В. С. Замятин Бийский технологический институт Целью данного доклад

Вид материалаДоклад
Подобный материал:

Построение системы безопасности
корпоративной сети университета

В.С. Замятин


Бийский технологический институт

Целью данного доклада является освещение проблем, задач и особенностей обеспечения безопасности работы корпоративных сетей университетов.

К основным характерным чертам функционирования университетской сети, определяющим угрозы и уязвимости информационной безопасности и влияющим на использование основных защитных механизмов, можно отнести:

сложную иерархическую структуру с большим числом хостов, работающих под управлением различных операционных систем, а также территориальную распределенность;

наличие точек с плохо контролируемым или неконтролируемым доступом (классы открытого доступа в Интернет, компьютерные классы и пр.);

наличие очень большого объема различных информационных ресурсов и систем, как общедоступных, так и с ограниченным доступом;

наличие качественного подключения к сети Интернет, что несет потенциальную угрозу безопасности как с точки зрения несанкционированного доступа к информации извне, так и просто из-за возможности несанкционированной работы пользователей в Интернет за счет различных подразделений университета.

Наиболее актуальными угрозами информационной и сетевой безопасности являются:

угрозы, связанные с почтовым спамом;

угрозы, связанные с деструктивным действием различных вредоносных программ (компьютерных вирусов, сетевых и почтовых червей и пр.);

угрозы, связанные с несанкционированной модификацией параметров функционирования сети внутренними нарушителями;

угрозы несанкционированного доступа к конфиденциальной информации, имеющейся в административно-управленческой сети университета с целью ознакомления, модификации или блокирования;

угрозы Интернет-ресурсам университета.

Для повышения уровня информационной безопасности и снижения вероятности осуществления различных угроз необходимо обеспечить разработку и внедрение политики информационной безопасности университета, регламентирующей создание, внедрение и использование комплексной системы обеспечения информационной безопасности. Данная система должна быть основана на постоянном использовании различных организационных, физических и технических средств защиты.

Можно выделить следующие основные принципы построения системы обеспечения информационной безопасности.

1. Организация функционирования системы информационной безопасности должна осуществляться в соответствии с морально этическими и правовыми нормами. Необходимо наличие соответствующей организационной структуры в университете, ответственной за информационную безопасность. Необходимо следовать принципам системности, комплексности, непрерывности защиты, своевременности, гибкости, разумной достаточности и персональной ответственности.

2. Необходима грамотная организация структуры сети при проектировании. В частности, необходимо обеспечить физическое разделение учебной и административно-управлен-ческой сети. Все интернет-ресурсы сети, с возможностью доступа к ним извне, должны быть сконцентрированы в отдельной сети с внешней стороны межсетевого экрана, в так называемой демилитаризованной зоне, независимо от того, какому подразделению принадлежит тот или иной сервер и кто является его администратором. Необходимо уделять пристальное внимание защите этих серверов с обязательным контролем со стороны администратора безопасности. Все хосты внутренних подсетей должны быть учтены и зарегистрированы.

3. Необходимо обеспечить использование основных технических (аппаратных, программно-аппаратных и программных) механизмов защиты, в том числе:

трансляцию адресов для внутренних подсетей, с использованием немаршрутизируемых диапазонов корпоративных IP-адресов;

фильтрацию трафика;

возможность просмотра и анализа содержимого пакетов сетевого трафика, использование систем обнаружения атак;

использование механизмов идентификации, аутентификации и авторизациии;

регистрацию и журналирование событий, а также полный учет использования ресурсов сети;

использование технологий туннелирования и шифрования трафика при прохождении его по общедоступным сетям;

применение многоуровневой системы антивирусной защиты (необходимо обеспечить антивирусную защиту не только рабочих станций, работающих под управлением ОС Windows, но и всех почтовых и файловых серверов);

использование механизмов резервирования и резервного копирования;

постоянное обновление операционных систем, серверного и прикладного программного обеспечения для исключения возможности использования обнаруженных в нем уязвимостей.

В настоящий момент построение системы защиты информационной безопасности в Бийском технологическом институте осуществляется в соответствии с изложенными подходами и принципами. Отметим некоторые применяемые технические решения.
    • Все хосты внутренних сетей института зарегистрированы на корпоративном DNS-сервере. IP-адреса рабочим станциям выдаются автоматически с использованием протокола DHCP, причем закрепление IP-адресов за рабочими станциями осуществляется в соответствии с MAC-адресами их сетевых адаптеров. На шлюзах сети имеется статическая ARP-таблица соответствий IP- и MAC-адресов, исключающая возможность подмены IP-адреса. Следует отметить также, что доступ пользователей к коммерческим каналам с помегабайтной оплатой за трафик осуществляется только через прокси-сервер с использованием персональной аутентификации. Учет использования ресурсов в данном случае построен на учете работы пользователей, а не IP-адресов, что позволяет избежать конфликтов, связанных с осуществлением взаиморасчетов.
    • Защита электронной почты от спама осуществляется путем применения специальных настроек и заплат, системы Qmail+Vpopmail, установленной на почтовых серверах института. Кроме того, прием почтовой корреспонденции извне осуществляется с использованием так называемых черных списков или RBL.
    • Система антивирусной защиты построена на использовании продуктов компании «Диалогнаука». На всех почтовых и файловых серверах установлена антивирусная система DrWeb, настроенная на ежечасное обновление антивирусных баз. На всех рабочих станциях также установлена система DrWeb, причем ответственные за работу этих компьютеров обязаны контролировать работоспособность и постоянное обновление системы.
    • Система фильтрации сетевого трафика в настоящий момент реализована на осуществлении политики запрета опасного и несанкционированного трафика. Попытки нарушения установленных правил регистрируются в соответствующих журналах для последующего анализа.

В заключение хотелось бы отметить, что в течение продолжительно времени (с момента организации системы обеспечения безопасности) в БТИ не было ни одного серьезного инцидента, который привел бы к существенному ущербу, хотя попытки нарушения информационной безопасности регистрируются постоянно. Немалую роль в этом сыграл и тот факт, что система защиты информационной безопасности постоянно развивается и совершенствуется в ответ на появление новых угроз.