CC BY
4
УДК 004.056.53
Половинко Е.В., к.пед.н.
доцент
кафедра Систем управления и информационных технологий
Половинко С. О. студент магистратуры 3 курса Инженерный факультет Институт сервиса, туризма и дизайна ФГАОУ ВПО «Северо-Кавказский федеральный университет»
филиал в г. Пятигорске Россия, г. Пятигорск
ОСОБЕННОСТИ ПРАКТИЧЕСКОЙ РЕАЛИЗАЦИИ ПОЛИТИКИ БЕЗОПАСНОСТИ РАБОЧИХ СТАНЦИЙ СОТРУДНИКОВ ПРЕДПРИЯТИЯ В ГЕТЕРОГЕННОЙ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ
Аннотация: Статья посвящена проблеме практического применения политики информационной безопасности рабочих станций, в частности, в гетерогенных локальных сетях. Рассмотрены основные причины затруднений при технической реализации политик информационной безопасности, даны рекомендации по устранению этих причин. На практическом примере адаптации политики информационной безопасности рабочих станций для операционных систем двух разных типов, приведенном в статье, доказывается необходимость принятия во внимания технических аспектов реализации еще на стадии разработки политики информационной безопасности.
Ключевые слова: информационная безопасность, безопасность рабочих станций; гетерогенные локальные сети.
Polovinko E. V., Candidate of Pedagogical Sciences
Associate Professor Department of Management Systems and Information
Technologies
Institute of Service, Tourism and Design (branch) FSAEI of HPE «North
Caucasus Federal University» in Pyatigorsk Russian Federation, Pyatigorsk Polovinko S. O. student
3rd course Engineering Faculty Institute of Service, Tourism and Design (branch) FSAEI of HPE «North
Caucasus Federal University» in Pyatigorsk Russian Federation, Pyatigorsk PRACTICAL IMPLEMENTATION OF THE WORKSTATION SECURITY POLICY ON ENTERPRISE WITH HETEROGENEOUS
NETWORK
Annotation: The article is devoted to the problem of practical application of the information security policy of workstations, in particular, in heterogeneous local networks. The main causes of difficulties in the technical implementation of
information security policies are considered, recommendations are made to eliminate these causes. The practical example of adapting the information security policy of workstations for operating systems of two different types, presented in the article, proves the need to take into account the technical aspects of implementation at the stage of developing information security policies.
Keywords: information security, workstation security; heterogeneous local area networks.
В последнее десятилетие общество значительно продвинулось на своем пути от индустриальной стадии к информационной. Информация стала вполне самостоятельным товаром, занимая всё возрастающую часть мирового рынка. Именно поэтому вопрос защиты информации от искажения или неправомерного доступа как никогда актуален.
Пожалуй, каждое достаточно крупное предприятие может похвастать введенным режимом коммерческой тайны, отдельным отделом информационной безопасности, горой приказов и регламентов в этой области. Специалисты по информационной безопасности тщательно разделяют информацию по группам доступа, определяют права и полномочия, составляют модели угроз. Однако нормативно-правовая сторона вопроса защищает информацию лишь в юридической части [3, с. 96]. Практическая реализация информационной безопасности невозможна без использования программных и технических средств, которые, с одной стороны, могут требовать от предприятия капиталовложений, видимый эффект от которых весьма трудно продемонстрировать, а с другой - обязывают сотрудников предприятия (включая и тех, кто осуществляет управление этими средствами) вне зависимости от служебного положения следовать определенным правилам дисциплины [2, с. 112].
Грамотная программно-техническая реализация концепции информационной безопасности предприятия подразумевает, что каждый сотрудник предприятия будет иметь доступ к ровно такому объему информации, который необходим для выполнения его служебных обязанностей [4, с. 234]. При этом желательно находить разумный баланс между степенью защиты информации и временем, затрачиваемым пользователям на доступ к информации. Именно для этой цели информация обычно классифицируется по степени важности и конфиденциальности. Как минимум, нецелесообразно заставлять заведующего складом для получения доступа к данным об остатках на складе одновременно подключать персональный токен, вводить пароль, проходить сканирование сетчатки и отпечатка пальца, просить по частям ввести код двухфакторной аутентификации из смс и бумажного письма, отправленного ему на домашний адрес.
Другой немаловажной проблемой является нежелание специалиста по информационной безопасности понимать принципы технической реализации его требований. Чаще всего техническое воплощение концепции информационной безопасности ложится на системного администратора. Он
может столкнуться с тем, что часть требований не реализуемы в принципе, часть создают чрезмерную нагрузку на сетевую инфраструктуру, а остальные отнимают у сотрудников львиную долю рабочего времени. Чтобы этого не происходило, специалист по информационной безопасности должен работать в тесной связке с отделом ИТ, а также перед введением каких-либо ограничительных мер проводить тестирование на предмет их целесообразности и практической применимости.
Само по себе построение политики информационной безопасности рабочих станций сотрудников предприятия не является чрезвычайно сложной задачей. Но, следует отметить, что локальная вычислительная сеть современного предприятия среднего и крупного размеров является гетерогенной. Эта гетерогенность двойственна: с одной стороны, подразумевается использование в локальной сети устройств с разными операционными системами, с другой - использование различных сред передачи данных на физическом уровне (медь, оптоволокно, радиоволны). Безусловно, это порождает целый ряд нюансов, которые необходимо учитывать [1, с. 123].
При составлении политики информационной безопасности рабочих станций стоит обратить внимание на целый ряд аспектов, которые нужно учесть в первую очередь. Они представлены в таблице 1. Предполагается, что на предприятии развернут домен Active Directory на базе Windows Server или Samba4 на базе любого современного дистрибутива Linux (рекомендуется Debian или CentOS). Программное обеспечение, рекомендуемое в таблице является либо встроенным в операционную систему, либо является свободным программным обеспечением с открытым исходным кодом.
Таблица 1. Аспекты практической реализации политики информационной безопасности рабочих станций под управлением различных операционных систем
№ Наименование Решение в Windows Решение в Linux
1 Запрет использования локальных учетных записей (за исключением записи администратора) Интеграция рабочей станции в домен Дезактивация локальных учетных записей Интеграция рабочей станции в домен с помощью ПО WinBind или LikeWise-Open Полный отказ от локальных учетных записей невозможен из-за принципа минимального предоставления прав (каждая служба имеет свою учетную запись)
2 Запрет на запись в папки за пределами домашнего каталога Запрет групповыми политиками домена Запрещено по умолчанию При необходимости гибкой настройки может быть решено при помощи ПО Puppet
3 Запрет на запуск приложений из папок, разрешенных к записи Запрет групповыми политиками домена Настройка файла /etc/fstab на монтирование файловой системы /home с опцией noexec Рекомендуется решать централизованно при помощи ПО Puppet
4 Запрет на общие папки в корне дисков Запрет групповыми политиками домена Файловая система представляет собой дерево с единым корнем Общие папки отсутствуют по умолчанию
5 Настройка сетевого экрана на запрет внешних подключений Настройка групповыми политиками домена Настройка iptables. Рекомендуется решать централизованно при помощи ПО Puppet
6 Политика паролей учетных записей Настройка групповыми политиками домена Интеграция рабочей станции в домен с помощью ПО WinBind или LikeWise-Open
7 Политика использования внешних накопителей данных Настройка групповыми политиками домена Настройка fuse Рекомендуется решать централизованно при помощи ПО Puppet
8 Антивирусная политика Настройка через консоль администрирования используемого антивирусного ПО Не требуется
9 Политика применения обновлений системы Настройка групповыми политиками домена Рекомендуется решать централизованно при помощи ПО Puppet
Таким образом, при помощи определенного набора программного обеспечения и учета особенностей различных операционных систем возможно корректное применение политик информационной безопасности в гетерогенной локальной вычислительной сети предприятия.
Использованные источники:
1. Басыня, Е.А. Системное администрирование и информационная безопасность / Е.А Басыня - НГТУ, 2016 - 265 с
2. Бирюков, А.А. Информационная безопасность. Защита и нападение / А.А. Бирюков - СПБ: ДМК Пресс, 2017 - 550 с
3. Мельников, В.П. Информационная безопасность / В.П. Мельников, А.И. Куприянов - М: КноРус, 2015 - 323 с.
4. Петренко, С.А. Политики безопасности компании при работе в Интернет / С.А. Петренко, В.А. Курбатов - СПБ: БХВ-Петербург, 2010 - 400 с
