Разграничение доступа к ресурсам Интернета
Проблема информационной безопасности сегодня актуальна, как никогда. В последнее время можно наблюдать появление и спад вирусных эпидемий, нескончаемый поток электронных писем с рекламой и многое другое. К сожалению, часто помимо своей воли мы становимся жертвами этих событий, поскольку почти каждый пользователь компьютера, хотя бы время от времени работающий в Интернете, сталкивается не только со спамом, но и с вирусами. Данная статья посвящена информационной безопасности, но немного другому ее аспекту. Речь пойдет о проблеме, которая уже давно осознана и решена в западных странах, а в России возникла недавно.
Сегодня компании любой сферы бизнеса стараются обеспечить доступом в Интернет почти каждого своего офисного сотрудника. Это, безусловно, целесообразно: бухгалтерам постоянно требуются обновления для своих программ и вновь вышедшие нормативные документы, менеджерам удобно общаться между собой и с клиентами по e-mail, иногда в Интернете можно отследить рекламу конкурентов и обзоры СМИ, касающиеся конкретного спектра продуктов или услуг. Однако бесконтрольный доступ к ресурсам сети имеет и пагубные последствия. Интернет зачастую отвлекает сотрудников от выполнения своих непосредственных обязанностей, но, главное, формирует неверное отношение к ИТ-ресурсам компании. Служащий должен понимать, что компания-работодатель предоставляет своим сотрудникам доступ в Интернет (оплачивает его) для того, чтобы они могли более эффективно выполнять свои обязанности. Если сотрудники не понимают этого, то они будут использовать бесплатный для них Интернет в собственных целях, иногда и для извлечения прибыли.
Развитие собственной коммерческой деятельности на базе ИТ-ресурсов компании для России не очень актуально, но на Западе известно несколько случаев раскручивания собственного дела с использованием Интернета работодателя. Типичным примером такой активности является брокерство (или посредничество).
Однако другой западный синдром уже можно наблюдать и у россиян. Это прежде всего осуществление собственных банковских операций, планирование предстоящего отпуска, а иногда и поиск новой работы и т.д. Действительно, Интернет таит в себе огромные возможности, но возникает вопрос: почему все это должен оплачивать работодатель.
Для решения данной проблемы за рубежом существует целая отрасль, которая называется контентной безопасностью (от английского слова content - содержимое). Разработаны соответственно и продукты, призванные обеспечивать контентную безопасность на предприятиях. Рассмотрим принцип действия одного из самых известных продуктов в данном сегменте рынка - Cobion OrangeBox Web.
Cobion OrangeBox Web - профессиональный фильтр web-запросов. Он может работать под Windows, Linux и Solaris. Важной особенностью данного программного комплекса является то, что он может взаимодействовать с другими серверными и сетевыми службами, которые часто используются администраторами: Microsoft ISA Server, ICAP Server, Microsoft Active Directory, OpenLDAP, Novell Directory Server, Windows Domain Controller, Samba и т.д. Это позволяет существенно упростить процесс развертывания и настройки Cobion OrangeBox Web. Для работы продукта необходим любой процессор с частотой минимум 700 МГц, 512 Мб оперативной памяти и 2 Гб места на жестком диске. Последнее обстоятельство продиктовано необходимостью хранить собственную большую базу данных.
Сразу после установки Cobion OrangeBox Web "перехватывает" абсолютно каждый web-запрос, выходящий за пределы сети предприятия. Программа позволяет анализировать этот запрос и определять, можно ли данному сотруднику посещать запрашиваемый интернет-ресурс и на каких условиях.
Чтобы охарактеризовать интернет-ресурсы, разработчики программы отсортировали их по 58 категориям: почтовые, развлекательные, отдых, азартные игры и т.д. Работа системного администратора по настройке Cobion OrangeBox Web сводится к тому, чтобы указать, какие сотрудники могут его посещать. Здесь особенно важна возможность интеграции с перечисленными выше службами.
Как только программа "перехватит" какой-либо web-запрос, она проверит: кто его отправил, к какой категории относится запрашиваемый ресурс, какие права имеет данный пользователь по доступу к этой категории. Необходимо отметить гибкость в настройке прав пользователя по доступу к различным категориям: это не только "разрешить" и "запретить", а еще и "разрешить, но в течение некоторого времени", "разрешить, но отправить уведомление администратору" и "разрешить и уменьшить количество оставшихся возможностей по доступу к ресурсу данной категории".
Для определения категории
