ОПЫТ

На передний край защиты сетей выходят университеты

    

Немало пострадав от масштабных краж данных, крупные университеты и колледжи решили показать пример борьбы с этим злом. Именно они лидируют сегодня в области совершенствования сетевой защиты и при этом стараются в полной мере сохранить открытость и свободу доступа к ресурсам, традиционно присущие вычислительным средам университетских городков.

Технологии, создаваемые сейчас в учебных заведениях, могут появиться вскоре и в корпоративных сетях. Ведь не секрет, что границы привычных сетей постепенно стираются, а подразделения ИТ ищут недорогие и простые альтернативы таким средствам обеспечения сетевой безопасности, как NAC (Network Admission Control - контроль за доступом в сеть) фирмы Cisco или NAP (Network Access Protection - защита сетевого доступа) корпорации Microsoft.

Колледж Колби-Сойера (Нью-Лондон, шт. Нью-Хэмпшир) принял 1 сентября в свои стены почти 1000 студентов, и едва ли не каждый из них привез с собой компьютер, иногда даже не один. В результате, как рассказал нам аналитик информационной безопасности этого вуза Скотт Браун, работа в кампусной сети сразу же намного активизировалась. “Только представьте себе: за каких-то 24 часа популяция компьютеров удвоилась, причем все новички битком набиты шпионскими программами”, - отметил он.

***

За первое сентября популяция компьютеров университета удвоилась, причем все новички оказались битком набиты шпионскими программами.

***

Чтобы предотвратить эпидемию, было решено не допускать пользователей в сеть до тех пор, пока те не установят на своих машинах обязательный комплект программ - бесплатные копии антивирусного сканера NOD32 фирмы Eset Software и средства для борьбы с программами-шпионами Spy Sweeper фирмы Webroot Software.

Для контроля за соблюдением этого правила Браун и его коллеги пользуются продуктом фирмы Bradford Networks под названием Campus Manager, который отслеживает компьютеры студентов по их уникальным адресам MAC (Media Access Control - управление доступом к сети). Когда новичок пытается войти в сеть, эта программа перенаправляет его в виртуальную ЛВС, откуда можно инсталлировать необходимое защитное ПО. Одновременно, по словам Брауна, с компьютера удаляются все ранее установленные средства борьбы с вирусами и спамом, а также производится его подключение к Web-сайту Microsoft для обновления ОС Windows и установки всех необходимых заплат.

Но и это еще не все. При каждом подключении студента к кампусным ресурсам проверяется наличие на его компьютере последних обновлений средств борьбы с вирусами и шпионскими программами, а также заплат Windows.

В корпоративном мире, конечно, такие драконовские меры применяются не часто, но положение вскоре может измениться и администраторы обратят свой взор в сторону программ, которые уже применяются в Корнельском университете и колледже Колби-Сойера. Это, как считает старший консультант по безопасности фирмы Cybertrust Крис Новак, поможет справиться с массовым наплывом в их среду ноутбуков и других портативных вычислительных устройств.

Рекомендации

Как повысить безопасность сети и при этом сохранить ее открытость

- Карантин. Студентов можно не допускать в сеть, пока они не обновят ОС на своих компьютерах, а может быть, даже установят на них программные средства борьбы с вирусами и шпионским ПО.

- Базы данных о компьютерах. Используются для слежения за компьютерами студентов и лечения зараженных машин.

- Контрольные списки доступа на пограничье. Совместно с руководством различных университетских подразделений администраторы ИТ определяют их вычислительные потребности, а затем составляют контрольные списки доступа, которые размещаются на пограничных маршрутизаторах этих подразделений. В результате удается отсеять весь ненужный университетскому персоналу трафик.

Корнельский университет (Итака, шт. Нью-Йорк) ввел в отношении студенческих компьютеров примерно такие же правила, что и колледж Колби-Сойера. Машины 6,5 тыс. студентов, прибывших сюда в конце августа, были сразу же поставлены на карантин с помощью созданной местными специалистами программы. Как пояснил директор по ИТ-безопасности этого вуза Стив Шустер, перед тем как получить доступ в сеть, студент должен зарегистрировать свою машину в университете, она проверяется на предмет выявления известных угроз безопасности.

В нынешнем году 90-95% студентов смогли устранить замеченные в ходе регистрации недостатки собственными силами.