насколько повышается безопасность при установке ограничений на сайты?
 

В соседней ветке(http://www.imho.ws/showthread.php?t=107627) был затронут этот вопрос, и мне показалось интересным вынести обсуждение в отдельную тему.
Действительно, насколько необходимо ставить ограничение на сайты?
Понятно, что если руководство видит как кто-то качает порнуху целый день, это одно. Но поголовное отсечение большого количества ресурсов ущемляет пользователя и сподвигает его на попытку обойти сервер, что скорее как раз и может привести к понижению безопасности копоративного сервера.

тут дело не касается порнухи. относительно порнухи я полностью согласен и даже за....но мое мнение ограничивать вход на аську мсн и прочее глупо.....все-равно избранные будут пользоваться и это факт. но чисто бизнесский подход вроде меньше даем меньше тратят тоже тут не имеет место - у нас на работе стоит лимит, всего лишь 2 часа в день дают инета..у меня фул аксес, ну понятное дело на короткой ноге с админом. так вот раз глянули трафик и обомлели, человек кот. давали всего 2 часа в день за месяц понакал больше гега...а еси брать фул аксес, то он еле еле переходит его. теперь второй аспект - если есть фул доступ смысл закрывать доступ то ? второй вариант - друг работает в соседнем здании у них практикуется интересная идея - создается пользователь на компе ограниченный вроде геста - ему есть только доступ в инет и никакого сохранения...а никто не подумал о переносных девайсах типа юсб . так что мне кажется глупо ставить запреты, так как больше сладок именно запретный плод.

Alex_TAV

Моё мнение - ограничение на сайты ставить бессмысленно. Безопасность это вряд ли повысит, а создать трудности для работы потенциально может. Как мне кажется, подобные ограничения и не направлены на повышение безопасности, а являются скорее "средством принуждения" для сотрудников...типа, "нефиг лазить по форумам - надо работать". ;)

обычно запрещают те сайты, на которые с определенных компов заходить нельзя. Т.е. наверняка доступ у тебя либо на работе, либо в школе, институте, или еще где-нибудь. Дома у тебя никто ничего запрещать не будет, а в других местах компьютер стоит для того, чтобы его использовать в определенной сфере - работать, учится. Согласись, для того, чтобы работать не нужно заходить в чаты, качать порно, музыку, или фотки Бритни спирс... ;) А если запрещено что-то действительно для тебя важное (например форум ИМХО :eek: ), то ты можешь подойти к админу и попросить открыть этот ресурс - обычно он открывается...
Ограничение всегда нужно, т.к. люди бывают разные и не знаешь что одному придет на ум, поэтому оставляем посещать mail.ru для почты и imho.ws для общения, а остальное по запросу пользователя :p

Давайте немного разберемся.
Вопрос: зачем ограничивают доступ к сайтам?
Ответ:
1) Лишний траффик. Понятное дело, для конторы в 20 человек игра не стоит свеч. Но если в фирме интернетом пользуется более 1000 юзверей, то просмотр сайтов рекордсменов первой десятки на предмет "а нужно ли оно для работы" позволяет экономить многие тысячи долларов в год.
2) Возможность подцепить разнообразный триппер. Как ни защищайся - хакер найдет щель. Посему, не допустив пользователя на развлекательный или малополезный ресурс, мы ограничим поверхность атаки для того самого хакера. Опять-таки для конторы "купи-продай" в 20 человек - малоактуально.
3) Снижение производительности труда. На самом деле все умные люди, которые пишут, что разгребание спама пользователями в течении получаса в день приносит ущер компаниям в огромном размере - не врут. Этот ущерб огромен, если взять крупные предприятия или отрасль в целом. Так что ущерб на час развлекухи в интернете в день еще больше. Присовокупьте к этому пункт 1.
--------------------
Теперь по поводу мессенджеров (ICQ, MSN, Skype, etc...): это сейчас разносчики заразы №2. Первый, разумеется, e-mail. Но e-mail уже точно не отменишь, так что приходится снижать риски хотя бы за счет мессенджеров. Опять-таки - убийцы времени похлеще, чем многое другое. Так что п.3 тут тоже уместен.
--------------------
Что касается "все-равно избранные будут пользоваться": пока это так, Ваша сеть - просто решето. Существует целая группа уязвимостей, которые имеют отношение к social engineering. Вы будете уязвимы для них всех.
--------------------
Далее - по порядку.
Простите, но интересы пользователя обычно слабо кореллируют с интересами бизнеса. А права лазить в Интернет я ни в одном контракте не видел. Впрочем, вру. Поговаривают, что в Google есть что-то подобное.
Не должно быть при наличии нормальной СБ и четко прописанных и исполняемых политик. Скорее это приведет при нормальной организации к увольнению или отсидке пользователя.
ограничивайте по трафику. В чем проблема?
Есть решения типа Devicelock. Есть еще куча решений предназначенных как раз для создания киосков. В частности попробуйте взломать банкомат. А во многих из них чтоит Win.
Если это именно так (обычно это можно понять изучив written policy. Кстати, если их нет, то как раз так дело и обстоит, как Вы пишете), то речь действительно идет не о безопасности, а о показе "вот я барин" со сторны или руководства или IT отдела. В первом случае нужно искать другую работу, во втором - пробовать воздействовать на IT через руководство.
Naked
Почти полностью согласен. Почти относится к сказанному мной выше.

KomatoZo

Ну насчёт Скайпа, положим, ты явно загнул. На сегодняшний день - это незаменимый рабочий инструмент для миллионов людей во всём мире. Информация, переданная по Skype шифруется, в отличие от email (это к вопросу о безопасности). К тому же экономятся больш-и-ие деньги на звонках.
Ты сам же пишешь, что:
И тут же предлагаешь "снижать риски засчет мессенджеров". Где логика? Чем деловая информация отосланая по email, отличается от оной, переданной посредством "мессенджера"??

Я имел в виду уязвимости в ПО, а не те, которые возникают вследствии передачи данных. В последнее время уязвимостей, связанных с мессенджерами стало очень много. В том числе верно это и для Skype.
Кроме того, шифрование Skype невозможно (кажется, поправьте, если не прав) контролировать на уровне организации. То есть через шлюз в итоге идет траффик, который мы проконтролировать не можем. Это тоже минус.
Хотя, разумеется, очень правильно замечено, что лучше Skype, чем ICQ.

e-mail нельзя пока отменить потому что уж слишком он "въелся" в инфраструктуру Его проще контролировать. Skype как именно мессенджер - пока еще не является именно "необходимым". И контролировать его пока, увы, я средств не знаю.

так в том и дело - когда полный доступ, у человека не возникает мысли что интернет что-то особенное, с утра зашел, посмотрел новости и вперед работать. Когда есть ограничение, то возникает чувство преднамеренно зайти и накачать себе максимум.

Проблемы безопасности ограничения мало решают. ведь если - "e-mail уже точно не отменишь", то смысл вограничениях. Вирусов в письмах немеренно и чуть больше/меньше их прийдет с аськой, вроде как уже не важно.

Мне кажется рациональный выход - ограничение потрафику, т.е. ходи куда хочешь но не больше чем на 300Мб в месяц. Это конечно тоже ограничение , но как то более мотивированное, дает возможность почувствовать ответсвенность за выбор сайтов, которые хочется посетить в первую очередь.

Не совсем понял, что ты собираешься "контролировать"? А телефонные звонки как "контролировать на уровне организации"? Заниматься тотальной прослушкой с последующим анализом каждого звонка? :)

Я уже писал - просто уменьшить фронт атаки. Это зачастую уже ОЧЕНЬ большой плюс. Кроме того, то, что мы не можем запретить мы можем урегулировать. Мы можем написать, что мыло только в рабочих целях и может быть проверено. Соответственно и проверять. Антивирусная защита не панацея, но опять таки достаточно действенно синжает риск.
Как вариант. Но я видел конторы в которых некоторым личностям ВООБЩЕ запрещено ходить с рабочего места в ИНет, а остальным разрешено ограниченное количество сайтов. И ничего - работают. Да еще и довольны. =)
Зачем тотальной. Выборочной. Есть куча возможностей получить информацию об отклонении от стандартного положения вещей, после чего произвести выборочную прослушку. Не готов сейчас сказать, что там сейчас с точки зрения законодательства по этому поводу мы имеем, но опять-таки, чисто технически это можно обеспечить. или хотя бы запись. А потом, в случае инцидента - взять эту запись за основу расследования. Да и если народ знает, что его пишут и имеет тому веские подтверждения, то и ведет себя этот народ зачастую гораздо скромнее.

дело зачастую бывает не в трафе, а во времени, потраченном на просмотр того или иного сайта. Например ты можешь открыть анектоды, которые весят ну метров даже если 7, и читать их весь день - не работать, это как вариант, поэтому стараются закрывать сайты либо известные, либо в названиях которых что-то есть (chat, sex, game и т.д.). И это вполне оправдано, если ты считаешь, что можешь посещать любые сайты - то иди домой и посещай, когда ты находишься в каком-то заведении, ты обязан придерживаться правил, которые там заведены, и этими правилами в частности являются НЕпосещение определенного круга сайтов. Тоже самое, если ты приедешь в другую страну и нарушишь их закон - не станешь же говорить, что в твоей стране такого закона нет, да даже если и станешь - тебя никто не послушает, потому что они живут по своим законам... :)

Naked
Если человек не может или не хочет работать, никакое закрывание сайтов делу не поможет...он, к примеру, диск с играми принесёт, или ещё что. Так что, все дисководы надо поснимать, и все USB порты замазать эпоксидкой? :) Есть определённый объём работы, который сотрудник должен делать. Если он целый день члены пинает, это вина начальника, который не может его оптимально загрузить работой (оптимально, это не значит - по самые помидоры ). А если человек за день прочтёт несколько анекдотов, и от этого у него поднимется настроение, никакого вреда делу это не нанесёт.

Мы оказываем IT-услуги разным крупным фирмам. Не поверишь, но и у них и у нас все телефонные разговоры записываются.
А электронная почта контролируется на предмет содержания.

FantomIL
Если специфика того требует, то почему бы нет?

Друзья, речь шла об _идиотизме_ в реализации политики безопасности.
У нас _открыто_ скачивание, например, pdf, .avi, .wmv, .jar(!!), но запрещено скачивание .exe, .rar.
запрещен доступ на hotmail, но доступен gmail; закрыт forum.privet.com, libo.ru, dirty.ru но открыт imho.ws, stopper.ru, weblinks.ru, mult.ru.
В большой западной компании идиотизм неизбезжно главенствует, нанята куча недоумков и дармоедов, которые постоянно изображают активность и заботу о секюьрити, а на деле только мешают работать.

The Pig
А никто и неговорит, что у Вас правильная политика безопасности. Наличие политики не гарантирует ее, скажем так, умности. Для разработки нормальной политики нужны спецы и покруче, чем я =)
Другое дело, что полное отсутствие хоть каких бы то ни было политик зачастую говорит о глупости и ленности как минимум IT подразделения. Я уже не говорю о полном пренебрежении к собственному бизнесу со стороны executives.
Морфиус
Запрет дело нужное в любом случае. Другое дело, что только действительно крупные компании могут себе позволить нанять толкового консультанта для создания грамотной политики разрешения/запрета и вообще системы безопасности. Дело в том, что такие проекты стоят ОЧЕНЬ дорого. Но, повторюсь. Наличие хотя бы чуть-чуть продуманной политики, даже на таком уровне, как я ее могу создать - это огромный плюс в сравнении с ее полным отсутствием.

Не обязательно специфика. Просто компания, например, работает с конфиденциальной информацией и ее потеря чревата исками на полмиллиона долларов. А аппаратура записи стоит, допустим 100 килобаксов. Вот и считай, что проще. Это утрированно, конечно. Вы мне скажете, что это специфика, а я Вам отвечу, что крайне мало видел компаний, не работающих с тем, что на западе считается конфиденциальной информацией. А мы постепенно идем к тем же стандартам оценки. Так что, ИМХО, есть над чем задуматься.

2KomatoZo: тут уже упоминалось, что для больших компаний защита и ограничение это нормально, там фиг уследишь кто и куда ломился и по чьей причине легла сеть из сотни другой компов. Но вот для небольших компаний зачем? Тем более что встретить там грамотного спеца трудно, чаще всего нанимают разового специалиста, он приходит настраивает сеть и исчезает, потому как нанимать его на постоянную службу дорого, а директору безразлично как там настроена сеть пока он может ходить на свои любимые сайты(при всем при том, что он как раз и может занести вирус в сеть). А на счет конфиденциальной информации, так на те компы лучше вообще сеть не кидать, а по старинке с дискетой ходить.
Вообщем хорошо когда есть грамотный и отзывчивый админ, но кому так везет?

Для того, что после введения элементарной процедуры можно оплачивать не 20Г в месяц а 8. Проверял.
Не спорю. Но это не умаляет важность запретов.
В корне неправильный подход. Из-за этого и страдаете. Нужно не "настраивать сеть". Нужно ее "разрабатывать и планировать". А для настройки после нормального планирования можно нанять любую кнопочную обезьяну =) Шутка.
Ищите другую работу. Не шутка.
Невозможно в 95%. Представьте себе как Вы носите данные о клиентах (а они конфиденциальны) на дискете. Такая схема неконкурентноспособна. Я не беру в рассмотрение опять-таки работу с СЕКРЕТНЫМИ данными. Там и в бункер комп затащить зачастую не лишнее. Я, например, очень хотел бы увидеть как организована защита (в том числе и физическая) корневого CA компании VerySign. То, что он не подключен к сети - это 100%, но думаю, что охраняет его рота спецназа круглосуточно. А может быть и не одна рота =)

Alex_TAV
я со своей админской стороны скажу.
Дело в том, что админам тоже хочется грамотных и отзывчивых пользователей. А, до тех пор, пока пользователь не представляет себе что такое корпоративная этика, до тех пор пока пользователь в рабочее время качает себе кучи звонков на сотовый или музыку или фильмы, тем самым мешая нормальной работе других пользователей (и дело тут не в трафике), до этих самых пор мне (как админу) гораздо проще и надежнее запретить все это безобразие.
Кстати, большинство админов охотно пойдут вам навстречу и откроют для вас персонально нужный вам ресурс, если вы спокойно и грамотно объясните целесообразность и необходимость его использования.
Все вышесказанное, естественно, лишь мое частное мнение.

Я это как раз и подразумевал, когда писал про Skype выше. Информация, переданная по закрытому SSL каналу будет в гораздо большей безопасности вне компании, чем отправленная по email. Впрочем, по email можно тоже отсылать PGP сообщения, содержание которых просмотреть будет практически невозможно. В целом, политику безопастности надо рассматривать применительно к конкретному предприятию. Одно дело - банк, и совсем другое - развлекательный комплекс, пусть даже гигантский... Да и как вы себе представляете утечку конфиденциальной информации по телефонной линии? Сидит такой сотрудник и передаёт: "Юстас-Алексу...диктую последние сводки из ставки..."? :)
Однако, мы несколько отклонились от изначальной темы.

Неужели ещё кто-то где-то платит за каждый гигабайт? :confused:

Ну то, что каждое явление следует рассматривать только применительно к конкретной ситуации я считаю просто-напросто очевидным. Иначе давно бы уже сделали этакое "идеальное решение" и моя специальность умерла бы за ненадобностью =).
Про PGP... Честно говоря, насколько мне известно PGP это алгоритм с весьма низкой стойкостью. Но мысль в целом правильна: если стоит речь о защите информации в транзите, то ее нужно либо инкапсулировать с приенением криптографии, либо загонять в туннель с применением ее же. Но есть еще большой пласт уязвимостей, который позволяет внедрить к адресату шпионский, в прямом смысле этого слова, софт. А таких возможностей Skype дает пока больше чем тот же Outlook. Естественно, все это может в различных ситуациях варьироваться в разные стороны.
Вполне возможно и так. Хотя проще через тот же Skype выслать файло в шифрованном виде. Чтобы был понятен мой акцент на утечке именно такими способами: по разным данным от 60 до 80% инцидентов в сфере ИБ - происшествия с участием инсайдеров. В России тоже. Могу привести несколько громких случаев, хотя они и так должны были быть на слуху.
Вы не поверите. Местами платят за каждый мегабайт.

Хотелось добавить пример из жизни, в ответ на этот вопрос:
Я раз в 3 недели заказываю корм для собаки. Процедура такова: я звоню в фирму (4 работника включая директора), называю свой клиентский номер, девочка получает на компе все мои данные и данные моей собаки. После этого она сообщает мне номер заказа и вечером возле двери меня ожидает собачий корм.
Все платежи, естественно, проходят через кредитку, номер которой со всеми моими данными находится у них в базе данных. Никаких сайтов у фирмы нет.
Недавно я позвонил туда и меня стали снова спрашивать имя, номер удостоверения личности, номер кредитки. На вопрос: "Зачем? Я ведь постоянный клиент." Девочка ответила, что у них появилось соединение с Интернетом и какой-то вирус убил все данные.
Как вы думаете, я буду дальше заказывать в этом магазине? Ведь этот вирус (троян) возможно отослал всю базу какому-нибудь хацкеру.
А вы говорите, что в маленьких фирмах не нужны запреты... :rolleyes:

Мне кажется, что оптимальный вариант ограничения - это поставить анализатор логов прокси и административно запретить ненужные для работы сайты (имеется ввиду то, что сотруднику за посещения сайта анекдотов, например, надо жестко вставлять). Программно запрещать бессмысленно, а если не запрещать, то работа оказыватся в пролете :)

Volt
В том то и дело, что оптимальных вариантов не существует. Точнее существует, но для каждого свой. Вот в Google, например, вообще 20% времени работник официально может потратить на личные дела, вплоть до лазанья по сайтам анекдотов (а хоть бы и не только анекдотов =) )... А в некоторых компаниях вообще интернет ограничен только сайтами партнеров и поставщиков.
В любом случае речь идет о том, что запрещать, как правило, нужно. Но нужно делать это с умом, после анализа конкретной ситуации.

Полностью согласен... Дело в том что народ не каждый умеет пользоваться всякими там менеджерами закачек, а так напрямую с эксплорера запускают скачку с сайта... И ладно один файл а то сразу по несколько файлов. И вот тогда начинается самое интресное.=) Какая бы железка не стояла и какая бы прокся не висела отдается сразу весь канал. Да понятное дело что можно каждому нарубить канал и отдать определенную скорость и все... Но не всегда это бывает нужно. Иногда действительно требуется максимальная скорость и причем такая, чтоб не мешать работать остальным... Но многие это не понимают. Поэтому и приходиться ограничивать сайты, а по достаточно грамотном обосновании всегда можно открыть. А если учесть что у многих компаний интернет это не только средство развлечения и получение информации, а еще и средство зарабатывания денег и от того как он работает зависит многое, то тогда понятно почему проще отрезать и давать понемногу, чем пострадать от руководства за то, что что-то там подвисло и вовремя не ушло...