Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Bezpieczna modernizacja w edukacji

06-11-2020 Autor: Jarosław Rowiński

Nie wszystkie placówki oświatowe borykają się z problemami, wdrażając projekty IT. W dobrej sytuacji są szczególnie te, które zostały objęte przez samorządy programami i inicjatywami informatycznymi, ale i w tym obszarze jest jeszcze wiele do poprawienia.

 

Informatyzacja w sektorze oświatowym w Polsce trafia na liczne bariery. Są one najbardziej widoczne na poziomie szkół średnich i podstawowych – w wielu miejscach brakuje wykwalifikowanego personelu, a także środków finansowych na budowę bezpiecznych rozwiązań i szkolenia w dziedzinie bezpieczeństwa IT. Zjawisko cyfryzacji i upowszechnienia dostępu do internetu, wszechobecnego dzięki usługom mobilnym, zmusza instytucje edukacyjne do poszukiwania rozwiązań pozwalających na zabezpieczenie danych bez jednoczes­nego wykluczania się z cyfrowego życia.


Krajobraz IT


W placówkach oświatowych bezpieczeństwo IT napotyka wiele wyzwań, zarówno obserwowanych w innych organizacjach, jak i tych zupełnie wyjątkowych i specyficznych. W oświacie osoby korzystające z systemów informatycznych można podzielić na dwie duże grupy: pracowników (nauczyciele i inne osoby pracujące w szkole) i uczniów. Każda z nich ma inne potrzeby związane z dostępem do infrastruktury IT. Specyfiką instytucji edukacyjnych jest obecność uczniów, którzy ze względu na politykę szkoły i wymagania nauczania muszą również uzyskać dostęp do części zasobów informatycznych placówki, przy zachowaniu szczególnego bezpieczeństwa, gdyż uczniowie często lubią i umieją wyszukiwać oraz wykorzystywać luki w zabezpieczeniach systemów dla żartu lub pokazania własnych umiejętności.


Wiele szkół ogranicza posiadane systemy informatyczne do części biurowej i jako zupełnie osobny system tworzy pracownie komputerowe. Sieci bezprzewodowe są często niedostępne, a jeśli nawet, to zwykle zezwala się na korzystanie z nich jedynie pracownikom, często tylko w wybranych rejonach budynku. Podczas budowy infrastruktury teleinformatycznej nieczęsto korzysta się też z pomocy specjalistów. Podejście takie skutkuje zwykle konstrukcjami ad hoc, tworzonymi na potrzeby konkretnego projektu, często niepowiązanymi ze sobą i uniemożliwiającymi centralne zarządzanie i monitorowanie. Szkoły położone na obszarach niezurbanizowanych mogą też mieć trudności z uruchomieniem dobrej jakości łącza internetowego.


Sytuacja taka nie pozwala na uznanie bezpieczeństwa IT placówek oświatowych za dobre. W większości brakuje rozwiązań chroniących przed niepowołanym dostępem. Najczęściej stosowanym zabezpieczeniem jest fizyczna separacja i hasła. Nierzadko są to hasła współdzielone do kont lokalnych (np. login: user i hasło: user1 udostępnione wielu osobom).
Należy też zauważyć, że większość oprogramowania i niezbędnych na nie licencji nie jest dostosowana do klienta oświatowego, ale raczej biznesowego. Wysokie koszty początkowe i licencjonowanie per user mogą stanowić barierę dla szkół. Stosowanie rozwiązań open source w takim wypadku jest możliwe, choć takie oprogramowanie ma zwykle nieco wyższe koszty stałe, wiążące się ze specyficznymi umiejętnościami, jakie musi posiadać obsługujący je personel. W wykorzystanie oprogramowania open source wpisana jest niestałość.


Elementy infrastruktury


W placówkach oświatowych często stosowane są rozwiązania przeznaczone dla użytkowników domowych lub małych przedsiębiorstw. Wynika to zazwyczaj z braku środków do budowy pełnej infrastruktury redundantnej. Warto jednak rozważyć zmianę podejścia i zastąpienie rozwiązań uruchamianych w momencie, kiedy zaistnieje potrzeba (np. budowy sali komputerowej) planową implementacją rozwiązań teleinformatycznych jako spójnego systemu, uwzględniającego bezpieczeństwo IT jako jeden z kluczowych elementów takiego wdrożenia.


Rozwiązania kompleksowe powinny obejmować cztery istotne elementy:•infrastrukturę uwierzytelniania – czyli środowisko przechowywania informacji o użytkownikach;•ochronę wyjścia w internet – powinna zawierać możliwość filtrowania niechcianych i niepożądanych treści, dokonywać inspekcji ruchu dns i https, wykrywać próby połączeń do znanych Command & Control botnetów;•ochronę wnętrza sieci – tak aby niepożądane urządzenia i osoby nie mogły podłączyć się do sieci;•łatwość zarządzania i efektywność kosztową rozwiązania.


Command & Control (C&C) są to serwery, do których zarażone komputery łączą się w celu pobrania instrukcji i dalszego programowania. To za pomocą tych serwerów hakerzy kontrolują rozsyłanie wiadomości spamowych lub ataki DDoS. Wykrycie i zablokowanie połączenia do C&C powoduje zwykle przejście złośliwego oprogramowania w stan uśpienia.


To właśnie sieci bezprzewodowe powinny królować w polskich szkołach. Powinny być to sieci typu enterprise zaprojektowane w sposób bezpieczny i wydajny, z możliwością zarządzania bezpieczeństwem, separacji użytkowników oraz zarządzania profilami gościnnymi i uczniowskimi. Szkoły zwykle znajdują się w osobnych, wolno stojących budynkach, z których część ma status zabytkowych, zatem instalacja dużej ilości przewodów może być trudna lub kosztowna. Mają też zwykle dużą powierzchnię użytkową, więc rozciąganie sieci opartej na okablowaniu miedzianym bywa kosztowne lub niemożliwe do zrealizowania z przyczyn technicznych. Nie ma jednak problemu ze smogiem elektronicznym, który można zaobserwować w budynkach biurowych, gdzie wiele sieci nakłada się na siebie.


W tych warunkach można osiągnąć wysoką wydajność połączeń. Koszt takich rozwiązań może się okazać niższy niż budowa pełnej infrastruktury kablowej, szczególnie że sieci typu enterprise pozwalają na użycie komunikacji radiowej (tzw. mesh) do dołączania odległych lokalizacji. Rozwiązanie takie nie jest bardzo wydajne i zalecane dla całej sieci, ale pozwala na uruchomienie sieci bezprzewodowej w miejscu, gdzie dotarcie z połączeniem kablowym byłoby niemożliwe lub nieopłacalne.


Sieci typu enterprise charakteryzują się zastosowaniem wysoce konfigurowalnych komponentów, na bazie których można wytworzyć redundantne, wydajne i bezpieczne usługi. Komponenty te wyróżnia możliwość monitorowania ich stanu, zbierania zdarzeń, zarządzania przez wielu administratorów jednocześnie.


Zaletą sieci bezprzewodowych jest też konieczność uwierzytelnienia w trakcie połączenia z siecią i wbudowane algorytmy szyfrowania. Choć obecnie nie są one uważane za całkowicie bezpieczne i nie do złamania, ciągle zapewniają dość wysoki poziom poufności.


Infrastruktura uwierzytelniania to środowisko przechowywania uprawnień i uwierzytelniania użytkowników. Takie środowisko jest konieczne we współczes­nej infrastrukturze bezpieczeństwa.


Najczęściej uwierzytelnianie opiera się na usłudze Microsoft Active Directory, która zapewnia bazę użytkowników i uprawnień. Do uruchomienia bezpiecznego środowiska samo Active Directory (AD) nie wystarczy, konieczne są też rozwiązania, które na podstawie bazy poświadczeń będą w stanie przydzielić użytkownikom odpowiednie dostępy i poinformować o przydzielonych uprawnieniach inne urządzenia sieciowe (Network Access Control – NAC). We współczes­nych rozwiązaniach uprawnienia dotyczą nie tylko korzystania z zasobów serwerowych, ale też z sieci, a podczas ich przydzielania urządzenia coraz częściej kierują się właśnie tożsamością użytkownika, a nie jego adresem IP.


Warto zapewnić bezpieczeństwo poprzez uruchomienie filtrów pilnujących, by niepożądana komunikacja nie opuściła sieci wewnętrznej. Często pozwala to na ograniczenie i wykrycie zagrożeń powiązanych ze złośliwym oprogramowaniem czy próbami uzyskania dostępu do zasobów internetu, które mogą być potencjalnie szkodliwe lub po prostu nielegalne (np. sieci typu peer-to-peer). Takie rozwiązanie powinno mieć możliwość rozpoznawania, analizy i klasyfikacji aplikacji, zapytań DNS oraz analizy ruchu zaszyfrowanego SSL, niezależnie od tego, czy może go rozszyfrować czy nie.


W tradycyjnych rozwiązaniach każde urządzenie, któremu uda się uzyskać fizyczne połączenie z siecią przewodową, uzyskuje pełnię uprawnień. W nowoczes­nych sieciach informatycznych samo podłączenie do sieci przewodowej czy bezprzewodowej nie daje żadnych uprawnień. Musi za nim pójść uwierzytelnienie odpowiednimi uprawnieniami, dopiero wtedy zasoby sieci zostają udostępnione. Jest to szczególnie cenna możliwość w środowisku, w którym ochrona dostępu fizycznego do zakończeń infrastruktury nie jest możliwa.

 

[...]

 

Jarosław Rowiński – inżynier sieciowy z doświadczeniem w obszarach bezpieczeństwa, wysokiej dostępności, integracji systemów bezpieczeństwa, sieci Data Center, bezprzewodowych.

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.