278

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 251-300

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

278 Глава 5. Обеспечение безопасности процессингового центра безопасности серверов в зоне 2 является отключение ненужных служб и процессов, открывающих потенциальные уязвимости в системе. На¬ пример, для серверов баз данных необходимо отключать сетевой доступ к операционной системе (ftp, telnet) и разрешать только доступ к базе данных по защищенным протоколам передачи данных (например, IPSEC). Хорошим дополнением к системе безопасности в зоне 2 могут служить системы предупреждения и предотвращения вторжения (IPS/IDS). Они позволяют заблокировать определенные сетевые адреса в случае обнару¬ жения потенциально опасного сетевого трафика (например, сканеры се¬ тевых портов, попытки атаки типа Bruteforce, DDOS-атаки и пр.). По¬ вышенным интересом у злоумышленника могут пользоваться и мар¬ шрутизаторы/межсетевые экраны. Для повышения безопасности дан¬ ные сетевые компоненты могут иметь специальный сетевой интерфейс (management), который используется для проведения настройки обору¬ дования. В штатном режиме этот интерфейс не имеет подключения к ка¬ кой-либо сети, и конфигурация с других сетевых интерфейсов этого оборудования невозможна. В зоне 3 располагаются рабочие места сотрудников ПЦ. Данная зона также выделена в единую сеть, поскольку управление рабочими места¬ ми — задача отнюдь непростая и также требует повышенных мер безо¬ пасности. В данной зоне помимо рабочих мест персонала располагается сетевое оборудование ввода/вывода (принтеры, факсы, сканеры и т. д.). Также может быть размещен дополнительный контроллер рабочих мест (domain controller) для повышения отказоустойчивости системы в це¬ лом. Доступ сотрудников к тем или иным приложениям управляется на уровне политики безопасности и на уровне межсетевых экранов. Пользовательский уровень безопасности Данный уровень безопасности в ПЦ обеспечивается за счет возмож¬ ности разделить доступ к тем или иным ресурсам в разрезе пользовате¬ ля или группы пользователей. Практически в любой современной операционной системе существу¬ ет возможность разграничить доступ к определенным ресурсам на уровне пользователей. Таким образом, каждый пользователь в сети ПЦ (в том