Обеспечение ИБ в вузах

Обеспечение ИБ в вузах

А.В. ВОЛКОВ
системный администратор Саратовского государственного социально-экономического университета

В развитии компьютерной техники и программного обеспечения вузы сыграли ключевую роль. В них разрабатываются, испытываются и внедряются передовые проекты в сфере IT. С ростом киберпреступности защита конфиденциальной информации и разработок в учебных учреждениях становится особенно актуальной.

Учет специфики

Вузы - инфраструктура, обладающая огромным банком данных, содержащим информацию разного характера. Это не только учебные методички в электронном виде, но и важные проектно-исследовательские наработки. Рост преступлений в сфере высоких технологий диктует свои требования к защите ресурсов вычислительных сетей учебных заведений и ставит задачу построения собственной интегрированной системы безопасности. Ее решение предполагает наличие нормативно-правовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации (СЗИ) в рамках образовательного учреждения. Эти составляющие определяют единую политику обеспечения безопасности информации в вузе.

Специфика защиты информации в образовательной системе заключается в том, что вуз - публичное заведение с непостоянной аудиторией, а также место повышенной активности "начинающих кибер-преступников". Основную группу потенциальных нарушителей здесь составляют студенты, некоторые из них имеют достаточно высокий уровень знания компьютеров, сетей. Возраст - от 18 до 23 лет - и юношеский максимализм побуждает таких людей блеснуть знаниями перед сокурсниками: устроить вирусную эпидемию, получить административный доступ и "наказать" преподавателя, заблокировав выход в Интернет. Достаточно вспомнить, что первые компьютерные правонарушения родились именно в вузе (червь Морриса).

Учащиеся имеют доступ только в компьютерные учебные аудитории, от них и исходит внутренняя угроза. Работа студентов, преподавателей в таких аудиториях должна быть регламентирована приказом (актом) ректората. Во избежание занесения вредоносной информации во внутреннюю сеть желательно, чтобы в компьютерах отсутствовали дисководы и были отключены usb-порты.

Анализ угроз, их источников и рисков

Компьютерные сети образовательных заведений - это совокупность сетевых ресурсов для учебной деятельности, рабочих станций персонала, устройств функционирования сети в целом.

Источниками возможных угроз информации являются: компьютеризированные учебные аудитории, в которых происходит учебный процесс;

• Интернет;
• рабочие станции неквалифицированных в сфере ИБ работников вуза.

Анализ информационных рисков можно разделить на следующие этапы:

• классификация объектов, подлежащих защите, по важности;
• определение привлекательности объектов защиты для взломщиков;
• определение возможных угроз и вероятных каналов доступа на объекты;
• оценка существующих мер безопасности;
• определение уязвимостей в обороне и способов их ликвидации;
• составление ранжированного списка угроз;
• оценка ущерба от НСД, атак в отказе обслуживании, сбоев в работе оборудования.

Основные объекты, нуждающиеся в защите от НСД:

• бухгалтерские ЛВС, данные планово-финансового отдела, а также статистические и архивные данные;
• серверы баз данных;
• консоль управления учетными записями;
• www/ftp сервера;
• ЛВС и серверы исследовательских проектов.

Регламент работы

Для аутентификации пользователей на рабочих станциях преподавательского персонала, компьютерах в учебных аудиториях можно применять ролевое управление доступом (РУД). Суть технологии - в создании некой "роли, связывающей пользователя и его привилегии в системе. С ее помощью можно эффективно построить гибкую политику разграничения доступа в многопользовательской системе.

РУД заметно облегчает администрирование многопользовательских систем путем установления связей между "ролями" и пользователями. Для каждого пользователя может быть активизировано сразу несколько "ролей", которые одновременно могут быть приписаны сразу нескольким пользователям.

Использование сетевой операционной системы Novell Netware позволяет централизованно управлять процессом идентификации пользователей в общей университетской сети, отслеживать их действия, ограничивать доступ к ресурсам. Средства защиты информации (СЗИ) уже встроены в эту ОС на базовых уровнях и не являются надстройкой в виде какого-либо приложения.

ОС Novell NetWare содержит механизмы защиты следующих уровней:

• защита информации о пользователе;
• защита паролем;
• защита каталогов;
• защита файлов;
• межсетевая защита.

Для каждого зарегистрированного в этой ОС пользователя содержатся правила с указанием перечня ресурсов, к которым он имеет доступ, права на работу с ними. Для помощи администратору служит консоль управления учетными записями. Есть возможность ограничения права пользователя на вход в сеть временем, датой и конкретными рабочими станциями. В качестве системы разграничения доступа используются ACL и так называемые контексты. Для каждого контекста определен список доступных ресурсов сети. Это позволяет разделять доступ к ресурсам между администрацией, работниками университета и студентами. Кроме того, можно устанавливать дополнительные групповые политики в рамках определенного контекста (допустим, разделить доступ студенческого контекста по факультетам, не используя подконтексты). Встроенные средства обнаружения и предотвращения атак позволяют быстро выявить нарушителя.

Нередко на территории университета разворачивается беспроводная сеть, доступ в которую обычно является свободным. Использовать такую схему стоит в том случае, когда точки беспроводного доступа не подключены к внутренней сети университета. Как правило, связь с Интернетом осуществляется сразу по нескольким линиям связи (оптоволоконная магистраль, спутниковые и радиоканалы). Отдельные каналы предоставляются для связи с другими университетами или для безопасного обмена данными. Чтобы исключить риски, связанные с утечкой и порчей передаваемой информации, такие сети не стоит подключать к глобальным сетям и общей университетской сети.

Критически важные узлы для обмена данными университета (бухгалтерская ЛВС) также должны существовать отдельно.

Рубежи обороны

Первый рубеж обороны от атак извне (Интернет) - роутер (маршрутизатор). Он применяется для связи участков сети друг с другом, а также для более эффективного разделения трафика и использования альтернативных путей между узлами сети. От его настроек зависит функционирование подсетей и связь с глобальными сетями (WAN). Его главная задача в плане безопасности -защита от распределенных атак в отказе обслуживания (DDOS).

Вторым рубежом может служить МСЭ: аппаратно-программный комплекс Cisco PIX Firewall.

Затем следует DMZ. В этой зоне стоит расположить главный прокси-сервер, dns-сервер, www/ftp, mail сервера. Прокси-сервер обрабатывает запросы от рабочих станций учебного персонала, серверов, не подключенных напрямую к роутеру, и фильтрует трафик. Политика безопасности на этом уровне должна определяться блокированием нежелательного трафика и его экономией (фильтрация мультимедиаконтента, iso-образов, блокировка страниц нежелательного/нецензурного содержания по ключевым словам). Чтобы не происходило скачивания зараженной вирусами информации, на этом сервере оправдано размещение антивируса (например, ClamAV). Для более детального анализа и контроля трафика следует применять IDS (такую, как Snort).

Информация от прокси-сервера параллельно отсылается на сервер статистики, где можно посмотреть и проанализировать деятельность пользователей в Интернете. На почтовом сервере обязательно должен присутствовать почтовый антивирус, к примеру, Kaspersky AntiVirus for Mail servers.

Так как эти серверы связаны непосредственно напрямую с глобальной сетью, аудит программного обеспечения, установленного на них, - первоочередная задача инженера по информационной безопасности вуза. Для экономии средств и гибкости настраивания желательно применять opensource-ОС и программное обеспечение. Самая распространенная ОС - FreeBSD и GNU Linux. Но ничто не мешает использовать и более консервативную Open BSD или даже сверхстабильную ОС реального времени QNX.

Спрос на антивирусные средства растет с каждым годом и не обошел инфраструктуру вузов.

Для централизованного управления антивирусной деятельностью необходим продукт с клиент-серверной архитектурой, такой как Dr.Web Enterprise Suite. Он позволяет централизованно управлять настройками и обновлением антивирусных баз с помощью графической консоли и предоставлять удобочитаемую статистику о вирусной деятельности, если такая присутствует.

Для большего удобства работников вуза можно организовать доступ к внутренней сети университета с помощью технологии VPN.

Некоторые университеты имеют свой пул дозвона для выхода в Интернет и используют каналы связи учреждения. Во избежание использования этого доступа посторонними лицами в незаконных целях работники учебного заведения не должны разглашать телефон пула, логин, пароль.

Степень защищенности сетей и серверов большинства вузов России оставляет желать лучшего. Причин тому много, но одна из главных -плохая организация мер по разработке и обеспечению политики И Б. Руководство просто недооценивает важности этих мероприятий. Вторая проблема заключается в том, что ни государство, ни администрация вуза не заинтересованы в выделении средств на закупку оборудования и внедрение новых технологий в сфере ИБ.