[Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

On Thu, Apr 12, 2007 at 12:04:45PM +0400, Nick Gavrikov wrote:

>> Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут
>> лежать какие-то документы, и который тоже backup'иться. "My Documents"
>> указывала на сетевой диск, так что все было в этом смысле нормально. Но
>> это нужно только в том случае, если не вся работа менеджеров может быть
>> четко сформулирована в рамках этой базы (например если они изобретают
>> какой-нибудь способ раскрутки, связываются со сторонними компаниями
>> предоставляющими клиентов, или ещё что хитрое и не предусмотреное при
>> создании базы творят).
NG> К сожалению, рядовые менеджеры ничего этого делать не могут :-(

В смысле не имеют полномочий, или квалификации чтобы что-нибудь изобрести?

NG> Если у них есть какие-то мысли, они обмениваются ими по почте (лежит
NG> на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им
NG> голову всякой фигней.

Кстати о почте в IMAP, как вы решили проблему с тем, чтобы:
а) почта хранилась вечно;
б) была доступна через IMAP;

То бишь чтобы юзверя могли таскать почту между папками хоть до полного
офигения, но при попытке удалить/переместить в thrash были посланы очень
далеко и надолго, с конкретным указанием места куда они должны идти :)

При этом сохранность почты имеет оборотную медаль -- сохранность спама :(
И отличный способ скрыть какое-либо письмо просто пометив его как спам.

NG> А если есть возможность сохранять MyDocuments - сразу начинается
NG> левак, кривые сметы, составленные не через общую базу а в экселе и
NG> т.д. В общем, лучше не искушать людей :-)

Понятно :)

>> Единственное что -- совсем полезно таки сделать образы диска, и реально
>> раз в неделю-две разворачивать систему с образа. Чтобы не повадно было.
NG> Ну вот это не знаю... Все-таки они как минимум винду подстраивают под
NG> себя. Ставят размер шрифта, картинку на десктопе... и т.д. А
NG> морочиться с контроллером домена и общими настройками ради такого дела
NG> не хочется.

А, действительно. Хотя это тоже в общем-то можно бэкапить, но это видимо
не так уж и оправданый гемор. Хотя при большом штате менеджеров я бы
все-таки предпочел делать именно так, и чистить машинки даже не периодично
(в любой момент приезжает эникейщик и проходится по всем машинкам с norton
ghost, который грузится естественно не с CD а по сети, ибо CD в машинах и
не было никогда).

> NG>> Заказы, с
> NG>> которыми работа не ведется дольше месяца, отправляются в архив, куда
> NG>> менеджеры доступ не имеют.
>> Кстати это автоматом делается?
NG> Как как? По крону, разумеется :-)

Перловый скриптик по крону мувает часть базы в отдельный архив? Я вот
думал на эту тему просто флажок ставить. Ну у меня пока не те объемы чтобы
об этом думать, но на будущее уже начинаю думать как это сделать красиво.

>> Жутко интересно попытать тебя на предмет
>> какая вообще информация о заказе хранится. У меня сейчас заказ == данные
>> требуемые для подготовки первички + ссылка на заказчика, в  инфе о котором
>> все реквизиты, всевозможные контакты и несколько полей для комментариев.
NG> Ну во-первых, реквизиты заказчика, контактные лица, далее составленные
NG> коммерческие предложения (на основании которых формируется первичка) и

Кстати о, архив не подтвержденных заказчиком коммерческих предложений
ведется? Если в них были внесены изменения, то это фомирование нового
предложение или таки редактирование старого?

NG> договора - в виде отдельных вордовских файлов. К сожалению,
NG> автоматизировать составление договора не представляется возможным,
NG> поскольку договор отсылается заказчику по почте, а он в свою очередь
NG> обязательно в нем что-нибудь поправит: запятую где-нибудь переставит
NG> на другое место и т.п. То есть исправления могут быть совсем
NG> незначительные, но раз уж он так хочет - пусть будет. По этому
NG> максимум что можно сделать - это сохранять все версии договора в виде
NG> вордовских файлов и внутрь их не лезть.
NG> Хорошо бы еще, конечно, сделать diff двух файлов, но это уже задача
NG> более сложного порядка :-)

Я все хочу формировать договора тоже как html, чтобы иметь набор пунктов
которые включаются/отключаются по желанию. У меня отдельные клиенты любят
задалбывать тем что договор под них фактически переписывается :( А вот
многие просто добавляют один-два пункта, которые могут быть полезны и для
других клиентов.

> NG>> Офис 2. Бухгалтерия, юр.отдел.
>> Кстати о базе -- они работают с тамошней базой, или ты не поленился
>> сделать репликацию?
NG> Поленился :-)
NG> К счастью, интернет работает достаточно стабильно, а трафик ни у
NG> менеджеров, ни у бухов никто не считает.

Я все думаю о распределенке нормальной. Мне совсем-совсем не нравится идея
с одной базой, но написать распределенку мне оказалось пока слабо.

Смысл распределенки может быть, например в том, что в офисе вообще нет
того же архива. Физически. Он удаляется. И есть этот архив только у меня
на магнитооптике.

Я пытаюсь совместить полезное с полезной -- оперативные данные с которыми
я работаю должны быть даже на моем нутбуке, но при этом если этот ноутбук
я где-то забуду чтобы рвать волосы пришлось только на тему "жаба душит
новый покупать", а не на тему "ой блин сколько там было инфы".

>> А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов,
>> вроде mosnalog.ru и прочих аналогичных?
NG> В связи с тем, что это им не нужно. Чтобы не задавали глупых вопросов
NG> "а почему mosnalog можно а xyz нельзя". Или "а почему я нажала на
NG> ссылку (банер) а она не работает". Помимо этого, точный список сайтов,
NG> к которым следует разрешить доступ, мне не известен. А еще, в
NG> бухгалтерии у нас работают люди... м.... старшего возраста, увидевшие
NG> компьютер не очень много лет назад. Со всеми вытекающими отсюда
NG> последствиями. Так получилось.

А, понятно. Там где я это вводил было проще: "можно все, что разрешит
генеральный -- хотите на что-то ходить, спрашивайте разрешение у него".

Но там молодежь была, потому боялись больше ни что данные куда-то
перешлют, а что банально вирусняк на очередном развлекательном сайте
поймают. Собственно разрешено мне было так сделать именно после того как я
показал начальству по каким именно сайтам они ходят в рабочее время, и
куда отправится их бухгалтерия в случае чего.

>> Бухам не стал такое делать, потому как  "для них это слишком хайтек", или
>> были ещё причины?
NG> Опять же, им это не нужно. Помимо этого, я не уверен, что наш главбух
NG> разберется в иксах, работающих под виндой, да еще и по сети со своими
NG> заморочками :-) А еще нефиг из интернета всякие проги устанавливать и
NG> вирусов таскать. Пусть на линухе попробуют :-)
NG> А то, блин, дали уже как-то в пенсионном фонде дискету с прогой
NG> зараженной. Хорошо что последний дисковод сломался года этак два назад
NG> :-)

То бишь "для них это слишком хайтек, да и вообще нефиг", понятно :)

>> Хотя все это
>> тоже не гарантировано. Если икссервер умеет copy&paste, если найдется
>> более-менее квалифицированый товарищ который захочет вынести -- вынесет :(
NG> Про эту дырку я знаю, как ее закрыть - хз. Поставил X-сервер, не
NG> умеющий copy&paste :-)

Ну, разработчик найдет как событие в него передать :) Но боюсь немало
времени у него это займет.

>> В SecretNet для этого мандатный контроль используют, который в том числе
>> буфер тоже контролирует, и данные не позволит скопипастить из ценного
>> файлика в какое-либо приложение, кроме имеющего право на работу с этой
>> информацией.
NG> Немного не понятно, он это делает на стороне x-server? Или на стороне
NG> работающих приложений? Если на стороне иксов - не годится, поскольку
NG> программистам необходим администраторский доступ для работы. Если на
NG> стороне приложений - а что мешает тем же сервером вбить содержимое
NG> клипбоарда как будто текст на клавиатуре набрали? Кстати, по-моему он
NG> так и делает.

На стороне иксов :( Вернее на стороне машинки с которой человек работает.
Иксы для этой штуки всего лишь одно из приложений, у которого есть уровень
доступа. Соответственно можно сказать что всю инфу с грифом "ДСП" слать
туда низя, а все создаваемые в используемом для разработки ПО по-умолчанию
имеют гриф ДСП (да, понизить гриф пользователь не может).

С разработчиками которые под администратором бороться сложно :(
Гарантированых мер кроме как "выход в сеть только со второго компа" нет, а
эта мера дороговата.

А из негаратнированых тут могут помочь элементарно квоты на размер
письма/их количество. Причем не жесткие, а все что выходит за квоты -- к
начальству/СБ на премодерацию.

> NG>> Есть некоторые тонкости организации безопасности канала по которому
> NG>> работают иксы, пришлось немного KDM подпатчить. Если интересуют
> NG>> подробности - расскажу.
>> Безусловно.
>> Шлите патчи (c) :)
NG> В кратце - при логине юзверя поднимается правило файрвола, которое
NG> разрешает ему доступ, при выходе - правило опускается. Подробнее
NG> искать надо...

Будет время -- стоит оформить в виде отдельного патчика в git.

> NG>> На сервере имеется папка для бекапа, куда ежедневно все сотрудники
> NG>> уходя с рабочего места обязаны клать исходный код проекта, над которым
> NG>> они сегодня работали.
>> Логично. А просто заставить их в добровольно принудительном порядке класть
>> все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их?
NG> Тогда они не смогут смотреть свой бекап по датам. Когда смотришь и
NG> видишь, что реально за последнюю неделю ты ничего полезного не сделал
NG> - очень стимулирует мыслительный процесс :-)

:)

А почему по датам смотреть-то не смогут? MyDocuments автоматом в эти самые
backup по датам и копируется. Мне для этой цели очень bontmia нравится,
суперская штука. Если на сервере SCSI, то можно себе позволить делать
кроме ежедневных еще и хоть ежеминутные снапшоты. Она их хардлинками
делает.

>> Каким образом их взаимодействие организовано? Шареные папки, или более по
>> человечески?
NG> Здесь я особо проблем безопасности не вижу - так что все делается через самбу.

В смысле шареные папки на сервере, или они шарят ресурсы прямо на своих
компах? За второе откручивать голову, IMHO.

> NG>> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на
> NG>> них нет. Все флешки, диски и прочая фигня проносятся только через
> NG>> начальство.
>> А куда суются разрешенные флешки если USB-порты опечатаны?
NG> В мой личный комп :-)
NG> Сам понимаешь, флешка, попавшая в мой USB-разъем, будет как минимум
NG> скопирована ко мне на винчестер :-) Флешки объемом больше 1 гига не
NG> принимаются :-)))

Параноик! :)

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Если вы точно не знаете, что ваша программа должна делать, надо ли ее начинать?
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20070412/8aefdfe3/attachment-0003.bin>