaer at sige naar man ikke har nogen ide om hvilke
oekonomiske rammer vi taler om.
> Har ISA-server nogle fordele/ulemper værende en softwareløsning,
> fremfor en HW-firewall?
Det er foerst og fremmest to forskellige typer produkter. ISA kan lave
content inspection saa den kan tillade eller stoppe bestemte typer
trafik. De fleste appliances kun kan lave IP filtering der udelukkende
kigger paa IP adresser og portnumre.
Hvis det er billigere for jer at flytte websitet ud af jeres netvaerk
kan man sige at spoergsmaalet er irrelevant.
> Bør fil-, web- og SQL-server være tre seperate maskiner, set ud fra et
> sikkerhedssynspunkt?
Det kommer an paa.
Hvis det kun er interne medarbejdere der kan tilgaa maskinerne og deres
data er dit stoerste problem ofte tilgaengelighed: Maskinen springer i
luften - eller hele bygningen goer.
Alternativt at en sur medarbejder tager dataene med sig naar han siger
op eller at uvedkommende faar kontrol med en medarbejders PC og tilgaar
dataene paa den maade.
> Vi skal have lavet hjemmearbejspladser. I den forbindelse er jeg
> tilhænger af Remote Destop, hvor hver medarbejder kan få hul igennem
> til egen klient i virksomheden. Igen spørgsmål omkring problematik og
> evt. et overordnet løsningsforslag.
Naar virksomheden ikke ejer og styrer de maskiner som medarbejderne
logger ind fra, giver det god mening at antage der sidder en keystroke
logger paa klientmaskinen. Invester i en token-baseret loesning saa
angribere i det mindste ikke umiddelbart kan udgive sig for at vaere
jeres medarbejder.
Overvej om der skal vaere adgang til de mest foelsomme data, og overvej
om medarbejderne maa sidde og skrive foelsomme email svar naar deres
tasteslag bliver optagede.
Men det kommer igen an paa jeres oekonomi som vi ikke ved noget om.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed:
http://sikkerhed-faq.dk