*Los servidores estarán aislados en un cuarto con cerradura electrónica cuya clave solo conocerán los administradores.
*Los servidores se encontrarán bajo llave en sus estantes.
*EL gabinete del servidor tiene un cable de seguridad que evita que el gabinete sea abierto (asi un disco duro con información delicada no puede ser extraído).
*Las cintas de respaldo están guardadas en un gabinete con llave en un cuarto cerrado.
¿Que mecanismos de seguridad de red se utilizaran?
*Un firewall limita el acceso a puertos de red específicos (por ejemplo, el puerto 80 para acceso al servidor web).
*Programas de firewall limita el acceso a puertos de red específicos (por ejemplo, el puerto 80 para acceso al servidor web).
*Solo los equipos frontales son accesibles en Internet. Otros equipos en el cluster se cmuncian utilizando únicamente la red LAN privada.
*Los usuarios pueden conectarse al servidor desde rangos específicos de direcciones IP (por ejemplo, computadoras personales en la red del campus universitario).
*Usuarios específicos (por ejemplo, administradores) pueden conectarse únicamente desde rangos específicos de direcciones IP.
*Toda la comunicación de red se realiza en una red privada virtual (VPN) que está encriptada y no es accesible a personas externas.
*Toda la comunicación de red se realzia en una LAN que tiene conexiones a Internet.
¿Qué seguridad para el sistema operativo se utilizará?
*Las cuentas de usuario del sistema operativo jamás se crearán en los servidores, excepto las que necesite la aplicación en si.
*Los diferentes componentes en la aplicación se ejecutan como cuentas de usuario diferentes del sistema operativo, y solo tienen acceso a ciertos archivos.
*Los permisos del sistema operativo en los archivos y directorios se fijan para prevenir accesos indeseados o modificaciones.
*Se utilizará software para detección de intrusos en el servidor para detectar cualquier modificación hecha por hackers.
*Los administratores supervisarán las listas de correo de seguridad en busca de notas sobre agujeros de seguridad en cualquiera de los componentes que usamos y por parches de seguridad y se aplicarán rápidamente las actualizaciones.
*La información en discos y cintas de resplado es almacenada usando un sistema de archivos en clave para que la información esté protegida si el medio físico en si es robado o accesado de alguna otra forma.
¿Qué mecanismos de seguridad se utilizarán en la aplicación?
*El valor de los datos se evaluará antes de ser procesado
*Los nombres de usuarios y contraseñas que se requieren para acceso
*Las contraseñas se almacenan encriptadas
*Verificación de cuenta de correo del usuario
*Se revisará la calidad de las contraseñas
*Los usuarios deben certificar los archivos en su equipo cliente antes de que puedan conectarse al servidor
*Los usuarios deben tener dispositivos de seguridad física (e.g., hasp, dongle, smartcard, or lector de huella digital)
Los usuarios tiene roles asignados que definen sus permisos. Estos roles son:
Invitado: Visitante al sitio que no ha iniciado sesión, sin permisos para cambiar nada
Invitado: Visitante al sitio que no ha iniciado sesión, puede publicar mensajes de forma anónima
Usuario Registrado: usuario que ha iniciado sesión, tiene permisos para X, Y y Z
Administrador: Permisos para cambiar cualquier cosa, incluso en lugar de otros usuarios normales.
*Cada acción (despliegue o cambio de información) necesita que el usuario tenga un rol con los permisos apropiados
*Cuentas en peligro o usadas para abusos puede ser deshabilitadas rápidamente por los administradores.
*Los administradores pueden evaluar los permisos de los usuarios
*Los administradores pueden auditar todos los accesos y cambios
*Todas las comunicaciones con el usuario están encriptadas (por ejemplo, usando SSL)
*Algunas comunicaciones con el usuario (por ejemplo, el nombre del usuario y la contraseña) están encriptadas (por ejemplo, usando SSL)
*Las sesiones están atadas a un dirección IP particular para que no sea posible utilizar cookies robadas.
*Cookies de sesión son cadenas aleatorias grandes que no pueden ser adivinadas.
*Las sesión tienen tiempo de expiración para que las terminales innatendidas no puedan se utilizadas para abusos.
*Las acciones que parecen destruir datos realmente la mueven a un lugar donde puede ser aún evaluada por los administradores.
*Información delicada, como números de tarjetas de crédito es procesada pero no almacenda en ninguna base de datos o archivo.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario