По случаю Дня IT-специалиста – 28 февраля – решили узнать, как устроена локальная сеть asu.ru. Объясняет Александр Александрович Дмитриев, к. ф.-м. н., доцент кафедры информационной безопасности и сетевой инженер Алтайского госуниверситета. Он работает в управлении информатизации уже больше десяти лет.
Базовый минимум
Моя задача – развитие архитектуры локальной сети вуза. Архитектура локальной сети определяет способы соединения сетевых устройств между собой в единую локальную сеть университета и подключение нашей сети к сети Интернет. У нас целая команда инженеров и специалистов, работающих в управлении информатизации, с которыми мы вместе проектируем, развиваем и поддерживаем локальную сеть Алтайского госуниверситета. В самом начале, при проектировании и построении архитектуры нашей сети, мы заложили три базовых принципа: отказоустойчивость, надежность, безопасность. Сегодня сеть построена на современном отказоустойчивом оборудовании, которое обеспечивает защиту как от внешних, так и от внутренних угроз.
Используются решения для контроля сетевого трафика и мониторинга действий пользователей в локальной сети. Отдельное внимание уделяется защите цифровых сервисов от различных сетевых атак. Защита проводится как на уровне сетевого оборудования, так и с применением специализированных технических и программных средств. В том числе защищаются образовательные сервисы, например единый образовательный портал, сайт университета и другие электронные системы, которыми ежедневно пользуются студенты и сотрудники. Принимаемые меры применяются для защиты от действия вирусного программного обеспечения и различных сетевых атак.
Две угрозы, один ответ
Сетевая безопасность – комплекс мер, направленных на защиту персональных данных пользователей от различных угроз и обеспечение безопасной работы цифровых сервисов. Если говорить в масштабе университета, речь идет о сохранности цифровых данных сотрудников и студентов, а также о стабильной и защищенной работе всех информационных систем. Если рассматривать угрозы для пользователей, то в первую очередь стоит отметить социальную инженерию. Именно с ней сегодня чаще всего сталкиваются некоторые пользователи, особенно в социальных сетях. Злоумышленники могут представляться знакомыми или сотрудниками различных организаций, убеждая выполнить конкретные действия. Например, перейти по ссылке или перевести денежные средства. Если же говорить об угрозах для организаций, то здесь речь идет уже о целенаправленных атаках, когда пытаются обнаружить уязвимости в программном обеспечении, в защите локальной сети, чтобы проникнуть в нее и получить необходимые данные. Если говорить про общие правила, как обезопасить себя, то, пожалуй, в первую очередь необходимо следовать хорошо известным принципам: не переходить по незнакомым ссылкам, не ставить программы из источников, а если кто-то незнакомый что-то срочно требует, сделать паузу в общении, обдумать ситуацию.
Вайфай is on
Существует распространенное мнение, что бесплатные сети небезопасны и через них все утекает. Действительно, незнакомые открытые Wi-Fi-сети могут быть небезопасны для пользователей и подключаться к ним следует с осторожностью во избежание утечки личных данных. Для обеспечения беспроводной связью сотрудников и учащихся в университете созданы две Wi-Fi-сети: ASU Corp и ASU. Этими беспроводными сетями пользуюсь и я, например для общения в социальных сетях и выполнения своих служебных обязанностей. Для обеспечения безопасности беспроводных сетей в университете применяются современные индустриальные стандарты защиты и механизмы, обеспечивающие шифрование данных, защиту от подбора пароля. Это позволяет минимизировать риски, связанные с информационной безопасностью, и обеспечивает бесперебойную работу пользователей в сети. Для подключения к беспроводной сети АлтГУ необходимо зайти в свой личный кабинет на сайте и включить поддержку сервиса беспроводной сети, а для доступа к сети пользователи могут использовать свои университетские учетные данные.
Уже в не одном
В самом начале локальная сеть университета представляла собой небольшую инфраструктуру, сосредоточенную в отдельных корпусах университета. Пропускная способность была невысокой, и возможности сети были довольно ограниченными. Со временем перед инженерами встала задача увеличения пропускной способности и расширения сетевой инфраструктуры для подключения новых пользователей, чтобы все больше пользователей могли одновременно работать с интернет-ресурсами и внутренними сервисами на высокой скорости передачи данных. По мере роста сети и в соответствии с вызовами времени все более актуальными становились вопросы информационной безопасности. В результате нам пришлось параллельно развивать архитектуру сети и внедрять современные средства защиты информации. Сейчас отдельные корпуса университета связаны высокоскоростными линиями связи с пропускной способностью 10 Гбит/с.
Защитить информацию
Что касается принципов построения надежной системы защиты информации в корпоративной сети, то здесь обычно выделяют два ключевых аспекта. Первый – организационный. Он включает разработку и соблюдение политики безопасности. В нее входят, например, требования к длине и сложности паролей, правила работы с электронной почтой и интернет-ресурсами, запрет на переход по подозрительным ссылкам, а также регламенты обработки персональных данных. Важная часть – регулярное обучение сотрудников, чтобы они понимали, какие действия безопасны, а какие могут привести к инцидентам. Второй аспект – технический. Это использование программных и аппаратных средств защиты: антивирусных систем, межсетевых экранов, систем обнаружения и предотвращения вторжений, регулярное обновление программного обеспечения. Такие меры позволяют своевременно выявлять и блокировать попытки эксплуатации уязвимостей и тем самым снижать риски несанкционированного доступа к информации. Только сочетание организационных мер и технических средств позволяет выстроить действительно эффективную систему сетевой безопасности.
И знать, и думать
Если говорить о требованиях к IT-специалистам по сетевой безопасности, то за последние годы они заметно изменились. Ситуация стала сложнее: появилось много «специалистов» с широким кругозором, но при этом с поверхностными знаниями. Поэтому, на мой взгляд, сегодня организациям нужны так называемые думающие специалисты, те, кто глубоко владеет как теорией, так и практикой построения локальных сетей, умеет анализировать различные события, связанные с работой оборудования и инцидентами информационной безопасности. Важно не просто знать инструменты, а понимать принципы их работы, уметь анализировать ситуацию и принимать обоснованные решения. К примеру, при смягчении сетевой атаки на какие-нибудь ресурсы специалист обязан знать особенности строения сетевых пакетов и понимать пути передачи сетевого трафика. Именно на таких специалистов сейчас ориентируется рынок.
Несете ответственность сами
Отдельно стоит отметить еще один значимый фактор риска: ошибочные действия сотрудников. Иногда утечка данных происходит не из-за внешней атаки, а вследствие невнимательности самого пользователя сети: личные или служебные данные могут быть размещены в открытом доступе или отправлены по электронной почте не тому адресату. В совокупности внешние угрозы и внутренние ошибки формируют современную картину рисков в сфере информационной безопасности.
В тему
Мы ориентируемся на принцип доступности 24/7, понимая, что цифровые ресурсы университета используются постоянно. Сейчас для обеспечения обучения учащихся и работы сотрудников используется более 100 различных цифровых сервисов и служб. Можно сказать, что эти сервисы формируют цифровую экосистему университета. В нее входят, например, образовательные сервисы, корпоративная почта, а также сервисы, обеспечивающие доступ к сети. Безусловно, для обеспечения их стабильной работы проводятся технические работы, как правило, в нерабочее время и выходные дни, чтобы минимизировать влияние на учебный процесс и работу сотрудников. Профилактика и обновления – неотъемлемая часть эксплуатации любой крупной сети, а университетская сеть по масштабу сопоставима с инфраструктурой большой организации. В университете хорошо развита служба поддержки пользователей, там можно сформировать заявку о проблемах с оборудованием или доступом к сети на рабочем месте. Для обращений пользователей работает электронный портал по адресу support.asu.ru, также заявку о проблеме можно оставить по телефону 298-100.
Софья ПРОТАСОВА
Фото Дмитрия ГЕРАЙКИНА
