Раздел 7. Организация защиты информации в сетях.

Основной целью администрирования является обслуживание пользователей сети. В зависимости от того, какого типа сеть: локальная, состоящая из подсетей территориально распределенная и т.д., выделяются основные и дополнительные обязанности сетевого администратора.

Главной обязанностью сетевого системного администратора (сисадмина) является умение регистрировать все происходящие в сети процессы и события и использовать полученные сведения для оптимизации загрузки сетевого оборудования, обнаружения неполадок, узких мест, конфликтов оборудования и программ.

Для организации аналитической работы сисадмина, ведутся регистрационные журналы на диске сервера сети. Теоретически в них всегда должно регистрироваться любое вновь устанавливаемое (инсталлируемое) программное обеспечение (ПО) или новое оборудование. Но в документации к программам не всегда явно прописывается, каким образом осуществляется регистрация при установке. Поэтому инсталлируется дополнительно регистрирующее ПО, а также вспомогательные программы, необходимые администратору в специфических случаях.

Для ведения контроля за деятельностью сети администратор должен детально знать структуру администрируемой сети и основные характеристики входящих в нее объектов ( серверов, рабочих станций, маршрутизаторов и т.д.). При этом надо знать и регламент работы оборудования сети.

В общем случае в обязанности администратора входят следующие функции:

ü включение, запуск и остановка сетевых объектов коллективного пользования ( серверов и пр.);

ü задание новых учетных данных пользователям сети, замещение и удаление старых записей на тех серверах и объектах, которые входят в ведение администратора;

ü организация групп, назначение их идентификаторов, корректировка состава групп, при перемещении рабочих станций;

ü обслуживание коммуникаций – электронной почты, анонимных FTP, системы DNS, или контроль за деятельностью сотрудников, выполняющих эти функции;

ü организация и обслуживание централизованной службы печати;

ü установка расписания для регулярно выполняемых заданий;

ü поддержка системы безопасности сети;

ü ведение журнала сетевых изменений , обновлений программного обеспечения и других важных событий;

ü проверка целостности файловых систем на всех ПК сети;

ü проверка состояния сетевых баз данных, дежурное архивирование данных и системных файлов;

ü ознакомление пользователей с основными правилами работы в сети и санкциями за их нарушение;

ü восстановление информационного, программного обеспечения после сбоев различного характера;

ü установка новых сетевых программных и аппаратных средств с их регистрацией в журнале событий;

ü отслеживание производительности сети, контроль за использованием ресурсов, выявление причин очередей;

ü консультации и разъяснения по сетевому трафику, характеру функционирования сетевых программ и оборудования.

Это типовые обязанности, на самом деле круг его функций значительно шире, поэтому сисадмин должен постоянно читать сетевую документацию и общаться с широким кругом специалистов - поставщиками сетевого и компьютерного оборудования, разработчиками программ, коллегами, специалистами в предметных областях, автоматизированных на предприятии, и т.п.

Актуальность проблемы информационной безопасности и эффективной защиты корпоративных сетевых ресурсов объясняется:

Ø ростом числа компьютерных преступлений и атак;

Ø недостаточной защитой информационных ресурсов в существующих компьютерных сетях;

Ø постоянным развитием сетей, а в связи с этим развитием возможных угроз, которым подвержены шлюзы и серверы Internet, серверы файлов и приложений, серверы групп, электронной почты и рабочие станции;

Ø необходимостью минимизации затрат на сетевую безопасность при минимизации информационных рисков.

Каждый абонент сети обязан заботиться о безопасности своего объекта на случай внешнего информационного взлома и о защите ценных данных, передаваемых по сети.

Основой любой системы информационной безопасности является грамотное и аккуратное администрирование сети, т.е. регулярная проверка состояния программного обеспечения системы, чтение и анализ регистрационных файлов.

Семь правил информационной безопасности, согласно [2], имеют вид:

v не помещайте нигде, кроме специальных папок и серверов, информации, представляющей особую ценность (коммерческие, финансовые, фирменные документы, данные о персонале, доходах и т.д.); храните особо ценную информацию в зашифрованном виде на носителях с ограниченным доступом;

v применяйте все доступные инструментальные, программные и административные средства защиты, читайте литературу и просматривайте специальные сайты Интернета по этому вопросу;

v контролируйте все уязвимые места сетевых компьютеров, к которым имеют доступ значительное число пользователей (например, папки почтовых программ, каталоги анонимных ftp);

v устанавливайте ловушки и фильтры в системах, которые напрямую соединены с сетью Интернет ( брандмауэры и другие средства);

v следите за отчетами, которые формируют эти средства защиты, отслеживайте необычные сообщения в них;

v учитесь обеспечивать безопасность собственными силами, так как привлечение сторонних специалистов требует значительных затрат и может дать неожиданные побочные эффекты после их ухода в виде падения производительности некоторых процессов в сети;

v постоянно обращайте внимание на все необычные процессы и сообщения в сети.

Вопросы управления пользователями сети заключаются в:

ü создании бюджета пользователя;

ü организации защиты информации, касающейся этого пользователя;

ü организации защиты информации от этого пользователя.

Эти вопросы могут быть решены средствами операционной системы серверов сети, где был зарегистрирован пользователь или специальными программными инструментами.

Средства защиты данных в операционных системах  базируются на совокупности прав и полномочий пользователя на доступ к файлам и каталогам. Для этого формируется сетевым администратором учетная запись пользователя, которая включает:

Ø регистрационное имя,

Ø зашифрованный пароль,

Ø группу доступа

Ø дополнительные сведения.

Изменение сведений учетной записи возможно только системным администратором. Здесь же определяются следующие полномочия пользователя:

ü Членство в группах. Каждый пользователь может входить в любую группу, в которой для него прописываются права доступа;

ü Профили, сюда включаются оригинальные для конкретного пользователя настройки рабочего стола (фон, цвет элементов и пр.), сетевое окружение, ярлыки и т.д.;

ü Часы. Для пользователя задается интервал рабочего времени и дни недели, в которые ему разрешено регистрироваться;

ü Имена машин локальной сети, с которых пользователю может быть открыт доступ и регистрация.

Учетные записи могут иметь ограниченный срок действия или быть постоянными

В системах Windows термин «полномочия» также означает описание типа доступа пользователя к сетевому ресурсу. В случае доступа к дисковой памяти под объектом защиты понимается файл или каталог. Различают два уровня защиты информации, расположенной на дисках:

ü уровень разделяемых ресурсов;

ü уровень полномочий доступа к файлам и каталогам.

Существуют четыре уровня разделяемого доступа:

ü нет доступа (No Access);

ü чтение (Read);

ü изменение Change);

ü полный доступ (Full Control).

В общем случае полномочия пользователя как члена разных групп суммируются, т.е. пользователю даются максимальные полномочия из трех последних вышеперечисленных. Но если хоть в одной группе пользователю отказано в доступе к ресурсу (первый вышеуказанный уровень), то он не получит доступа к этому ресурсу и как член любой другой группы, в которой у него есть полномочия. Существуют и более тонкие способы настройки полномочий.

В последнее время для безопасной работы в сетях все более популярна система Kerberos.

Kerberos основана на механизме аутентификации, который обеспечивает гарантию того, что пользователи и службы, на самом деле, являются теми, за кого себя выдают. Эта система основана на шифровании данных с использованием алгоритма DES (Data Encryption Standard – стандарт шифрования данных). Kerberos создает наборы идентификаторов, в системах Unix, называемых билетами. Билеты передаются по сети с целью подтверждения личности пользователя и предоставления ему доступа к сетевым службам. Технология работы системы следующая. Для защищаемого участка сети выделяется хотя бы одна физически защищенная машина, которая называется сервером аутентификации. На ней запущенасистема Kerberos. Сервер аутентификации выдает билеты пользователям и службам, требующим аутентификации, на основании представленных ими рекомендаций, таких как пароли. Пароли всегда передаются в зашифрованном виде. В течение определенного времени (обычно 8 часов) полученный билет позволяет пользователю входить в другие системы защищенного участка без паролей.