Инструктаж по технике безопасности
 Скачать 193.06 Kb.
|
|
Осуществление выбора технологии подключения и тарифного плана у провайдера доступа к сети Интернет Критерии выбора интернет-провайдера: 1. Тип подключения 2. Скорость передачи данных и стабильность соединения 3. Ассортимент тарифных планов и пакеты дополнительных услуг 4. Наличие технической поддержки и качество обслуживания 5. Размер абонентской платы 6. Репутация провайдера Установка специализированных программ и драйверов, осуществление настроек параметров подключения к сети Интернет Настройка параметров сети Интернет вручную 1. На Главном экране выберите Параметры. 2. Нажмите Настройки беспроводных модулей => Мобильная сеть => Точки доступа (APN). 3. Нажмите клавишу Меню. 4. Коснитесь Новая точка доступа. 5. Нажмите Имя, коснитесь поля ввода текста Имя и введите имя профиля сети, который Вы хотите создать. Нажмите Готово => ОК. 6. Нажмите APN, коснитесь поля ввода текста APN и введите имя точки доступа. Нажмите Готово => ОК. 7. Коснитесь других полей и введите остальную требуемую информацию. 8. Нажмите клавишу Меню и коснитесь Сохранить. Установка и настройка ПО серверов интернета Для того чтобы компьютер мог выступать в роли сетевого сервера необходимо установить серверную часть сетевой операционной системы, которая позволяет поддерживать ресурсы и распространять их среди сетевых клиентов. Важным вопросом для сетевых серверов является возможность ограничить доступ к сетевым ресурсам. Это называется сетевой защитой (network security). Она предоставляет средства управления над тем, к каким ресурсам могут получить доступ пользователи, степень этого доступа, а также, сколько пользователей смогут получить такой доступ одновременно. Этот контроль обеспечивает конфиденциальность и защиту и поддерживает эффективную сетевую среду. В дополнение к обеспечению контроля над сетевыми ресурсами сервер выполняет следующие функции: 1) предоставляет проверку регистрационных имен (logon identification) для пользователей; 2) управляет пользователями и группами; 3) хранит инструменты сетевого администрирования для управления, контроля и аудита; 4) обеспечивает отказоустойчивость для защиты целостности сети. Установка веб-сервера (Apache 2.4, MySQL 8.0, PHP 7, phpMyAdmin) Локальный сервер очень полезный инструмент. Он точно пригодиться веб-мастерам, программистам на PHP, тестерам на проникновение. Все программы, входящие в типичную установку веб-сервера, являются бесплатными, у всех у них открыт исходный код. Локальный веб-сервер потребляет минимум ресурсов и, на самом деле, его совсем нетрудно установить и настроить. Эта инструкция расскажет о том, как установить локальный веб-сервер без использования готовых сборок. Этот способ имеет свои преимущества. Самыми важными из них являются: полный контроль на тем, что вы устанавливаете; возможность использовать самые последние версии программного обеспечения. Подготовка (скачивание программ, входящих в сервер, создание структуры сервера). Нам нужны: Apache (непосредственно веб-сервер) PHP - среда для работы PHP программ (требуется практически всеми веб-сайтами) MySQL - система управления базами данных (требуется большинством веб-сайтов) phpMyAdmin - очень удобный инструмент для управления базами данных Официальный сайт разработчиков Apache это httpd.apache.org. Можно скачать Apache с этого сайта. Но официальная версия собирается с использованием старого компилятора, по этой причине она не работает с новыми версиями PHP. Авторы PHP рекомендуют Apache с сайта apachelounge.com/download. Поэтому для этой инструкции скачиваем Apache именно с сайта apachelounge.com/download. Если у вас 64-битная версия Windows, то вы можете выбрать как 64-битную, так и 32-битную версию компонентов. Главное правило - все компоненты должны быть одной битности. Если у вас 32-битная версия Windows, то все компоненты должны быть 32-битными. Это не относится к phpMyAdmin, который написан на языке PHP. Для PHP программ понятие битности неприменимо. PHP 7 скачайте со страницы https://windows.php.net/download/. Выберите версию Thread Safe, обратите внимание на битность. Если вы затрудняетесь, какой именно файл скачать, то посмотрите эту заметку. Бесплатная версия MySQL называется MySQL Community Server. Её можно скачать на странице https://dev.mysql.com/downloads/mysql/. На этой же странице есть установщик в виде исполнимого файла, но я рекомендую скачать ZIP-архив. На странице скачивания нам предлагают зарегистрироваться или войти в существующую учётную запись - но это делать необязательно. Достаточно нажать на ссылку «No thanks, just start my download». Обратите внимание на битность. Сайт для скачивания phpMyAdmin phpmyadmin.net. Ещё нам нужен файл C++ Redistributable Visual Studio 2017, т.е. Распространяемый компонент Visual C++ для Visual Studio 2017 (или любой другой более поздний), скачать его можно на официальном сайте Microsoft по ссылке (прямая ссылка на скачивание 64-битной версии; прямая ссылка на скачивание 32-битной версии). Этот файл нужен для веб-сервера. А для MySQL необходим Распространяемые пакеты Visual C++ для Visual Studio 2015. Его можно скачать по этой ссылке. Обеспечение резервного копирования данных Начиная с Windows 8, можно создать образ системы без помощи сторонних приложений. Образ — это все данные на вашем компьютере, скопированные в определенный момент времени. Они сохраняются в специальной структуре, из которой впоследствии можно все восстановить обратно той же утилитой. Сохранять образ рекомендуется на внешний носитель — съемный HDD, флешку (носители должны обязательно быть отформатированы в NTFS) или компакт-диск. Утилита позволяет сделать бэкап системного логического диска на другой диск, например, сохранить все данные с «C» на «D», но делать это не стоит, поскольку «летят» обычно не логические диски, а весь физический, поэтому такой бэкап окажется бесполезным. Как только вы нашли место для своего бэкапа, можно приступать: Через меню «Пуск» — «Параметры» перейдите в подраздел «Обновление и безопасность». Кликните по вкладке «Служба архивации». В открывшемся блоке нажмите «Перейти в раздел Архивация и восстановление». В новом окне нажмите по «Создание образа системы». Откроется стартовое меню режима архивации. Здесь необходимо выбрать, куда будет сохранена резервная копия. На выбор доступны три варианта — жесткий диск, DVD или сетевая папка. Обратите внимание, если вы используете внешний HDD или USB FLASH, то при наличии ошибок их необходимо предварительно исправить. Выбрав место для хранения, нажмите «Далее». Здесь необходимо указать диски, образ которых вы хотите сделать. Выберите диск, на котором у вас установлена система (подсказкой служит соответствующее слово). Также обязательно поставьте галочку напротив строчки «Зарезервировано системой». Ниже можно узнать объем, который будет занимать весь образ. Если свободного пространства не хватает, вы получите предупреждение, как на скриншоте ниже. Подтвердите все свои действия и в последнем окне нажмите на кнопку «Архивировать». После этого начнется процесс создания образа. Время выполнения — от нескольких минут до часа в зависимости от объема данных. По окончании процесса на выбранном носителе появится папка с названием вашего устройства. Именно это и будет образом системы. Где лучше хранить бэкап? Идеально — компакт-диск или внешний HDD. На крайний случай можно временно использовать flash-память. А вот SSD — не самый лучший выбор, поскольку в обесточенном состоянии ячейки памяти хранят данные около 6 месяцев. Для восстановления системы с бэкапа необходимо перейти в одноименный раздел через меню «Пуск». После этого подключите накопитель к компьютеру и нажмите кнопку «Перезагрузить» в меню. Затем в системном меню Windows выберите «Поиск и устранение неисправностей» — «Дополнительные параметры» — «Восстановление образа системы». Остается только указать образ и подтвердить. Таким способом можно сделать резервную копию любого логического диска, а потом так же просто его восстановить. Осуществление мер по защите компьютерных сетей от несанкционированного доступа, несанкционированной рассылки электронной почты, вредоносной программы Защита от НСД и других угроз извне ЛВС организации Вследствие достаточно надежной защиты периметра локальной вычислительной сети средствами брандмауэра прямые атаки на информационные ресурсы, находящиеся внутри защищаемого периметра, со стороны лиц, находящихся вне этого периметра, малоэффективны, а поэтому маловероятны. Гораздо более вероятную опасность представляют так называемые DoS-атаки, вызывающие «отказ в обслуживании» со стороны информационных сервисов организации, таких, как интернет сайт организации, электронная почта или со стороны технических сервисов, таких как VPN, RDP и т.п. Методы обнаружения DoS атак: сигнатурные — основанные на качественном анализе трафика; статистические — основанные на количественном анализе трафика; гибридные — сочетающие в себе достоинства двух предыдущих методов; реакционные — основанные на получении информации о необычно медленной реакции информационной системы, недоступности ее сервисов. План действий при DoS атаке: При получении информации о необычно медленной реакции информационной системы или иных обоснованных подозрений о происходящей DoS атаке необходимо проинформировать начальника управления автоматизации и администратора информационной безопасности. Отделу телекоммуникаций необходимо прекратить (физически или логически) внешний доступ к атакуемому сетевому сервису. При этом необходимо собрать как можно больше информации о характере атаки, ее интенсивности, источниках, возможных целях. Для этого использовать информацию из системных журналов соответствующих систем. На основе полученной информации об источнике атаки применять как пассивные защитные меры (фильтрация адресов, протоколов, портов, уклонение, т.е. увод непосредственной цели атаки (доменного имени или IP- адреса) от других ресурсов сети), так и активные — воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера В качестве превентивных мероприятий следует использовать: Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п. Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику. Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов. Наращивание ресурсов. Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей даже если некоторые их элементы станут недоступны из-за атаки. Другой опасностью, проникающей в локальную вычислительную сеть извне, но действующей внутри периметра защиты, являются компьютерные вирусы. Ввиду их скрытного действия и существенных возможностей по несанкционированному доступу и даже уничтожению информации, меры профилактической защиты от вирусных атак являются важной компонентой информационной безопасности. К основным способам защиты от вирусных атак относятся программные (антивирусные мониторы и антивирусные сканеры) и организационные (выполнение сотрудниками организации требований информационной безопасности; прививание пользователям культуры работы с электронной почтой, в интернет и т.п.). План превентивных антивирусных мероприятий: На каждом компьютере банка должно быть установлено антивирусное программное обеспечение, имеющее в своем составе как антивирусный монитор, так и антивирусный сканер. Рекомендуется использовать только программное обеспечение ведущих производителей антивирусов. База данных вирусных сигнатур должна обновляться не реже одного раза в день. Рекомендуется более частое обновление с использованием централизованного распространения базы сигнатур. Антивирусный монитор должен быть постоянно включен. На компьютерах тех сотрудников, которые не работают в интернет и не ведут переписку по электронной почте со сторонними организациями, полное сканирование всех локальных дисков на предмет выявления и удаления («лечения») вирусов должно проводиться не реже одного раза в месяц. На компьютерах тех сотрудников, которые работают в интернет и/или ведут переписку по электронной почте со сторонними организациями, полное сканирование всех локальных дисков на предмет выявления и удаления («лечения») вирусов должно проводиться не реже одного раза в неделю. Рекомендуется при сканировании (особенно при подозрении о наличии вирусов) помимо основного сканера использовать антивирусные сканеры (например, бесплатно распространяемые) других производителей. Практика показывает, что использование одного антивирусного продукта не всегда эффективно — часть вирусов может быть пропущена при сканировании. При приеме на работу в организацию сотрудники должны быть проинструктированы администратором информационной безопасности о мерах по обеспечению информационной безопасности и необходимости строгого выполнения соответствующих требований. Регулярно (не реже одного раза в год) администратор информационной безопасности должны проводиться краткие повторные инструктажи сотрудников с доведением до них информации о новых опасных особенностях вирусов, троянских программ и другого вредоносного программного обеспечения. После проведения повторного инструктажа не реже одного раза в год должна проводиться аттестация сотрудников организации по теме «Информационная безопасность». Защита от несанкционированного доступа изнутри ЛВС организации Защита информационных ресурсов от несанкционированного доступа со стороны легальных пользователей сети — гораздо более трудная задача. Это обусловлено тем, что пользователи локальной вычислительной сети уже зарегистрированы в системе и наделены теми или иными полномочиями при доступе к информации. Для обеспечения высокого уровня информационной безопасности локальной вычислительной сети рекомендуется проводить следующие процедуры при организации работы персонала организации: фиксировать в трудовых договорах обязанности персонала по соблюдению конфиденциальности, в том числе лиц, работающих по совместительству; по возможности распределять основные функции между сотрудниками так, чтобы ни одна существенная операция не могла быть выполнена одним человеком от начала до конца; обеспечивать строгий режим пропуска и порядка в служебных помещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации; регулярно (не реже одного раза в год) проводить оценку всей имеющейся информации и выделять из нее конфиденциальную в целях ее защиты; иметь нормативные правовые документы по вопросам защиты информации; постоянно повышать квалификацию сотрудников, знакомить их с новейшими методами обеспечения информационной безопасности; рекомендуется создать базу данных для фиксирования попыток несанкционированного доступа к конфиденциальной информации; проводить служебные расследования в каждом случае нарушения политики безопасности. План мероприятий по снижению угрозы несанкционированного доступа от легальных пользователей локальной вычислительной сети: Сотрудникам категорически запрещается передавать свои имя и пароль другим лицам. Рекомендуется, чтобы пользователи локальной вычислительной сети были объединены в логические группы, отражающие функциональные обязанности этих пользователей. Принцип — все пользователи, входящие в некую группу, имеют права доступа к информации, соответствующие этой группе, и в этой части функциональные обязанности пользователей совпадают. Рекомендуется разрешать доступ к информационным ресурсам только группам. При этом вид доступа (чтение содержимого каталога, чтение файла, модификация файла и т.п.) должен строго соответствовать функциям сотрудника при работе с соответствующим массивом информации. Кроме этого, должен применяться принцип возможной минимизации доступа: если без ущерба для функциональности возможно не предоставлять один из видов доступа, то его не следует предоставлять. При изменении должностных обязанностей сотрудника, переводе его на другую работу, руководитель соответствующего подразделения должен немедленно уведомить администратора о необходимости изменить (исключить) членство сотрудника в логических группах доступа. При проектировании и разработке пользовательских интерфейсов программных продуктов, используемых в организации, настоятельно рекомендуется избегать (кроме особых случаев) подходов, при которых, во время работы пользователя с программой, её интерфейс позволяет просматривать большие объемы информации и/или сохранять её на электронные носители, передавать по электронной почте или в интернет. При проектировании приложений, использующих доступ к серверным базам данных, рекомендуется использовать механизм ролей и разграничения доступа пользователей к компонентам СУБД, применяя принцип минимально возможных прав. При этом не рекомендуется давать пользователям СУБД непосредственный доступ к её таблицам. Доступ пользователей к данным, хранящимся в таблицах, должен осуществляться преимущественно посредством хранимых процедур и представлений (view). Эти процедуры и представления, в свою очередь, должны представлять пользователю только необходимый для его работы набор записей, содержащих только необходимые поля. При организации структуры каталогов для хранения таблиц не серверных СУБД необходимо использовать подход, аналогичный организации доступа к сетевым каталогам файловых серверов. При этом для хранения различных файлов-таблиц рекомендуется создавать подкаталоги, объединяющие эти таблицы по функциональному назначению и позволяющие использовать механизм разграничения доступа логических групп ЛВС к этим каталогам. План мероприятий по снижению риска несанкционированного доступа со стороны лиц, подключившихся к локальной вычислительной сети организации нелегально: Не устанавливать точки подключения к локальной вычислительной сети организации (розетки) в местах, где возможно неконтролируемое подключение к ним со стороны посторонних лиц. Администратор информационной безопасности проводить регулярное (ежедневное) сканирование локальной вычислительной сети организации с целью выявления несанкционированных подключений к ней. При необходимости предоставления доступа в интернет и/или к другим ресурсам сотрудникам сторонних организаций, необходимо создание отделом технического обеспечения виртуальных сетей (VLAN), максимально ограничивающих возможности этих сотрудников по доступу в локальной вычислительной сети организации и/или сканированию сетевого трафика организации. При конфигурировании VPN сети организации рекомендуется ограничивать доступ из дочерних подразделений сети (соответствующих сетям филиалов и дополнительных офисов), разрешая его только к необходимым для работы ресурсам (серверам, протоколам, портам) центральной локальной вычислительной сети организации. Не использовать беспроводные сети, кроме случаев организации малых временных сетей, не имеющих выхода в основную локальную вычислительную сеть организации. При этом в обязательном порядке необходимо применять имеющиеся в протоколе беспроводной связи средства защиты. В частности, групповой пароль для подключения к концентратору должен быть нетривиальным по набору символов, его длина должна быть достаточной для обеспечения криптостойкости (не менее 10 символов). В случаях длительного использования беспроводных сетей следует менять групповой пароль не реже 1 раза в месяц. Все стандартные пароли доступа к серверам, настройкам оборудования и т.п. еще до осуществления настроек соответствующих систем, серверов или оборудования в обязательном порядке должны быть изменены на нетривиальные, отвечающие требованиям парольной защиты. Рекомендуется использовать аутентификацию пользователей при доступе их к интернету и электронной почте. Отделу технического обеспечения отключать в кроссировочных шкафах соединения с неиспользуемыми розетками локальной вычислительной сети, установленными в помещениях организации. |