[Sysadmins] Политика информационной безопастности на предприятии

[Nick Gavrikov]

12.04.07, Денис Смирнов написал(а):

> NG> Здесь действует правило: любой винчестер может быть переформатирован
> NG> в любое время. Все работают с централизованной базой.
>
> Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут
> лежать какие-то документы, и который тоже backup'иться. "My Documents"
> указывала на сетевой диск, так что все было в этом смысле нормально. Но
> это нужно только в том случае, если не вся работа менеджеров может быть
> четко сформулирована в рамках этой базы (например если они изобретают
> какой-нибудь способ раскрутки, связываются со сторонними компаниями
> предоставляющими клиентов, или ещё что хитрое и не предусмотреное при
> создании базы творят).

К сожалению, рядовые менеджеры ничего этого делать не могут :-(
Если у них есть какие-то мысли, они обмениваются ими по почте (лежит
на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им
голову всякой фигней.

А если есть возможность сохранять MyDocuments - сразу начинается
левак, кривые сметы, составленные не через общую базу а в экселе и
т.д. В общем, лучше не искушать людей :-)

> Единственное что -- совсем полезно таки сделать образы диска, и реально
> раз в неделю-две разворачивать систему с образа. Чтобы не повадно было.

Ну вот это не знаю... Все-таки они как минимум винду подстраивают под
себя. Ставят размер шрифта, картинку на десктопе... и т.д. А
морочиться с контроллером домена и общими настройками ради такого дела
не хочется.

> NG> Заказы, с
> NG> которыми работа не ведется дольше месяца, отправляются в архив, куда
> NG> менеджеры доступ не имеют.
> Кстати это автоматом делается?

Как как? По крону, разумеется :-)
Если у заказчика ничего не менялось и не добавлялось в течении месяца
- туды его, в качель.

> Жутко интересно попытать тебя на предмет
> какая вообще информация о заказе хранится. У меня сейчас заказ == данные
> требуемые для подготовки первички + ссылка на заказчика, в  инфе о котором
> все реквизиты, всевозможные контакты и несколько полей для комментариев.

Ну во-первых, реквизиты заказчика, контактные лица, далее составленные
коммерческие предложения (на основании которых формируется первичка) и
договора - в виде отдельных вордовских файлов. К сожалению,
автоматизировать составление договора не представляется возможным,
поскольку договор отсылается заказчику по почте, а он в свою очередь
обязательно в нем что-нибудь поправит: запятую где-нибудь переставит
на другое место и т.п. То есть исправления могут быть совсем
незначительные, но раз уж он так хочет - пусть будет. По этому
максимум что можно сделать - это сохранять все версии договора в виде
вордовских файлов и внутрь их не лезть.

Хорошо бы еще, конечно, сделать diff двух файлов, но это уже задача
более сложного порядка :-)

> NG> Офис 2. Бухгалтерия, юр.отдел.
>
> Кстати о базе -- они работают с тамошней базой, или ты не поленился
> сделать репликацию?

Поленился :-)
К счастью, интернет работает достаточно стабильно, а трафик ни у
менеджеров, ни у бухов никто не считает.

> NG> В интернет в случае надобности ходят с консоли их сервера под гостевым
> NG> паролем, где крутятся иксы и firefox. Доступа с сервера на их
> NG> компьютеры для гостя нет. При необходимости пересылки текстовой
> NG> информации, они могут послать себе письмо с этого компьютера на свою
> NG> рабочую машину.
>
> А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов,
> вроде mosnalog.ru и прочих аналогичных?

В связи с тем, что это им не нужно. Чтобы не задавали глупых вопросов
"а почему mosnalog можно а xyz нельзя". Или "а почему я нажала на
ссылку (банер) а она не работает". Помимо этого, точный список сайтов,
к которым следует разрешить доступ, мне не известен. А еще, в
бухгалтерии у нас работают люди... м.... старшего возраста, увидевшие
компьютер не очень много лет назад. Со всеми вытекающими отсюда
последствиями. Так получилось.

> NG> Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный
> NG> сервис-центр.
>  NG> Хитрая система: локальные компьютеры доступа к интернету напрямую не
>  NG> имеют. Если им нужен интернет - они включают на своем компе X-сервер,
>  NG> после чего ходят в интернет с удаленных терминалов с сервера. (Криво
>  NG> сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на
>  NG> свою рабочую машину - они копируют данные в определенную папку,
>  NG> которая в свою очередь видна с их компов через FTP.
>
> Бухам не стал такое делать, потому как  "для них это слишком хайтек", или
> были ещё причины?

Опять же, им это не нужно. Помимо этого, я не уверен, что наш главбух
разберется в иксах, работающих под виндой, да еще и по сети со своими
заморочками :-) А еще нефиг из интернета всякие проги устанавливать и
вирусов таскать. Пусть на линухе попробуют :-)

А то, блин, дали уже как-то в пенсионном фонде дискету с прогой
зараженной. Хорошо что последний дисковод сломался года этак два назад
:-)

> NG> Если консоль не нужна одновременно нескольким людям, кто-то один может
> NG> работать на локальной консоли сервера. Все же иксы по сети виндошные -
> NG> это не так удобно как настоящая консоль. В общем, кто как. Есть люди
> NG> которые любят свою мышу, свою клаву, свой стул и свой стол и никуда
> NG> переться не хотят чтобы почту проверить.
>
> Кстати, а им почему не разрешили почту локально? Чтобы не придумали
> способов таки послать через эту почту файлик (ююками хотябы)?

Именно. Чтобы максимально усложнить жизнь желающим вынести что-либо за
пределы офиса

> Хотя все это
> тоже не гарантировано. Если икссервер умеет copy&paste, если найдется
> более-менее квалифицированый товарищ который захочет вынести -- вынесет :(

Про эту дырку я знаю, как ее закрыть - хз. Поставил X-сервер, не
умеющий copy&paste :-)

> В SecretNet для этого мандатный контроль используют, который в том числе
> буфер тоже контролирует, и данные не позволит скопипастить из ценного
> файлика в какое-либо приложение, кроме имеющего право на работу с этой
> информацией.

Немного не понятно, он это делает на стороне x-server? Или на стороне
работающих приложений? Если на стороне иксов - не годится, поскольку
программистам необходим администраторский доступ для работы. Если на
стороне приложений - а что мешает тем же сервером вбить содержимое
клипбоарда как будто текст на клавиатуре набрали? Кстати, по-моему он
так и делает.

> NG> Есть некоторые тонкости организации безопасности канала по которому
> NG> работают иксы, пришлось немного KDM подпатчить. Если интересуют
> NG> подробности - расскажу.
>
> Безусловно.
> Шлите патчи (c) :)

В кратце - при логине юзверя поднимается правило файрвола, которое
разрешает ему доступ, при выходе - правило опускается. Подробнее
искать надо...

> NG> На сервере имеется папка для бекапа, куда ежедневно все сотрудники
> NG> уходя с рабочего места обязаны клать исходный код проекта, над которым
> NG> они сегодня работали.
>
> Логично. А просто заставить их в добровольно принудительном порядке класть
> все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их?

Тогда они не смогут смотреть свой бекап по датам. Когда смотришь и
видишь, что реально за последнюю неделю ты ничего полезного не сделал
- очень стимулирует мыслительный процесс :-)

> NG> Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на
> NG> чтение, таким образом испортить они ничего не могут. Бекапы выборочно
> NG> проверяются на предмет, не лежит ли в них мусор вместо работы. В
> NG> случае выявления подобных проделок - человек увольняется в 24 часа без
> NG> зарплаты (пока что только один раз было такое).
>
> Разумно. Естественно приемка работы происходит именно по содержимому
> бэкапа?

Само собой.

> NG> Доступ к чужим бекапам имеет только начальство. Если нужно передать
> NG> что-либо с компьютера разработчика наружу (например, схемы или готовые
> NG> программы) - это делается через начальство. Если несколько человек
> NG> ведут работу над одним проектом и им необходимо регулярно обмениваться
> NG> данными - они могут делать это, опять же без возможности выноса данных
> NG> за пределы рабочей группы.
>
> Каким образом их взаимодействие организовано? Шареные папки, или более по
> человечески?

Здесь я особо проблем безопасности не вижу - так что все делается через самбу.

> NG> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на
> NG> них нет. Все флешки, диски и прочая фигня проносятся только через
> NG> начальство.
>
> А куда суются разрешенные флешки если USB-порты опечатаны?

В мой личный комп :-)
Сам понимаешь, флешка, попавшая в мой USB-разъем, будет как минимум
скопирована ко мне на винчестер :-) Флешки объемом больше 1 гига не
принимаются :-)))


-- 
С уважением,
Nick Gavrikov