Если контролер производит инспекцию информационной системы путем беседы с соответствующим специалистом, а тот пытается сбить контролера с толку умными словами в виде конкретных названий протоколов безопасности, не следует пугаться. Необходимо аккуратно записать все названия и указанные специалистом области применения, а затем, обратившись к независимому консультанту либо прочитав техническую часть этого раздела, попытаться разобраться самостоятельно.
Если, наоборот, специалист не может внятно объяснить, какие протоколы используются либо указать причину, почему было решено их не использовать, можно сделать соответствующий вывод об уровне подготовки специалиста или уровне защищенности системы. Попытки сказать, что в системе используются секретные протоколы и закрытые алгоритмы, как показывает практика, свидетельствуют скорее в сторону уязвимости, а не дополнительной надежности системы. Опубликованные алгоритмы и протоколы обычно подвергаются многократной проверке независимых экспертов, которые выясняют их уязвимости, что дает возможность разработчикам их устранять. Секретные механизмы могут иметь скрытые уязвимости и ошибки реализации, которыми может воспользоваться тот, кто обнаружит их раньше самого разработчика или авторизованного испытателя.
Выяснив набор используемых стандартных протоколов, следует произвести изучение их известных уязвимостей, а также определить рекомендуемые специалистами конфигурационные параметры (если подобные сведения имеются в наличии). Затем вопросы об уязвимостях и конфигурации можно переадресовать уполномоченному специалисту системы (либо при соответствующей квалификации и правах проверить самостоятельно), таким образом, подтвердив или опровергнув надежность системы.
Если все же вам пришлось инспектировать систему без дополнительного участия специалистов, которые могли ответить на ваши вопросы (например, только при использовании документации), то для облегчения понимания терминов, а также обозначений таких, как PAP (SPAP), CHAP(MS-CHAP), S/Key, TACACS (TACACS+), RADIUS, Kerberos, SHTTP (S-HTTP, Secure HTTP), SSL (Secure Sockets Layer), Secure Shell (SSH), SOCKS, IPSec, L2F, PPTP, L2TP, X.509, PKI (Public Key Infrastructure), LDAP вы можете использовать раздел "Техническое описание протоколов" данной главы.