Разработка политики безопасности
Создайте простую, общую политику для вашей системы, чтобы ваши пользователи могли быстро ее понять и следовать ей. Это должно сберечь данные, которые вы охраняете, а также конфиденциальность пользователей. Есть несколько вещей для дополнительного рассмотрения: кто должен иметь доступ к системе (Может ли мой друг использовать мой счет?), кому разрешено инсталировать программное обеспечение в системе, кто владеет данными, проводит восстановление, и соответственно использует систему.
Общепринятая политика безопасности начинается с фразы:
"То, что не разрешено, - запрещено"
Это значит, что до тех пор, пока вы не разрешите доступ пользователю к определенному сервису, этот пользователь не сможет использовать этот сервис. Убедитесь, что политика работает, зарегистрировавшись обычным пользователем, поскольку реплики типа "Ах, как я не люблю эти ограничения прав доступа, я просто сделаю все как администратор (root)" может привести к образованию очень очевидных "дыр" в системе безопасности, и даже таких, с которыми еще не известно как бороться.
