а от кого защищаемся:
1) от контролеров;
2) от конкурентов
3) от ночных воров (накуренных студентов)
4) от работников предприятия
от первых 4х
Вот вам общий план мероприятий:
1. Все разделы кроме загрузочного шифровать + RAID+LVM. Пароль на биос. Место где находится джампер или кнопка для сброса биоса залить эпоксидной смолой (недостаток в том, что, когда понадобится самому сбросить биос, придётся самому ковырять эту смолу, а это не быстро)
2. Весь бухучёт вести только в режиме терминальной сессии. Прерывание сессии после 5 минут простоя.
3. Авторизация на всех компах только по usb-брелок+пароль (не менее 8 символов, латиница, разный регистр, всякие знаки, менять раз в квартал сразу после сдачи отчётности). Доступ к админской учётке пароль+отпечаток пальца+usb-брелок (желательно, это находилось у трёх разных людей: у директора -- брелок, отпечаток главбуха, у админа -- пароль).
4. Отдельный сервер для бекапа вмонтированный в сейф. Бекап каждый час.
5. Помещение с сервером под охраной, Хорошая металлическая дверь, окна заложены кирпичом, контроль целостности стен, пола и потолка. На вентиляции несколько рядов металлических решёток. Внутри помещение оклеить металлической сеткой, которую заземлить (клетка Фарадея).
6. Внешнее помещение вокруг комнаты с сервером с тревожной кнопкой и пультом видеонаблюдения в том числе и за сервером. Доступ только по пропускам.
Естественно, сервер должен состоять только из матери, дисков и если надо, контролера сети. Питание через UPS, которое через гальваническую развязку подключено к другому UPS и только потом к сети и дизель-генератору.
Главная проблема в общем-то в помещении и дизель-генераторе. Остальное стоит недорого.
Можно ещё смонтировать систему самоуничтожения для основного сервака.
Тема: защищённый от внешнего воздействия сервер ... (Прочитано 2057 раз)
