| Název: | Bezpečnost v praxi - implementace v síti WAN ÚZSVM |
| Autor: | Tomáš Kantůrek |
| Publikováno: | Professional Computing 6/2005 |
Cílem řešení bylo vybudování rozlehlé sítě WAN, pokrývající všechny lokality Úřadu pro zastupování státu ve věcech majetkových. Řešení je zpracováno komplexně, počínaje komunikační infrastrukturou, vytvořením jednotného doménového modelu včetně zprovoznění potřebných serverů, zpracováním systému e-mailové komunikace, zabezpečeným připojením do internetu, antivirovými programy na všech úrovních, zálohovacími nástroji a konče zprovozněním aplikací, migrací uživatelských stanic do nového prostředí a vytvořením systémových a organizačních politik pro celou WAN. U celého řešení je kladen důraz na bezpečnost, flexibilitu a v rámci možností maximální odolností proti výpadku.
Úřad pro zastupování státu ve věcech majetkových má ústředí v Praze, čítající cca 200 klientských stanic. Následuje 7 územních (regionálních) pracovišť, každé má zhruba 70 pracovních stanic a cca 70 odloučených (okresních) pracovišť s průměrným počtem 20 klientských stanic.
Na počátku si každé pracoviště zajišťovalo vlastní konektivitu na internet, určovalo použití operačních systémů, antivirových řešení, bezpečnostních politik a pomocí vlastních sil se staralo o IT systémy. Nevýhody plynoucí z tohoto stavu jsou: naprosto nejednotná koncepce správy IT infrastruktury, nemožnost jednoduché komunikace mezi lokalitami, různé stupně zabezpečení a mnoho dalších faktorů, které vedly k rozhodnutí vybudování jednotné sítě WAN.
Při návrhu řešení byl kladen velký důraz na bezpečnost. Důležitým úkolem bylo stanovení optimálního poměru mezi bezpečností celé WAN a omezením funkčnosti systému, protože bezpečnost jako taková by neměla uživatele příliš omezovat.
Bezpečnostní aspekty byly zpracovány ve třech rovinách: technický pohled, organizační pohled a personální pohled.
Technický pohled se zabývá technickou stránkou řešení, čili klasickým úkolem zajištění co nejvyšší bezpečnosti jednotlivých zařízení. Na základě tohoto pohledu bylo vypracováno a následně realizováno řešení sítě WAN. Technická část řešení detailním způsobem popisuje vybudování komunikační infrastruktury, nastavení bezpečného přístupu k internetu (firewall, hierarchie proxy serverů, antivirová kontrola http provozu).
V řešení byl zvolen jednodoménový model pro celou WAN, který v co největší míře využívá single sign-on metodu, která je podstatně jednodušší (a tím i bezpečnější) pro uživatele.
Doména a naprostá většina serverů je postavena na platformě Microsoft Windows Server 2003. Všechny klientské stanice byly migrovány do nového prostředí a jsou spravovány centrálně pomocí doménových politik. O management serverů a stanic se stará Microsoft Systems Management Server, který zároveň zajišťuje i aktuálnost operačních systémů v celé WAN.
Antivirová ochrana byla implementována na všech rovinách. Antivirové řešení firmy Symantec bylo nasazeno na stanicích, serverech, poštovních serverech a pro filtrování http provozu. Důležitým prvkem celého systému je zálohování, vybudované na produktech firmy Veritas.
Organizační pohled je jakousi nadstavbou technického řešení. Zabývá se nastavením procesů v organizaci takovým způsobem, aby byly co nejbezpečnější. Prvotním úkolem je detailní dokumentace k technickému řešení, díky které lze poměrně jednoduše určit a odstranit slabé místo. Důležitou součástí je vypracování bezpečnostních politik pro nastavení systémů, a to na úrovni doménových politik aplikovaných přes servery a stanice, na úrovni antivirového řešení. Dále v zálohovací strategii a zejména v určení oprávnění jednotlivých uživatelů. Politika přidělování oprávnění je vypracována takovým způsobem, že umožňuje efektivně přidělovat uživateli pouze ta oprávnění, která skutečně potřebuje.
Nedílnou součástí tohoto pohledu je i organizační činnost jako taková, sestávající zejména z určení toho, který člověk je zodpovědný za danou část řešení, kdo může vyvolávat změny ve WAN, jakým způsobem probíhá řešení havarijních stavů a podobně.
Personální pohled představuje obecně největší bezpečnostní riziko, protože se výchozím i koncovým bodem řešení, tedy uživateli a správci. Může existovat dokonalé technické a organizační řešení, nicméně díky působení lidského faktoru můžu přijít vniveč. Nejdůležitějším úkolem je proto dostatečné a opakované školení správců pro zlepšení jejich dovednosti a uživatelů pro efektivní a bezpečné používání podnikového systému. Nejedná se jen o to jakým způsobem používat počítač, ale sdělit uživatelům i jakým způsobem pracovat s hesly, jak se chovat při nestandardních stavech, koho mají kontaktovat v případě problémů a mnoho a mnoho dalšího.
Takto komplexně koncipované řešení tedy popisuje všechny dostupné bezpečnostní aspekty a lze o něm prohlásit, že je bezpečné. Nesmíme však zapomínat, že zabezpečení je nekonečný a dokola se opakující proces reagující na nově objevené bezpečnostní hrozby. Budou se objevovat nové bezpečnostní technologie a je jen na lidech, aby je využili, implementovali a sdělili jejich přínos uživatelům.
