Особенности практической реализации политики безопасности рабочих станций сотрудников предприятия в гетерогенной локальной вычислительной сети
Автор: Половинко Е.В., Половинко С.О.
Журнал: Форум молодых ученых @forum-nauka
Статья в выпуске: 9 (37), 2019 года.
Бесплатный доступ
Статья посвящена проблеме практического применения политики информационной безопасности рабочих станций, в частности, в гетерогенных локальных сетях. Рассмотрены основные причины затруднений при технической реализации политик информационной безопасности, даны рекомендации по устранению этих причин. На практическом примере адаптации политики информационной безопасности рабочих станций для операционных систем двух разных типов, приведенном в статье, доказывается необходимость принятия во внимания технических аспектов реализации еще на стадии разработки политики информационной безопасности.
Информационная безопасность, гетерогенные локальные сети, безопасность рабочих станций
Короткий адрес: https://sciup.org/140287064
IDR: 140287064
Текст научной статьи Особенности практической реализации политики безопасности рабочих станций сотрудников предприятия в гетерогенной локальной вычислительной сети
В последнее десятилетие общество значительно продвинулось на своем пути от индустриальной стадии к информационной. Информация стала вполне самостоятельным товаром, занимая всё возрастающую часть мирового рынка. Именно поэтому вопрос защиты информации от искажения или неправомерного доступа как никогда актуален.
Пожалуй, каждое достаточно крупное предприятие может похвастать введенным режимом коммерческой тайны, отдельным отделом информационной безопасности, горой приказов и регламентов в этой области. Специалисты по информационной безопасности тщательно разделяют информацию по группам доступа, определяют права и полномочия, составляют модели угроз. Однако нормативно-правовая сторона вопроса защищает информацию лишь в юридической части [3, с. 96]. Практическая реализация информационной безопасности невозможна без использования программных и технических средств, которые, с одной стороны, могут требовать от предприятия капиталовложений, видимый эффект от которых весьма трудно продемонстрировать, а с другой – обязывают сотрудников предприятия (включая и тех, кто осуществляет управление этими средствами) вне зависимости от служебного положения следовать определенным правилам дисциплины [2, с. 112].
Грамотная программно-техническая реализация концепции информационной безопасности предприятия подразумевает, что каждый сотрудник предприятия будет иметь доступ к ровно такому объему информации, который необходим для выполнения его служебных обязанностей [4, с. 234]. При этом желательно находить разумный баланс между степенью защиты информации и временем, затрачиваемым пользователям на доступ к информации. Именно для этой цели информация обычно классифицируется по степени важности и конфиденциальности. Как минимум, нецелесообразно заставлять заведующего складом для получения доступа к данным об остатках на складе одновременно подключать персональный токен, вводить пароль, проходить сканирование сетчатки и отпечатка пальца, просить по частям ввести код двухфакторной аутентификации из смс и бумажного письма, отправленного ему на домашний адрес.
Другой немаловажной проблемой является нежелание специалиста по информационной безопасности понимать принципы технической реализации его требований. Чаще всего техническое воплощение концепции информационной безопасности ложится на системного администратора. Он может столкнуться с тем, что часть требований не реализуемы в принципе, часть создают чрезмерную нагрузку на сетевую инфраструктуру, а остальные отнимают у сотрудников львиную долю рабочего времени. Чтобы этого не происходило, специалист по информационной безопасности должен работать в тесной связке с отделом ИТ, а также перед введением каких-либо ограничительных мер проводить тестирование на предмет их целесообразности и практической применимости.
Само по себе построение политики информационной безопасности рабочих станций сотрудников предприятия не является чрезвычайно сложной задачей. Но, следует отметить, что локальная вычислительная сеть современного предприятия среднего и крупного размеров является гетерогенной. Эта гетерогенность двойственна: с одной стороны, подразумевается использование в локальной сети устройств с разными операционными системами, с другой – использование различных сред передачи данных на физическом уровне (медь, оптоволокно, радиоволны). Безусловно, это порождает целый ряд нюансов, которые необходимо учитывать [1, с. 123].
При составлении политики информационной безопасности рабочих станций стоит обратить внимание на целый ряд аспектов, которые нужно учесть в первую очередь. Они представлены в таблице 1. Предполагается, что на предприятии развернут домен Active Directory на базе Windows Server или Samba4 на базе любого современного дистрибутива Linux (рекомендуется Debian или CentOS). Программное обеспечение, рекомендуемое в таблице является либо встроенным в операционную систему, либо является свободным программным обеспечением с открытым исходным кодом.
Таблица 1. Аспекты практической реализации политики информационной безопасности рабочих станций под управлением различных операционных систем
|
№ |
Наименование |
Решение в Windows |
Решение в Linux |
|
1 |
Запрет использования локальных учетных записей (за исключением записи администратора) |
Интеграция рабочей станции в домен Дезактивация локальных учетных записей |
Интеграция рабочей станции в домен с помощью ПО WinBind или LikeWise-Open Полный отказ от локальных учетных записей невозможен из-за принципа минимального предоставления прав (каждая служба имеет свою учетную запись) |
|
2 |
Запрет на запись в папки за пределами домашнего каталога |
Запрет групповыми политиками домена |
Запрещено по умолчанию При необходимости гибкой настройки может быть решено при помощи ПО Puppet |
Таблица 1. Продолжение
|
3 |
Запрет на запуск приложений из папок, разрешенных к записи |
Запрет групповыми политиками домена |
Настройка файла /etc/fstab на монтирование файловой системы /home с опцией noexec Рекомендуется решать централизованно при помощи ПО Puppet |
|
4 |
Запрет на общие папки в корне дисков |
Запрет групповыми политиками домена |
Файловая система представляет собой дерево с единым корнем Общие папки отсутствуют по умолчанию |
|
5 |
Настройка сетевого экрана на запрет внешних подключений |
Настройка групповыми политиками домена |
Настройка iptables. Рекомендуется решать централизованно при помощи ПО Puppet |
|
6 |
Политика паролей учетных записей |
Настройка групповыми политиками домена |
Интеграция рабочей станции в домен с помощью ПО WinBind или LikeWise-Open |
|
7 |
Политика использования внешних накопителей данных |
Настройка групповыми политиками домена |
Настройка fuse Рекомендуется решать централизованно при помощи ПО Puppet |
|
8 |
Антивирусная политика |
Настройка через консоль администрирования используемого антивирусного ПО |
Не требуется |
|
9 |
Политика применения обновлений системы |
Настройка групповыми политиками домена |
Рекомендуется решать централизованно при помощи ПО Puppet |
Таким образом, при помощи определенного набора программного обеспечения и учета особенностей различных операционных систем возможно корректное применение политик информационной безопасности в гетерогенной локальной вычислительной сети предприятия.
Список литературы Особенности практической реализации политики безопасности рабочих станций сотрудников предприятия в гетерогенной локальной вычислительной сети
- Басыня, Е.А. Системное администрирование и информационная безопасность / Е.А Басыня - НГТУ, 2016 - 265 с
- Бирюков, А.А. Информационная безопасность. Защита и нападение / А.А. Бирюков - СПБ: ДМК Пресс, 2017 - 550 с
- Мельников, В.П. Информационная безопасность / В.П. Мельников, А.И. Куприянов - М: КноРус, 2015 - 323 с.
- Петренко, С.А. Политики безопасности компании при работе в Интернет / С.А. Петренко, В.А. Курбатов - СПБ: БХВ-Петербург, 2010 - 400 с
