Обсуждение:Правила работы в сети

Материал из DvoWiki
Перейти к: навигация, поиск

В связи с затянувшейся дискуссией см. лидеров чемпионата среди качков о правилах работы в сети необходимо добавить следующие пункты.


Список пунктов будет непрерывно пополняться - проблема эта многосторонняя и многогранная.

Курсивом - комментарии и замечания

Основной материал - простым текстом


Нормативные документы

Функционирование сети осуществляется в соответствии с законами РФ: 

"О безопасности" № 2446-1; "O правовой охране программ для электронных вычислительных машин и баз данных", № 3523-1; "О государственной тайне", № 5485-1; "О связи", № 15-ФЗ; "Oб информации, информатизации и защите информации", № 24-ФЗ; "Об участии в международном информационном обмене", № 85-ФЗ; "Об оперативно-розыскной деятельности", № 144-ФЗ; "Гражданским кодексом РФ".


By AleZ: См. http://www.minsvyaz.ru/img/uploaded/2003052118350390.htm (наверное, список уже устарел, вот только стал ли он короче?)

Персональная ответственность за рабочее место

За все действия, производимые с персонального рабочего места в сети (компьютера) должны нести владельцы этого рабочего места. Если компьютер общего пользования, то должны быть настроены соответствующие права доступа. Ответственность должна быть персональной и все проблемы, возникающие при работе этого компьютера в сети, должны решаться на административном уровне. При допуске посторонних лиц к своему рабочему месту за все последствия обязан отвечать владелец компьютера.

Ограничения при работе в сети ДВО

Требовали перечислить поименно. Ладно, составим список, что запрещено.


Запрещается в рабочее время скачивать из внешних источников музыку, видео, игры или другой контент, не относящийся к работе научных сотрудников.


Подобные закачки полностью выбирают пропускную способность канала, тем самым ограничивают доступ к электронным версиям научных журналов, книг, научных библиотек, издательств. Подобная подписка - очень дорогой ресурс. Мешать работе сотрудников с подобными дорогостоящими ресурсами в рабочее время - прямое вредительство.


Внешние источники - все, что не относится к серверам сети ДВО (62.76.7.*), внутренним сетям ДВО (192.168.*.*), серверам, входящим в пиринговые отношения с сетью ДВО (сервера ДВГУ, ДВГТУ, ВГУЭС). Из-за особенностей реализации части сети ДВО сервер Президиума (*.febras.ru) считается так же внешним источником.

Информационная безопасность

Есть международные стандарты обеспечения информационной безопасности, так что нечего изобретать велосипед, а обратиться к документам ISO/IEC 17799:2005 — Международный стандарт, базирующийся на BS 7799-1:2005

Тему можно развивать бесконечно, но без основных правил построить нормально функционирующую сеть ДВО невозможно.

By AleZ (пока не оформлено, как замечание): ОК, Security Management часть IT-процессов, и на все эти дела есть очень неплохие рекомендации, стандарты, ... ( http://en.wikipedia.org/wiki/ITIL , ... ) . Некоторый вопрос, какую часть рекомендаций ДВО РАН может позволить себе реализовать?


By Ignatovich: Вариант документации на русском языке - Infrastructure Library . Необходимо стремиться к идеалу, ну а на что денег хватит....

Защита сети на локальном уровне

1. Введение персональной ответственности за рабочее место (компьютер, рабочая станция, сервер).

2. Привязка MAC к IP, MAC к порту на свиче.

3. Ограничение портов, видимых извне.

4. Ограничение портов, видимых между подсетями.

5. Ведение LDAP-каталога ресурсов сети, в котором описаны объекты сети, персоны и отношения персон и объектов.Поддержка каталога распределяется по сегментам (зонам ответственности). Наличие актуального каталога позволяет автоматизировать многие операции по поддержке политик в сети.

Пиринговые сети

Ограничения на работу в P2P сетях (eMule, Kazaa, и т.д.).

В связи с особенностью работы протоколов P2P сетей запретить использование подобных программ в рабочее время!


Рабочее время - см. устав института ДВО РАН (с 9-00 до 17-00). Суббота, воскресенье, праздничные дни - выходные.

Программное обеспечение

Необходимо внести отдельным пунктом - есть ньюансы в использовании отдельных программ, не являющихся вредоносными, но из-за ошибок или недочетов программирования создающие проблемы всей подсети ДВО.

В настройках менеджеров закачек настроить ограничения на закачку не более 10 потоков. Программы, открывающие больше 10 потоков вне зависимости от пользовательских настроек (Flashget при 90% закаченного файла открывает более сотни потоков) рекомендуется не использовать во избежание конфликтов с администраторами сети ДВО.

В рабочее время рекомендуется ставить и ограничение на скорость закачки не более 10 к.

Большие файлы вообще рекомендуется закачивать в нерабочее время (запускать закачки по таймеру, крону, шедулеру).

Например, Download Master имеет встроенный планировщик закачек с расписанием. В этом случае ему можно скормить интересующие ссылки и оставить на закачку файлов на ночь.

На компьютерах пользователей крайне рекомендуется использование антивирусных программ. За распространение вирусов (троянов и т.п.) в сети (хоть и неумышленное) ответственность несут пользователи компьютеров. Рекомендуются программы с автоматическим обновлением антивирусных баз по сети.

Пункт о матклассах

В каждом институте они есть. Правила их работы необходимо регламентировать отдельно.


1. Матклассы, предоставляющие учебное время для студентов университетов, обучающихся на территории ДВО РАН, обязаны подчиняться общим правилам работы в сети ДВО РАН.

2. Студенты не являются сотрудниками ДВО РАН и подчиняются только внутреннему распорядку работы матклассов. Ответственные за работу матклассов - препдаватели (сотрудники ДВО). Правила работы в матклассе вырабатываются сотрудниками ДВО (ответственными за маткласс) на основе общих правил работы в сети ДВО. Ужесточение правил работы матклассов - на усмотрение ответственных за матклассы сотрудников.

3. Работа студентов вне маткласса на персональных компьютерах сотрудников ДВО ведется только под личную ответственность сотрудников ДВО. Все санкции за действия, нарушающие целостность и работоспособность сети ДВО будут пременяться к сотрудникам ДВО.

4. Студенты не являются материально ответственными лицами, не подчиняются внутреннему распорядку институтов ДВО, не отвечают за ущерб, причененный их действиями в сети. Ответственность несут их научные руководители, давшие допуск до работы в сети ДВО. (Отношения между студентами и преподавателями, научными руководителями, мера ответственности и санкции за действия студентов оговариваются отдельно - это внутреннее дело кафедры\лаборатории\деканата.)


Этот вариант ответственности проверен еще в сети Фидонет. Нод является членом сети, отвечает за все проступки и последствия, пойнт - нет.

5. Запрещается установка студентами на компьютерах матклассов клиентов мгновенных сообщений (ICQ, Jabber, и т.д.).

Вообще-то при правильной настройке политики групп студент вообще ничего не сможет установить на компьютер из-под юзерского аккаунта, но сейчас есть масса программ для запуска с флешек (мобильных носителей), не требующих администраторских прав на компьютере

Санкции

Неприятно, но необходимо.


1. Предупреждение.

2. Предупреждение с направлением жалобы в администрацию института.

3. Отключение прямого доступа к глобальной сети (запрещение локального IP-адреса на NAT-е).

4. Полное отключение (запрещение локального IP-адреса на NAT-е и Proxy).

5. Отключение порта на локальном свиче\хабе\маршрутизаторе.

6. Административные методы воздействия.