|
Продолжение 2 (начало, продолжение 1)
При работе с компьютером, компьютерной сетью, единой образовательной средой возникает вопрос комплексной защиты информации. Существует множество подходов к решению данной задачи. Наиболее рациональный и надежный - многобарьерная система обеспечения безопасности информации. Основным отличием данного подхода является обеспечение безопасности на различных уровнях доступа к информации.
На рисунке представлены 4 уровня, соответственно и четыре барьера:
1. Безопасность информации, хранящейся на отдельной рабочей станции (компьютере)
2. Безопасность при работе с компьютерной сетью образовательного учреждения.
3. Безопасность при работе с региональной образовательной компьютерной сетью.
4. Безопасность при работе с глобальной компьютерной сетью Internet.
Безопасность информации хранящейся на отдельной рабочей станции
К одной из самых больших проблем, подстерегающих пользователей компьютеров - компьютерным вирусам, в последние годы добавились шпионские программы. Даже владельцу домашнего компьютера, на котором нет секретных баз данных, не очень приятно, когда информация куда-то передается без его ведома. А если говорить о безопасности компьютера, находящегося в единой информационной среде образовательного учреждения, то проблема представляется чрезвычайно серьезной.
Из данного раздела вы узнаете, как повысить уровень безопасности вашей рабочей станции (компьютера), чтобы вы перестали беспокоиться об утечке важных данных и не позволили отправлять информацию с вашего компьютера без вашего разрешения.
Пароли
Первое, с чего стоит начать - пароли. Главное правило, которому нужно следовать, если вы хотите, чтобы ваши пароли были эффективными - не используйте слова, которые можно найти в словаре, или наборы цифр. Помните, что чем больше символов в пароле, тем сложнее его подобрать. Лучше всего комбинируйте цифры и буквы в разных регистрах и не храните ваши пароли в легкодоступных местах.
Если вы доверяете компании Микрософт хранение паролей и другой конфиденциальной информации, то можете разрешить Windows хранить пароль доступа в Интернет на диске своего компьютера, но это не очень хорошая идея.
В прошлых версиях Windows 9x сохранение паролей было большой проблемой. Теперь это не так, Windows 2000 и XP защищают эту информацию значительно лучше. Но, опять же, вам решать, позволить операционной системе хранить пароли на диске или нет. Это касается паролей пользователей и сетевых паролей. На вопрос компьютера о сохранении пароля для облегчения дальнейшей работы (часто встречается при работе с браузером Internet Explorer) лучше ответить отказом.
Пароль при возвращении к работе из режима ожидания
Это можно сделать, используя: Свойства экрана - заставка, установить галочку "защита паролем".
Пароль учетной записи
Установить пароль учетной записи, который будет запрашиваться при запуске операционной системы. Это можно сделать используя: ПУСК - Панель управления - Учетные записи пользователей - Создание пароля.
Необходимо отметить, что если компьютер не является рабочей станцией учебного класса, то стоит отключить учетную запись "гость".
Управление правами учетной записи
Используя настройки учетной записи, вы можете указать административные и ограниченные права. Ограниченные права не позволят устанавливать дополнительное оборудование и программные продукты.
Архивация данных
При эксплуатации персональных компьютеров по самым различным причинам возможны порча или потеря информации на магнитных дисках. Это может произойти из-за физической порчи магнитного диска, неправильной корректировки или случайного уничтожения файлов, разрушения информации компьютерным вирусом и т.д. Для того чтобы уменьшить потери в таких ситуациях, следует иметь архивные копии используемых файлов и систематически обновлять копии изменяемых файлов. Для хранения архивов данных можно использовать внешние запоминающие устройства большой емкости (DVD-диски, флэш-диски "usb flash card" большой емкости, портативные жесткие диски), которые дают возможность легко скопировать целиком жесткий диск или отдельные файлы и папки.
Для копирования файлов можно, разумеется, использовать следующие средства:
· стандартные команды Сору, Xcopy, Diskcopy;
· программные средства PCtools, Norton Commander;
· программы непрерывного копирования Backup и Restore.
Однако при этом архивные копии занимают столько же места, сколько занимают исходные файлы. Эффективнее использовать специально разработанные программы архивации файлов, которые сжимают информацию. При архивировании степень сжатия файлов сильно зависит от их формата. Некоторые форматы данных (графические, Page Maker и др.) имеют упакованные разновидности, при этом сжатие производится создающей исходный файл программой, однако лучшие архиваторы способны поджать и их. Совсем другая картина наблюдается при архивации текстовых файлов, файлов PostScript и им подобных: текстовые файлы обычно сжимаются на 50-70%, а программы на 20-30%. Наиболее популярны архиваторы RAR, ZIP, ARJ, UHA.
Кроме того, в программах-архиваторах (например, RAR) могут быть предусмотрены дополнительные функции по защите информации в архивном файле с помощью пароля, который используется как ключ алгоритма шифрования данных в архиве.
Антивирусные программы
Даже в том случае, если ваш компьютер не имеет соединения с другими компьютерами, т.е. не подключена локальная сеть и отсутствует доступ к глобальной сети, то все равно есть риск "заразить" свой компьютер вирусом. Для этого достаточно использовать любой внешний носитель информации. Классификации вирусов посвящен отдельный раздел.
Для защиты и борьбы с вирусами применяются специальные антивирусные программы, которые можно разделить на несколько видов:
· программы-детекторы позволяют обнаружить файлы, зараженные вирусом. Работа детектора основывается на поиске участка кода, принадлежащего тому или иному известному вирусу. К сожалению, детекторы не гарантируют обнаружения "свежих" вирусов, хотя в некоторых из них для этого предусмотрены особые средства. Наиболее известными детекторами являются ViruScan, NetScan. У нас в стране используется детектор Aidstest;
· программы-доктора (или фаги) "лечат" зараженные программы или диски, уничтожая тело вируса. При этом в ряде случаев ваша информация может быть утеряна, так как некоторые вирусы настолько искажают среду обитания, что ее исходное состояние не может быть восстановлено. Широко известными программами-докторами являются Clean-Up, M-Disk и уже упомянутый выше Aidstest;
· программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а в дальнейшем сравнивают их состояние с исходным. При выявлении несоответствий выдают сообщение пользователю. Работа этих программ основана на проверке целостности (неизменности) файлов путем подсчета контрольной суммы и ее сравнения с эталонной, вычисленной при первом запуске ревизора. Возможно также использование контрольных сумм, включаемых в состав программных файлов изготовителями. Могут быть созданы и встречаются,вирусы, не изменяющие при заражении контрольную сумму, сосчитанную традиционным образом - суммированием всех байтов файла, однако практически невозможно замаскировать модификацию файла, если подсчет ведется по произвольной, заранее неизвестной схеме (например, четные байты дополнительно умножаются на 2), и совсем невероятно при использовании двух (или более...) по-разному сосчитанных сумм;
· доктора-ревизоры - это программы, объединяющие свойства ревизоров и фагов, которые способны обнаружить изменения в файлах и системных областях дисков и при необходимости, в случае патологических изменений, могут автоматически вернуть файл в исходное состояние;
· программы-фильтры располагаются резидентно в оперативной памяти компьютера, перехватывают те обращения к операционной системе, которые могут использоваться вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Программы-фильтры контролируют действия, характерные для поведения вируса, такие как: обновление программных файлов; запись на жесткий диск по физическому адресу (прямая запись); форматирование диска; резидентное размещение программ в оперативной памяти. Выявив попытку совершения одного из этих действий, программа-фильтр выдает описание ситуации и требует от пользователя подтверждение. Пользователь может разрешить операцию, если ее производит "полезная" программа, или отменить, если источник данного действия неясен. К широко распространенным программам-фильтрам относятся FluShot Plus, Anti4Us, Floserum, Disk Monitor. Это достаточно надежный метод защиты, но создающий существенные неудобства для пользователя, так как в некоторых случаях значительно "тормозится" работа компьютера. Однако не стоит экономить на безопасности.
Выпускаемые антивирусные программные продукты, а их очень много, как правило, объединяют основные функции детектора-доктора-ревизора. Следует отметить, что антивирусные программы постоянно обновляются, не реже одного раза в месяц, и способны защитить компьютеры от вирусов, известных программе на данный момент. Для наиболее надежной защиты следует как можно чаще обновлять антивирусную базу ("перечень знакомых вирусов"). Наиболее часто используемые антивирусы в наше время: NOD32,Антивирус Касперского, Dr.Web, Panda, Avast и др.
Прежде всего, необходимо подчеркнуть, что защитить компьютер от вирусов может только сам пользователь. Только правильное и своевременное применение антивирусных средств может гарантировать его от заражения или обеспечить минимальный ущерб, если заражение все-таки произошло. Необходимо правильно организовывать работу на ПК и избегать бесконтрольной переписи программ с других компьютеров (важный аспект для рабочих станций в учебных классах).
Ограничение физического доступа к компьютеру
Помимо программной защиты вашего компьютера, неплохо обеспечить и безопасность физического доступа к компьютеру. Бесконтрольный доступ к компьютеру - главная опасность. Ограничение доступа к компьютеру должно быть разумным. Если это рабочая станция сотрудника администрации (директор, завуч), или работника бухгалтерии, то кабинет в отсутствие пользователя ПК лучше закрывать на ключ.
При работе с компьютером, находящимся в составе компьютерной сети (КС) образовательного учреждения (ОУ), пользователь получает большое количество дополнительных возможностей. Например: использование общих ресурсов (принтеры, сканеры...), использование открытой для доступа информации (методические пособия, материалы к урокам...) и др. Но одновременно с получением этих возможностей, пользователь подвергает информацию своего компьютера дополнительной опасности. В первую очередь, это несанкционированный доступ к конфиденциальной информации (файлы программы "Параграф", экономические документы и др.)
Главным образом, при переходе от первого уровня обеспечения безопасности ко второму, необходимо сделать невозможным осуществление доступа к информации компьютеров администрации образовательного учреждения со стороны рабочих станций учебного класса.
Для осуществления данной процедуры безопасности используется "Межсетевой экран". Межсетевой экран также носит названия - Сетевой экран, Брандмауэр (Brandmauer) или Файервол (firewall).
Брандмауэр - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Хотя брандмауэры обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или компаниях брандмауэры часто используются для создания различных подсетей в сети, часто называемой интранетом. Брандмауэры в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться брандмауэрами и предоставляться только в том объёме, который нужен для выполнения обязанностей сотрудника. Примером может быть брандмауэр для финансового отдела или бухгалтерии в организации. Решение использовать брандмауэр обычно основывается на необходимости предоставлять доступ к определенной информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учёт доступа и использования конфиденциальной и критической информации. Для всех систем организации, на которых размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должны использоваться внутренние брандмауэры и фильтрующие маршрутизаторы для обеспечения строгого управления доступом к информации. Эти средства защиты должны использоваться для разделения внутренней сети организации ради реализации политик управления доступом, разработанных владельцами информации (административные работники ОУ).
Брандмауэр, как и любое другое сетевое устройство, должен кем-то управляться. Политика безопасности должна определять, кто отвечает за управление брандмауэром. Человек, назначенный администратором брандмауэра, должен иметь большой опыт работы с сетевыми технологиями, чтобы брандмауэр был правильно сконфигурирован и корректно администрировался. Администратор брандмауэра должен периодически посещать курсы по брандмауэрам и теории и практике сетевой безопасности или другим способом поддерживать высокий профессиональный уровень. Администратор брандмауэра должен предоставить возможность связаться с ним в любое время.
На территории Ленинградской области функционирует Ленинградская Областная Корпоративная Образовательная Сеть (ЛОКОС), которая открывает большие возможности:
· Доступ к хранилищам регионального опыта и практик
· Использование в образовательном процессе возможностей уникального оборудования (например, учебной обсерватории)
· Интерактивное общение с ведущими учеными
· Корпоративная телефонная сеть с единым номерным пространством
· Трехуровневая сеть (Областной, Районный, Локальный уровни)
· Единый шлюз выхода в интернет
· 23 арендованных канала связи с пропускной способностью от 512 Кбит/с до 10 Мбит/с
· Сертифицированный персонал сетевых администраторов
и в дальнейшем количество допустимых услуг и возможностей будет увеличиваться.
ЛОКОС предоставляет информационную безопасность и услуги хостинга по следующим направлениям:
· Любые виды фильтрации Интернет-трафика
· Защита от несанкционированного доступа к информации, а также от различных вирусов
· Любые услуги хостинга, а также удаленной поддержки
· Гибкий доступ к данным с различных компьютеров
· Автоматизированный учет работы в информационных сетях всех сотрудников и учащихся образовательного учреждения посредством биллинговой системы
Вывод. Возможности ЛОКОС обеспечивают образовательному учреждению достаточный уровень безопасности информации.
Подключение организации к глобальной сети, такой как Internet, существенно увеличивает эффективность работы образовательного учреждения и открывает для нее множество новых возможностей. В то же время, организации необходимо позаботиться о создании системы защиты информационных ресурсов от тех, кто захочет их использовать, модифицировать либо просто уничтожить (специально или случайным образом).
Несмотря на свою специфику, система защиты организации при работе в глобальной сети должна быть продолжением общего комплекса усилий (ранее рассмотренных барьеров безопасности), направленных на обеспечение безопасности информационных ресурсов.
Учитывая, что на ранее разобранных уровнях обеспечения безопасности (Безопасности информации, хранящейся на отдельной рабочей станции, Безопасности при работе с компьютерной сетью образовательного учреждения, Безопасности при работе с региональной образовательной компьютерной сетью) мы рассматривали необходимость установки антивирусной программы, то сейчас лишь еще раз об этом напомним. Аналогичная ситуация с "Брандмауэр"ом, единственное отличие которого в этой ситуации составляет его месторасположение. Если в случае обеспечения безопасности при работе с компьютерной сетью образовательного учреждения брандмауэр находился между двумя локальными сетями внутри организации, то в случае работы с глобальной сетью Internet, брандмауэр находится между единой информационной средой образовательного учреждения и каналом доступа Internet. Возможно расположение брандмауэра между Интернет Контроль Сервером (ИКС) и каналом доступа Internet. Остальная информация об организации работы с брандмауэром разобрана в разделе безопасности работы с компьютерной сетью образовательного учреждения.
Следующий наиболее популярный вопрос при работе с Internet - управление доступом к глобальной сети (разрешение и запрет на использование тех или иных интернет-ресурсов, контроль времени и трафика и т.д.)
Управляя доступом пользователей, вы можете разрешать/запрещать посещение различных Интернет ресурсов, ограничивать скорость канала, ставить квоты на объем трафика, регулировать расход денежных средств и время доступа. Наиболее удобным и качественным способом управления доступом к глобальной сети является установка и настройка Интернет Контроль Сервера.
Способы ограничения доступа
Ограничение по URL
Доступ каждого пользователя к web-ресурсам может быть ограничен по URL объекта. Объект задается с помощью регулярного выражения, что позволяет гибко настраивать фильтруемые адреса. Каждому пользователю может быть установлен индивидуальный набор правил и заранее созданных профилей доступа. Для каждого объекта доступ к нему может быть заблокирован, разрешен или разрешен всегда - пользователь имеет доступ к такому объекту, даже если он заблокирован по какой-либо причине.
Ограничение на уровне TCP/IP
Кроме доступа к web-объектам, администратор может управлять доступом пользователей на уровне протокола TCP/IP. Для каждого пользователя можно задать список хостов, портов-отправителей, портов-получателей, протоколов, направлений пакета. На основе этих данных принимается решение о разрешении или запрещении доступа. Также можно задать время действия правила, что позволяет более гибко управлять доступом.
Квотирование и ограничение скорости
Любому пользователю ИКС может быть установлена индивидуальная скорость канала, которую он не сможет превысить при работе с Интернет. Также пользователям могут быть установлены квоты как на трафик, так и на расход средств лицевого счета. Квоты могут быть заданы на день или месяц. Блокировка пользователя при исчерпании квоты и его разблокировка по прошествии периода отключения происходит автоматически.
Профиль доступа
Если Вы хотите ограничить доступ пользователя или группы к отдельным ресурсам Интернет, то Вы должны указать это в профиле доступа. Профиль доступа работает с наборами правил, которые применяются последовательно и бывает двух видов: профиль межсетевого экрана и профиль WWW доступа. Профиль межсетевого экрана применяется ко всем видам IP пакетов.
Вы можете создавать правила доступа отдельно для каждого пользователя, указывая, доступ к каким адресам и портам или URL ресурсам Вы хотите блокировать для этого пользователя.
Вы можете создавать заготовки профилей и применять их к нескольким пользователям. Кроме того, существует возможность применять профили доступа, созданные администраторами других групп.
Если Вы применяете профиль доступа к группе, то все ее подгруппы унаследуют ее профиль доступа. Отменить наследование профиля доступа можно явным образом из интерфейса настройки пользователей.
Способы авторизации пользователей:
· имя (и пароль), которое применяется при работе через прокси-сервер
· IP-адрес
· ActiveDirectory: единственным условием, которое необходимо выполнить пользователю, является вход в домен под своей учетной записью
· VPN-соединение: пользователю требуется установить шифрованный (что обеспечивает дополнительную степень защиты данных пользователя) VPN-канал до ИКС, указав при этом свой логин и пароль
· программа-агент: позволяет пользователю ввести свой логин и пароль в агенте и получить доступ к сети с любого компьютера, имеющего IP-адрес и доступ к ИКС.
· Интернет Контроль Сервер: позволяет предотвратить подмену IP-адреса пользователя путем автоматического создания фиксированной привязки IP-адреса к МАС адресу. Кроме того, все незакрепленные за пользователями IP-адреса блокируются от попадания в Интернет межсетевым экраном ИКС.
Управление пользователями и группам
Пользователи Интернет Контроль Сервера для учета их трафика могут быть объединены в группы. Группы могут отражать организационную структуру учреждения (учебный класс, бухгалтерия...) или объединять пользователей по каким-либо другим признакам. Вы можете передать управление группой администратору группы (учитель информатики в учебном классе).
Задавая правила доступа к различным сайтам в сети Интернет, Вы можете применить их для всей организации, для отдельных групп или пользователей. При этом Вы можете разрешить отдельным пользователям и группам игнорировать правила доступа, заданные для всей организации или вышележащих групп.
При отключении интернета у группы, это состояние распространяется на всех ее пользователей. При автоматическом отключении пользователя или группы Интернет Контроль Сервер указывает причину отключения: исчерпание средств, превышение лимита трафика и т.д.
Вывод. Экранирование дает возможность контролировать информационные потоки, направленные во внешнюю область, обеспечивая режим конфиденциальности.
Таким образом, экранирование в сочетании с другими мерами безопасности (например, ИКС) использует идею многоуровневой защиты. За счет этого внутренняя сеть подвергается риску только в случае преодоления нескольких защитных рубежей.
Кого заинтересуют дальнейшие материалы курса, пишите -
или
|
