1. Мнението ми за състоянието на информационите технологии в България
Те са като медицината през средните векове. Навсякаде вървят шамани които твърдят че могат да лекуват с вендузи пиявици или пускане на кръв
Аналог в IT са примерно: преинсталация, закупуване на нов хардуер, антивирусна програма, рестарт на операционна система или целият хардуер и др.
Ако с тези всемогъщи методи някой постигне някакъв частичен успех (около 1/1000 без доказателство точно със какво е постигнат успеха), това е повод да се самопровъзгласи за велик майстор.
Не е изключено и другите шамани да го издигнат в култ. Това е добър повод да стане някъде на отговорно място съветник по комуникационни и информационни въпроси, а защо не и ръководен пост в голяма фирма,университет или дори Държава. Тук е момента и да си подбере екип от себеподобни за да може да процъфтява дейноста .
Ако нещо се обърка при лечението, то със сигурност е защото са използвани малко на брой пиявици или неправилно поставени вендузи . Пускането на кръв е много важно за лечението и напълно съизмеримо с това някой виден експерт да ви накара да си купите особенно скъп хардуер.
Да не пропуснем и факта че те твърдят че винаги има черни неведоми сили които действат срещу вас.
Пропуснах да спомена че лекуването не е евтино и без никаква гаранция.
...............
Ако някои се занимава сериозно, рискува да бъде прогонен далеч, линчуван или защо не изгорен на клада.



2. Предлагам ви недобре обмислената и недовършена курсова задача на тема
"Човешкият фактор при защита на корпоративните мрежи"

Тази статия е в процес на разработка и моля да ме извините за възможните грешки и неугледният вид. Ще я довършвам постепенно. Това е просто copy/paste на драфта.

С растежа на интернет и бизнес-приложенията компютърните мрежи стават все по уязвими към широк диапазон от заплахи за тяхната сигурност. Влиянието на пробивите в сигурността може да бъде катастрофално. Производството на софтуер е начин за трупане на огромни печалби. Това го прави обект на интерес на най-големите финансови компании, а държавите които имат достатъчно капацитет да осъзнаят мощността на софтуера, е въпрос на държавна политика.
Ще разгледам ролята на човешкият фактор при защита на корпоративните мрежи в следният ред: задание,проектиране,Изграждане,Експлоатация и системи за следене,процедури за действие при наличие на пробив в сигурността и прекратяване на дойността.
1.Човешкият фактор на ниво задание за изграждане на една корпоративна мрежа е определящ за нейното проектиране и развитие. Там най-често се допускат най-фундаменталните грешки, които определят насоката на действията за защита. 1.1 Първата основна грешка която се допуска е липсата на каквото и да е задание. 1.2 Втората основна грешка е неправилното задание. Основните правила които трябва да се спазват са: Компаниите трябва да си проектират архитектура за мрежона сигурност, която да съответства на вътрешната политика за сигурност. Насочване към цялостно решение за мрежова сигурност, което напълно да защитава данните и ресурсите на компанията. Единна аутентикация оторизация отчитане ,неприкосновенност на даннитеи сигурност в периметъра на мрежата. Термините за описание в заданието и в проекта да са стандарти (IEEE,IETF,ISO,IEC и др) или предложения за стандарти RFC Най-често допускана грешка на ниво софтуер е да се прави задание базирано на „ТЕХНОЛОГИИ“ или определен вид софтуер или операционна система. Пример за такава грешка е: „Active Directory“ базирана защита. Първата грешка е че мрежата се ограничава софтуерно да ползва само Microsoft което е много скъпо и подръжката му е много ограничена.Няма възможност за установяване на проихода на софтуера. Втората грешка : „Active Directory“ e запазена марка на Microsoft която представлява централзирана система, която осъществява централизирана аутентикация, оторизация, автоматизира управлението на данните на потребителите ,упавлява достъпа до разпределени мрежови ресурси .Казано накратко реализира разпределени групови политики за сигурност. Разгледана поотделно тя представлява: Authentication,Authorisation и Accounting реализиран чрез LDAP протокол.Данните са в X.500 база има множество програми за настройка и осъществяване на политики за сигурност и разпределене на ресурси. Грешката която се допуска е че не се поствят изисквания поотделно за всеки един сървър или подпрограма а се говори за „Active Directory“. Никой не задава правилно изискванията към отделните подпрограми. Примерно: Пълна съвместимост с LDAP v3. Схемите на базите да са известни и тези които може да са стандартни. Програмите чрез които се реализира сигурността задължително да се разглеждат поотделно. Какво се получава: Ако програмите и протоколите не се разглеждат поотделно и не се следи за стрикното придържане към стандартите или препоръките става невъзможно при наличие на проблем ,той да бъде лесно открит и отсранен. В следствие на това с нарастване на потребителските изисквания и размера на мрежите, вместо да се покачват изискванията към софтуера се получава обратното софтуерът си покачва изискванията към клиентите .В резултат на това софтуерът расте все повече на обем за сметка на качеството. Как се избягва този проблем : Би трябвало клиента с добре приготвено зададение да изисква за възможностите на софтуера. Да изисква той да бъде точно специфициран на ниво стандарти и препоръки. Да има точна документация какви програми съдържа да има възможност за проверка на неговият произход. За мрежи с по високо ниво на сигурност задължително при нужда да бъде предоставен изходният код на програмите и библиотеките. Да има измервателни данни примерно:при дадена конфигурация колко клиента могат да бъдат аутентикирани и за какво време . Спазването на изисквания от този тип подпомага за повдигане на качеството на софтуера, предпазва от много бъдещи проблеми,намалява разходите за обслужване на корпоративните мрежи. В заключение може да се каже че заданието е най-важният момент в изграждането на една корпоративна мрежа. Ако възложителят не може да направи добро задание е по добре той да се обърне към някой професионалист в тази свера. Тук трява да се обърне внимание, че той трябва да се обърне към екип от хора който са професионалисти в тази сфера и имат реаллизирани достатъчно наброй такива проекти. На това място най-често допусканата грешка е, да се разчита на известни фирми, без да се обръща внимание кой специалист или екип ще прави заданието или проекта.Задължително трябва да се изисква на документа да се подпише екипът или човекът който го е правил. Друга най-често допускана грешка е да се възлага задание на фирма която се занимава с търговия на Hardware и Software, това е моментът при който възложителят със сигурност ще бъде подведен. След изготвяне на правилното задание възложителят вече е запознат с по голямата част от възможностите на мрежата и начините за организиране на сигурността. На него му е ясно какво да изисква и по какъв начин да следи за неговото изпълнение. Той спокойно може да пристъпи към следващата фаза да си избере кой да му проектира мрежата. Разбира се много важно е той добре да разграничава отделните нейни части разделени по OSI еталонният модел.
2. Проектиране. Тук най-често допусканата грешка е отново да се обърнете към някой търговец на Хардуер или Софтуер. Внимателно трябва да се подбере кой да изпълни проектирането и да се заложи примерен бюджет. Трябва да се знае кой точно проектира, за да може да се проследи отговорността по изпълнение на заданието. Най-важно е да се разчита на стандарти или при невъзможност на препоръки. Да не се оставя системада да е зависима от фиксирана операционна система или фиксирано име на софтуер. Хардуерът трябва да отговаря на всички стандарти. При използване на софтуер със затворен код да се изисква начин за установяването на неговият произход. При нужда производителят на софтуер да има готовност да предостави целият изходен код. Той задължително трябва да бъде проверяван по следният начин: изходният код след компилиране и свързване трябва да даде двоичен код които да е идентичен със този на който се установява произхода. Задължително в докуметацията на проекта трябва да се знае кой физически коя част от него е проектирал.
3. Изграждане. Тук основното движение е по оси еталнният модел. Започва се от физическото ниво внимателно да се следи кой как изпълнява проекта желателно е след изграждане на физическото ниво за всяка една връзка да има измервателен протокол. При наличие на изменения трябва да бъде вписвано в документацията. На второ и трето ниво е важно да се съхраняват конфигурациите на активното оборудване. На следващите нива вече задължително в изграждането трябва да участва техническо лице от възложителят. Всички изменения от проекта трябва да бъдат документирани. След изграждането най-важео е издаване на измервателен протокол от тестване.
4. Експлоатация. Тук най-важни мерки са : идентификация на потребителите и компютрите; криптиране; цифрови подписи; контрол на достъпа; изолиране на ресурси; антивирусна защита; надеждна система за съхраняване на данните; постоянно наблюдение.
5. Процедури за действие при наличие на пробив в сигурността. Тук най-важно е да има разработени във вид на блок схема процедури за действие. При не спазване на процедурите трябва да се търси отговорност.
......................... не споменах ли че е недовършена :)