Привет всем! Сегодня я хочу рассказать о моем опыте организации Интернет-доступа в школе и обеспечении информзащиты.
Не так давно был Cyber Security Forum 2015, где на секции «Информационная безопасность в образовании» меня увлек доклад Юрия Кантемирова из Роскомнадзора. Он говорил о строгости проверок, осуществляемых под его управлением и посетовал на нерадивость некоторых школ, которых не особо парит защита от сетевых и информационных угроз. После доклада от участника форума прилетел интересный и довольно простой вопрос: «А где же собственно те стандарты, соблюдать которые нас призывают?» После короткой дискуссии выяснилось: «Проверки есть, а вот стандартов… нет».
Вернувшись с форума, решил обсудить вопрос стандартов в информационной безопасности школ со своей командой. Перед нами встал вопрос: «Сможем ли мы удовлетворить стандарты интернетизации школ»? Так появился новый пилотный проект Traffic Inspector School Edition ; (позиционируемый нами как решение по обеспечению комплексного безопасного доступа к сети Интернет в учебных заведениях).
Дальше перед нами встала задача – где реализовать нашу идею. Мы пришли с предложением в ГОРОНО Коломны и в качестве площадки нам предложили городскую гимназию №8.
В работе со школой в РФ мы получили опыт по информатизации учебных учреждений в соответствии с законами РФ (ФЗ-436 «О защите детей от информации, причиняющей вред их здоровью и развитию» и ФЗ-139 «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет»).
В итоге, мы разработали стандарт и инструкции по информатизации учебных учреждений в соответствии с законами Российской Федерации (ФЗ писал выше).
Теперь перейду к начинке и расскажу про косяки российских школ, свои «шишки» и поделюсь опытом работы по таким проектам.
Для реализации проекта был составлен следующий план:
Стоимость такого проекта составила примерно 380 тысяч рублей. Стоит отметить, что у каждой школы эта стоимость может варьироваться в зависимости от: общей площади школы, пуско-наладочных работ и количества закупаемого оборудования.
По срокам проблем не возникало: организация сетевой инфраструктуры в самой школе заняла неделю.
Теперь по пунктам (решил пройтись подробно по каждому, мое описание является инструкцией для школ и может помочь специалистам без труда проделать тоже самое в своих образовательных учреждениях и не только):
Ситуация с сетевой инфраструктурой в учебном заведении была не простая и пришлось попыхтеть, чтобы разобраться и принять правильное решение.
За 10 лет сразу 3 местных провайдера заходили в гимназию со своими планами «интернетизации», но по каким-то неизвестным причинам все реализованные решения не отличались полнотой или логической завершенностью.
Первый провайдер ограничился установкой ADSL-модема и организацией Интернет-подключения в компьютерном классе.
Второй пошел дальше – подвел оптоволокно и даже реализовал механизм фильтрации по белому списку. Правда, обходилась такая фильтрация элементарной сменой DNS-серверов, да и реализована была так, что школа первое время не могла выйти на свой же школьный сайт.
Пришествие третьего провайдера «ознаменовалось» почти что полной «интернетизацией» — часть школьной сети была выстроена с помощью проводного Ethernet, другая с помощью Wi-Fi. Только и тут не обошлось без досадных накладок – очень быстро Wi-Fi сегмент стал напоминать «проходной двор» — дети быстро вычислили незапароленные точки и «сидели», где хотели. Во время проведения ЕГЭ, половина школьной сети «умирала» из-за функционирования необходимых по регламенту генераторов белого шума. Сетевой инфраструктуры, в полном смысле этого слова, так и не появилось – зато появилось множество полуизолированных сетевых «островков», использовавших разношерстное сетевое оборудование, подключенных по разным каналам доступа, имеющих совершенно разный уровень безопасности и сетевого контроля. Админы школы пытались переломить сложившуюся ситуацию. Но комплексного решения найти так и не удалось.
По итогам анализа состояния компьютерной сети в гимназии, мы со своими коллегами, в тесном сотрудничестве с администрацией гимназии, выявили основные моменты, которые требовали определенного вмешательства:
Наша команда точно решила, что новая инфраструктура должна была стать технологически единообразной, т.е. избавиться от ошибок «половинчатых» решений, утвержденных ранее. Мы решили отказаться от беспроводного доступа в пользу повсеместной прокладки проводов.
В силу экономической целесообразности и распространенности, в качестве технологии локальной сети выбрали проводной Gigabit Ethernet.
Далее решили использовать иерархическую топологию сети как вытекающую из особенностей самой технологии Ethernet, а также плана здания и характера размещения помещений. На каждом из трех этажей установили специальные шкафы и разместили там управляемые свитчи. От каждого такого свитча проводной Ethernet разводился во все без исключения классы и кабинеты школы. В каждом классе оборудовалась аккуратная компьютерная розетка. Интернет наконец-то пришел в каждый класс. И в этот раз, уже не на словах. Было также выделено безопасное и хорошо вентилируемое помещение под серверную для размещения школьных серверов и шлюза безопасности.
Закупаемое оборудование должно отвечать требованиям долговечности и надежности и соответствовать выбранному сетевому стандарту. Одним из требований к коммутаторам стала поддержка технологии VLAN, т.к. планировалось разделение доступа для разных категорий пользователей (гостей школы, учебных компьютеров и администрации). Мы выбрали управляемые свитчи D-Link DES-1210-28, как обеспечивающие наилучшее соотношение цена/качество. Всего понадобилось 5 свитчей. На каждом из трех этажей смонтировали специальные шкафы TECNOSTEEL Tecno 401 (было закуплено 5 экземпляров). Витую пару использовали следующей марки Telecom Ultra PRO (3700 метров).
Основное требование к программному обеспечению – наличие лицензии, сертификат ФСТЭК и технические возможности, позволяющие соблюдать законодательство РФ. Главным компонентом новой системы безопасности и контроля стал универсальный аппаратно-программный шлюз AquaInspector с программой Traffic Inspector FSTEC и модулем контентной фильтрации NetPolice на борту. Выбранное программное обеспечение помогло в организации гибкой контентной фильтрации с соблюдением ФЗ-436 и ФЗ-139.
И, наконец, финальные штрихи – гимназия № 8 получила возможность пользоваться приоритетной технической поддержкой. Также мы провели обучение работе с программным обеспечением для системного администратора и технического персонала.
По плану все, а в завершение, от себя хотелось бы подчеркнуть, что мы получили полезный опыт и поняли, что нам интересно развиваться в том числе в этом направлении и улучшать сетевую инфраструктуру в образовательных учреждениях. Вместе с гимназией мы выяснили, как на практике построить единую современную школьную сеть и привести её в соответствие с федеральным законодательством РФ.
И главное, на мой взгляд, делать, а не ждать пока придут и заставят.
P.S. Кстати, по статистике прошлого года, среди 56 тысяч школ выявлено 12 тысяч нарушений.
У кого есть конструктивная критика, советы как сделать лучше или кто-то знает школы, где нам будут рады – вэлком :)
Не так давно был Cyber Security Forum 2015, где на секции «Информационная безопасность в образовании» меня увлек доклад Юрия Кантемирова из Роскомнадзора. Он говорил о строгости проверок, осуществляемых под его управлением и посетовал на нерадивость некоторых школ, которых не особо парит защита от сетевых и информационных угроз. После доклада от участника форума прилетел интересный и довольно простой вопрос: «А где же собственно те стандарты, соблюдать которые нас призывают?» После короткой дискуссии выяснилось: «Проверки есть, а вот стандартов… нет».
Вернувшись с форума, решил обсудить вопрос стандартов в информационной безопасности школ со своей командой. Перед нами встал вопрос: «Сможем ли мы удовлетворить стандарты интернетизации школ»? Так появился новый пилотный проект Traffic Inspector School Edition ; (позиционируемый нами как решение по обеспечению комплексного безопасного доступа к сети Интернет в учебных заведениях).
Дальше перед нами встала задача – где реализовать нашу идею. Мы пришли с предложением в ГОРОНО Коломны и в качестве площадки нам предложили городскую гимназию №8.
В работе со школой в РФ мы получили опыт по информатизации учебных учреждений в соответствии с законами РФ (ФЗ-436 «О защите детей от информации, причиняющей вред их здоровью и развитию» и ФЗ-139 «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет»).
В итоге, мы разработали стандарт и инструкции по информатизации учебных учреждений в соответствии с законами Российской Федерации (ФЗ писал выше).
Теперь перейду к начинке и расскажу про косяки российских школ, свои «шишки» и поделюсь опытом работы по таким проектам.
Для реализации проекта был составлен следующий план:
- Анализ имеющейся сетевой инфраструктуры
- Определение недостатков текущей инфраструктуры
- Организация схемы
- Настройка необходимого оборудования и программного обеспечения
- Обучение персонала школы работе с программным обеспечением
Стоимость такого проекта составила примерно 380 тысяч рублей. Стоит отметить, что у каждой школы эта стоимость может варьироваться в зависимости от: общей площади школы, пуско-наладочных работ и количества закупаемого оборудования.
По срокам проблем не возникало: организация сетевой инфраструктуры в самой школе заняла неделю.
Теперь по пунктам (решил пройтись подробно по каждому, мое описание является инструкцией для школ и может помочь специалистам без труда проделать тоже самое в своих образовательных учреждениях и не только):
1.Анализ имеющейся сетевой инфраструктуры
Ситуация с сетевой инфраструктурой в учебном заведении была не простая и пришлось попыхтеть, чтобы разобраться и принять правильное решение.
За 10 лет сразу 3 местных провайдера заходили в гимназию со своими планами «интернетизации», но по каким-то неизвестным причинам все реализованные решения не отличались полнотой или логической завершенностью.
Первый провайдер ограничился установкой ADSL-модема и организацией Интернет-подключения в компьютерном классе.
Второй пошел дальше – подвел оптоволокно и даже реализовал механизм фильтрации по белому списку. Правда, обходилась такая фильтрация элементарной сменой DNS-серверов, да и реализована была так, что школа первое время не могла выйти на свой же школьный сайт.
Пришествие третьего провайдера «ознаменовалось» почти что полной «интернетизацией» — часть школьной сети была выстроена с помощью проводного Ethernet, другая с помощью Wi-Fi. Только и тут не обошлось без досадных накладок – очень быстро Wi-Fi сегмент стал напоминать «проходной двор» — дети быстро вычислили незапароленные точки и «сидели», где хотели. Во время проведения ЕГЭ, половина школьной сети «умирала» из-за функционирования необходимых по регламенту генераторов белого шума. Сетевой инфраструктуры, в полном смысле этого слова, так и не появилось – зато появилось множество полуизолированных сетевых «островков», использовавших разношерстное сетевое оборудование, подключенных по разным каналам доступа, имеющих совершенно разный уровень безопасности и сетевого контроля. Админы школы пытались переломить сложившуюся ситуацию. Но комплексного решения найти так и не удалось.
2.Определение недостатков текущей сетевой инфраструктуры
По итогам анализа состояния компьютерной сети в гимназии, мы со своими коллегами, в тесном сотрудничестве с администрацией гимназии, выявили основные моменты, которые требовали определенного вмешательства:
- Отсутствие единой хорошо продуманной сетевой инфраструктуры как таковой и возможности вести единый документооборот через локальную сеть.
- Использование старого серверного оборудования (некоторое необходимое серверное оборудование вообще отсутствовало).
- Отсутствие разграничения доступа для разного рода пользователей.
- Фильтрация, осуществляемая провайдером на основе списка разрешенных ресурсов. Для того, чтобы открыть сайт для работы, необходимо было обратиться к провайдеру с заявлением о внесении данного ресурса в список разрешенных сайтов. Рассмотрение таких заявок занимало много времени.
3.Организация новой сетевой инфраструктуры
Наша команда точно решила, что новая инфраструктура должна была стать технологически единообразной, т.е. избавиться от ошибок «половинчатых» решений, утвержденных ранее. Мы решили отказаться от беспроводного доступа в пользу повсеместной прокладки проводов.
В силу экономической целесообразности и распространенности, в качестве технологии локальной сети выбрали проводной Gigabit Ethernet.
Далее решили использовать иерархическую топологию сети как вытекающую из особенностей самой технологии Ethernet, а также плана здания и характера размещения помещений. На каждом из трех этажей установили специальные шкафы и разместили там управляемые свитчи. От каждого такого свитча проводной Ethernet разводился во все без исключения классы и кабинеты школы. В каждом классе оборудовалась аккуратная компьютерная розетка. Интернет наконец-то пришел в каждый класс. И в этот раз, уже не на словах. Было также выделено безопасное и хорошо вентилируемое помещение под серверную для размещения школьных серверов и шлюза безопасности.
4.Настройка необходимого оборудования и программного обеспечения
Закупаемое оборудование должно отвечать требованиям долговечности и надежности и соответствовать выбранному сетевому стандарту. Одним из требований к коммутаторам стала поддержка технологии VLAN, т.к. планировалось разделение доступа для разных категорий пользователей (гостей школы, учебных компьютеров и администрации). Мы выбрали управляемые свитчи D-Link DES-1210-28, как обеспечивающие наилучшее соотношение цена/качество. Всего понадобилось 5 свитчей. На каждом из трех этажей смонтировали специальные шкафы TECNOSTEEL Tecno 401 (было закуплено 5 экземпляров). Витую пару использовали следующей марки Telecom Ultra PRO (3700 метров).
Основное требование к программному обеспечению – наличие лицензии, сертификат ФСТЭК и технические возможности, позволяющие соблюдать законодательство РФ. Главным компонентом новой системы безопасности и контроля стал универсальный аппаратно-программный шлюз AquaInspector с программой Traffic Inspector FSTEC и модулем контентной фильтрации NetPolice на борту. Выбранное программное обеспечение помогло в организации гибкой контентной фильтрации с соблюдением ФЗ-436 и ФЗ-139.
5.Обучение персонала школы
И, наконец, финальные штрихи – гимназия № 8 получила возможность пользоваться приоритетной технической поддержкой. Также мы провели обучение работе с программным обеспечением для системного администратора и технического персонала.
Заключение
По плану все, а в завершение, от себя хотелось бы подчеркнуть, что мы получили полезный опыт и поняли, что нам интересно развиваться в том числе в этом направлении и улучшать сетевую инфраструктуру в образовательных учреждениях. Вместе с гимназией мы выяснили, как на практике построить единую современную школьную сеть и привести её в соответствие с федеральным законодательством РФ.
И главное, на мой взгляд, делать, а не ждать пока придут и заставят.
P.S. Кстати, по статистике прошлого года, среди 56 тысяч школ выявлено 12 тысяч нарушений.
У кого есть конструктивная критика, советы как сделать лучше или кто-то знает школы, где нам будут рады – вэлком :)