28 / 93
AMNYTT #6
2013
Figur 2. Brannmur med DMZ sone.
kage Inspection (DPI). Forskjellen på en vanlig
brannmur og DPI er at sistnevnte ser på de tre
standard kriteriene i tillegg til at den går inn
i selve datapakken og ser på innholdet i den.
Dersom inspeksjonen finner at pakken har
et datainnhold som ikke er forenlig med, for
eksempel, destinasjonsportnummer vil den bli
forkastet. En god DPI kan også utføre såkalte
fornuftskontroller; sender man ut en pakke og
får 10.000 svar, stoppes disse, da det anses som
mistenkelig.
NIST påpeker at det ofte er uavklart hvorvidt
ansvaret ligger hos IT eller ISS. Det er sjeldent
bedriftens IT-ekspertise og kontrollsystemekspertise ligger hos én og samme person. Det
er som regel to personer med ulik bakgrunn
og oppfatning av hvor grensen mellom IT og
ISS går. Av denne grunn er det anbefalt å etablere tverrfaglige grupper som består av både
ledelse, IT- og ISS-personell. Dette sikrer at alle
delene av bedriften forstår sikkerhetskonseptene som er implementert.
Systemsammensetning
Oppsummert
Uten de rette mennesker med de rette kunnskaper hjelper det lite med en sterk brannmur
eller høye gjerder rundt det fysiske anlegget.
Nettverkssikkerhet må innarbeides gjennom
rutiner og regelverk satt sammen av en tverrfaglig kunnskapsrik gruppe internt i bedriften. Opplæring og adgangskontroll til viktig
programvare er en viktig forutsetning for god
sikkerhet. En av de største truslene er innsidere, og derfor er det viktig å kun gi tilgang til
de som virkelig trenger det. En