Безопасность в локальных сетях
При работе в компьютерных сетях одной из важных задач является безопасность информации, т.е. ее сохранность от потерь и искажения. Данная тема особенно актуальна в сети Интернет, и этому аспекту посвящена не одна публикация (из последних - статья Яхена П. "Переход количества ..."). Но сегодня предлагается рассмотреть подобные проблемы в сетях локальных и обозначить те меры, которые сохранят Вашу информацию не от "далёкого и злого" хакера, а от своего, родного и близкого до боли, пользователя.
Согласно многочисленным зарубежным исследованиям, причины, приводящие к потере данных в сетях предприятий (без учёта внешних причин), следующие:
- несанкционированное удаление;
- ошибки персонала;
- вирусные атаки;
- потери в результате ошибок программного обеспечения ЛВС;
- сбой аппаратуры;
- прямые диверсии собственных сотрудников (т.н. "социальные причины").
Причем на первые две приходится едва ли не 90% от всех случаев, и нет, наверное, ни одного системного администратора, который не стремился бы различными мерами предотвратить подобные случаи, равно как и потерю данных от других причин.
Диапазон этих мер достаточно широк: тут и технические (выбор надежных серверов и сетевого оборудования), и программные (выбор программ копирования). Но все они дорогостоящие и относятся к затратным. К ним мы обратимся чуть позже, а сегодня рассмотрим практически бесплатные, но достаточно действенные административные и организационные меры. Правильно организованные и применённые, простые и понятные для пользователей (и, что немаловажно, для начальников) они дают эффект, равный результатам работы хорошего отдела безопасности.
Так что же можно порекомендовать начинающему администратору сети на базе Novell NETWare (NW) или WINDOWS NT (NT)?
* Разделите информацию по степени важности, по частоте обращения к ней, по иным критериям и поместите ее на разных томах сервера.
Пример. Небольшая организация или офис с помощью некоторого набора программных пакетов выполняет некоторые разработки; в каждой такой разработке занято несколько человек; по завершению работ результаты необходимо некоторое время хранить; применяется ЛВС на основе ПО фирмы Novell.
В этом случае предлагается: программные и инструментальные средства поместите отдельно (том TOOLS) от личных, "домашних", каталогов пользователей (том HOME); материалы по текущей работе и совместные проекты можно хранить на рабочем томе (том PROJECT); готовые результаты помещаются на отдельный том (том ARXIV).
Работа по созданию структуры томов и организация прав доступа к ним пользователей требует от сетевого администратора быть в курсе производственного процесса своего предприятия, а также взаимодействия с пользователями.
Четко разграничьте права доступа к информации как отдельных пользователей, так и рабочих групп.
Пример. В предложенном выше примере все пользователи имеют следующие права:
- на томе TOOLS - R, F1;
- на томе HOME - S в своем домашнем каталоге и никаких прав в других каталогах;
- на томе PROJECT - S;
- на томе ARXIV - R, C, F.
Такое разделение прав просто не позволит пользователям уничтожить информацию на первом и четвертом томе. Аналогичным образом можно организовать разделение прав доступа и в системе NT: в ней также имеется гибкий механизм прав.
Не "раздавайте" права по требованию пользователей, особенно "на будущее". Руководствуйтесь золотым правилом спецслужб: каждый знает только то, что должен знать и имеет доступ к той информации, которая ему необходима. Если руководитель желает получить доступ в "домашние" каталоги членов своей рабочей группы - пожалуйста, но только с правами RF - в этом случае он может только просматривать или копировать файлы, но не сможет внести никаких изменений.
* Заблокируйте или отключите устройства FDD и CD на тех ПК, где они не нужны по технологии вашего производства. Эта мера вызовет бурю протестов, но заметно снизит риск вирусной атаки.
* Установите на всех компьютерах сети антивирусные программы. О правилах антивирусной защиты уже говорено-переговорено и добавить нечего. Кроме, разве что, совета администратору установить серверную компоненту антивирусной обороны. Это, например, программы INOCULAN или ATV. Многие серверные антивирусные комплексы без лечебного модуля можно поискать в Сети и получить бесплатно.
* Посоветуйте пользователям размещать свои срочные и важные документы в 2-3 местах: не только на своей машине, но и на сервере, на другом логическом диске своей машины, и копия - на соседнем ПК. После окончания работы над документом количество копий можно сократить до необходимого - на своем ПК и на сервере. Указанная операция буквально секунды занимает, но очень действенная. Однажды только такой метод помог мне восстановить документ, который готовился для государственного руководства.
* Установите пароли для пользователей. Все бюджеты обязаны иметь пароли, которые должны регулярно меняться и быть неповторяющимися - в системе NW эти требования реализуются при регистрации нового пользователя. Другое дело, что не все будут довольны - Вам придется "власть употребить". То же относится и к работе одного пользователя с бюджетом другого - эта практика должна жестко пресекаться по совершенно понятным причинам.
* И вообще - больше авторитарности. Сетевой администратор должен действовать по принципу: "Мы посовещались. И я решил...!!". Здесь же можно порекомендовать не идти на поводу у вновь принятых на работу "продвинутых пользователей", если они говорят: "А у нас было по-другому...". Там, где они работали, может быть, и было по-другому. Но там были свои меры по защите информации (если были), и поэтому тот системный администратор мог позволить то, что он считал возможным. Но в своей сети за информацию отвечаете только Вы и правила работы и сети устанавливать должны тоже только Вы.
* И еще один достаточно курьезный способ защитить информацию от не в меру ретивых пользователей: создайте небольшой том (0,5-1,5 Gb), определите на нем права всех пользователей - "С". В этом случае том превратится в почтовый ящик (или в "черную дыру") - отправить туда файл можно, но ни просмотреть, ни скопировать уже невозможно для всех, кроме администратора. Предложите пользователям не удалять файлы, а перемещать их на этот том - этакий аналог корзины в WIN. Уверяю Вас, через 2-3 месяца Вас будут горячо благодарить за то, что Вы отыщите в этой свалке какой-либо промежуточный вариант важного документа.
Сегодня я рассказал об одном из методов защиты информации от потери - административных мерах. Они не стоят ни копейки, но дают хорошие результаты. Просто поддерживайте сами установленный порядок и вскоре он станет привычным и необременительным для Ваших пользователей.
В следующем материале мы коснемся аппаратного обеспечения для повышения устойчивости данных в Ваших сетях.
Н.С.МУЗАЛЕВ
1 В NW права доступа определяются латинскими буквами: R - чтение ,W- запись, C- создание, E - удаление, M - модификация, F - поиск, S - полные права