Наиболее важными задачами сетевого администрирования являются обеспечение надежности и безопасности.
Надежность – это свойство информационной сети сохранять полную или частичную работоспособность вне зависимости от выхода из строя некоторых ее компонентов.
Безопасность – это защищенность информационной среды предприятия от внешних и внутренних угроз ее формированию, использованию и развитию.
Для обеспечения надежности и безопасности применяются специальные методы и средства, распределяющиеся по трем основным уровням:
- На физическом уровне осуществляется повышение надежности элементов сети, резервирование оборудования, резервное копирование и архивирование данных;
- На системном уровне используются программно-аппаратные средства контроля и восстановления работоспособности сети;
- На административном уровне производится распределение полномочий пользователей, разрабатываются и реализуются планы действий в чрезвычайных ситуациях и т. п.
Рассмотрим некоторые простые правила обеспечения надежности и защиты информации в локальной сети предприятия.
Самая важная информация, как правило, хранится на серверах, поэтому эти устройства имеют повышенные требования к надежности и безопасности. В связи с этим серверные устройства необходимо размещать в отдельном помещении, доступ к которому ограничен. Лучше установить в данном
помещении кондиционер для дополнительного охлаждения. Наилучшим вариантом будет организация отдельного помещения для мини-АТС, серверов и других сетевых устройств. Сервер нужно обязательно опечатать, чтобы быть уверенным в том, что его в ваше отсутствие не разбирали. По возможности отключите дисководы и приводы компакт-дисков в BIOS или путем отсоединения кабелей (это нужно для того, чтобы никто не смог получить доступ к файловой системе с помощью этих носителей данных). Если сервер даст сбой и нужно будет загрузиться с дискеты или компакт диска, их всегда можно будет вернуть в систему.
Точно так же, как и сервер, вам следует опечатать и компьютеры пользователей. Если у клиентов отсутствует необходимость использования съемных носителей, то отключите их приводы от материнской платы, оставив работающими приводы на нескольких компьютерах для того, чтобы там можно было произвести запись, если возникнет потребность. Отключите все неиспользуемые USB, COM и LPT-порты. Установите пароль на BIOS и запретите возможность загрузки компьютера с дискет и компакт-дисков.
Установите антивирусное программное обеспечение.
Если ваша сеть имеет подключение к Интернету, следует установить брандмауэр. Брандмауэр – это программа или специальное устройство, которое пропускает через себя весь трафик. Эта программа входит в сеть и выходит из нее с целью фильтрации трафика. В процессе анализа и фильтрации потоков данных брандмауэр опирается на специально установленные системным администратором правила, блокируя пакеты с данными или же пропуская их.
Чтобы убедиться в том, что брандмауэр работает правильно, нужно использовать сканер безопасности. Сканер анализирует сеть и находит в ней все уязвимые места, обрабатывает полученные результаты и генерирует отчет на их основе. Достаточно часто найденное слабое место может быть устранено без вмешательства администратора.
В систему защиты сети и данных от несанкционированного доступа входят следующие технологии:
- Система управления доступом;
- Система аудита;
- Система аутентификации пользователей;
- Аутентификация с использованием смарт-карт;
- Политика на ограничение использования программ;
- Служба управления правами;
- Центр сертификации;
- Встроенные средства шифрования;
- Шифрующая файловая система EFS;
- Поддержка протокола IPSec;
- Безопасность беспроводных соединений;
- Организация виртуальных частных сетей;
- Защита от вирусов, спама и внешних атак.
Использование межсетевых экранов (например, ISA Server 2000) позволяет обеспечивать защиту локальной сети на трех уровнях: сетевом, транспортном и уровне приложений.
Усиленные политики безопасности рабочих станций Windows XP Professional позволяют предотвратить исполнение нежелательных приложений, в том числе вирусов и «троянских коней».
Управление доступом в Интернет из корпоративной сети позволяет защитить компьютеры от исполнения вредоносного кода и объектов ActiveX.
Высокая безопасность веб-сервера Internet Information Services (IIS)6.0, являющегося частью Windows Server 2003, обеспечивает надежную работу и защиту сервера от атак.
Если данные хранятся в СУБД, то добавляется дополнительный уровень защиты – аутентификация пользователя на уровне самой СУБД. Для управления доступом пользователей к различным объектам баз данных используются полномочия. Они указывают, какие пользователи могут выполнять определенные операции с базой данных. Вы можете задавать полномочия на уровне сервера и на уровне базы данных. Полномочия на уровне сервера используются для того, чтобы администраторы баз данных (DBA) могли выполнять административные задачи для баз данных. Полномочия на уровне базы данных используются для того, чтобы разрешать или запрещать доступ к объектам и операторам базы данных. Полномочия на уровне объектов базы данных – это класс полномочий, которые предоставляются для доступа к объектам базы данных и на использование операторов. Вы можете упростить задачу управления многими полномочиями для многих пользователей путем использования ролей для баз данных. Роли баз данных используются, чтобы предоставлять группам пользователей одни и те же полномочия доступа к базам данных без необходимости присваивания этих полномочий по отдельности. Вместо присваивания отдельных полномочий отдельным пользователям вы можете создать роль, представляющую полномочия, используемые группой пользователей, и затем присвоить их этой группе.
Обычно роли создаются для определенных рабочих групп, классов работ или задач. При этом подходе новые пользователи могут становиться членами одной или нескольких ролей баз данных, исходя из заданий, которые они будут выполнять.
Необходимо отметить, что наибольшую опасность для информационной безопасности организаций представляют вовсе не внешние угрозы – вирусы, трояны, хакеры и т. п., а внутренние. Внутренние угрозы вызваны тем, что пользователи имеют неконтролируемый доступ к важной информации изнутри
– со своих компьютеров, объединенных в локальную сеть. Последствием может быть как несанкционированное копирование или удаление конфиденциальной информации, так и появление на рабочих компьютерах вредоносных программ и просто бесполезных файлов (например, видеофильмов и музыки). Как правило, в таких случаях используются внешние накопители информации
(USB-диски, CD и DVD приводы, флоппи-дисководы, устройства Bluetooth и др.).
Существуют программы (например, FileControl) для контроля доступа к различным устройствам хранения информации (USB-дискам и другим USB- устройствам, CD/DVD приводам, флоппи-дисководам, различным портам) и мониторинга операций с файлами внутри локальной сети. Такие программы дистанционно устанавливаются на компьютеры локальной сети, они невидимы для пользователей, предельно просты в использовании. Помимо управления доступом, осуществляется мониторинг действий пользователей с внешними накопителям информации (информация о времени подключения/отключения устройств и о том, какие файлы и когда были прочитаны или записаны, сохраняется в лог-файлы).
Возможность осуществлять контроль действий с внешними устройствами и мониторинг операций с файлами по локальной сети – необходимый элемент обеспечения информационной безопасности любой организации, на компьютерах которой хранится ценная информация.
ЗАДАНИЕ
1. Изучить теоретический материал по данной теме.
2. Подготовить проект (план) мероприятий по обеспечению информационной безопасности локально-вычислительной сети предприятия.
ТРЕБОВАНИЯ К ЗАЧЕТУ
1. К зачету необходимо предоставить результаты выполненной работы.
2. Составить отчет с подробным описанием выполненных работ.
3. Подготовить ответы на вопросы.