| Red Hat Linux 7.1: Das Offizielle Red Hat Linux Referenzhandbuch | ||
|---|---|---|
| Zurück | Kapitel 7 Basishandbuch über die Sicherheit von Red Hat | Vor |
Auf jedem Rechner sollte eine Sicherheitspolitik angewendet werden, unabhängig davon, ob er von nur einer Person oder von tausenden Benutzern eines Unternehmens benutzt wird. Bei der Sicherheitspolitik handelt es sich um eine Reihe von Richtlinien, die eingesetzt werden um zu beurteilen, ob eine bestimmte Aktivität oder Anwendung auf einem System entsprechend dem Zweck desselben ausgeführt bzw. verwendet werden sollte oder nicht.
Die Sicherheitspoltik kann von System zu System sehr unterschiedlich sein. Wichtig ist jedoch, dass für Ihr System effektiv eine solche Politik existiert - ob sie nun Bestandteil des Handbuchs der Unternehmenspolitik ist oder nicht.
Jede Art der Sicherheitspolitik sollte anhand der folgenden Richtlinien entwickelt werden:
Lieber einfach als komplex — Je einfacher und eindeutiger die Sicherheitspolitik, desto wahrscheinlicher ist es, dass die Richtlinien befolgt werden und damit die Sicherheit des Systems gewährleistet wird.
Einfache statt schwierige Wartung — Sicherheitsmethoden und -tools sind wie alles andere auch ständig neuen Erfordernissen und Veränderungen unterworfen. Die Sicherheitspolitik für Ihr System sollte daher so konzipiert sein, dass die Auswirkungen solcher Entwicklungen auf Ihr System und seine Benutzer möglichst gering sind.
Die Freiheit durch das Vertrauen in die Systemintegrität fördern statt die Leistungsfähigkeit des Systems zu hemmen — Vermeiden Sie Methoden und Tools, die das System zwar sicher machen, den Nutzen Ihres System jedoch unnötig mindern. Leistungsstarke Sicherheitsmethoden und -tools machen das System sicherer, bieten den Benutzern aber gleichzeitig einen mölichst größeren Handlungsspielraum.
Erkennen von Fehlern statt falsche Sicherheit — Eine erfolgreiche Art und Weise, ein Sicherheitsproblem zu verursachen, ist zu glauben, in Ihrem System können keine Probleme auftauchen.
Sich auf wirkliche Probleme konzentrieren statt sich nur mit der Theorie zu befassen — Verwenden Sie Ihre Zeit darauf, sich mit den größten tatsächlichen Problemen zu befassen. Setzen Sie Prioritäten. Um besser zu verstehen, welche Prioritäten gesetzt werden sollten, besuchen Sie http://www.sans.org/topten.htm oder ähnliche Websites, die sich umfassend mit Sicherheitsproblemen, die eine reale Gefahr darstellen, auseinandersetzen und Lösungsvorschläge bieten.
Sofort handeln statt aufschieben — Stellen Sie eventuelle Probleme fest und bestimmen Sie, ob sie eine Gefahr darstellen. Geben Sie sich nicht der Illusion hin, dass Sie sie auch später noch lösen können. Es muss hier und jetzt gehandelt werden, insbesondere dann, wenn Risiken für Ihr System bestehen.
Wenn Sie der Meinung sind, dass Ihre Sicherheitspolitik so restriktiv ist, dass das System nicht mehr so genutzt werden kann wie eigentlich vorgesehen, dann sollten Sie in Erwägung ziehen, den Zugriff auf das System weniger strikt zu kontrollieren. Wenn Ihre Sicherheit dagegen ständig gefährdet ist, dann sollten Sie die Politik dahingehend ändern, dass der Zugriff eingeschränkt wird. Vergessen Sie dabei nie, dass eine Sicherheitspolitik kein statisches Dokument oder Konzept ist und daher ständig an die sich verändernden Ziele und Benutzer angepasst werden muss. Überarbeiten Sie Ihre Sicherheitspolitik immer im Hinblick auf die sich ergebenden neuen Erfordernisse.