Как защитить школьную сеть

Защита школьной сети никогда не была такой сложной. Мало того, что число угроз безопасности увеличивается (поступая через что угодно, от незащищенных точек доступа Wi-Fi до USB-накопителей учителей), но у школ становится все меньше ресурсов для защиты.

В связи с недавним закрытием Becta и сокращением бюджетов на образование, задача обеспечения надлежащей безопасности школьных сетей становится огромной.

Школы более подвержены воздействию вредоносных программ и спама, поскольку дети, как правило, гораздо менее осторожны при использовании Интернета.

Без предоставления Becta рекомендаций и рекомендаций по передовому опыту есть опасения, что некоторые школы могут упустить политику и стратегии безопасности. Обеспечение безопасности любой корпоративной сети является непростой задачей, но если добавить сюда сотни детей, которые не только свободны от юридических последствий своих действий, но и слишком молоды, чтобы должным образом осознавать риски, на которые они могут пойти, ситуация становится действительно интересной. Учащиеся нуждаются в защите от нежелательных материалов так же, как школьная сеть нуждается в защите от утечки данных.

Школы более подвержены воздействию вредоносных программ и спама, поскольку дети, как правило, гораздо менее осторожны при использовании Интернета, однако от них требуется защищать этих уязвимых пользователей от их собственных действий, а также от действий других. В конце концов, безопасная среда обучения выходит далеко за рамки того, чтобы держать ворота запертыми.

Так как же лучше всего защитить школьную сеть? Именно об этом мы просили школьных сетевых менеджеров и экспертов по безопасности, чтобы помочь вам сделать правильный выбор.

Один размер подходит всем?

То, что не существует универсальной стратегии безопасности школы, — это миф. Конечно, класс пятилетних детей будет подвергаться разным рискам, чем класс подростков, и разные возрастные группы должны обучаться вопросам безопасности по-разному. Например, дети с 1 по 6 классы вполне могут подвергаться большему риску со стороны внешних угроз, в то время как ученики 7 и старше также нуждаются во внутренней защите от собственного любопытства и бунтарства.

Но подход старой школы (если вы извините за каламбур) системы разрешений на самом деле достаточно гибок, чтобы охватить все основания, позволяя каждой группе в этом каталоге иметь отдельную и соответствующую политику безопасности.

Итак, мы разобрались с этим распространенным заблуждением, а как насчет особенностей, которые каждый менеджер сети ИКТ должен учитывать в рамках плана защиты школьной сети?

Антивирусная защита

Саджид Хусейн, менеджер образовательной сети в Траффордском совете в Манчестере, советует, что если в школе есть центральный сервер, ее антивирусное программное обеспечение также должно быть развернуто централизованно. «Многие поставщики AV-оборудования предлагают программное обеспечение для образовательного сектора по более низким ценам по сравнению с корпоративным сектором», — сказал Хуссейн. «Также важно иметь AV-системы на конечных точках и шлюзах, а также на серверах».

Говоря об этом, не забывайте, что в школьной среде существует огромный риск того, что кто-то, ученик или учитель, принесет что-то из неизвестного источника и распространит это через внутренние системы электронной почты. Как сказал нам Олли Харт, руководитель отдела безопасности государственного сектора компании Sophos: «Размещенные на сервере сканеры электронной почты не обеспечивают безопасность внутренней передаваемой почты, поэтому важно, чтобы вы могли защитить свою сеть как от внешнего, так и от внутреннего воздействия».

Однако клиентские установки не должны нарушать бюджет, и большинство крупных поставщиков предлагают очень привлекательные корпоративные лицензии для сектора образования. Просто убедитесь, что техническая поддержка учтена в этом уравнении.

Автоматизированное управление исправлениями

Стоит добавить еще пару весьма важных моментов «не забывайте». Во-первых, вам понадобится брандмауэр, независимо от того, предоставляется ли он местными властями или что-то, что вы покупаете в качестве шлюза для школ, не находящихся под контролем местных властей. Второе — поддерживать актуальность вашего антивируса, брандмауэра, операционной системы и приложений.

«Школьные ИКТ должны максимально автоматизировать процесс установки исправлений», — сказал Ларри Стейн из Dell KACE. Это «не только экономит время, но и означает, что патч можно применять одинаково на всех машинах».

Это не обязательно должно быть сложное или дорогое решение, и ваши средства управления доступом к сети могут быть настроены на проверку уровней исправлений практически для каждого актива, прежде чем он получит доступ к сети. «Если вы соедините это с системой, которая контролирует возможность запуска программного обеспечения, такой как система управления приложениями, это уменьшит вероятность того, что пользователь загрузит, например, старую версию Firefox, которую вы, возможно, не отслеживаете с точки зрения исправлений. – сказал Харт.

Строгий контроль над тем, какие приложения можно устанавливать, включая такие вещи, как сторонние плагины, предотвратит огромную проблему с безопасностью в долгосрочной перспективе.

Строгий контроль над тем, какие приложения можно устанавливать, включая такие вещи, как сторонние плагины, предотвратит огромную проблему с безопасностью в долгосрочной перспективе, даже если в краткосрочной перспективе это может увеличить рабочую нагрузку на персонал ИКТ. Тот же подход следует применять и к использованию таких устройств, как USB-накопители, внешние накопители, iPod, планшеты и телефоны.

Блокировка беспроводных сетей

Некоторые школы до сих пор используют полностью открытые и незащищенные сети Wi-Fi, утверждая, что в этом случае простота использования превосходит безопасность. Но действительно ли этот аргумент выдерживает критику? Эндрю Малхолланд, менеджер по маркетингу компании-производителя беспроводных маршрутизаторов D-Link, предупреждает, что предполагаемая простота использования незащищенной сети по большей части является иллюзией и, конечно, не компенсирует огромные риски, связанные с предоставлением кому-либо доступа к школьным данным.

«Школы должны использовать подход Unified Threat Management для защиты своих беспроводных сетей», — сказал Малхолланд. «Данные в сети должны быть зашифрованы, чтобы к ним не имели доступа посторонние глаза. Необходимо использовать инструменты контроля доступа и мониторинга сети, чтобы убедиться, что сеть не используется: например, нежелательными пользователями, «подключающимися» к беспроводной сети школы или устанавливающими мошеннические точки доступа для получения доступа».

Вопросы шифрования и защиты паролем заслуживают усиления, поскольку они являются хорошим советом для любого бизнеса, в том числе для бизнеса, в котором есть дети и конфиденциальные данные, находящиеся в сети. «Реальный мир зашифрован и защищен паролем», — сказал Эдди Виллемс из поставщика средств безопасности G-Data. «Чем раньше ученики научатся запоминать пароль, хранить его в секрете и делать его безопасным, тем скорее они будут готовы к дальнейшей жизни».

Роджер Хокадей из Aruba Networks, однако, предполагает, что видимость может быть обманчивой и что явно открытые и незащищенные гостевые сети могут быть скрыто защищены. «Выбирая решение с брандмауэром на основе ролей и отслеживанием состояния, встроенным в их беспроводную локальную сеть, в сочетании с облачной фильтрацией URL-адресов и контента, они (школы) могут гарантировать безопасность за счет разделения трафика каждого пользователя. Они могут заблокировать доступ к нежелательному контенту без необходимости размещать на своем сайте какое-либо дополнительное сетевое или защитное оборудование и без необходимости администрировать гостевой доступ».

Саджид Хусейн, с другой стороны, утверждает, что чаще всего незащищенная беспроводная сеть является именно незащищенной. «По возможности следует также избегать использования автономных беспроводных маршрутизаторов или точек доступа, поскольку администрирование нескольких точек доступа может стать затруднительным», — сказал Хуссейн.

«Идеальным решением было бы использование управляемой инфраструктуры беспроводной сети, включающей беспроводной контроллер и точки доступа. Управление инфраструктурой является центральным и экономит огромное количество времени и усилий».

Фильтрация контента

В недавнем отчете Ofsted утверждается, что многие средние школы применяют слишком агрессивную фильтрацию и поэтому вынуждают учащихся использовать прокси-серверы для проведения необходимых исследований. Многие эксперты по безопасности утверждают, что базовая фильтрация ключевых слов слишком часто используется в школе и совершенно неэффективна. Так как же можно достичь правильного баланса между защитой и свободой исследований в школьной среде?

Имонн Дойл, генеральный директор компании Bloxx, специализирующейся на фильтрации контента, предупреждает, что простая оценка ключевых слов и список URL-адресов больше не эффективны в школьной среде. Он, что, возможно, неудивительно, советует школам использовать фильтрующее решение, которое динамически анализирует и классифицирует каждую веб-страницу по запросу.

Казалось бы, это единственный способ эффективно решить проблему, когда сообразительные студенты создают анонимные сайты для обхода прокси-фильтров, на выявление и блокировку которых устаревшим методам фильтрации могут потребоваться недели.

Какое бы решение для фильтрации ни было установлено, ключевым моментом остается его применение. Персоналу ИКТ следует понимать, что простое включение всех компонентов не является подходящим вариантом конфигурации. «Фильтрация должна контролироваться и предоставляться разные уровни доступа», — сказал Олли Харт. «Школы должны рассмотреть возможность предоставления разных прав доступа для разных возрастов, даже для разных курсов и классов».

Политика приемлемого использования — это хорошая возможность рассказать студентам об ИТ-безопасности в целом.

Таким образом, если у учащегося есть законное требование просмотреть страницу сайта, которая обычно классифицируется как неприемлемая, сотрудники ИКТ могут установить разовое исключение. «Главное — убедиться, что дети получают хорошее образование в безопасной среде, а не ограничивать их до такой степени, что их образование будет поставлено под угрозу», — сказал Харт.

Деловой подход

Хотя официальная политика безопасности, возможно, больше связана с миром бизнеса, она столь же важна и в секторе образования. Ян Тревена изложил очень четкие рамки школьной политики ИТ-безопасности в Хэмптонской школе, Миддлсекс, полагая, что это обязанность проявлять осторожность, к которой действительно следует относиться очень серьезно. «Наша политика представляет собой письменный документ и отражает нашу Политику допустимого использования (AUP), которая должна быть подписана как сотрудниками, так и студентами», — объяснила Тревена. «Он также отображается на экране при каждом входе в систему».

Заставлять детей подписывать AUP может показаться немного драконовским, и некоторые эксперты утверждают, что, поскольку несовершеннолетние по закону не могут быть привлечены к ответственности за нарушение правил, это бессмысленно. Но AUP — это хорошая возможность рассказать студентам об ИТ-безопасности в целом. Давая в этом документе советы по безопасной работе на компьютере, а также информируя учащихся о мерах контроля, которые существуют в школе для предотвращения злоупотреблений, можно дать им образование, а не просто предоставить еще один длинный список того, чего им делать нельзя.

AUP также должен включать список того, что считается приемлемым использованием сетевых ресурсов школы, а что нет, иначе это бессмысленно. Как отмечает Ник Кавалансия, вице-президент по управлению Windows компании ScriptLogic, «дети оправдают возложенные на них ожидания, если им это объяснят на языке, который они понимают, если это разумно и если это соблюдается».

Как вы можете ожидать, что студенты и сотрудники, если уж на то пошло, будут соответствовать вашим ожиданиям в отношении ИТ-безопасности, если вы не расскажете им, что они из себя представляют?