Czy znane są Wam jakieś przetestowane reguły na budowę bezpiecznego hasła i loginu ?

Tak np. ISO/IEC 27001.

Chodzi o reguły typu minimalna, maksymalna długość znaków, powtarzanie loginu w haśle, znaki specjalne itd...

Konstrukcja samego loginu nie ma dużego związku z bezpieczeństwem.

Podstawowa zasada to taka, że system powinien zapewniać
niezaprzeczalność i rozliczalność czyli dla każdej krytycznej operacji
wykonanej w systemie powinno być możliwe dojście do tego KTO (osoba) tej
operacji dokonał. W tym świetle nie ma różnicy czy login jest "1234" czy
"kkosmowski" pod warunkiem, że istnieje możliwość rozwiązania tej nazwy
na konkretną osobę.

Druga zasada to taka, że login czy identyfikator nie powinien zdradzać
poziomu uprawnień. Czyli zastosowanie loginu "supermegaadministrator"
jest złe, zastosowanie skromnego loginu "kkosmowski" jest dobre.

Co do haseł to nie da się określić wymagań co do ich złożoności bez
doprecyzowania od strony beneficjenta systemu/gestora danych jak
ważny/krytyczny jest ten system. Przykładowo w przypadku gównianego
systemu, który mało co robi, nie jest istotny z punktu widzenia
utrzymania ciągłości działalności organizacji, nie jest objęty
odpowiednimi zapisami (np. Ustawa o Ochronie Informacji Niejawnych,
Ustawa o Ochronie Danych Osobowych) to hasło może być dowolne i dowolne
może mieć życie.

W pozostałych przypadkach obowiązują odpowiednie akty prawne czy zarządu
wewnętrznego. :) Tak to wygląda z punktu widzenia organizacji polityki
bezpieczeństwa.

Ergo hasło powinno być takie jakiego wymaga polityka bezpieczeństwa,
jeżeli system nie posiada polityki bezpieczeństwa to w zasadzie głupio
pytasz.

Możnaby powiedzieć ot tak se, że jakieś tam dobre praktyki narzucają
standard hasła w postaci minimum 8 znaków, w tym minimum jedna duża
litera i jedna cyfra. Zmieniane raz na kwartał, przy czym hasło nie może
zawierać słów słownikowych i nie może się powtarzać przez 2 lata...

No ale tak czy inaczej konstrukcja identyfikatora i hasła w normalnej
sytuacji to jest *pochodna* polityki bezpieczeństwa która to (ta
polityka) jest pochodną analizy ryzyka. Takie sobie ad hoc wymyślanie
reguł nie jest w niczym umocowanie mało co daje.

Na dobitkę dodam, że bez względu na powyższe w organizacji powinny
funkcjonować ciągle procesy łamania haseł - po prostu podpinasz typowe
oprogramowanie (np. john'a) pod system i nonstop próbujesz automatem
łamać hasła swoich użytkowników, jak się uda to należy użytkownika
poprosić o zmianę hasła.

KONSULTANT W ZESPOLE ZARZĄDZANIA RYZYKIEM I BEZPIECZEŃSTWEM INFORMACJI

Zadania
• realizacja projektów na terenie Polski
• przeprowadzania audytów bezpieczeństwa informacji
• dostosowywanie metod analizy ryzyka do specyfiki organizacji
• badanie ryzyka utraty informacji
• przeprowadzanie szkoleń
• zarządzanie realizowanymi projektami

Wymagania:
• wykształcenie wyższe,
• znajomość problematyki bezpieczeństwa informacji potwierdzona doświadczeniem,
• znajomość metodyki oraz umiejętność przeprowadzenia analizy ryzyka,
• znajomość norm ISO/IEC 17799 oraz BS 7799.
• dyspozycyjność
• prawo jazdy kat. B
Mile widziane:
• posiadanie uprawnień audytora wewnętrznego lub wiodącego BS 7799-2
• posiadanie certyfikatu CISA, CISM/CISP lub Security+
Oferujemy:
• rozwijającą pracę w młodym, dynamicznym zespole,
• możliwość ciągłego podejmowania nowych wyzwań,
• możliwość realizacji projektów dla największych firm w naszym kraju,
• motywacyjny system wynagrodzeń,

Szczególnym atutem będzie posiadanie doświadczenia w zakresie analizy ryzyka i audytów bezpieczeństwa w dużych firmach sektora finansowego (banki, firmy ubezpieczeniowe itp).
Zachęcamy do odwiedzin naszej strony i sprawdzenia referencji
Oferty: CV + list motywacyjny (z dołączoną klauzulą: Wyrażam zgodę na przetwarzanie danych osobowych zawartych w mojej ofercie pracy w celach rekrutacyjnych, zgodnie z ustawą z dn. 29.08.1997r. "O ochronie danych osobowych", Dz. U. nr 133, poz. 833) prosimy przesłać wpisując w temacie nr referencyjny na adres:
Doradztwo Gospodarcze DGA S.A.
ul. Towarowa 35, 61-028 Poznań
e-mail: michal.borucki@dga.pl

Dorn: 5,5 mln zł na ogrodzenie Sejmu
Ludwik Dorna chce ogrodzić budynek Sejmu/for. T. Zieliński
Ludwik Dorna chce ogrodzić budynek Sejmu/for. T. Zieliński /Agencja SE/East News

Środa, 3 października (19:39)

Zdaniem marszałka Sejmu Ludwika Dorna, płot wokół kompleksu budynków parlamentu "jest potrzebny ze względów bezpieczeństwa". Według Dorna, koszt ogrodzenia wyniósłby 5,5 mln złotych.

- Sejm to jest instytucja władz naczelnych Rzeczypospolitej. Są takie sytuacje, że w gmachu Sejmu przebywają wszystkie władze naczelne RP, co np. w USA jest ustawowo zakazane. W związku z tym, aby minimalizować ryzyko, stać budżet państwa na wydatek 5,5 mln złotych na płot - argumentował Dorn.

Jak podkreślił, pod koniec 2005 roku, jako ówczesny szef MSWiA, zlecił analizę zabezpieczenia najważniejszych gmachów w państwie.
czytaj dalej

- Uzyskałem informację, że zespołem gmachów nie posiadających praktycznie zabezpieczenia jest kompleks budynków Sejmu i Senatu - dodał marszałek.

Zaznaczył, że przedstawione zostały plany ewentualnego zabezpieczenia i w każdym z nich występował płot.

- W ramach tej analizy znajdowało się znamienne zdanie, że tam gdzie nie doszło do zdarzenia nadzwyczajnego, w postaci zabójstwa, ataku, poranienia, funkcjonuje taka skierowana pod adresem środków masowego przekazu, a "bruksów" zwłaszcza poprawność polityczna, że nie wypada odgradzać się od społeczeństwa, nie należy wprowadzać środków bezpieczeństwa - dodał Dorn.

Ostatnio w mediach powrócił temat budowy ogrodzenia wokół budynków parlamentu. Według wtorkowego "Metra" posłowie wydadzą 8 milionów złotych na ochronę, sprzęt kryminalistyczny, wielkie ogrodzenie, a nawet system kontroli jakości powietrza.

Dorn: 5,5 mln zł na ogrodzenie Sejmu Zdaniem marszałka Sejmu Ludwika Dorna, płot wokół kompleksu budynków parlamentu "jest potrzebny ze względów bezpieczeństwa". Według Dorna, koszt ogrodzenia wyniósłby 5,5 mln złotych. - Sejm to jest instytucja władz naczelnych Rzeczypospolitej. Są takie sytuacje, że w gmachu Sejmu przebywają wszystkie władze naczelne RP, co np. w USA jest ustawowo zakazane. W związku z tym, aby minimalizować ryzyko, stać budżet państwa na wydatek 5,5 mln złotych na płot - argumentował Dorn. Jak podkreślił, pod koniec 2005 roku, jako ówczesny szef MSWiA, zlecił analizę zabezpieczenia najważniejszych gmachów w państwie. - Uzyskałem informację, że zespołem gmachów nie posiadających praktycznie zabezpieczenia jest kompleks budynków Sejmu i Senatu - dodał marszałek. Zaznaczył, że przedstawione zostały plany ewentualnego zabezpieczenia i w każdym z nich występował płot. - W ramach tej analizy znajdowało się znamienne zdanie, że tam gdzie nie doszło do zdarzenia nadzwyczajnego, w postaci zabójstwa, ataku, poranienia, funkcjonuje taka skierowana pod adresem środków masowego przekazu, a "bruksów" zwłaszcza poprawność polityczna, że nie wypada odgradzać się od społeczeństwa, nie należy wprowadzać środków bezpieczeństwa - dodał Dorn. Ostatnio w mediach powrócił temat budowy ogrodzenia wokół budynków parlamentu. Według wtorkowego "Metra" posłowie wydadzą 8 milionów złotych na ochronę, sprzęt kryminalistyczny, wielkie ogrodzenie, a nawet system kontroli jakości powietrza.

Tanie państwo to się nazywa. Mój blok ogrodzono za 20 tysięcy, więc nie chce mi się wierzyć, że ogrodzenie Sejmu nie zmieściło by się w 500 tysiącach. Zresztą dotąd ogrodzenia nie było i czy komuś coś przeszkadzało? Wygląda na to, zę PiS się czegoś boi... Musi mieć coś na sumieniu. Poprzednia władza jakoś nie srała w majty i nie chciała wypaśnych zabezpieczeń...

Tako *Paweł Tanaś*  do nas rzecze  :
[...]

Zalezy od klasyfikacji ale np. o ile dobrze pamietam dokumenty ksiegowe maja 5-cio letnia karencje, a wiec (nie jest to w ustawie najlepiej przetrzymywac w takim samym okresie czasowym.

Przypuszczam, że nie zdajesz sobie sprawy z logistyki z tym związanej.
Audytora najczęściej interesuje, to czy lista uprawnionych jaką posiada
właściciel jest odwzorowaniem listy osób uprawnionych w systemie. Masz mieć
matrycę "as is" i  "as should be". Jeśli są różne, to pojawia się problem,
ale nie jest istotne czy kwit jest czy go nie ma. Istotne jest, że proces
nie jest należycie zarządzany. Co mi z tego, że mam kwit podpisany przez 4
osoby z których żadna nie pracuje w instytucji? Nie wyobrażam sobie również,
bym przykładowo za każdym razem musiał podpisać kwity, aby otrzymać konto na
Tajwanie, Singapurze czy gdzieś tam daleko... Takie rzeczy robi się mailem
korporacyjnym bez szyfrowania. Kwestia wartości systemu, potencjalnych
zagrożeń i podatności czyli znowu analiza ryzyka.

[...]

To juz akurat precyzuje dokument polityki bezpieczenstwa informacji w organizacji

Polityka mówi o instytucji właściciela i określa procesy a nie bawi się w
detale. Polityka to dokument ogólny określający ogólne zasady a nie
szczegóły. Jeszcze raz zwrócę uwagę na analizę ryzyka i klasyfikację. Nikt
przy zdrowych zmysłach nie narzuci w polityce ścisłych wymagań odnośnie
każdego systemu, bo to jest nierealizowalne i zbyt kosztowne a przede
wszystkim nie nadąża za zmianą. Inaczej potraktujesz system transakcyjny
obsługujący milionowe transakcje a inaczej prostą aplikację użytkową.
Kontrola dostępu w obu przypadkach musi być ale zróżnicowana oczywiście w
oparciu o jakąś podstawę.

[...]

wiec podpis jest jak najbardziej wiarygodny i mozliwy do weryfikacji poprzez np. garfologa w przypadku sytuacji spornych.

W relacjach pracodawca <-pracownik obowiązuje
kodeks pracy. Pracodawca może wypieprzyć na zbity pysk za nadużycia i
zgłosić do prokuratury zawiadomienie o ewentualnym popełnieniu przestępstwa
(o ile ma podstawy). Nie sądzę, by spierali się na temat tego, czy podpisał
kwit o nadanie uprawnień czy nie. To są wewnętrzne regulacje. Management
może podjąć decyzję, że robi wszystko na krzywy ryj (czyli jego ustne
polecenie ;) ). Ma prawo jako właściciel biznesu (o ile czynniki zewnętrzen
mu nie przeszkodzą).

W nadawaniu uprawnień kluczowy jest proces a nie dokument. Dokument to
formalizm, każda osoba biorąca udział w procesie ma świadomie podejmować
decyzję. Podpis wzmacnia tę świadomość.

[...]

Uzytkownik zawsze bedzie niezadowolony nawet jezeli bedzie mial tylko jedna procedure. Jezeli nie bedzie ich wcale .. uzytkownik i tak bedzie niezadowolony :)

Użytkownik jest reprezentantem właściciela w jego imieniu wykonuje daną
czynność. Jeśli marudzi to znaczy, że proces nie spełnia wymagań. Nie chodzi
o sytuację, gdy człowiek marudzi z lenistwa czy niewiedzy, na to są inne
rozwiązania. Gorzej, gdy proce jest zły. Procesy są dla ludzi a nie ludzie
dla procesów.

[...]

Po czesci sie zgadzam, jednakze praktyka jest zupelnie inna.

Gdzie? Bo ja właśnie znam taką praktykę od wielu lat, przynajmniej w
niektórych firmach w Polsce i Europie.

[...]

Jak udowodnisz ze przydzieliles dostep do zasobu X na polecenie Pana Y? Mejl? Mejla mozna spreparowac w bardzo prosty sposob i kazdy domorosly informatyk/biegly wytknie ci to w sadzie.

Dokumenty tego typu są wewnętrznymi regulacjami organizacji. Nie ma wymogu
formalnego posiadania kwitów. Nie służą one jako dowody w sądach. Przyjmując
pracownika do pracy pracodawca ma mu dać narzędzia umożliwiające tę pracę.
Narzędziem jest przykładowo pewna funkcjonalność systemu informatycznego.
Pracodawca w formaly sposób może nadać uprawnienia albo powiedzieć "siadaj
Wiesiek, tu masz konto, tu masz hasło i rób, nauczysz się" (takie przypadki
jeszcze kilka lat temu były normą). Oczywiście np. w instytucjach
finansowych tak się nie dziej bo są narzucane zewnętrzne regulacje (NBP,
KNUiFE czy nawet stosowne rozporządzenia do ustawy o ochronie danych
osobowych).

By nie bić piany, moim zdaniem nadmierny, nieuzasadniony formalizm przy
zarządzaniu ryzykiem jest równie groźny co brak formalizmu. Uważam, że
trzymanie dokumentów wykorzystywanych do nadawania uprawnień przez pięć lat
to czynność całkowicie pozbawiona rozsądku. Wystarczy, że urzędy państwowe
mają nadmierną biurokrację...

----- Original Message ----- | | | Jak widzisz w tym wszystkim SATA? Slabe kontrolery i tez mala | wydajnosc...ciagle nie ma alternatywy dla scsi... | nie ma alternatywy dla scsi | Jest - Fibre Channel. ok, a cena? Przedmówca pisał o raid-ach na ide, sata, a Ty mu polecasz fc. Przecież cena go zabije

Pewnie masz rację, ale ... mój post nie był adresowany do niego :-). Nie
jest prawdą, że nie ma alternatywy dla SCSI. Korporacyjne systemy dyskowe
powszechnie wykorzystują technologię Fibre Channel jako oferującą znacznie
więcej możliwości niż stare, dobre SCSI. SCSI podobnie jak ATA powoli
odchodzą do lamusa i ustępują miejsca technologiom stosującym szeregową
transmisję danych - SAS, SATA.

Co do meritum, to myślę, że wybór rozwiązania powinien uwzględniać wymagania
wynikające z analizy potrzeb i możliwości klienta.

Jeśli klient nie dysponuje rozsądnym budżetem, nie pracuje w środowisku
24/7/365, dopuszcza ewentualne przestoje w przypadku awarii systemu i
wymagana ilość IO/s nie przyprawia o ból głowy, to rozwiązanie
wykorzystujące dyski SATA wydaje się bardzo sensownym pomysłem. Na pewno
będzie tanio. Jeśli jeszcze zastosuje dyski 10Krpm (np. WD Raptor) i zamiast
RAID-5 skonfiguruje je w RAID-10 to może być dość wydajnie. Jeśli dodatkowo
zamontuje je w hot-swap'owych ramkach to ewentualne awarie nie będą
wymuszały wyłączania serwera.

Jeśli klient ma budżet sięgający nieba (gdzie ci klienci?) i podobne
wymagania odnośnie wydajności, niezawodności i ciągłości dostępu do
informacji to RAID na dyskach SATA co najwyżej mógłby mieć zastosowanie w
drugoplanowych (second-tier) systemach dyskowych lub  wirtualnych
bibliotekach taśmowych. Główny system dyskowy bez najmniejszej wątpliwości
byłby zbudowany z dysków Fibre Channel i nie przy pomocy montowanych w slot
PCI kontrolerów, ale jako autonomiczna, zewnętrzna, skalowalna macierz
dyskowa.

A co do konfiguracji (a tego pytania Longinusa chyba nikt nie skomentował),
Hot-Spare został wymyślony z bardzo konkretnej przyczyny i w systemach
RAID-5 powinien być obowiązkowo konfigurowany.

Odbudowa uszkodzonego dysku trwa długo a przy napędach o pojemności rzędu
300GB nawet bardzo długo i w tym czasie system skonfigurowany w RAID-5 jest
pozbawiony jakiejkolwiek ochrony. Jeśli przed zakończeniem procesu odbudowy
padnie drugi dysk danej grupy to wszystkie dane na niej zapisane zostaną
stracone. Skonfigurowanie dodatkowego dysku jako Hot-Spare pozwala skrócić
czas przywracania systemu do pełnej sprawności do minimum i zmniejszyć
ryzyko utraty danych.

Jeśli chodzi o kalkulację to cztery dyski 300GB da się skonfigurować w grupę
RAID-5 z Hot-Spare o pojemności użytkowej 3x300GB (a nie 2x200GB jak pisze
Longinus).

Pozdrawiam,
Piotr Pieczerak

| ----- Original Message ----- | | | | Jak widzisz w tym wszystkim SATA? Slabe kontrolery i tez mala | | wydajnosc...ciagle nie ma alternatywy dla scsi... | | nie ma alternatywy dla scsi | Jest - Fibre Channel. | ok, a cena? Przedmówca pisał o raid-ach na ide, sata, a Ty mu polecasz fc. | Przecież cena go zabije Pewnie masz rację, ale ... mój post nie był adresowany do niego :-). Nie jest prawdą, że nie ma alternatywy dla SCSI. Korporacyjne systemy dyskowe powszechnie wykorzystują technologię Fibre Channel jako oferującą znacznie więcej możliwości niż stare, dobre SCSI. SCSI podobnie jak ATA powoli odchodzą do lamusa i ustępują miejsca technologiom stosującym szeregową transmisję danych - SAS, SATA. Co do meritum, to myślę, że wybór rozwiązania powinien uwzględniać wymagania wynikające z analizy potrzeb i możliwości klienta. Jeśli klient nie dysponuje rozsądnym budżetem, nie pracuje w środowisku 24/7/365, dopuszcza ewentualne przestoje w przypadku awarii systemu i wymagana ilość IO/s nie przyprawia o ból głowy, to rozwiązanie wykorzystujące dyski SATA wydaje się bardzo sensownym pomysłem. Na pewno będzie tanio. Jeśli jeszcze zastosuje dyski 10Krpm (np. WD Raptor) i zamiast RAID-5 skonfiguruje je w RAID-10 to może być dość wydajnie. Jeśli dodatkowo zamontuje je w hot-swap'owych ramkach to ewentualne awarie nie będą wymuszały wyłączania serwera. Jeśli klient ma budżet sięgający nieba (gdzie ci klienci?) i podobne wymagania odnośnie wydajności, niezawodności i ciągłości dostępu do informacji to RAID na dyskach SATA co najwyżej mógłby mieć zastosowanie w drugoplanowych (second-tier) systemach dyskowych lub  wirtualnych bibliotekach taśmowych. Główny system dyskowy bez najmniejszej wątpliwości byłby zbudowany z dysków Fibre Channel i nie przy pomocy montowanych w slot PCI kontrolerów, ale jako autonomiczna, zewnętrzna, skalowalna macierz dyskowa. A co do konfiguracji (a tego pytania Longinusa chyba nikt nie skomentował), Hot-Spare został wymyślony z bardzo konkretnej przyczyny i w systemach RAID-5 powinien być obowiązkowo konfigurowany. Odbudowa uszkodzonego dysku trwa długo a przy napędach o pojemności rzędu 300GB nawet bardzo długo i w tym czasie system skonfigurowany w RAID-5 jest pozbawiony jakiejkolwiek ochrony. Jeśli przed zakończeniem procesu odbudowy padnie drugi dysk danej grupy to wszystkie dane na niej zapisane zostaną stracone. Skonfigurowanie dodatkowego dysku jako Hot-Spare pozwala skrócić czas przywracania systemu do pełnej sprawności do minimum i zmniejszyć ryzyko utraty danych. Jeśli chodzi o kalkulację to cztery dyski 300GB da się skonfigurować w grupę RAID-5 z Hot-Spare o pojemności użytkowej 3x300GB (a nie 2x200GB jak pisze Longinus).

Dziekuje za komentarze...przewinely sie wszystkie liczace sie technologie. Co
do ww. wypowiedzi to pozwole sie niezgodzic, bo ni w zab nie udalo mi sie
uzyskac wspomnianych 3x300GB przy 4 dyskach po 300GB spietych w RAID5 z hot
spare. Przeciez jeden dysk nie jest uzywany i "lezy sobie" czekajac na awarie.
Do uzytku pozostaja pozostale 3 wiec zgodnie z tym jak RAID5 dziala mamy
pojemnosc uzytkowa 2x300GB i taka udalo mi sie uzyskac na 4 dyskach za pomoca
moze nienajlepszego kontrolera Intel zcrscr.

Pozdrawiam,
Longinus

Pozdrawiam, Piotr Pieczerak

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

Dobrze zaprojektowany system zabezpieczen powinien bazowac na ocenie ryzyka i uwzgledniac jako zagrozenia takze awarie kazdego z punktow takiego bezpiecznego systemu. Bardzo bledne jest takie podejscie, ze moj system ma byc niedostepny dla nikogo bez wzgledu na koszty, robieniu zabezpieczen na hura (a ma byc wie pan firewall, na maszynie wrapery a najlepiej jeszcze zeby telnet nie dzialal i powycinac uslugi i koniecznie nowy sendmail a kolega mowil zeby zainstalowac jeszcze to i tamto bo podobno jest niebezpieczne, ale nie wiem dlaczego bo man byl za dlugi i nie doczytalem a w ogole to tego nie rozumiem - to niestety czesto stosowane podejscie).

100% right. Jedyne co bym dodał - musi być poprzedzony rzetelną analizą
ewentualnych strat i kosztów odtworzenia stanu sprzed włamania (w tym
też i odtworzenia danych ale też i np. dobrego imienia firmy).

Generalnie tego typu firewalle sluza wlasnie ochronie przed dzieciakami. Jakby chcieli sie Toba zajac specjalisci, to by Ci w srodku dnia wyniesli caly sprzet tak ze nikt by nie zauwazyl :) Wszystko zalezy od wagi chronionych informacji i kosztow jakie ktostam chce poswiecic na zlamanie zabezpieczen. Po co placic 50 magikom zeby rozczajali Twoje zabezpieczenia przez dwa lata, jesli mozna przekupic Ciebie, innego administratora, albo wynajac oddzialy specjalne i zalatwic problem bardziej radykalnie ;Bzdurze w tej chwili oczywiscie, ale nie przesadzaj z tymi zagrozeniami ze strony specow.. Jak ktos jest AZ tak dobry zeby stanowil zagrozenie, to jest na tyle drogi ze ma co robic.

To już jest drugi kanon zwany polityką bezpieczeństwa (polisą) czy jakoś tak -
przedsięwzięcia organizacyjne, zasady odpowiedzialności i procedury
postępowania. Co z tego, że chronisz wejście z zewnątrz skoro np. pracownik
ściągnie z ciekawości WinNuke, kliknie i ("chciałem _tylko_ pobawić się") uwali
95% serwerów w sieci lokalnej.

chronic przed dzieciakami, studentami, ew. szpiegostwem np. przemyslowym z wykorzystaniem tej klasy (niewatpliwie nierzadko bardzo zdolnych) ludzi i przy udziale okreslonych nakladow. A do tego sa wystarczajace (o ile sa przemyslane i wlasciwie zastosowane) i nieznajomosc danego rozwiazania faktycznie JEST zaleta. Jesli myslisz o ochronie przed specjalistami, to zamow na poczatek wykonanie siatki Faraday'a w budynku w ktorym stoja komputery, bo istnieja stosunkowo niedrogie urzadzenia umozliwiajace bardzo dokladny monitoring przcy komputera na odleglosc (w szczegolnosci mozna sobie lookac na ekran na podstawie mierzalnej emisji itd), zapewnij ochrone fizyczna, zaplac administratorowi tyle zeby stal sie nieprzekupny... Dopisz jeszcze 30 innych rzeczy =) Nie popadajmy w paranoje po prostu..

Znam miejsca, gdzie (poza płaceniem rzecz jasna) jak przypuszczam to jest
standard.

karpio PS. Rewelacyjne efekty daje zastosowanie szeregowo dwoch zupelnie roznych firewalli, z ktorych jeden jest komercyjny, zamkniety, malo znany, a drugi popularny i dajacy duza kontrole osobie odpowiedzialnej nad tym co robi i co sie dzieje. W polaczeniu z przemyslanymi zabezpieczeniami samych maszyn (firewall nie zwalnia nikogo z obowiazku latania maszyn, wykonywania upgrade oprogramowania czy sensownej administracji!) i polityka bezpieczenstwa wzgledem uzytkownikow itd jest to wystarczajace.

Nie jestem przekonany do filozofii 'security by obscurity'. Jeśli rozwiązanie
jest mało znane na rynku, mało znane jest także Tobie (często tak jest),
jest słaby support i okaże się że ktoś gdzieś odkrył słaby punkt, a Ty
nawet o nim się dowiesz z News jak już włamali się, ale nawet firma nie
dostarczyła poprawki (bo jest mała, mało znana, ma za mało zasobów)
i.. leżysz. Każdy dzieciak (informacje rozchodzą się _błyskawicznie_)
jest w stanie Cię załatwić. Tak więc zawsze wybieram rozwiązania z dobrym
supportem technicznym, staram się mieć zapewniony takowy z rozsądnym czasem
reakcji jeśli producent nie chce za to fortuny i nie każe dzwonić na TOLL-LINE
do USA i ZAWSZE GŁOŚNO mówię, że firewall to jest tylko część zabezpieczenia,
a nie środek na bezsenność dyrekcji firmy.

Natomiast jeśli 'mało znany' ma znaczyć 'mało znany na rynku, nam doskonale

| Nie wiem dlaczego widzisz w tym wątku wazelinę i publiczne włażenie | sobie w d..ę. Niemniej uważaj, na wazelinie się można poślizgnąć : Z postów Kloczka (które chwalisz nie tylko w tym miejscu) wynikać może, że firewall nie jest ważny, bo nie zapobieże dziurom. To prawda. Ale to może sugerować, że nie jest istotny firewall w ogóle. Ja np. nie rozumiem, dlaczego Kloczek krytykuje moją politykę default_deny. Ja nie krytykuję jego dbałości o to, by w usługach nie było dziur (zgadzam się z nim), nie krytykuję też tcp_wrappers, jakkolwiek uważam, że tutaj firewall jest lepszy. Ale też nie pojmuję, dlaczego nie mogę konfigurować na pierwszy ogień firewalla, na drugi tcp_wrappers, a na trzeci same usługi. Mam nadzieję, że sam guru wyjaśni dlaczego default_deny jest złe/niepoprawne/niesatysfakcjonujące itd.

Prosiłbym jednak bez "guru" .. :

Sprawa jest na prosta na gruncie analizy faktów z punktu widzenia
już podstawowej logiki co mozna pzreanaklizować bez dogłębnej wiedzy w
temacie FW. Chodzi o to, że:
- jeden mechaniz acz szczelny w zupełności wystarcza (tak jak z sygnalizacją
  świetlna  .. zielone światło nie będzie już bardziej zielone),
- liczy się zawsze prostota rozwiązania i "nieprowokowanie" pomyłek.
  Jeżeli masz w dżwiach jeden sprawny zamek wytrzymujący próbę wyłamania
  tegoż to dokładanie drugiego czy trzeciego nie ma sensu. Więcej ..
  dokładnaie kolejnych warst i pomyłkowe traktowanie ich od czasu do czasu
  jako podstawowych powodować może, że "konstrukcja" pierwwszej warstwy
  akurat nie będzie "domknięta". W trakcie dłuższej eksploatacji systemu
  "wykonanie" tego typu pomyłki jest możliwe.
- w trakcie dłużej eksploatacji zdarzają się rekonfigurację. Już tylko z
  tego punktu widzenia widać że spójniej i prościej będzie operować na
  konfiguracji używajac bezwzglednego minimum. Najlepiej jeżeli ową
  rekonfiuracje będzie się wykonywało w jednym punkcie a nie w kilku.

Tak czy inaczje prosiłbym o zauwaznie, że to co osoby użyuwające unices czy
obeznane z gospodarowaniem infrastruktórą sieciową uważają za FW coś innego
niż rozumie się pod Win*. W przypadku pierwszym są to zwykle filtry warstwy
trzeciej i czwartej OSI, a czasami warstwy drugiej (w przypadku co bardziej
inteligentnich switchy). D drugim przypadku obejmuje to neimal zawsze w
bardzo szerokim zakresie "ochronę" konkretnych aplikacji o których wiadomo
że mają błędy i z racji tego że nie ma do nich źródeł, a kolejne wersje
wychodzą nie po każdym grubszym znalezionym błędzie to nie ma innej drogi
redukcji ryzyka narażenia na eksploatację konktretnego błędu jak dołożenie
czegoś dodatkowo zamiast usuniecia błędu u źródła.

Po drugie: już sama obsługa niskopoziomowa stosu konkretnych protokołów
wielkokrornie bywała w Win* błędna/dziurawa. Całe sczęście że kernel Win*
jest usiany całami tonami różnych hooków do których można podpinać różne
rzeczy w tym i rózne filtry które umożliwiają takie nie wprost obchodzenie
błęów konkretncyh _aplikacji_. Można powidzieć, ze w gruncie rzeczy w
pzrypadku Win* niemal cała para właśnie idzie w tym kierunku. Np. cała
problematyka ochrobny antywirusowej dość płynnie przechodzi w szerokim
zakresie włanie różne "FW". Wystarczy spytać się "a po co brobnić się pzred
wirusami pod Linuxem ?".

Problem z Win* jest jeszcze często innej natury. Występuje on w przypadku
konfiguracji z kilkoma interfejsami. Otóż załóżmy że mamy jeden interejs
zewnetrzny i jeden badź kilak wewnętrznych i nie obawiamy się penetracji z
wnętrza własnej sieci. Otóż pod Win* w sumie nie ma możliwiości
podpięcia konktretncyh usług pod pod konkretne interfejsy i np.
wystawienie tylko np. http na interfejsie zewnętrznym i całej reszty na
wszystkim innym bez filta pakietów nie jest możliwe. W przypadku unices
wykonanie bind na podsieć czy na konkretne IP (o ile jest ich kilka na danym
interfejsie) nei nastręcza w sumei kłopotu i to nawet gdyby aplikacja nie
wspierała czegoś takigo (poprawka na to zajmuje kilka linijek tekstu
źródłowego).

Mówiąc inaczje pod Win* w daleko większej ilości pzrypadków administrator
poprostu jest zmuszony do używania czegfos co w nazwie ma firewall co
operuje także na na poziomei warst 3 i 4 OSI gdzie w modelowych warunkach to
neijako "ściany budynku" wyznaczają obieg informacji i w dżwiach do tegoż
"budynku" nie ma poprostu koniecznosć montowania już niczego dodatkowego.

klloczek

W konferencji IT-Medica 2009 w Łódzi wzięło udział 50 uczestników.

Główne tematy:

lNowe formy rozliczenia z NFZ- Jednorodne Grupy Pacjentów (konkurencyjne cenowo, bez informatyka na etacie!) llZarządzanie w opiece zdrowotnej (w szczególności - zarządzanie jakością) llZarządzanie ryzykiem i jego certyfikacja (zajęcia dla początkujących i zaawansowanych) llRozwiązania informatyczne w diagnostyce i radiologii (rozwiązania dla gabinetu i szpitala) llPromocja i public relations dla gabinetu i szpitala llFundusze europejskie dla OZ - informacje z ostatniej chwili !l

Sesje warsztatowe (od g. 14.45):

Sesja marketingowa

1. Jak stworzyć przejrzystą reklamę zewnętrzną (billbordową, szyldową)? Jakie błędy najczęściej popełnia się w tej dziedzinie?
2. Jak powinna wyglądać dobra witryna internetowa placówki? Czy jest możliwa (i sensowna) rejestracja na niej pacjentów na wizyty lekarskie? Czy można witrynę aktualizować samodzielnie (nie będąc informatykiem)?
3. Co zrobić by pacjenci z czasem przekształcili się w klientów? Czy w placówkach medycznych mają zastosowanie rozwiązania CRM (zarządzania kontaktami z klientami)?
4. Jak badać satysfakcję pacjentów? Czy warto robić badania ankietowe? Jak uprzedzać (i rozwiązywać) sytuacje kryzysowe? Techniki PR dla menedżerów OZ.
5. Jak tworzyć właściwe systemy komunikacji wewnętrznej w placówkach? Jak tworzyć dobrą atmosferę, przeciwdziałać narastającym konfliktom?
... na te i inne pytania, będzie można znaleźć oraz wypracować odpowiedź w trakcie zajęć warsztatowych, prowadzonych przez wybitnego specjalistę, członka Śląskiego Towarzystwa Marketingowego, p. Artura Kurkiewicza...

Sesja menedżerska

ISO dla placówki OZ ! ...może mają Państwo już wdrożone ISO - nic nie szkodzi!

1. Czy ISO jest rzeczywiście atrakcyjnym standardem organizacyjnym w ochronie zdrowia? Co tak naprawdę daje? Czy warto ponosić koszty związane z jego wdrożeniem i certyfikacją ?
2. Jak przeprowadzić analizę procesową, jak znaleźć newralgiczne miejsca w strukturze organizacyjnej placówek? Czy można to zrobić samodzielnie, czy też raczej zlecać jednostkom z zewnątrz?
3. Jaka jest/powinna być rola pełnomocnika jakości w zakładzie OZ?
... na te i inne pytania uzyskacie/wypracujecie Państwo odpowiedź w trakcie zajęć warsztatowych, prowadzonych przez doświadczonego wdrożeniowca, wieloletniego pełnomocnika ds. zsj w placówkach ochrony zdrowia - p. Grzegorza Dobrakowskiego...

Sponsorami były firmy iMed24, Alteris, Unikkon Integral oraz 3w Serwisy Informacyjne.
Patronat honorowy nad konferencją objęli: Prof. Ryszard Tadeusiewicz, Przewodniczący Międzywydziałowej Komisji Nauk Technicznych PAU, Prezydent Miasta Łodzi, Marszałek Województwa Łódzkiego oraz Polskie Towarzystwo Telemedycyny.

Rozwiązania informatyczne wspomagające medycynę zaprezentowali przedstawiciele firm sponsorujących przedsięwzięcie oraz zaproszeni goście. Szeroko omówiony został również problem zarządzania jakością w ośrodkach ochrony zdrowia.

Nowa ustawa o BEZEPIECZEŃSTWIE IMPREZ MASOWYCH

Do polski nieuchronnie wkracza kryzys gospodarczy, który dotyka wszystkich od samorządów lokalnych poprzez resorty Państwowe, wielkie przedsiębiorstwa a na małym biznesie kończąc. Jednak jest sfera, której kryzys nie dosięgnie, ponieważ nawet w jego obliczu ludzie nie zapominają o rozrywce, jest to rynek eventowy związany ze wszelkiego rodzaju imprezami, festynami, imprezami sportowymi, koncertami oraz imprezami masowymi o podwyższonym ryzyku. Ich organizacja niejednokrotnie wiąże się z przebrnięciem przez gąszcz przepisów a w ostatnim czasie gruntownie zmienionych w parlamencie, ponieważ nowa ustawa z dnia 12 lutego 2009 r. o bezpieczeństwie imprez masowych została podpisana przez Prezydenta RP Lecha Kaczyńskiego.

Również wydanie decyzji o pozwoleniu na imprezę masową przez przedstawicieli samorządów lokalnych wiązać się będzie z odpowiedzialnością tak, aby nie narazić się na dotkliwe sankcję związane ze złą interpretacją przepisów nowego prawa.

Jak te imprezy organizować korzystając z nowych przepisów?

Jak te imprezy organizować, aby nie narazić zdrowia i życia ich uczestników?

Jak interpretować nowe przepisy?

Jak wydać dobrą decyzję o organizacji imprezy masowej?

Po co? Odrębne przepisy dotyczące meczów piłki nożnej?

Czy nowa ustawa o bezpieczeństwie imprez masowych znacząco przyczyni się do poprawy bezpieczeństwa na stadionach a co ważniejsze poza nimi?

Nowe zadania czekają również na agencje ochrony osób i mienia ustawa przewiduje, bowiem ochronę imprez tylko i wyłącznie przez wykwalifikowanych agentów ochrony.

Na te i inne Państwa pytania postaramy się znaleźć odpowiedź na proponowanym przez nas szkoleniu.

Jako jedna z pierwszych firm szkoleniowych w Polsce rozpoczęliśmy cykl szkoleń dotyczących przepisów ustawy o bezpieczeństwie imprez masowych, razem z uczestnikami naszych wykładów przebrnęliśmy przez wszystkie nieudolne próby poprawy tej ustawy, przeszkoliliśmy blisko 3 tysiące osób m. in. z klubów sportowych, samorządów lokalnych, domów kultury, agencji ochrony, stowarzyszeń, agencji artystycznych i innych poruszających się wokół ustawy. Posiadamy cieszące się uznaniem na rynku materiały szkoleniowe drukowane oraz elektroniczne.Nasi wykładowcy to świetnie wykwalifikowani znawcy prawa o bezpieczeństwie imprez masowych a jednocześnie posiadający praktykę organizatorzy imprez o przeróżnym charakterze.

Jednak nasze wykłady to przede wszystkim możliwość wymiany doświadczeń między organizatorami a wydającymi decyzję pracownikami samorządów.

Każdy słuchacz otrzyma certyfikat uczestnictwa oraz dwuletnią gwarancję na pomoc prawno organizacyjną u naszych specjalistów.

A to wszystko w niepowtarzalnej atmosferze i najniższej cenie.

Zapraszamy.

Jesteśmy przekonani, że:

- rzetelny wykład,

-wymiana doświadczeń,

- płyta CD,

- oraz prawo do rocznej -bezpłatnej - informacji prawno - organizacyjnej, zapewni Państwu komfort pracy.

Zapraszamy Panią/Pana na seminarium lub delegowanie Pracownika, którego zechciał/aby Pan/i upoważnić do prowadzenia spraw i podejmowania decyzji w tym obszarze.

Najbliższe zjazdy:

29.04.2009 r. Kraków, Hotel System POP**, ul. J. Conrada 35, w godz. 10-16

Z wyrazami szacunku

Piotr Bidziński

Dyrektor Generalny CSiAG

Centrum Studiów i Analiz Gospodarczych

ul. Żegańska 7

04-713 Warszawa

NIP: 952-195-42-21

REGON 141078234

tel. 022 424 67 00

fax. 022 769 75 93

csiag@csiag.pl

WWW.csiag.pl

UOKiK ostrzega przed groźnymi zabawkami

Duża grupa zabawek dostępnych na polskim rynku zamiast cieszyć, zagraża bezpieczeństwu najmłodszym konsumentom - wynika z kontroli Inspekcji Handlowej przeprowadzonej na zlecenie Urzędu Ochrony Konkurencji i Konsumentów (UOKiK).

Jak podał w czwartek UOKiK, z przebadanych ponad 1227 zabawek, Inspekcja stwierdziła nieprawidłowości u 36 proc. Inspekcja Handlowa zwróciła szczególną uwagę na rozwiązania konstrukcyjne, oznakowanie, informacje dołączane do produktów oraz instrukcje i ostrzeżenia, które warunkują bezpieczne użytkowanie.

Zdecydowana większość z nich została wyprodukowana poza granicami Polski. Efektem badań było wykrycie licznych wad konstrukcyjnych. Zakwestionowano również niedbałe wykonanie - ostre krawędzie czy też szczeliny stanowiące potencjalne źródło zagrożenia dla dziecka.

Część skontrolowanych zabawek nie była prawidłowo oznakowana. Uchybienia dotyczyły np. braku nazwy i adresu producenta. Ponadto przedsiębiorcy często nie dołączali ostrzeżeń ani informacji o ryzyku związanym z używaniem zabawek przez dzieci poniżej 3 roku życia.

W ten sposób najmłodsi konsumenci korzystali z wyrobów niezgodnie z ich przeznaczeniem i bez należytej opieki ze strony dorosłych, co - jak wynika z analiz Inspekcji Handlowej - jest najczęstszym powodem wypadków.

Wśród zakwestionowanych produktów znalazły się m.in. pistolet na strzałki z przyssawką, stwarzający ryzyko udławienia się lub uduszenia w przypadku ich połknięcia, czy też zestaw rycerski, którego elementy mogły spowodować zranienie dziecka.

Jak wynika z informacji UOKiK, liczba nieprawidłowości związanych z zabawkami co najmniej od 2 lat utrzymuje się na podobnym poziomie. "Wiele w zakresie bezpieczeństwa zależy również od dorosłych, którzy powinni zwracać uwagę na prawidłowe oznakowanie kupowanych towarów" - podkreśla Urząd.

UOKiK przypomina, na co zwracać uwagę, wybierając zabawki. Po pierwsze należy sprawdzić czy zabawka nie ma drobnych elementów, które mogą być połknięte przez dziecko oraz czy zostały one należycie przymocowane tak, aby dziecko nie mogło ich samodzielnie odczepić.

Po drugie wyroby dla dzieci powinny być wykonane z trwałego, bezpiecznego materiału. Konieczne, by zostały precyzyjnie wykończone nie mogą mieć ostrych krawędzi, bądź widocznych jeszcze przed zakupem uszkodzeń.

Po trzecie zabawka musi mieć odpowiednie oznaczenia o przeznaczeniu dla danej grupy wiekowej.

Po czwarte produkty przeznaczone dla dzieci nie mogą stwarzać zagrożenia dla dziecka w kontakcie w oczami, śluzówką czy skórą. Należy sprawdzać ich skład na opakowaniu. Niektóre substancje, np. ftalany obecne w składzie części plastikowych mogą być przyczyną alergii, powodować uszkodzenia wątroby i nerek, mieć działanie rakotwórcze.

Po piąte zabawki, przy użyciu których dziecko może się przemieszczać muszą mieć łatwy i skuteczny system hamowania, a elektryczne nie mogą być zasilane prądem o napięciu przekraczającym 24V.

Ustalenia kontroli przeprowadzonej przez Inspekcję Handlową dały podstawę do skierowania do organów ścigania 44 zawiadomień o popełnieniu przestępstwa polegającego na wprowadzeniu do obrotu wyrobów niespełniających zasadniczych wymagań. Jednocześnie do Inspekcji Handlowej przekazano akta kontroli 45 zabawek w celu wszczęcia postępowania administracyjnego.

Urząd przypomina także, że rodzice, którzy zakupili zabawkę zagrażającą dziecku powinni niezwłocznie powiadomić o tym Inspekcję Handlową.

PAP