В. С. Замятин Бийский технологический институт Целью данного доклад
Вид материала | Доклад |
- Бийский технологический институт (филиал), 2586.35kb.
- Лабораторный комплекс на основе внутрисхемного эмулятора микроконтроллеров стандарта, 78.16kb.
- Федеральное агентство по образованию бийский технологический институт (филиал), 1531.98kb.
- Федеральное агентство по образованию бийский технологический институт (филиал), 981.77kb.
- О проведении открытого аукциона в электронной форме, 866.61kb.
- Федеральное агентство по образованию Бийский технологический институт (филиал), 2694.55kb.
- Уважаемые выпускники 2011 года, 182.29kb.
- И. И. Ползунова Бийский технологический институт С. В. Щигрев методические указания, 350.11kb.
- Федеральное агентство по образованию бийский технологический институт (филиал), 2134.54kb.
- Федеральное агентство по образованию бийский технологический институт (филиал), 1660.78kb.
Построение системы безопасности
корпоративной сети университета
В.С. Замятин
Бийский технологический институт
Целью данного доклада является освещение проблем, задач и особенностей обеспечения безопасности работы корпоративных сетей университетов.
К основным характерным чертам функционирования университетской сети, определяющим угрозы и уязвимости информационной безопасности и влияющим на использование основных защитных механизмов, можно отнести:
сложную иерархическую структуру с большим числом хостов, работающих под управлением различных операционных систем, а также территориальную распределенность;
наличие точек с плохо контролируемым или неконтролируемым доступом (классы открытого доступа в Интернет, компьютерные классы и пр.);
наличие очень большого объема различных информационных ресурсов и систем, как общедоступных, так и с ограниченным доступом;
наличие качественного подключения к сети Интернет, что несет потенциальную угрозу безопасности как с точки зрения несанкционированного доступа к информации извне, так и просто из-за возможности несанкционированной работы пользователей в Интернет за счет различных подразделений университета.
Наиболее актуальными угрозами информационной и сетевой безопасности являются:
угрозы, связанные с почтовым спамом;
угрозы, связанные с деструктивным действием различных вредоносных программ (компьютерных вирусов, сетевых и почтовых червей и пр.);
угрозы, связанные с несанкционированной модификацией параметров функционирования сети внутренними нарушителями;
угрозы несанкционированного доступа к конфиденциальной информации, имеющейся в административно-управленческой сети университета с целью ознакомления, модификации или блокирования;
угрозы Интернет-ресурсам университета.
Для повышения уровня информационной безопасности и снижения вероятности осуществления различных угроз необходимо обеспечить разработку и внедрение политики информационной безопасности университета, регламентирующей создание, внедрение и использование комплексной системы обеспечения информационной безопасности. Данная система должна быть основана на постоянном использовании различных организационных, физических и технических средств защиты.
Можно выделить следующие основные принципы построения системы обеспечения информационной безопасности.
1. Организация функционирования системы информационной безопасности должна осуществляться в соответствии с морально этическими и правовыми нормами. Необходимо наличие соответствующей организационной структуры в университете, ответственной за информационную безопасность. Необходимо следовать принципам системности, комплексности, непрерывности защиты, своевременности, гибкости, разумной достаточности и персональной ответственности.
2. Необходима грамотная организация структуры сети при проектировании. В частности, необходимо обеспечить физическое разделение учебной и административно-управлен-ческой сети. Все интернет-ресурсы сети, с возможностью доступа к ним извне, должны быть сконцентрированы в отдельной сети с внешней стороны межсетевого экрана, в так называемой демилитаризованной зоне, независимо от того, какому подразделению принадлежит тот или иной сервер и кто является его администратором. Необходимо уделять пристальное внимание защите этих серверов с обязательным контролем со стороны администратора безопасности. Все хосты внутренних подсетей должны быть учтены и зарегистрированы.
3. Необходимо обеспечить использование основных технических (аппаратных, программно-аппаратных и программных) механизмов защиты, в том числе:
трансляцию адресов для внутренних подсетей, с использованием немаршрутизируемых диапазонов корпоративных IP-адресов;
фильтрацию трафика;
возможность просмотра и анализа содержимого пакетов сетевого трафика, использование систем обнаружения атак;
использование механизмов идентификации, аутентификации и авторизациии;
регистрацию и журналирование событий, а также полный учет использования ресурсов сети;
использование технологий туннелирования и шифрования трафика при прохождении его по общедоступным сетям;
применение многоуровневой системы антивирусной защиты (необходимо обеспечить антивирусную защиту не только рабочих станций, работающих под управлением ОС Windows, но и всех почтовых и файловых серверов);
использование механизмов резервирования и резервного копирования;
постоянное обновление операционных систем, серверного и прикладного программного обеспечения для исключения возможности использования обнаруженных в нем уязвимостей.
В настоящий момент построение системы защиты информационной безопасности в Бийском технологическом институте осуществляется в соответствии с изложенными подходами и принципами. Отметим некоторые применяемые технические решения.
- Все хосты внутренних сетей института зарегистрированы на корпоративном DNS-сервере. IP-адреса рабочим станциям выдаются автоматически с использованием протокола DHCP, причем закрепление IP-адресов за рабочими станциями осуществляется в соответствии с MAC-адресами их сетевых адаптеров. На шлюзах сети имеется статическая ARP-таблица соответствий IP- и MAC-адресов, исключающая возможность подмены IP-адреса. Следует отметить также, что доступ пользователей к коммерческим каналам с помегабайтной оплатой за трафик осуществляется только через прокси-сервер с использованием персональной аутентификации. Учет использования ресурсов в данном случае построен на учете работы пользователей, а не IP-адресов, что позволяет избежать конфликтов, связанных с осуществлением взаиморасчетов.
- Защита электронной почты от спама осуществляется путем применения специальных настроек и заплат, системы Qmail+Vpopmail, установленной на почтовых серверах института. Кроме того, прием почтовой корреспонденции извне осуществляется с использованием так называемых черных списков или RBL.
- Система антивирусной защиты построена на использовании продуктов компании «Диалогнаука». На всех почтовых и файловых серверах установлена антивирусная система DrWeb, настроенная на ежечасное обновление антивирусных баз. На всех рабочих станциях также установлена система DrWeb, причем ответственные за работу этих компьютеров обязаны контролировать работоспособность и постоянное обновление системы.
- Система фильтрации сетевого трафика в настоящий момент реализована на осуществлении политики запрета опасного и несанкционированного трафика. Попытки нарушения установленных правил регистрируются в соответствующих журналах для последующего анализа.
В заключение хотелось бы отметить, что в течение продолжительно времени (с момента организации системы обеспечения безопасности) в БТИ не было ни одного серьезного инцидента, который привел бы к существенному ущербу, хотя попытки нарушения информационной безопасности регистрируются постоянно. Немалую роль в этом сыграл и тот факт, что система защиты информационной безопасности постоянно развивается и совершенствуется в ответ на появление новых угроз.