 |
 |
 |
 |
 |
 |
 |
| 30 |
31 |
1 |
2 |
3 |
4 |
5 |
| 6 |
7 |
8 |
9 |
10 |
11 |
12 |
| 13 |
14 |
15 |
16 |
17 |
18 |
19 |
| 20 |
21 |
22 |
23 |
24 |
25 |
26 |
| 27 |
28 |
29 |
1 |
2 |
3 |
4 |
styczeń
[luty]
marzec
kwiecień
maj
czerwiec
lipiec
sierpień
wrzesień
październik
listopad
grudzień
|
Wytyczne
Wpis z dnia: 2012-02-08, z godziny: 08:02
Czytając opublikowane przez MAC i CERT wytyczne w zakresie ochrony portali) mam w głowie mętlik. Od 2010 roku MSWiA "pracuje" nad rządowym programem ochrony cyberprzestrzeni. Od 2007 roku - nad Krajowymi Ramami Interoperacyjności, które też poruszały kwestie bezpieczeństwa teleinformatycznego.
O co tu chodzi? Od kilku lat dwa duże i dość solidne projekty dotyczące bezpieczeństwa teleinformatycznego administracji leżą rozgrzebane i nikomu jak widać specjalnie nie zależy na ich ożywieniu (może się mylę? chciałbym). Dochodzi do włamań ( admin1). Więc w trybie ekspresowym MAC i CERT publikują zbiór dość przypadkowych zaleceń, które mają... no właśnie - co? Zastąpić RPOC czy KRI? Jaka jest w ogóle relacja między tymi dokumentami?
Zalecenia są słuszne ale, delikatnie mówiąc, napisane na kolanie i ich przydatność dla szeregowego administratora w powiatowym urzędzie pracy będzie bliska zeru. Są one sformułowane ogólnikowo i niezwiązane z niczym. Każdy z punktów powinien przecież wynikać z jakiejś ogólnokrajowej polityki bezpieczeństwa teleinformatycznego. Każdemu punktowi powinien towarzyszyć link do strony CERT lub MAC zawierającej przykłady jak to zrobić poprawnie. Na przykład - szablon umowy na świadczenie usług hostingowych na rzecz urzędu.
Wytyczne plączą niskopoziomowe zalecenia techniczne (dla administratorów) z zaleceniami dla ludzi od zamówień publicznych (umowy z ISP). Te ostatnie to przecież obecnie cała oddzielna nauka ( business continuity planning). Innymi słowy, jeśli ktoś nie ma certyfikatu CISSP lub podobnego to się w tych wszystkich zaleceniach nie połapie. A jak ma to mu są niepotrzebne.
No i jeszcze detal techniczny - piszę powyżej o "linkach do stron CERT". Ale jakie linki skoro wytyczne dotyczące internetowych portali informacyjnych są opublikowane w postaci krzywo zeskanowanej kartki papieru? Jeśli minister cyfryzacji i zespół reagowania na incydenty komputerowe nie potrafią opublikować prostego dokumentu w postaci strony HTML lub tekstowego PDF to jak można oczekiwać, że ktokolwiek potraktuje poważnie zalecenia dotyczące haseł czy tuneli VPN?
Komentarze:
Redakcja Computerworld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
|
LOJuAZrjWWcSsBcyCFz | | IP: 109.230.216.60 | 04-03-2012, 12:59 | | Just to try something reiffdent I would love for them to get some competing approaches in there, maybe a crossfit/paleo trainer. Something reiffdent than the standard type trainers they have had. They did that a little this past season, but i dont think there was enough of a reiffdentiator to what Bob and Jillian do. And btw watching Bob's people do kettelbell swings makes me want to grab my own back their form is so bad. |
|
|
pawel.krawczyk | | IP: 89.75.32.149 | 09-02-2012, 10:42 | | Jarek - to się nazywa crowdsourcing :) |
|
|
asq | | IP: 193.200.227.200 | 08-02-2012, 21:32 | | nie wystarczyłoby gdyby przetłumaczyli IT-Grundschutz i zobowiązali podwykonawcę do wdrożenia zgodnie ze standardami? |
|
|
JareK | | IP: 81.210.83.194 | 08-02-2012, 16:00 | Oto treś dokumentu po przetworzeniu OCR-em (tylko czy nie podpadam pod ACTA? ;) ):
WYTYCZNE w zakresie ochrony portali informacyjnych administracji publicznej
Jednym z wniosków wyciągniętych z ataków przeciwko systemom leżącym w domenie gov.pl jest brak możliwości zapewnienia monitorowania w czasie rzeczywistym obciążenia witryn, a co za tym idzie -szybkiego reagowania na incydent.
Niezbędne jest ustanowienie stałych kontaktów z Rządowym Zespołem Reagowania na Incydenty Komputerowe CERT.GOV.PL oraz obowiązek wdrażania zaleceń CERT.GOV.PL.
Doraźnie należy obligatoryjnie zastosować, w zakresie zawieranych umów na prowadzenie portali, zapisy umożliwiające:
• wdrożenie systemów eliminacji ruchu anonimizowanego (tj. TOR, znane Anon-oraz Open - Proxy, znane Anon - VPN, ńp.) oraz wymuszenie ciągłej aktualizacji tych mechanizmów,
• możliwość całkowitego filtrowania ruchu dotyczącego określonych typów pakietów lub całych protokołów (np. UDP lub ICMP);
• wprowadzenie odpowiedzialności firmy hostującej za zapewnienie ciągłości działania powierzonego serwisu ( w przypadku Operatora zapewniającego jedynie połączenie - minimalną, gwarantowaną przepustowość łącza);
• użycie mechanizmów automatycznego (oraz na żądanie) przełączania wersji witryn (strona dynamiczna -strona statyczna - informacja o przerwie techniczne) w zależności od poziomu wysycenia łącza oraz obciążenia serwera świadczącego usługi publiczne;
• dla serwisów o wskazanej wyżej dostępności usług wprowadzenie mechanizmów rozkładających ruch w przypadku dużego natężenia pomiędzy grupę serwerów;
• wdrożenie rozwiązań kontrolujących zawartość strony (od strony serwera) i raportujących o możliwości nieuprawnionej modyfikacji treści serwisu wraz z możliwością automatycznego zablokowania wyświetlania zmienionej strony.
Mając na względzie konieczność utrzymania kontaktów urzędników administracji rządowej z podmiotami zewnętrznymi za pomocą intemetowej poczty elektronicznej należy wdrożyć niezbędne procedury bezpieczeństwa nie tylko po stronie systemowej ale także użytkownika, W tym celu należy:
• w związku z powtarzającymi się atakami słownikowymi na konta pocztowe jednostek administracji państwowej, zaleca się zablokowanie dostępu do tych kont z sieci Internet a pozostawianie jedynie możliwości logowań sieci wewnętrznej;
• w przypadku, gdy dostęp do poczty elektronicznej jest niezbędny z sieci Internet, należy go zrealizować poprzez szyfrowane tunele VPN;
• niezbędna jest zmiana haseł użytkowników na mało podatne na tego typu ataki zawierające duże, małe litery, znaki specjalne oraz cyfry;
• z uwagi na próby ataku na systemy i użytkowników po stronie administracji rządowej poprzez zainfekowanie poczty elektronicznej zaleca się zachowanie szczególnej ostrożności przy otwieraniu otrzymanych załączników. W przypadku otrzymania nieoczekiwanej przesyłki pocztowej, która zawiera załącznik lub odsyła do treści bezpośrednio do strony WWW, zaleca się aby nie otwierać załącznika ani korzystać bezpośrednio z przesłanych odnośników;
• w okresie średnioterminowym administratorzy systemów pocztowych powinni wdrożyć rozwiązania zabezpieczające oparte o kaskady oprogramowania antywirusowego, silne mechanizmy antyspamowe, filtrowanie i blokowanie wysyłanej i odbieranej poczty wg zdefiniowanych warunków (ochrona przed wysyłką dokumentów, informacji wewnętrznych);
• wszelkie podejrzane wiadomości w całości (wraz z nagłówkami i załącznikiem)należy przesłać do weryfikacji do zespołu CERT.GOV.PL na adres incvdent@cert.gov.pl
Dodatkowo należy bezwzględnie wdrażać w życie zalecenia i wytyczne publikowane okresowo przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL, a także przesyłane bezpośrednio do administratorów systemów. W przypadku jakichkolwiek podejrzeń wystąpienia incydentu użytkownik powinien niezwłocznie skontaktować się z lokalnym administratorem, natomiast administratorzy z zespołem CERT.GOV.PL. |
|
|
pawel.krawczyk | | IP: 89.75.32.149 | 08-02-2012, 14:12 | | Wczoraj mnie o to pytała red. Siedlecka z GW i podałem jej przykład Wikipedii, która blokuje edycje z Tora i open-proxies. Ale *edycje* a nie zwykłe przeglądanie artykułów. Ba, ja też korzystam z http:BL i RBL w mod_security na swoich serwisach do blokowania spammerskich komentarzy. I znowu *komentarzy* a nie zwykłych pobrań stron. |
|
|
Marcin Marciniak | | IP: 89.72.108.255 | 08-02-2012, 12:50 | | Wg mnie obowiązek filtrowania ruchu anonimowego to kretyństwo i skandal. Ruch taki nie służy do ataków. Jak ktoś się będzie chciał włamać i posiada odpowiednią wiedzę, zrobi to z otwartego lub słabo zabezpieczonego cudzego hotspotu. Bo to mało otwartych hotspotów na świecie? |
|
