Описание настроек squid3 начну с основных настроек, которые желательно произвести при настройке любой конфигурации прокси-сервера. Конфигурационный Squid расположен в /etc/squid3/squid.conf, это основной конфигурационный файл, в котором содержатся все настройки. Так же, я упоминал, что там более 5 тысяч строк. Синтаксис конфига squid3 классический: строки с # - это комментарии, возможно использование переменных. Конфигурационный файл разбит на разделы для удобства, но важно помнить, что разбор параметров производится «сверху вниз» в порядке очередности. Так же, с помощью параметра include можно подключать внешние конфигурационные файлы.

По умолчанию разрешение имени узла, на котором работает Squid, происходит при помощи gethostname(), в зависимости от установок DNS, он иногда не может однозначно определить имя, которое будет фигурировать в журналах и выводах об ошибках «Generated … by server.com (squid/3.0.STABLE2)». Для корректной записи имени хоста, необходимо это имя (FQDN??) занести в параметр:

visible_hostname myproxy

По умолчанию, squid принимает подключения на всех интерфейсах. Если у нас сервер одним из сетевых интерфейсов «смотрит» в сеть Internet, то желательно ограничить подключения только на интерфейсе локальной сети (допустим, 10.0.0.10/24). За это отвечает параметр http_port:

http_port 10.0.0.10:3128

Как работают данные параметры можно увидеть в следующем листинге:

gw ~ # # проверяем работу демона до настройки:

gw ~ # netstat - antp | grep squ

tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 25816/(squid)

gw ~ # # внесенные изменения:

gw ~ # grep ^http_port /etc/squid3/squid.conf

http_port 10.0.0.10:3128

gw ~ # # перечитываем измененный конфиг

gw ~ # /etc/init.d/squid3 reload

Reloading Squid HTTP Proxy 3.x configuration files.

done.

gw ~ # # проверяем работу с измененным конфигом:

gw ~ # netstat - antp | grep squ

tcp 0 0 10.0.0.10:3128 0.0.0.0:* LISTEN 25816/(squid)

Как видно, теперь демон работает только на интерфейсе заданной сети. Стоит так же отметить, что новые версии squid (<3.1) поддерживают задание нескольких параметров http_port. При этом, у разных параметров могут быть указаны дополнительные ключи такие как intercept, tproxy, accel и др., например:

gw ~ # grep ^http_port /etc/squid3/squid.conf

http_port 10.0.0.10:3128

http_port 10.0.0.10:3129 tproxy

Данные параметры задают режим работы прокси-сервера. Например tproxy (старый синтаксис - transparent) задает режим прозрачного прокси. Данные режимы достойны отдельных статей и в будущем возможно будет рассмотрены.

Теперь необходимо настроить клиентский компьютер и пользоваться интернетом. Но по умолчанию, доступ разрешен только с localhost и при попытке доступа к веб пользователь получит ошибку «Доступ запрещен». В логе /var/log/squid3/access.log будет примерно такое сообщение:

1329649479.831 0 10.0.1.55 TCP_DENIED/403 3923 GET http://ya.ru/ - NONE/ - text/html

Для того, чтобы клиенты локальной сети могли работать, необходимо настроить разрешения с помощью списков контроля доступа.

Фактически настройка доступа заключается в описании объекта доступа через параметр acl, а затем разрешении или запрете работы описанному объекту acl при помощи параметра «http_access». Простейший формат данных настроек имеет следующий вид:

acl имя_списка тип_отбора характеристики_типа_отбора

где acl - параметр описывающий список контроля доступа, имя которого задается значением имя_списка. Имя чувствительно к регистру букв. Тип_отбора задает тип, которому будет соответствовать заданная далее характеристика_типа_отбора. Данная характеристика может принимать такие часто используемые значения, как src (от source) - источник запроса, dst - адрес назначения, arp - МАС-адрес, srcdomain и dstdomain - доменное имя источника и назначения соответственно, port - порт, proto - протокол, time - время и многие другие. Соответственно, значение характиристики_типа_отбора будут формироваться в зависимости от типа_отбора.

Когда списки доступа сформированы, при помощи параметра http_access разрешаем или запрещаем доступ указанному ACL. Общий формат вызова такой:

http_access allow|deny [!] имя_списка где, http_access - параметр задающий последующее правило разрешения (allow) или запрещения (deny) доступ, указанному далее имени_списка. При этом, необязательный восклицательный знак инвертирует значение имени списка. То есть при восклицательном знаке значение имени_списка будет звучать как все, кроме тех, кто в принадлежит данному списку. Кроме того, можно задавать несколько списков через пробел, тогда доступ будет разрешен при условии принадлежности ко всем заданным спискам. При этом, все разрешающие правила необходимо указывать до запрещающего ВСЁ правила:

http_access deny all

Давайте рассмотрим простой пример. Предположим, у нас есть 2 сети 10.0.1.0/24 и 10.0.0.0/24, а так же хост 10.0.4.1, которым необходимо разрешить доступ к интернету. Для разрешения доступа необходимо создать описание нового списка доступа в секции «ACCESS CONTROL» файла squid.conf:

acl lan src 10.0.1.0/24 10.0.0.0/24

acl lan src 10.0.4.1

Для большего удобства, можно задать эти правила в отдельном файле, указав путь к нему в место характеристики_типа_отбора. Вот:

gw ~ # # создадим отдельный каталог для хранения списков доступа

gw ~ # mkdir /etc/squid3/acls/

gw ~ # # занесем наши подсети и хосты в отдельный файл

gw ~ # vim /etc/squid3/acls/lan.acl

gw ~ # cat /etc/squid3/acls/lan.acl

10.0.1.0/24

10.0.0.0/24

10.0.4.1

gw ~ # #

опишем созданный файл в конфигурационном файле (путь необходимо заключить в кавычки)

gw ~ # grep lan.acl /etc/squid3/squid.conf

acl lan src «/etc/squid3/acls/lan.acl»

Разрешим созданному списку доступа lan доступ в интернет и выполним команду для Squid перечитать конфигурационный файл:

gw ~ # grep lan /etc/squid3/squid.conf | grep acce

http_access allow lan

gw ~ # service squid3 reload

Reloading Squid HTTP Proxy 3.x configuration files.

done.

Для наших целей правильнее было бы использовать «прозрачный» прокси. Это режим работы прокси сервера, когда клиент не настраивается на работу через прокси и посылает запросы в сеть по протоколу HTTP, как если бы клиент браузер работал напрямую с веб-сервером. При этом, силами iptables исходящие запросы на HTTP направляются на порт, на котором запущен прокси. Прокси-сервер же, в свою очередь, преобразовывает HTTP запросы в запросы протокола прокси-сервера и посылает ответы клиенту, как веб сервер. То есть для клиента прозрачно происходит взаимодействие с прокси-сервером.

Данный метод поддерживает только HTTP протокол, и не поддерживает gopher, FTP или другое проксирование. А так же, Squid не умеет одновременно работать в прозрачном режиме и в режиме аутентификации.

Для настройки прозрачного режима, необходимо:

1. Задать прозрачный режим в настройках прокси. Это делается в параметре http_port, например:

http_port ip:port transparent

2. Направить запросы пользователей соответствующим правилом на нужный порт силами iptables:

iptables - t nat - A PREROUTING - i имя_входящего_интерфейса - s подсеть_локльной_сети - p tcp - dport 80 - j REDIRECT - to-port порт_squid, пример:

iptables - t nat - A PREROUTING - i eth1 - s 10.0.0.0/24 - p tcp - dport 80 - j REDIRECT - to-port 3128

При правильном конфигурировании Squid, силами этого демона возможно реализовать полный контроль за действиями пользователей в глобальной сети Internet и иметь подробнейший журнал их запросов.

3. Расчет создания системы информационной безопасности

Для создания примера расчетов системы информационной безопасности предлагаю делать все расчеты относительно одного из последних выполненных мной проектов. Однако по условиям договора с заказчиком, наша компания обязана сохранять в тайне всю информацию касательно произведенных у заказчика работ. Так как во многом стойкость систем информационной безопасности зависит от соблюдения секретности информации относительно внедренных систем информационной безопасности. Опишем условия, в которых на данный момент находится IT инфраструктура ТОО «ВашМир» (таблица 3, таблица 4) (здесь и далее, это название вымышлено, однако данные взяты с конкретного заказа выполненного нашей компанией в первом квартале этого года).

Таблица 3 - Аппаратная часть ЛВС

Наименование	Количество	Тех. характеристики
Компьютер в сборе тип 1	8	CPU - Intel DualCore E6600 ОЗУ - 2 Гб DDR II HDD - 250 Гб GPU - интегрирована в материнскую плату
Компьютер в сборе тип 2	4	CPU - Intel Pentium 4 ОЗУ - 512 Мб DDR I HDD - 40 Гб GPU - интегрирована в материнскую плату
Ноутбук Dell	1	CPU - Intel Core i3 ОЗУ - 2 Гб DDR III HDD - 500 Гб GPU - Intel HD Graphics 3000
Маршрутизатор D-link 2640U	1	WiFi - 802.11n 65 Мб/с

Таблица 4 - Программная часть ЛВС

Наименование ПО	Количество копий	Количество лицензий
MS Windows XP SP3 pro	4	0
MS Windows 7 ultimate	9	1
MS Office 2007 pro	13	0
Mozilla Firefox	13	Free
Winrar	13	0
1c Бухгалтерия 8.2	1	1
Mail.ru агент	7	Free
ICQ	4	Free

ТОО «ВашМир» на сегодняшний день имеет положение о коммерческой тайне но никаких регламентирующих документов касательно безопасности информации не имеет.

Директор ТОО «ВашМир» изъявляет желание о разработке регламентирующей документации касательно безопасности информации, о переводе ЛВС ТОО «ВашМир» под управление ОС Linux, Обеспечение системы контроля доступа пользователей к сети Internet. Заказчик готов приобрести ПК для организации прокси-сервера.

Пользователи предприятия заявляют и их заявления поддержаны директором, о том что для работы им необходим im-агент от корпорации Mail.ru, офисный пакет программ, web-браузер и архиватор.

Исходя из задач поставленных руководством заказчика, строим следующий план работ:

1. Создание и утверждение заказчиком регламента по использованию внешних носителей информации

2. Создание и утверждение заказчиком регламента по использованию ресурсов сети Internet

3. Утверждение конфигурации прокси-сервера

4. Подготовка ПК заказчика к переходу на новую ОС

5. Установка и настройка ОС на пользовательские ПК

6. Закупка и установка прокси-сервера

7. Проведение консультаций и тренингов для пользователей предприятия

Шаблон регламента по использованию внешних носителей информации:

Общие положения

Данный регламент устанавливает правила по использованию в работе внешних носителей информации сотрудниками _________________________.

Внешними носителями информации здесь и далее называют, подключаемые к ПК или другим устройствам ЛВС, устройства способные хранить информацию в электронном виде.

Любое использование внешних носителей информации не означенное в данном регламенте считается нарушением данного регламента.

Получение доступа к внешним носителям информации

Разрешение на использование внешних носителей информации является прерогативой руководства _________________________, а именно:

1. Директор __________________________

2. ___________________________________

Для получения права на использование внешних носителей информации сотрудник должен написать заявление на имя директора компании, в котором он должен указать причины, по которым данные носители информации необходимы сотруднику в работе.

В случае утверждения заявления сотрудника им должно быть подписано приложение к трудовому договору о коммерческой тайне.

Правила использования внешних носителей информации

Внешние носители информации выделяются сотруднику компанией и должны быть сданы по окончании рабочего дня. Вынос внешних носителей информации за пределы компании запрещен.

Использование личных носителей информации запрещено даже сотрудникам имеющим доступ к использованию внешних носителей информации.

За руководством компании закреплено право на проверку использования внешних носителей информации без предварительного предупреждения сотрудника.

Ответственность за нарушение регламента

Нарушение данного регламента приравнивается к нарушению режима коммерческой тайны и влечет равноценную ему ответственность.

Приложения к регламенту

1. Таблица учета работы с внешними носителями информации

№ п/п	Наименование устройства	Ф.И.О. сотрудника	Время получения устройства	Время сдачи устройства	Подпись сотрудника

2. Список сотрудников допущенных к использованию внешних носителей информации

Ф.И.О. сотрудника	Должность сотрудника	С регламентом ознакомлен

Шаблон регламента по использованию ресурсов сети Internet:

Общие положения

Данный регламент устанавливает правила по использованию в работе ресурсов сети Internet сотрудниками _________________________.

Ресурсами сети Internet здесь и далее называют объединённую под одним адресом совокупность документов частного лица или организации, доступные средствами международной сети Internet.

Любое использование ресурсов сети Internet не означенное в данном регламенте считается нарушением данного регламента.

Получение доступа к ресурсам сети Internet

Разрешение на использование ресурсов сети Internet является прерогативой руководства _________________________, а именно:

1. Директор __________________________

2. ___________________________________

Для получения права на использование ресурсов не указанных в списке разрешенных сотрудник должен написать заявление на имя директора компании, в котором он должен указать причины, по которым данные ресурсы необходимы сотруднику в работе.

В случае утверждения заявления сотрудника им должно быть подписано приложение к трудовому договору о коммерческой тайне.

Правила использования ресурсов сети Internet

Доступ к ресурсам сети Internet предоставляется сотрудникам компанией.

Использование ресурсов сети Internet разрешено в целях способствующих выполнению должностных обязанностей сотрудников и более ни в каких.

Руководство компании вправе ограничивать доступ сотрудника как к определённым ресурсам сети Internet, так и к группам ресурсов на свое усмотрение.

Руководство компании вправе ограничивать объем входящей и исходящей информации доступный сотруднику.

Перечень доступных сотрудникам ресурсов определяется руководством компании.

Ответственность за нарушение регламента

Нарушение данного регламента приравнивается к нарушению режима коммерческой тайны и влечет равноценную ему ответственность.

Приложения к регламенту

Перечень сотрудников имеющих доступ к ресурсам сети Internet

Ф.И.О. сотрудника	Должность	С регламентом ознакомлен

Перечень ресурсов разрешенных с использованию

Доменное имя	IP адрес ресурса

Объем траффика доступны сотрудникам

Ф.И.О. сотрудника	Должность	Входящий трафик	Исходящий трафик

Для реализации прокси-сервера будет использована платформа Linux Debian и сервер Squid. Системные требования:

Linux Debian:

CPU 1.5 GHz

ОЗУ: 1 GB;

GPU: 128 MB;

HDD: 10 GB;

Squid:

CPU: 800Mhz,

ОЗУ: 512 Mb

HDD: 20Gb

Исходя из этих системных требований и основываясь на возможности дальнейшего увеличения нагрузки на сервер, рекомендую следующую конфигурацию (таблица 5):

Таблица 5 - Спецификация закупаемого оборудования

Наименование	Количество	Цена	Сумма
Процессор Intel Celeron G460 1,8 GHz	1	5700 тг	5700 тг
ASROCK iH61, H61M, S1155, SB, VGA, LAN, 2xDDR3, 2PCI, PCI-Ex1, PCI-Ex16, mATX	1	9900 тг	9900 тг
Вентилятор для S1156 Deepcool THETA 20,	1	1000 тг	1000 тг
DIMM DDR3 SDRAM 4Gb PC10600 1333Mhz ADATA AD3U1333C4G9-B	1	4900 тг	4900 тг
HDD Samsung 500 Gb 7200 rpm, Serial ATA II-300, NCQ, 16Mb Cache, HD502HJ	1	10400 тг	10400 тг
Блок питания ATX FSP ATX-400PNR, 400W, 12CM FAN	1	5400 тг	5400 тг
Корпус MidiTower ATX Frontier SHIELD SI08A,	1	3000 тг	3000 тг
Монитор LCD LG W1943S-PF 18.5''	1	16200 тг	16200 тг
Клавиатура+Мышка A4Tech AC-1107, USB, Black	1	1200 тг	1200 тг

Приступим к процедуре перехода с Windows на Linux. Хорошей новостью является то, что открытые стандарты Linux подобны стандартам, которые лежат в основе администрирования Windows. Некоторые специальные термины отличаются и немного различаются инструменты, но основные понятия одни и те же.

И Linux, и Windows являются многопользовательскими операционными системами. Обе они могут использоваться многими разными пользователями и предоставить каждому пользователю отдельное окружение и ресурсы. Безопасность базируется на идентификации пользователей. Доступ к ресурсам также может контролироваться членством в группе, что позволяет не устанавливать права для каждой отдельной учетной записи пользователя и упрощает процесс управления правами для большого количества пользователей.

Пользователи и группы могут быть централизованы в едином репозитории, что позволяет различным серверам использовать одни и те же данные о пользователях и аутентификации.

Поддерживаются порты физических устройств, параллельных, последовательных и USB. Также поддерживаются различные контроллеры, например IDE и SCSI. В Linux возможна поддержка «из коробки» значительного количества стандартного оборудования.

И в Linux, и в Windows поддерживается несколько сетевых протоколов, например, TCP/IP, NetBIOS и IPX. Обе системы поддерживают ряд сетевых адаптеров. Обе обеспечивают возможность распределения ресурсов, таких как файлы и система печати, по сети. Обе обеспечивают возможность предоставления сетевых сервисов, таких как DHCP и DNS.

И в Linux, и в Windows имеются сервисы, приложения, которые запускаются в фоновом режиме и обеспечивают некоторые функции системы и компьютеров, обращающихся к этим сервисам удаленно. Управление каждой из этих программ может осуществляться индивидуально и их запуск может осуществляться автоматически при загрузке системы.

Несмотря на некоторое сходство технологий, существует ряд ключевых различий в приемах работы в Windows и Linux. С непривычки эти различия трудно уловить, но они являются ключевыми понятиями философии Linux.

Первая операционная система Windows появилась в мире бумаг. Одним из достоинств Windows было то, что все, что делалось с ее помощью, хорошо выглядело и могло быть легко напечатано. Это и определило дальнейшие пути развития Windows.

Ровно так же, развитие Linux определялось его источниками. Linux изначально был предназначен для существования в сети. Его возникновение было инспирировано операционной системой Unix, и поэтому он прост, можно сказать, лаконичен, в дизайне своих команд. Поскольку работа с простым текстом возможна по сети, текстовый формат всегда являлся базовым для конфигурационных файлов Linux и данных.

Тем, кто привык к графическому окружению, Linux на первый взгляд может показаться примитивным. Но разработка программ в Linux более сосредоточена на жизнеспособности приложений, чем на их внешнем виде. Linux имеет очень сложную организацию сети, создания скриптов и обеспечения безопасности, которые активны даже при наличии только текстового окружения. Для решения некоторых задач необходимы некоторые на вид странные действия, непонятные до тех пор, пока вы не поймете, что в Linux эти задачи предполагается решать по сети во взаимодействии с другими Linux-системами. Linux более приспособлен для автоматизации задач, даже выполнение очень сложных задач может быть запрограммировано с использованием эквивалента командных batch-файлов. Этому способствует ориентация Linux на текстовый формат.

В Linux существуют и графические средства управления, а также средства для выполнения офисных работ, таких как работа с электронной почтой, просмотр веб-ресурсов и обработка документов. Однако в Linux графические средства администрирования обычно являются front-end'ами для инструментов консоли (командной строки).

Конфигурационные файлы в Linux являются удобными для восприятия текстовыми файлами. Они похожи на файл INI в Windows. В этом состоит принципиальное отличие от подхода Windows Registry. Обычно конфигурационные файлы касаются отдельных приложений и хранятся отдельно от других конфигураций. Однако большинство конфигурационных файлов размещается в дереве каталогов в одном месте (/etc), так что и искать их надо здесь. Текстовый конфигурационный файл легко скопировать, проверить и отредактировать конфигурацию без использования специальных системных средств.

В Linux расширения имен файлов не используются для определения типов файлов. Вернее, для определения типа файла в Linux анализируется header содержимого. Вы все же можете использовать расширения для удобства восприятия, но для Linux они не имеют значения. С другой стороны, некоторые приложения, например, веб-сервер, могут использовать соглашения по наименованиям для идентификации типов файлов, но это касается отдельных приложений.

В Linux для идентификации исполняемых файлов используются права доступа к файлам. Любому файлу можно присвоить статус исполняемого, так что создатель программы или скрипта или администратор может сделать их исполняемыми. Одно из явных преимуществ такого подхода - безопасность. Исполняемый файл, сохраненный в системе, не будет обязательно автоматически запущен на исполнение, что позволит предотвратить распространение вирусов.

На самом деле Linux - это только ядро; оно обеспечивает многозадачную, многопользовательскую функциональность, управление оборудованием, распределение памяти и делает возможным запуск приложений.

В Linux все команды и опции чувствительны к регистру. Например, - R - не то же, что - r и имеет другое назначение. В консоли команды почти всегда вводятся строчными буквами.

Переход от администрирования Windows к Linux нетривиален. Значительная часть знаний о том, как работает компьютер с использованием ОС Wondiws, может быть успешно использована в Linux.

Все вышеперечисленное указывает на то, что принципиальной разницы в настройке и администрировании ЛВС под управлением Linux от ЛВС под управлением Windows не существует. Есть разница в подходах и командах, а протоколы, файловые системы и принципы работы неизменны.

Для пользовательских ПК будет использован дистрибутив Linux Ubuntu 13.04. В целях увеличения производительности будут изменены следующие пакеты:

1. Unity - удалить

2. CompizeFusion - удалить

3. Gnome2 - установить

4. XPGnome - установить

Для работы пользователей необходимы следующие программы

1. LibreOffice - аналог MS Office

2. Wine - средство реализации Windows API. Необходимо для работы 1С

3. Mozilla Firefox

4. Qutim - im-агент с поддержкой протоколов ICQ, mra

Установка ОС в среднем занимает от 30 до 50 минут на 1 ПК. После установки для более быстрой адаптации пользователей будут проведены настройки графического интерфейса. В качестве основы использован пакет XpGnome, в котором представлен набор визуальных компонентов и настроек. Изменения затрагивают: пиктограммы, GTK, Metacity, Splash, визуальную тему GDM, курсоры мыши, панель инструментов, фоновые рисунки, визуальные иконки на рабочем столе, оформления вывода списка файлов в Nautilus, тулбар. С экрана удаляются все панели GNOME, внизу добавляется меню Start, кнопка отображения рабочего стола, переключатель окон, область уведомлений, часы и апплет управления громкостью.

Для конфигурирования сервера буте использован Linux Debian 7.0. Графический интерфейс, как и у рабочих станций, будет переведен на Gnome 2. Squid будет установлен из репозитория Canonical.

Squid устанавливаем из репозитория следующим образом:

sudo apt-get install squid

Конфигурационные файлы для Squid находится в /etc/squid/squid.conf. Для того чтобы редактировать этот файл, набираем:

sudo nano /etc/squid/squid.conf

Ищем параметр http_port, и выставляем ему следующее значение:

http_port 3128 transparent

Ключевое слово здесь - это transparent, в результате его мы и получим «прозрачный» прокси. А 3128 - это порт для протокола http.

В этом же файле ищем параметр visible_hostname и выставляем ему следующее значение:

visible_hostname (название прокси)

Где (название прокси) - можно заменить любым словом или словосочетанием.

Ищем дальше. Теперь ищем параметр acl our_networks, заменяем его такими строки:

acl our_networks src 192.168.3.0/255.255.255.0

http_access allow our_networks

Данными строками мы разрешили доступ к прокси для компьютеров из нашей сети 192.168.3.0.

Создаем директории кэша:

squid - z

Перезапускаем сервис squid:

sudo /etc/init.d/squid restart

Добавим правило перенаправления портов в наш файервол.

sudo iptables - t nat - A PREROUTING - i eth1 - d! 192.168.3.0/255.255.255.0 - p tcp - m multiport - dport 80,8080 - j DNAT - to 192.168.3.1:3128

Теперь компьютеры смогут выходить в Интернет через «прозрачный» прокси, при этом нам нигде не надо прописывать настройки прокси вручную.

Осталось настроить автоматический запуск Squid Создается текстовый файл sudo nano /etc/init.d/natsquid и в файл помещается (дабы NAT заводился после загрузки):

#!/bin/sh

iptables - t nat - A POSTROUTING - o eth1 - j MASQUERADE

iptables - t nat - A PREROUTING - i eth1 - d! 192.168.3.0/255.255.255.0 - p tcp - m multiport - dport 80,8080 - j DNAT - to 192.168.3.1:3128

Файлу придается статус исполнимого: chmod +x /etc/init.d/natsquid.

Файл объявляется как выполняющийся при загрузке: update-rc.d natsquid start 51 S.

Осталось настроить права доступа к данным пользователей. Linux очень гибкая система позволяющая настраивать привилегии не «по шаблону» как привыкли windows администраторы, а очень тонко, благодаря возможности контролировать все вплоть до прав на чтение тех или иных папок.

С целью обеспечения удобной работы пользователей в готовой системе, каждому пользователю создается рабочее место, выносятся пусковые кнопки для всего ПО, которое необходимо пользователю в рабочих процессах, при этом блокируется доступ к любым другим программам и компонентам ОС. Блокировка или разрешение доступа выполняется при помощи, ранее упомянутого chmod.

Заключение

В итоге своей работы мне хотелось бы отметить, что разработанный в ней подход к организации системы информационной безопасности является универсальным и достаточно легко масштабируемым как на малые сети, так и на сложные сетевые архитектуры. При разработке данного подхода я старался как можно чаще ссылаться на утвержденные стандарты, но и не забывать, что с момента утверждения этих стандартов прошло уже 7 лет, что для сферы информационных технологий сравнимо с целой эпохой.

На сегодняшний день все больше малых сетей начинают пользоваться сложными информационными инструментами. Массивы электронной информации лишь растут и в мире, где информация с каждым днем становится одним из самых выгодных товаров, ее защита становится одной из самых актуальных тем. Достаточно мало специалистов получающих образование в направлении информатики и вычислительной техники связывает свою дальнейшую карьеру с информационной безопасностью. По окончании образования я надеюсь развиваться в этом направлении и подробнее разрабатывать тему, затронутую в данной работе.

Разумеется, очень многие вопросы не были мною затронуты, по причине ограничения максимального объема работы. Так, например, мне пришлось оставить без внимания наработки в сфере VPN и SSH туннелей, организации защищенных облачных систем и прочие менее значительные наработки.

В заключении хотелось бы сказать, что изложенные в этой работе подходы к организации систем информационной безопасности с успехом применяются компанией, в которой я работаю на сегодняшний день. Внедренные нами системы функционируют в десятках компаний в Павлодаре. Эти системы уже сейчас демонстрируют высокие показатели надежности, и мы планируем улучшать эти показатели в дальнейшем.

В разработке систем информационной безопасности мы стараемся исходить из фактических реалий бизнес-процессов заказчика, чтобы избежать построения системы ИБ, направленной на достижение целей ИТ-подразделения. Иначе бизнес-подразделения теряют возможности эффективного ведения бизнеса. Мероприятия по обеспечению информационной безопасности становятся обузой и часто не принимаются сотрудниками бизнес-подразделений, поскольку они теряют возможности эффективного сбора и обмена информацией, что задерживает компанию в своем развитии. Для решения данных вопросов, построение системы информационной безопасности нужно начинать с анализа целей и требований бизнеса. Для этого необходимо привлечение сотрудников бизнес-подразделений для обеспечения минимально необходимого воздействия на деятельность бизнес-подразделений при построении системы информационной безопасности. «Безопасность - это не просто один из компонентов ИТ», отметил Крис Апгар, отвечающий в компании Providence Health Plans за информационную безопасность - Это культура и процесс, процедура и установка». В результате для поддержки системы информационной безопасности в компании необходимо выделение роли ответственного за информационную безопасность и определение комитета по информационной безопасности во главе с руководителем компании.

Как правило, выполнение всех мероприятий по информационной безопасности требует достаточно больших ресурсов, но очень часто не учитывается направленность данных мероприятий на конкретный результат, то есть минимизацию наиболее вероятных рисков. В результате организация защищается от всех рисков, несмотря на стоимость мероприятий по защите и возможных убытков. При данном подходе, как правило, излишние мероприятия в той или иной степени негативно отражаются на деятельности организации. Прежде чем вкладывать деньги в безопасность, необходимо оценить получаемые в результате экономические выгоды. Для уменьшения стоимости системы информационной безопасности, необходимо в первую очередь выполнять только те мероприятия, которые направлены на минимизацию наиболее вероятных и опасных рисков. Данный подход позволяет направить финансовые ресурсы, именно, на повышение уровня информационной безопасности, и четко отслеживать эффективность данных вложений.

Для оценки эффективности вложений необходимо просчитывать возможные финансовые убытки хотя бы экспертным путем, поскольку более эффективных по цене / качеству методов расчета не существует.

Вполне возможно, что определенные группы рисков проще страховать, чем минимизировать. Оценка стоимости мероприятий, ущерба и страховки поможет принять верное решение. Очевидно, что в результате объем инвестиций должен быть меньше, чем потери от фактических рисков.

Эти подходы для нас основа, на которой мы строим понимание того, что мы будем предлагать каждому конкретному заказчику. Люди все чаще интересуются организацией систем информационной безопасности, но мы стараемся направить их интерес в русло создания удобных и надежных систем, используя накопленный нами опыт и рекомендации наших коллег по всему миру.

Для того чтобы не оставаться голословным в «приложение Б» я вкладываю скан-копии актов выполненных работ, из которых видно, что деятельность нашей фирмы и мои наработки лично находят свое место на рынке ИТ услуг Павлодара.

А для решения проблем по адаптации пользователей к новой графической среде и командной оболочке придется провести обучающие курсы. Для обучения пользователей будут проводиться занятия три раза в неделю в течении месяца. В качестве учебной литературы будет, например, использоваться: В. Белунцов «Самоучитель пользователя Linux»; Денис Колисниченко «Ubuntu Linux». Рекомендуется проведение занятий в формате СРСП и лекций.

Список использованных источников

информация безопасность утечка защита

1 ГОСТ Р ИСО/МЭК 13335-1-2006

2 ГОСТ Р ИСО/МЭК ТО 13335-3-2007

3 ГОСТ Р ИСО/МЭК ТО 13335-4-2007

4 ГОСТ Р ИСО/МЭК ТО 13335-5-2006

5 ГОСТ Р ИСО/МЭК 17799-2005

6 ГОСТ Р ИСО/МЭК 15408-1-2008

7 ГОСТ Р ИСО/МЭК 15408-2-2008

8 ГОСТ Р ИСО/МЭК 15408-3-2008

9 ISO/IEC 13335-1: 2004

10 Крюков Д.А. Самоучитель Slackware/MOPSLinux для пользователя, 2005, ISBN 5-94157-776-1, 978-5-94157-776-7

11 Комягин В.Б. Резников Ф.А. Операционная система Ubuntu Linux 11.04?ISBN: 978-5-89392-511-1

12 Мельников В.П. Информационная безопасность и защита информации ISBN: 978-5-7695-9222-5

13 Иванов М.А. Стохастические методы и средства защиты информации в компьютерных системах и сетях Михайлов Д.М., Чугунков И.В. ISBN: 978-5-91136-068-9

14 Шаньгин В.Ф. Защита информации в компьютерных системах и сетях 2011 г. ISBN: 978-5-94074-637-9, 978-5-94074-833-5

15 Малюк А.А. Теория защиты информации, 2012, ISBN: 978-5-9912-0246-6

16 Галатенко В.А. «Стандарты информационной безопасности». 2011 г. ISBN: 5-9556-0053-1, 978-5-9556-0053-6

17 Проскурин В.Г. Защита программ и данных, 2012, ISBN: 978-5-7695-9288-1

18 А.С. Першаков Защита и безопасность в сетях Linux. Для профессионалов ISBN: 5-318-00057-6

19 http://www.sbcinfo.ru/articles/doc/gtc_doc/contents.htm

20 http://counter-terrorism.narod.ru/magazine1/kotenko-8-1.htm Вопросы ИБ и терроризма

21 http://snoopy.falkor.gen.nz/~rae/des.html Описание алгоритма DES

22 http://markova-ne.narod.ru/infbezop.html Вопросы ИБ и СМИ

23 http://www.ctta.ru/ Некоторые проблемы ИБ

24 http://st.ess.ru/steganos.htm Вопросы стеганографии

25 http://www.infosecurity.ru/_site/problems.shtml Суть проблемы Информационной Безопасности

26 http://www.jetinfo.ru/2004/11/3/article3.11.2004.html Федеральный стандарт США FIPS 140-2

27 www.projectmanagement.ru

28 www.promo.ru

29 www.rusdoc.ru

30 www.web-support.ru

Размещено на Allbest.ru