Программное обеспечение для государственных и частных служб безопасности

Выпуск # 8 от 08.11.00

Автор рассылки Юрий Тарасов

Здравствуйте уважаемые подписчики. Доброе всем время суток.

  Сегодня я хотел бы представить Вашему вниманию опробованную на деле схему защиты локальной сети небольшого предприятия предложенную одним из подписчиков.

 Рекомендации по формированию единой системы защиты компьютерной сети

 С интеграцией частного бизнеса во всемирную компьютерную сеть Internet возрастает необходимость в построении единой системы защиты компьютерных сетей от постороннего вмешательства, основанную на недорогих и качественных аппаратно-программных продуктах.

Как правило, в небольшой фирме, независимо от вида деятельности установлено от 3 до 10 компьютеров объединенных в единую, локальную компьютерную сеть, к которой подключены машина руководителя, секретаря, менеджеров и бухгалтерии. В ходе работы фирмы в компьютерах локальной сети накапливается информация представляющая определенную ценность, и необходимая для стабильной работы компании. По различным оценкам за год работы среднего предприятия с численностью работающих до 10 человек, скапливается компьютерная информация размером от 3 до 7 Гбайт, в которую входят базы данных бухгалтерского учета, базы данных по работе с клиентами, электронные копии хозяйственных и юридических документов.

С подключением к Internet повышается риск их потери из-за умышленного или случайного проникновения в эту компьютерную сеть вредоносных или разрушительных программ. Персонал компании, получив доступ во всемирную сеть, начинает ее изучение со страниц с развлекательной и сомнительной тематикой, на которых, как правило, и собирают информацию о пользователях компьютерные преступники. В этот период необходимо создать целостную систему информационной безопасности, которая бы надежно оградила вашу компьютерную сеть от нежелательных воздействий, и в дальнейшем легко модернизировалась.

На основании опыта работы специалистов в сфере информационной безопасности можно предположить, что независимо от классификации и метода исполнения все взломы совершаются для получения привилегированного доступа к той или иной информации, или ее уничтожения. Поэтому можно составить типовое решение для формирования защиты информации от несанкционированного доступа.

Административные меры

 Руководителю компании необходимо определить:

-          перечень данных, уничтожение которых может повлечь нарушения в работе фирмы, в зависимости от рода деятельности это могут быть бухгалтерские базы данных, адреса, реквизиты клиентов, электронные копии юридических документов, информация о движении материальных ресурсов, и другая интеллектуальная собственность компании.

-          круг лиц имеющих доступ к той или иной информации, бухгалтер к бухгалтерской базе данных, менеджеры к базе данных клиентов, секретарь к электронным копиям документов.

-          поставщика услуг доступа в Internet, и предоставляемый им сервис, чтение WWW страниц, использование электронной почты, пересылка файлов, чтение новостей и другое.

-          распределить права доступа и тому или иному сервису сети, для секретаря доступ к электронной почте, менеджерам к WWW страницам и так далее.

-          назначить ответственного сотрудника за настройку и поддержание в рабочем состоянии локальной сети фирмы, как правило, им является зачисленный в штат администратор локальной сети или сотрудник сервисной фирмы. В таком случае с ней необходимо заключить договор, в который внести пункт об ответственности за нарушения в работе сети и потерю данных.

Типовая схема защищенной локальной сети

       После консультаций с провайдером руководство фирмы выбирает необходимый для ее работы режим подключения к Internet, специалисты поставщика услуг, совместно с администратором сети проводят необходимую техническую подготовку компьютеров и программного обеспечения, и подключают локальную сеть компании к глобальной сети. Перед первым включением устанавливается и настраивается программное обеспечение, защищающее ваши компьютеры от несанкционированного доступа. В целях безопасности рекомендуется подключать к внешней сети только один компьютер, защите которого уделить максимальное внимание, а остальные пользователи смогут подключаться к Internet через него.

Опишем подробнее схему такого соединения. В качестве основного компьютера, сервера, выбирают лучший из компьютеров компании. Он будет обрабатывать большие объемы информации, и от его стабильной работы будет зависеть работа всей сети. На этой машине устанавливают программное обеспечение способное организовать автономную работу с Internet, и файловым массивом, в качестве такой программы можно порекомендовать разработанные компанией Microsoft  платформы Windows NT или Windows 2000, которые наиболее полно отвечают поставленным требованиям безопасности. При наличии дополнений Microsoft WinProxy и Microsoft Exchange сервер получает возможность подключить к Internet нескольких пользователей по одному каналу, обеспечить надежную защиту от проникновения и поддерживать работу с файлами и электронной почтой, как внутри, так и вне компании. Microsoft WinProxy включает в себя Proxy сервер и Firewall который ограничивает доступ в локальную сеть. Так же для обеспечения защиты от вирусов необходимо приобрести, и установить на каждый компьютер пакет антивирусных программ, таких как Antiviral Toolkit Pro (AVP), Doctor Web, Norton Anti-Virus, и аналогичных им.

Внутренняя структура сети

Построение сети по принципу клиент – сервер позволяет организовать разграничение доступа к определенной информации, помимо этого появляется возможность организовать, на сервере, файловый архив, в котором бы скапливалась вся необходимая для работы компании информация.

                                                   Сервер

          Internet

                                                                                                         Секретарь

                                                                               Менеджеры

                      Бухгалтерия

 На рисунке изображена структурная схема такой локальной сети, компьютеры относящиеся к бухгалтерии, логически объединены в одну группу и имеют доступ только друг к другу, и к своим файлам на сервере, аналогичным образом составлена группа «Менеджеры». Таким распределением ресурсов достигается модульность в построении сети, которая повышает безопасность всей системы в целом.

В чем преимущества такой схемы? Опасность для компьютерной сети представляют не только хакеры пытающиеся вскрыть ее снаружи, но и «обиженные» сотрудники стремящиеся навредить фирме или ее руководству, путем, уничтожения или повреждения какой либо важной информации. В своем большинстве они намеренно «заражают» доступные им компьютеры, программами, способными через заранее определенный срок испортить важную информацию. Для защиты от таких воздействий и применяется модульный принцип, который позволяет резко ограничить круг доступной информации и быстро найти виновного, а установленное на каждой машине, антивирусное программное обеспечение заблокирует работу такой программы.

Описанные меры безопасности являются достаточными для небольшой компании не имеющей своего сайта, или хранящего его на сервере провайдера. Однако с развитием Internet технологий и интеграцией фирмы в мировую информационную систему вопрос безопасности будет вставать все острее и со временем возникнет необходимость в использовании профессиональных аппаратных и программных средств защиты.

Меры предосторожности при работе с электронной почтой

 Использование электронной почты предоставляет удобный и быстрый способ обмена информацией, однако, в последнее время этот способ распространения информации все чаще стали использовать хакеры для проникновения в чужие информационные системы. Существует набор правил работы с электронной почтой, которые помогают значительно снизить вероятность проникновения в компьютерную сеть разрушительных программ.

 1.       При получении письма необходимо проверить обратный адрес, и если с этого адреса ранее почта не приходила, перед его открытием, надо внимательно прочитать поле темы. В случае если обратный адрес или тема письма вызывает подозрения, необходимо вызвать системного администратора, либо переадресовать ему данное письмо для проверки на наличие в теле письма разрушительного кода.

2.       Если обратный адрес и тема письма не вызывают подозрения письмо можно открыть, однако если после открытия письма компьютер начинает выполнять какие либо действия не связанные с почтовой программой или выводить запросы необходимо немедленно прекратить работу и сообщить о случившемся администратору сети.

3.       Особую опасность представляют вложенные в письмо файлы, которые могут содержать в себе «вирусы», поэтому все письма, не относящиеся к работе компании и содержащие в себе присоединенные файлы необходимо отправлять на проверку администратору сети.

4.       Так же существует возможность вывода из строя почтовой системы наводнением ее большим количеством писем содержащих небольшой текст или присоединенные файлы. При возникновении такой опасности немедленно сообщить о происшедшем администратору сети и удаляйте приходящие сообщения.  

Юрий Ерофеев. erofeev@freemail.ru

 В следующем выпуске мы продолжим знакомство с опытом  защиты локальной сети небольшого предприятия и рассмотрим вопросы физической защиты сети.