Даже если процесс администрирования в большинстве случаев полностью автоматизирован, всегда остается вероятность возникновения ошибки. Постоянно находятся новые ошибки и уязвимости, так что программные комплексы время от времени нуждаются в обновлении. Каждое такое обновление может привести к непредсказуемому поведению системы серверов, прикладных программ разных производителей, сетевого оборудования и операционных систем различных версий. Конечно, производители испытывают поставляемые ими обновления, но из-за сложности сегодняшнего Internet можно с уверенностью утверждать, что никто не может точно предсказать изменения в поведении той или иной конфигурации системы. Сами администраторы тоже нередко допускают ошибки: проверенное оборудование заменяется ими новым без предварительных испытаний, непредусмотрительно модифицируется топология сети и т. п.
Все изменения, которым подвергается система сайта, должны производиться и оцениваться согласно заранее установленной схеме, например, как показано на рис. 1.2. Благодаря подобной схеме вы всегда сможете отследить возникающие риски и продуктивно бороться с проблемами безопасности, используя уже знакомую комбинацию программно-технологических, политических и понятийных ресурсов. Единственный способ поддерживать безопасность системы на высоком уровне — это постоянно и последовательно оценивать, пересматривать и применять необходимые изменения, которые нужны для борьбы с вновь возникающими угрозами. Источники базовых знаний Информационная безопасность является обширной областью знаний, где в основе лежит немало теорий, спецификаций и стандартов. В Internet представлены многочисленные сайты, с которых можно начать погружение в мир технологий информационной безопасности. Перечислим некоторые из них:
Сайт, освещающий основные новости по проблемам безопасности. Здесь же расположен всемирно известный список рассылки Bugtraq, где всегда можно найти информацию о последних обнаруженных уязвимостях в различных системах. Сайт SecurityFocus, кроме всего остального, имеет очень полезную базу данных уязвимостей.
