Рекомендации по выбору и установке источников бесперебойного питания
Рекомендуется составить план сети и с его помощью определить, какие из компонентов нуждаются в источниках бесперебойного питания. Для нашей типовой схемы следует установить их на сервера, на коммутаторы (концентраторы), на устройство сопряжения с сетью Интернет. Если необходимо, следует установить ИБП на клиентские машины, где обрабатываются важные данные, на компьютеры руководителей.
Рекомендуется выбирать однотипные ИБП. Желательным условием является наличие ПО, способного удаленно управлять и контролировать разбросанные по зданию источники питания. Необходимо настроить ПО ИБП на посылку предупреждений администратору при отключении питания электросети и разряде батарей, а также на автоматическое корректное завершение работы ОС при разряде батарей.
Организационная защита является очень эффективным методом обеспечения сохранности информации. Под ней понимается довольно широкая область, однако для рассматриваемых нами типовых организаций можно выделить несколько ключевых моментов.
Рекомендуется пост охраны на входе, использование пропускной системы.
Помещения должны запираться и иметь сигнализацию. Сигнализация должна быть установлена на двери и окнах, возможно применение датчиков движения.
Это обеспечивается использованием таких мер, как ограничение доступа в помещения, где находятся компьютеры с наиболее ценной информации. Как правило непосредственная защита путем ограничения доступа организуется для сервера. Если невозможно размещение сервера в отдельном помещении, то используются шкафы или запираемые корпуса.
Доступ к серверам должен быть возможен только администратору, руководителю, оператору резервного копирования.
В тех случаях, где эта проблема актуальна, лучше использовать для компьютеров специальные корпуса. Если это невозможно, корпус компьютера должен быть опечатан. Рекомендуется также проверять целостность оборудования при сдаче рабочего места.
Обычно такая проблема возникает при необходимости предоставлять доступ к компьютерам внештатных сотрудников, гостей, командированных и т.д. Здесь крайне важно отсутствие так называемой «обезлички», т.е. должно быть известно кто последний работал на данном компьютере. Обычно это достигается применением специальных программ либо записью в журнале.
Периодически необходимо проверять соответствие комплектующих, серийные номера. Кстати, в компьютер могут быть установлены специальные устройства, записывающие и передающие информацию. Так как такое оборудование довольно дорого, это может означать, что за вашей организацией ведется направленный шпионаж.
Это пункт обеспечивается также использованием организационных мер. Необходимо правильное планирование размещения компьютерной техники. Мониторы, по возможности, разворачиваются от окон, дверей.
Также используются программные средства. Основная проблема безопасности заключается в том, что человек отходя от своего рабочего места оставляет компьютер не заблокированным. Для снижения вероятности получения информации таким методом необходимо использование заставок "save-screen" с паролем. Т.е. после включения заставки получить доступ к компьютеру можно только введя пароль. Данная операция не требует от пользователя сложных действий.
Данная операция также должна быть отнесена к организационной защите.
Для ее проведения необходим план резервного копирования. Наиболее распространенным является полное резервное копирование раз в неделю и инкрементирующее каждый день. Носители, на которые производится полное резервное копирование, следует чередовать в течение некоторого времени, обычно месяца. Для применения инкрементирующего копирования в течение недели применяют разные носители на каждый день недели.
Хранить носители резервного копирования следует в несгораемых сейфах. Рекомендуется хранить их в другом здании.
Перед началом применения регулярного резервного копирования следует попытаться восстановить резервные данные и убедиться, что в случае потери информации ее это можно будет сделать без труда.
Для рассматриваемой нами типовой сети следует производить копирование основного контроллера домена (PDC) Windows NT, информация почтового сервера, возможно – Web-сервера. Рекомендуется сохранять важную информацию с серверов баз данных и файловых серверов.
Обычно в такой небольшой сети операцию резервного копирования производит администратор. Однако при большом объеме работы или его сильной загруженности этим может заниматься и оператор резервного копирования. В любом случае ситуация с резервным копированием должна быть под контролем сетевого администратора.
Как известно, наиболее популярная система разграничения доступа – паролирование. Система Windows NT позволяет довольно гибко настраивать ограничения на выбор пароля, однако организационные меры здесь еще более важны.
Самой большой проблемой здесь является выбор простых и легко угадываемых паролей. Как защититься от этого программными средствами, рассказано ниже, организационные же меры здесь рекомендуются следующие:
1.Следует провести с каждым пользователем небольшой ликбез, объяснив для чего нужен пароль, какие пароли являются надежными, как выбирать надежный легко запоминаемый пароль, зачем их периодически нужно менять.
2.Следует постоянно проверять наличие у рабочих мест свободно лежащих бумажек с паролями. Для злостных нарушителей следует предусмотреть меры воздействия и наказания.
3.Администратор должен периодически проверять наличие быстро вскрываемых паролей и предупреждать об этом пользователей.
При приеме на работу каждый служащий должен подписать соглашение о неразглашении коммерческой тайны, которое может быть включен в контракт или трудовой договор.
Часто администратор ЛВС сталкивается с непониманием со стороны пользователей, которые не выполняют требования по защите информации. Здесь необходимо проявлять жесткость. Руководитель предприятия должен поддерживать в этом сетевого администратора.
При требовании выполнения организационных мер хорошим приемом является ссылка на вышестоящие организации или руководство, которые «обещают уволить и администратора, и служащего при малейшем нарушении».
Кабель типа «неэкранированная витая пара» для сетей состоит из четырех пар проводов 24-го сортамента. По проводам пары передаются сигналы противоположной полярности, поэтому для каждой пары суммарная передаваемая мощность равна нулю. Это позволяет снизить потери за счет электромагнитного излучения и свести к минимуму наводки (перекрестные помехи) от соседних проводов. На принимающем конце сигнал, идущий по «отрицательному» проводу, инвертируется и суммируется с сигналом, идущим по «положительному» проводу. При этом сигнал получается максимальным.
Кабели типа «витая пара» подразделяются на несколько категорий в зависимости от их пропускной способности. Пропускная способность витой пары зависит от точности соблюдения производственной технологии и строгости контроля степени скручивания проводов в процессе производства. Витая пара излучает радиосигналы, длина волны которых кратна длине одного витка. Пара, имеющая виток длиной 10 см, будет излучать первичные интерференционные волны с периодом 10 см.
Если различные пары в составе одного кабеля свиты одинаково, то их излучения будут интерферировать. Поэтому желательно, чтобы разные пары в кабеле имели витки такой длины, которая не приводила бы к образованию гармоник. В этом случае можно снизить помехи, наводимые парами друг в друге. Витые пары подразделяются на следующие категории:
Категория 1. Провода для передачи звуковой информации.
Категория 2. Новый тип проводов для передачи звука и последовательных данных.
Категория 3. Скорость передачи данных достигает 10 Мбайт/с (этого достаточно для сетей типа Ethernet или Token Ring с пропускной способностью 4 Мбайт).
Категория 4. Скорость передачи данных достигает 20 Мбайт/с (этого достаточно для сетей Token Ring с пропускной способностью 16 Мбайт).
Категория 5. Скорость передачи данных достигает 100 Мбайт/с (этого достаточно для сетей типа Fast Ethernet или CDDI).
Категория 6 (перспективная). Скорость передачи данных достигает 155 Мбайт/с (этого достаточно для сетей типа ATM-155).
Неэкранированные витые пары категорий 3 – 5 конструктивно спроектированы так, что не создают помехи друг в друге, но подвержены помехам от внешних источников. Кроме того, данные с них легко считываются с помощью других устройств. Сигналы в проводах витой пары принимаются расположенными вблизи от проводов индукционными усилителями или путем считывания наведенного сигнала (перекрестной помехи) с неиспользуемых пар. Декодирование данных, считанных с проводов, с помощью сетевых анализаторов представляет собой несложную задачу.