Στην DMZ (Demilitarized Zone – “αποστρατιωτικοποιημένη ζώνη”) αναλύονται οι επιχειρηματικές ανάγκες και η στρατηγική της επιχείρησης όσον αφορά στο Internet και τοποθετούνται συστήματα που παρέχουν υπηρεσίες προσβάσιμες από οποιονδήποτε μέσω του Διαδικτύου. Όλες λοιπόν οι μηχανές, συμπεριλαμβανομένων και των δρομολογητών, switches και υπολογιστών, καθώς και το ανάλογο λογισμικό θα πρέπει να ακολουθούν την πολιτική αυτή.
Συγκεκριμένα, θα πρέπει να λαμβάνονται υπόψη τα παρακάτω:
Θα πρέπει κατ’ αρχάς να είναι ξεκάθαρο ποιοι είναι οι υπεύθυνοι για τη διαχείριση των συστημάτων στην DMZ. Στη συνέχεια, όλος ο εξοπλισμός, οι εφαρμογές και οι κωδικοί πρόσβασης που τοποθετούνται σε αυτή τη ζώνη θα πρέπει να εγκρίνονται από το Τμήμα Ασφάλειας και να είναι καταγεγραμμένοι με λεπτομέρεια. Αλλαγές στον υπάρχοντα εξοπλισμό ή προσθήκη νέου θα πρέπει να γίνονται στο πλαίσιο της αντίστοιχης πολιτικής.
Θα πρέπει να γίνεται λεπτομερής καταγραφή της κίνησης αλλά και αποτελεσματικός έλεγχος της καταγραφής με αυτοματοποιημένο τρόπο από τους υπεύθυνους του συστήματος. Ειδικότερα, πρέπει να καταγράφονται οι αποτυχημένες προσπάθειες πρόσβασης, παράκαμψης δικαιωμάτων καθώς και η μη τήρηση της πολιτικής πρόσβασης σε αυτά.
Ποτέ δεν θα πρέπει να χρησιμοποιείται λογαριασμός συστήματος (admin-root) για κάτι το οποίο μπορεί να γίνει με απλό λογαριασμό που έχει λιγότερα δικαιώματα.
Όλα τα συστήματα θα πρέπει να είναι ενημερωμένα με τα τελευταία patches/hot fixes (προγράμματα διόρθωσης κάποιου προβλήματος ασφαλείας) των κατασκευαστών τους, ακόμη και για τις υπηρεσίες που δεν είναι ενεργοποιημένες.
Οι υπεύθυνοι των συστημάτων οφείλουν να είναι εκπαιδευμένοι και ενημερωμένοι για αυτά.
Εφαρμογές και υπηρεσίες που δεν χρησιμοποιούνται θα πρέπει να απενεργοποιούνται, ενώ όσες δεν είναι διαθέσιμες σε όλους να προστατεύονται με έλεγχο πρόσβασης και ταυτοποίηση υψηλής ασφάλειας.
Σε τακτά χρονικά διαστήματα θα πρέπει να γίνεται καταγραφή των συστημάτων από το Τμήμα Ασφάλειας της εταιρίας αλλά και από τρίτους για περισσότερη αντικειμενικότητα.
