ИТО-2003 / Секция IIIПодсекция 1устное выступление и публикация

РЕШЕНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ ПРИ ПОДКЛЮЧЕНИИ ШКОЛЬНЫХ СЕТЕЙ К ИНТЕРНЕТ

Подужайло Владимир Григорьевич, Поляков Игорь Евгеньевич, Рябко Сергей Дмитриевч

Компания «Группа С-Терра», г. Москва

обсудить на форуме написать автору

В настоящее время компьютеризация и информатизация школ переживает период бурного развития.

Интернет является важным элементом системы компьютерного образования, как потому что содержит в публичном доступе ряд ценнейших первоисточников – электронные библиотеки, музеи, периодику, тематические подборки материалов, профессиональные справочники, словари, клубы по интересам, так и потому, что начала компьютерной грамотности сейчас немыслимы без наглядной демонстрации и освоения приемов доступа в Сеть, поиска информации, работы с электронной почтой и средствами персональных коммуникаций.

Компьютерные классы в учебных заведениях без подключения к Сети воспринимаются как неполноценные.

Интернет не только дает возможность освоить простейшие и абсолютно необходимые навыки информационных коммуникаций, это также среда для общения детей и молодежи, место приложения для их творчества и самовыражения. Характерным, но далеко не единственным примером является лабораторная работа, в которой ребенок создает собственную веб-страничку, где рассказывает о себе, о своей семье, о том, что его живо интересует.

Внедрение Интернет в школах, безусловно, повысит уровень и качество образовательных программ: возможность получать самую последнюю информацию, внедрять дистанционные программы обучения, он-лайн тестирование, изучение иностранных языков, создавать веб-странички школ, на которых давать информацию о расписаниях, экзаменах факультативных курсах и т.п.

Использование Сети в учебном процессе создает возможность расширения кругозора школьников и их общения со своими сверстниками, в том числе за рубежом (получение разнообразной профильной информации, новостей о жизни разных стран (Интернет – это живая география всего мира просто на парте компьютерного класса), доступ к электронным источникам: книгам, газетам, журналам, исследованиям, публикуемым он-лайн).

Однако Интернет, помимо образовательных целей, зачастую используется школьниками для развлечений: посещений чатов, игровых сайтов, сайтов сомнительного содержания (порно-сайтов, сайтов религиозных сект, террористических и криминальных организаций и др. сайтов с нежелательным контентом).

В силу того, что школьники проводят много времени в Интернет и помимо школы, Интернет становится навязчивой идеей и негативно влияет на психику ребенка по причине сложности отслеживания посещаемых ресурсов.

Другой проблемой при подключении школ к Сети является необходимый минимум сетевой защиты. Школьная сеть должна быть защищена от несанкционированного проникновения, взлома, вандализма, хищения и порчи внутренних информационных ресурсов.

В силу социальной и экономической ситуации в стране двумя естественными ограничениями для построения полномасштабной системы защиты информации:

  1. относительно невысокий бюджет школьной информатизации
  2. отсутствие в школах квалифицированных кадров для построения системы защиты.

Поэтому крайне важно обеспечить простое, эффективное и полнофункциональное решение для построения информационной безопасности уровня школы или регионального сегмента учреждений образования.

К счастью, в настоящее время на рынке предлагается ряд решений по сетевой безопасности из сегментов SOHO – от Small Office, Home Office – малый или домашний офис и SMB – Small and Medium Business -  малый и средний бизнес. Эти решения представляются актуальными и вполне адекватными для применения на уровне школ и учреждений образования.

Какой набор средств защиты можно рекомендовать для применения в школе?

Во-первых, устройство, называемое межсетевым экраном (firewall), которое выполняет пакетную фильтрацию. Его главная функция –  выпускать школьников и учителей в Интернет, но не впускать в школьную сеть посторонних.

Во-вторых, если школы общаются по сети (друг с другом или с вышестоящими органами управления), мы рекомендовали бы применение технологии виртуальных защищенных сетей, которая позволит скрыть информацию от посторонних, полностью исключить ее модификации, а также усилит контроль доступа, выполняемый межсетевым экраном.

Часто функции пакетной фильтрации и средства виртуальных частных сетей подкрепляют средствами обнаружения проникновения, назначение которых состоит в том, чтобы поднять тревогу, если система защиты взломана или просто неправильно настроена.

Далее, полезной (и обязательной!) мерой безопасности является антивирусная профилактика.

Другой полезной, хотя менее распространенной, функцией является контентная фильтрация. Технологически контентная фильтрация реализуется различными способами, но конечная ее цель – изолировать школьника от нежелательного контента.

Рыночное предложение по сетевой безопасности для малого и среднего бизнеса формируют три класса игроков:

  • брэнд-поставщики корпоративного рынка информационной безопасности
  • брэнд-поставщики компонент и коммуникационных устройств
  • мелкие «беспородные» поставщики.

К первому классу игроков относятся, в первую очередь, Check Point Software Technologies и Cisco Systems.

Во втором классе играет достаточно много западных компаний, хорошо зарекомендовавших себя, как поставщики коммуникационного оборудования, однако до последнего времени не игравших существенной роли в области защиты информации (3Com, Zyxel, D-Link и проч.).

Третий класс представлен большим числом разных компаний, однако систематический обзор их рыночных предложений достаточно труден.

В решениях практически всех перечисленных компаний присутствует базовый набор функций информационной безопасности, упомянутых выше. Ценовой диапазон решений  (ориентировочно) – от 300 до 1200 долларов США за устройство защиты.

Тем не менее, существует ряд особенностей и устойчивых закономерностей:

  1. устройства из нижней части ценового диапазона (300-500 долларов), как правило, имеют существенные функциональные или  лицензионные ограничения
  2. устройства поставщиков корпоративного рынка (Cisco Systems, Check Point Software Technologies) – качественны, удобны и отработаны функционально в корпоративных решениях, однако более дороги и, для реализации некоторых важных функций, таких, как интерактивная контентная фильтрация или антивирусная профилактика с обновлением баз данных – требуют централизованного управления и дополнительной платной подписки
  3. решения традиционных коммуникационных устройств – Zyxel, D-Link, 3Com (возможно, за исключение компании Zyxel) – как правило, представлены небольшим продуктным рядом, тяготеющим, скорее, к сегменту SOHO, нежели SMB; предложение компании Zyxel выделяется достаточно развитой масштабируемой линейкой устройств, имеющей, в числе прочего, и характерную, скорее, для корпоративного сегмента, опцию централизованного управления безопасностью.

Важным вопросом в области сетевой информационной безопасности является сертификация средств защиты. Из перечисленных компаний-поставщиков опыт сертификации продуктов безопасности в России имеют только Cisco и Check Point. Однако и Cisco, и Check Point, сертифицировали единичные экземпляры или партии продуктов, при поставке решений в органы Министерства образования потребуется повторная сертификация и, в этом смысле, трудоемкость сертификации для каждой из компаний примерно одинакова.

Ситуация с сертификацией могла бы быть несколько лучше, если бы существовал российский поставщик средств защиты, однако предложений для сегментов SOHO/SMB российские поставщики пока не делают. Кроме того, российские поставщики сконцентрировали усилия в области пакетной фильтрации и технологий виртуальных защищенный сетей и ряд важнейших для школ функций, таких, например, как контентная фильтрация, они просто не предлагают.

Итак, как же можно резюмировать сложившуюся ситуацию?

Решения по информатизации школ бурно развиваются и, как следствие, должны быть обеспечены средствами информационной безопасности.

Рыночное предложение таких средств защиты сформировалось в последние 1-2 года, как решение для сегментов SOHO и SMB. Рыночное предложение достаточно зрело и может применяться уже сейчас (при условии сертификации средств защиты). К сожалению, пока речь может идти только о продукции западных компаний.

Продукты каких компаний можно рекомендовать для применения в учреждениях образования? Ответ на этот вопрос зависит от архитектуры решения. В этом направлении существует два подхода:

  1. средства индивидуальной защиты для отдельно взятой школы
  2. решения для коллективной защиты группы учебных учреждений города/региона.

Для индивидуальной защиты можно рекомендовать изделия класса SMB от таких производителей, как Zyxel (ZyWall 30, 50 100 – в зависимости от масштаба учреждения). Эти продукты полнофункциональны и имеют хорошее соотношение цены и качества.

Для построения коллективной системы защиты для группы учреждений можно рекомендовать решения от Cisco Systems и Check Point Software Technologies с централизованным управлением. Оба эти решения практически эквивалентны функционально, решение Check Point отличается несколько большей простотой в управлении и использовании, однако при этом может быть несколько дороже. Решение Cisco Systems будет, вероятно, дешевле и сильнее в чисто сетевой функциональности. Особенно интересно решение Cisco в тех случаях, когда нужно закладываться на функциональное развитие сети и построение дополнительных (и, кстати, зачастую весьма экономически эффективных сервисов), таких, например, как конференц-связь и IP-телефония.