|
Zabezpieczenie sieci komputerowych jest tematem bardzo obszernym i można go rozpatrywać w wielu różnych aspektach, począwszy od konfiguracji sprzętowej i programowej, a skończywszy na filtrowaniu ruchu w sieci wraz z treściami dostarczanymi na komputery w niej pracujące. Szczególnie ważnym przypadkiem jest sieć komputerowa w bibliotece, a zwłaszcza jej wydzielony, publicznie dostępny dla czytelników segment.
Problem ten, jak również sposób jego rozwiązania, chciałbym przedstawić na przykładzie Biblioteki Głównej Politechniki Świętokrzyskiej w Kielcach.
Sieć komputerowa Biblioteki jest niezależnym, odrębnym fizycznie i logicznie fragmentem sieci uczelnianej. Przez bezpośrednie, światłowodowe łącze z centrum sieci Biblioteka uzyskuje szybki dostęp do Internetu i połączenie z resztą sieci uczelnianej. W gmachu Biblioteki wszystkie sieci połączone są światłowodowo dzięki routerom Rapier firmy Allied Telesyn, które kierują ruchem w wydzielonych podsieciach wirtualnych. Fragment publicznie dostępnej sieci stanowi tu 60 komputerów z systemami operacyjnymi Microsoft Windows 2000.
Filozofia zabezpieczenia dostępu do i z tych komputerów polega na ich specyficznej konfiguracji oraz odrębnej konfiguracji sieci ich łączącej. Komputery te pracują w wydzielonej podsieci intranetowej, do której dostęp możliwy jest tylko z sieci uczelni. Każdy komputer ma statycznie nadany adres IP, co z kolei wpływa na łatwość i szybkość jego lokalizacji. Wspomniana podsieć intranetowa nie ma funkcji NAT (translacji adresów), co z kolei uniemożliwia dostęp z tych komputerów poza sieć uczelnianą, zaś jedyny możliwy dostęp do zasobów WWW uzyskiwany jest na tych komputerach z wykorzystaniem uczelnianego serwera Proxy, którego logi zapisywane są i przechowywane w centrum sieci uczelni.
Bardzo istotnym elementem wpływającym również na ruch w sieci jest zabezpieczenie antywirusowe. Zdecydowana większość wirusów przenosi się przez Internet, zaś zainfekowany komputer generuje najczęściej ponadprzeciętny ruch w sieci komputerowej, próbując wynaleźć i zainfekować inne dostępne komputery.
Aby temu przeciwdziałać, wszystkie komputery w gmachu Biblioteki wyposażone są w system antywirusowy Symantec Antivirus Corporate Edition.
Od początku tego roku był wdrażany i w połowie lutego ruszył pełną parą System Ograniczenia Dostępu do Internetu, który obowiązuje na wszystkich publicznie dostępnych komputerach w Bibliotece. System ten wykorzystuje wprowadzony już wcześniej (od marca 2002 r.) mechanizm autoryzacji czytelników. To dzięki systemowi bibliotecznemu Q-Series, każdy użytkownik może sprawdzić swoje konto (ilość wypożyczonych książek, obciążenia czy komunikaty z Biblioteki) na stronie www katalogu on-line, a wykorzystywany jest do tego celu identyfikator użytkownika oraz indywidualnie nadawane hasło (domyślnie jest to nazwisko czytelnika wraz z polskimi znakami). W oparciu o ten sam mechanizm, znany już naszym czytelnikom wcześniej z katalogu on-line, działa wspomniany system ograniczający dostęp do Internetu.
Aby skorzystać z komputera w Bibliotece, trzeba być czytelnikiem zarejestrowanym w systemie bibliotecznym i zalogować się na komputerze przy pomocy swojego identyfikatora i hasła. Po zalogowaniu system nalicza spędzony przy komputerze czas i porównuje z możliwym do wykorzystania limitem. Ilość minut swobodnego korzystania z Internetu jest przyznana dla poszczególnych grup użytkowników, jak np. Studenci Politechniki czy Pracownicy i może zostać zmieniona (wydłużona lub skrócona) dla indywidualnego użytkownika.
Nowością wprowadzoną w tym systemie jest weryfikowanie otwartych aktualnie stron WWW. Wyczerpanie przyznanego dziennego limitu objawia się właśnie zamykaniem tylko wybranych okien przeglądarki - nadal zostają otwarte strony i serwisy traktowane jako dopuszczone do przeglądania zawsze. Wykaz tych stron jest definiowany przez bibliotekarzy, zaś użytkownicy mogą łatwo z nich korzystać, gdyż widoczne są one w menu Ulubione Internet Explorera. Wspomniane menu jest budowane dynamicznie po każdorazowym zalogowaniu się użytkownika na podstawie konfigurowalnej tabeli bazy danych SQL. Cały system ograniczający pracuje na oddzielnym serwerze i wykorzystuje do pracy swoją niezależną bazę danych. Wpływa to korzystnie na obciążenie serwera obsługującego system biblioteczny - baza użytkowników systemu ograniczenia dostępu jest synchronizowana z główną bazą systemu bibliotecznego w sposób jak najmniej obciążający główny serwer SQL, zaś zdarzenia takie, jak: próba zalogowania, zalogowanie i wylogowanie, są również zapisywane w bazie danych. Takie rozwiązanie umożliwia tworzenie zestawień i analizowanie wykorzystania komputerów w Bibliotece ze względu np. na pory dnia czy godziny, poszczególne dni tygodnia, czy zestawienie najczęściej korzystających z komputerów użytkowników.
Zastosowane nowatorskie rozwiązanie ma wpływ na sposób wykorzystania komputerów w bibliotece. Wcześniej, przed zastosowaniem wspomnianego systemu ograniczającego, większość komputerów publicznego dostępu była oblężona przez w większości tych samych użytkowników, którzy komputery katalogu on-line Biblioteki traktowali jak kawiarenkę internetową. Miały miejsce również sytuacje, gdy użytkownicy, którzy chcieli skorzystać z katalogu on-line - a jest to jedyny prowadzony w tej bibliotece katalog książek - musieli czekać na dostęp do komputera. Teraz ta sytuacja znacznie się zmieniła. Studenci, którzy stanowią najliczniejszą grupę użytkowników korzystających z bibliotecznych komputerów, sami dopasowują treść oglądanych stron do tych, które są im rzeczywiście potrzebne. Ograniczenie czasowe wpływa więc na dobór treści przeglądanych stron. Można zatem powiedzieć, że jest to rozwiązanie "naturalnie" filtrujące treść - znacznemu ograniczeniu uległa ilość przeglądanych stron służących rozrywce, jak wszelkiego rodzaju czaty, które najczęściej były wykorzystywane przez okupujących komputery użytkowników. Ma to również oczywisty wpływ na wielkość generowanego ruchu w sieci komputerowej oraz co najważniejsze - celowość i efektywność wykorzystania komputerów Biblioteki.
Całości obrazu może dopełnić ograniczenie na możliwe do uruchomienia programy oraz możliwość zdalnego i cyklicznego odświeżenia konfiguracji publicznych komputerów dzięki zastosowaniu oprogramowania Symantec Ghost.
Zastosowanie dodatkowo pełnego, cyfrowego monitoringu kamerami wideo w całej Bibliotece, umożliwia proste i szybkie skojarzenie nie tylko komputera, z którego ktoś mógłby podjąć próbę jego nieautoryzowanego wykorzystania, lecz również fizyczne zidentyfikowanie użytkownika na nim pracującego.
Zbudowanie zatem bezpiecznej sieci komputerowej jest możliwe, zaś co ważniejsze, jej celowe, zgodne z przeznaczeniem wykorzystanie zwłaszcza w bibliotece, gdzie ruch i użytkownicy są monitorowani w sposób nieograniczający ich działania, jak widać na przedstawionym przykładzie, ma już swój konkretny kształt i praktyczną realizację. Planowanym rozszerzeniem funkcjonalności istniejącej sieci jest utworzenie punktu HotSpot w gmachu Biblioteki - czyli punktu dostępu do tak popularnej ostatnio komputerowej sieci bezprzewodowej WiFi. Rozwiązanie to umożliwi korzystanie z sieci Biblioteki zarejestrowanym czytelnikom na własnych komputerach wewnątrz gmachu, gdzie wykorzystany zostanie również ten sam mechanizm autoryzacji użytkowników.
| |