Читаем Защита от хакеров корпоративных сетей полностью

При этом совсем не предполагается, что передача информации идеальна. Министерство обороны США в превосходном (прежде всего по содержанию, следует обязательно прочитать, как можно быстрее, без промедления установите на нем закладку (закладка – маркер, уникально идентифицирующий запись или строку в базе данных, строку в исходном коде или позицию в файле текстового редактора) и подсветите URL документа) отчете под названием «Реализация потенциала C4I» обращает внимание на следующее:

...

...

Отключенная от любой сети система не может быть взломана (по крайней мере до тех пор, пока кто-либо не получит доступ с локальной консоли), но при этом ее нельзя использовать. Статистика свидетельствует, что некоторый процент несанкционированных пользователей будут пытаться получить доступ к ресурсу, к которому они не допущены. Несколько меньший процент от их числа будут пытаться фальсифицировать свои идентификационные данные. Из попытавшихся пользователей меньший, но не нулевой процент действительно будут обладать необходимой квалификацией и мотивацией для успешного (с их точки зрения) взлома установленной системы защиты. Так будет на любой установленной системе. Единственный способ избежать опасности попадания данных в неавторизованные руки заключается в недопущении какой-либо их рассылки.

Существует простая формула: для предотвращения несанкционированного раскрытия или потери защищенных данных администратору сети нужно полностью запретить удаленный доступ. Статистика свидетельствует о том, что лишь небольшое количество доверенных пользователей откажутся от доступа к данным, которые они уполномочены обрабатывать, прежде чем система защиты будет отклонена как слишком громоздкая и неудобная. Во время проектирования системы безопасности никогда не следует забывать о практическом результате ее использования. В противном случае с большей вероятностью откажутся от системы, чем от необходимого практического результата. Нельзя заработать на системе, если не видно, что она защищена от атак злоумышленника.

Как автор уже упоминал ранее, нельзя доверять каждому, но кому-то довериться все-таки надо. Если пользующиеся доверием люди имеют тенденцию располагаться в контролируемой администратором безопасности сети, то управление входными (правом доступа) и выходными (правом выхода) точками контролируемой сети позволит ему определить сервисы, если они есть, с помощью которых внешний мир может прислать сообщения компьютерам его сети. Межсетевые экраны являются хорошо известным первым рубежом защиты сети от атаки злоумышленника. Они не позволяют принимать сообщения от недоверенных доменов. В большинстве случаев межсетевые экраны самостоятельно не могут доверять содержимому проходящих через них сетевых пакетов, потому что оно может быть фальсифицировано любым доменом, через который прошел пакет, или даже его отправителем. Тем не менее в передаваемом пакете есть небольшая порция данных, которая выдает собственника пакета. Она несет информацию об отправителе данных. Этой маленькой порции данных достаточно для однозначной идентификации сети. Ее достаточно для предотвращения, помимо многого другого, появления в сети пакетов, которые были присланы в сеть недоверенными внешними пользователями. Ее даже достаточно для защиты от передачи компьютерам сети пакетов от пользователей, которые, являясь на самом деле недоверенными пользователями, маскируются под доверенных.