Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Введение
Цель практики:
закрепить полученные в процессе обучения знаний и применить их на практике в реальной рабочей обстановке.
Оценить полноту полученных знаний.
Выявить слабые стороны в каком-либо роде занятий.
Сделать выводы для определения приоритетных направлений дальнейшего обучения.
Задачи практики:
научиться работать в коллективе.
Применить полученные знания и умения на практике.
Научиться правильно вести диалог начальник-подчинённый.
Научиться работать в коллективе.
1. МОУ СОШ №15.
1.1 Характеристика МОУ СОШ №15.
1.1.1 История МОУ СОШ №15.
С 1794 года, со дня образования ст. Роговской здесь была одно-классная школа, где училось 27 учеников – мальчиков. Школа это была церковно-приходской.
В 1872 году здесь появилось двуклассное казачье училище, заведующим которого был коллежский регистратор Иван Петрович Чуйко.
В 1898 году в Роговской действовало пять школ, подведомственных министерству просвещения. Женская (в деревянном здании), одно-классная церковно-приходская, одно-классная иногородняя, двухклассное казачье училище и Школа имени Шевченко. В церковно-приходской обучались дети казаков и иногородних. Казацкие дети бесплатно, а дети иногородних, то есть богатых, по пять рублей платили в год за обучение. В двухклассном училище обучались дети станичной знати.
В 1917 году в Роговской появилась высшее начальное училище, там был и подготовительный класс.
В 1921 году была школа двух ступеней, по её окончании выпускникам выдавали удостоверение о том, что они могут в дальнейшем преподавать.
1929 год – первый выпуск советской школы.
1937 год. Школа стала десятилетней. Директором был Михаил Михайлович Романенко. В эти времена построена спортивная площадка, а в бывшей избе-читальне открыта школьная библиотека. В школе начиная с четвёртого класса ежегодно проводились переводные экзамены. В эти годы много времени уделялось технике и конструированию. Ученики Тищенко, Никулин и Головко под руководством учителей сами сконструировали паровой двигатель.
1942-1943 годы. Этот период известен в истории станицы как оккупационный режим. В Роговской были расположены румынские части, союзники немцев. А в феврале 1943 года – долгожданное освобождение. В здании школы был организован военно-передвижной полевой госпиталь №576. Круглые сутки сюда привозят раненых. Оперировали, увозили. Многие стались здесь навечно. Затем в апреле 1943 года госпиталь свернулся и уехал вслед за уходящим фронтом, в сторону ст. Славянкой. Кубань возвращалась к мирной жизни.
Год 1943. Директор школы Петров Л. С. Перед ним и всем педагогическим составом стояла нелёгкая задача: наладить процесс учебной деятельности. Школа была разрушена на 20%, нужно было её восстанавливать.
В 1947 директором школы был Павел Николаевич Никитин. В СШ №1 создаётся великолепный струнный оркестр. к 150-летию великого А. С. Пушкина школный драмкружок, которым руководил Саша Афанасьевич Черединиченко, поставил спектакль «Цыгане».
1952 год. Директором школы был требовательный и очень строгий Иван Кузьмич Лыков, к тому же он исполнял в 1951-1952 годах обязанности завраоно. При нем разбит в школьном дворе фруктовый сад, виноградники. активно работает школьная библиотека.
В 1958 году уделяется большое внимание связи школы с производством. Инициативу государства первыми из школ страны подхватила наша школа. Недаром полное ее название - Роговская средняя общеобразовательная трудовая политехническая школа с производственным обучение № 49. Руками учеников на территории школы была построена уникальная теплица. Под руководством учителей начальных классов Валентины Ефремовны Кузьменко, Нины Емельяновны Дубницкой, Нины Ефремовны Быстровой школьники самостоятельно выращивали птицу.
Год 1961. Роговская СШ № 49 имеет на своей территории восемь зданий, среди которых есть учебные мастерские, библиотека с лабораторией, военный кабинет, теплица (по наружному обмеру ее объем 75 м3), все здания отапливались углем.
Год 1964. Выдержка из журнала «Физическое воспитание в школе»: «...Есть такая станичная школа, где спортивная база — просто удивление. И все сделано своими руками. В колхозной школе № 49 Роговской станицы есть гимнастический зал размером 19x8,7 м, оснащенный полным комплектом гимнастических снарядов, и великолепное спортивное ядро. В нем - две волейбольные и две баскетбольные площадки. Круговая беговая дорожка длиной 230 м, и к ней, по касательной, примыкает прямая стометровка. Тут же легкоатлетические секторы для метания и прыжков в длину и высоту. Все площадки дренажированные. Спортивный городок электрифицирован и радиофицирован, огорожен аккуратным штакетником и обсажен лавровишневым кустарником.
И как же строился этот чудо-городок? Какие пружины были приведены в действие и кем именно? Директор П. П. Дубницкий сказал: «Предложение о строительстве внес фанат своего дела, страстно влюбленный в спорт великолепный человек и учитель физкультуры Василий Терентьевич Коломиец». Его азарт передался ребятам, и они сказали: «Даешь спортплощадку!». Избран штаб. Корчуются деревья (50 акаций). Даже ночью, оповещая друг друга, школьная детвора разгружала по 5-6 машин песка и гравия.
1966 год. Директор школы Георгий Наумович Антюшин. В этом году была сдана в эксплуатацию новая двухэтажная школа. Теснейшая связь школы и колхоза имени Калинина, председателем которого был А. А. Багмут, сделала свое дело: школа получила в подарок первый в крае лагерь труда и отдыха. Сегодня ЛТО «Золотой колос» приобрел статус регионального значения. Построен спорткомплекс.
Неоценимую помощь школе оказывал и преемник Багмута А, В. Тадеев. Все годы наши школьники ударно трудились на полях колхоза, фермах. Колхозом школе передан трактор, аппараты машинного доения и многое другое. Ребята, сочетая труд и отдых, на протяжении десятилетия как лучшие награждались грамотами, премиями, поездками к морю и экскурсиями по городам страны.
И не мудрено, что директор школы был приглашен на коллегию Министерства просвещения СССР для вручения Почетной грамоты, а также значка «Почетный член спортивного общества». Наша школа была признана лучшей в РСФСР среди сельских школ по спортивно-оздоровительной работе.
1966 год. Директор школы Георгий Наумович Антюшин. В этом году была сдана в эксплуатацию новая двухэтажная школа. Теснейшая связь школы и колхоза имени Калинина, председателем которого был А. А. Багмут, сделала свое дело: школа получила в подарок первый в крае лагерь труда и отдыха. Сегодня ЛТО «Золотой колос» приобрел статус регионального значения. Построен спорткомплекс.
Неоценимую помощь школе оказывал и преемник Багмута А, В. Тадеев. Все годы наши школьники ударно трудились на полях колхоза, фермах. Колхозом школе передан трактор, аппараты машинного доения и многое другое. Ребята, сочетая труд и отдых, на протяжении десятилетия как лучшие награждались грамотами, премиями, поездками к морю и экскурсиями по городам страны.
1976 год. Директором школы был Мищенко Михаил Михайлович. Его директорство — это правильно спланированная, чётко отлаженная организация учебно-воспитательного процесса. Содержательные педагогические советы, великолепные школьные линейки. Это человек сердечный, большой души, который остро реагировал на любую, даже бытовую проблему каждого, непременно оказывал помощь. До сегодняшнего дня бывшие ученики, а теперь уже учителя вспоминают его добрым словом. Он сейчас работает директором в Медвёдовской школе.
Год 1998. Нашей школе 100 лет. Юбилей! Это итоги сделанного и задачи на перспективу. Это поиск дерзаний, творчество. Это большая, тернистая, но, безусловно, всем нужная дорога длиною в 100 лет.
Символично, что в канун золотого юбилея школы, жизнь распорядилась так, что к нам пришёл молодой и энергичный директор Сергей Дмитриевич Тарасов. Новаторство, инициатива, современный взгляд на дело. Которому он служит, позволяет ему целенаправленно идти к поставленной цели. За кратчайшие сроки сделан в школе ремонт, заменена теплотрасса. Поставлена новая изгородь вокруг территории школы. Заменена крыша на основном здании. Создан компьютерный класс.
Год 2000. Впервые проведены выборы Президента школы. Соблюдая все принципы избирательного процесса. Старшеклассники выбрали себе вожака, который встал во главе ученического самоуправления.
Школа в разные времена имела разные номера. В 1934 – СШ № 1, когда станица Роговская вошла в состав Тимашевского района стала школой им. Герцена № 49, а 70-е годы при подсчёте всех средних школ района Роговская школа получила № 15. В настоящее время
1.1.2 Структура Муниципального Образовательного Учреждения СОШ № 15
Структура МОУ СОШ №15 показана на рисунке 1.
.
Рисунок 1 - Структура предприятия
1.1.3 Форма собственности МОУ СОШ №15
Муниципальное Общеобразовательное Учреждение Средняя Общеобразовательная Школа №15 является организацией с муниципальной формой собственности.
1.1.4 Комплекс оказываемых услуг.
Предприятие производит обучение детей в с 1 по 11(12) классы. По окончанию 9 и 11 (12) классов выдаются аттестаты. Так же предприятие производит дополнительное обучение по специальностям «оператор ЭВМ» и «Тракторист-машинист» для учеников 10-11 классов.
1.2 Ведущие подразделения МОУ СОШ №15
Ведущим и единственным подразделением в МОУ СОШ №15 является «Школьная информационная служба». За остальные функции учреждения отвечают:
Заместитель директора по учебно-воспитательной работе;
Заместитель директора по воспитательной работе;
Заместитель директора по административно хозяйственной части.
1.3 Должностные обязанности работников школьной информационной службы
1.3.1 Руководитель информационной Службы
Руководитель информационной Службы. В соответствии с письмом Министерства образования РФ от 13.08.2002 № 01-51-088ин «Об организации использования информационных и коммуникационных ресурсов в общеобразовательных учреждениях» при наличии соответствующих условий руководитель Службы утверждается директором образовательного учреждения на должность заместителя директора;
Подчиняется непосредственно директору образовательного учреждения. Назначение на должность и освобождение от нее производится приказом директора образовательного учреждения. На время отсутствия руководителя школьной информационной службы (отпуск, болезнь) его обязанности исполняет лицо, назначенное в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за качественное и своевременное исполнение возложенных на него обязанностей.
Должностные обязанности руководителя Службы:
планирует и осуществляет управление деятельностью Службы для достижения целей и решения задач, отраженных в Положении о Службе;
несет ответственность перед руководством и коллективом образовательного учреждения за планирование, организацию и осуществление деятельности всей информационной Службы;
координирует процесс формирования фонда научной и учебно-методической литературы по информатизации, сведений и данных, необходимых для формирования и пополнения информационных баз и банков данных образовательного учреждения, информационных источников на различных носителях (CD-Rom, DVD-Rom и др.);
ведет контроль за внедрением и использованием передовых педагогических и информационных технологий в образовательном учреждении, за оптимальным сбором, переработкой и использованием информационных ресурсов и их защиты от несанкционированного доступа;
курирует проведение в помещениях Службы занятий, методических мероприятий, семинаров и совещаний в соответствии с планами работ образовательного учреждения;– выносит на рассмотрение руководства образовательного учреждения предложения, направленные на улучшение и оптимизацию организации и качества работ Службы, образовательного учреждения в сфере информатизации;
организует и координирует учебный, учебно-методический, научно-исследовательский процесс Службы;
своевременно оформляет договорную, финансовую и отчетную документацию по выполняемым работам работниками Службы, несет ответственность за своевременное и качественное выполнение таких работ;
отвечает за соблюдение санитарно-гигиенических требований, правил и норм охраны труда и техники безопасности работниками Службы.
Руководитель Службы обязан знать:
Конституцию Российской Федерации; законы Российской Федерации, решения Правительства Российской Федерации и органов управления образованием по вопросам образования обучающихся;
Конвенцию о правах ребенка; педагогику, педагогическую психологию, достижения современной психолого-педагогической науки и практики;
основы физиологии, гигиены;
теорию и методы управления образовательными системами; основы экологии, экономики, права, социологии;
организацию финансово-хозяйственной деятельности учреждения;
административное, трудовое и хозяйственное законодательство;
правила и нормы охраны труда, техники безопасности и противопожарной защиты.
1.3.2 Методист информационной службы
Методист информационной службы относится к категории педагогических работников. Назначение на должность методиста Службы и освобождение от нее производится приказом директора образовательного учреждения по представлению руководителя школьной информационной службы. Методист подчиняется непосредственно руководителю школьной информационной службы. На время отсутствия методиста (отпуск, болезнь) его обязанности исполняет лицо, назначенное в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за качественное и своевременное исполнение возложенных на него обязанностей.
Должностные обязанности:
участвует в планировании методической работы образовательного учреждения на год по направлению "информатизация";
ведёт анализ и систематизацию нормативно-правовой документации, методических материалов, научно-методической литературы, материалов средств массовой информации по вопросам информатизации образования;
участвует в планировании и проведении мероприятий по повышению компьютерной и информационной компетентности работников образовательного учреждения;
выносит методические рекомендации по обновлению содержания образования с использованием педагогических и информационных технологий в образовательном процессе;
участвует в координации проектных, учебно-исследовательских и научно-исследовательских работ обучающихся в образовательном учреждении, связанных с применением средств телекоммуникаций и компьютерных технологий;
участвует в формировании методических рекомендаций по использованию учебной и методической литературы в преподавании информатики и применению педагогических и информационных технологий в образовательном процессе.
Методист информационной службы должен знать:
Конституцию Российской Федерации; законы Российской Федерации, решения Правительства Российской Федерации и органов управления образованием по вопросам образования; Конвенцию о правах ребенка;
принципы дидактики; основы педагогики и возрастной психологии; общие и частные технологии преподавания;
методики владения и принципы методического обеспечения учебного предмета или направления деятельности;
систему организации образовательного процесса в учреждении; принципы и порядок разработки учебно-программной документации, учебных планов по специальностям, образовательных программ, типовых перечней учебного оборудования и другой учебно-методической документации;
методику выявления, обобщения и распространения эффективных форм и методов педагогической работы в учреждениях;
принципы организации и содержание работы методических объединений педагогических работников учреждений;
основы работы с издательствами;
принципы систематизации методических и информационных материалов;
основные требования к аудиовизуальным и интерактивным средствам обучения, организации их проката;
содержание фонда учебных пособий; основы трудового законодательства; правила и нормы охраны труда, техники безопасности и противопожарной защиты.
1.3.3 Программист (системный администратор локальной сети образовательного учреждения)
Программист относится к категории специалистов. Назначение на должность программиста и освобождение от нее производится приказом директора образовательного учреждения по представлению руководителя школьной информационной службы. Программист подчиняется непосредственно руководителю школьной информационной службы.
Должностные обязанности:
планирует загрузку оборудования, отвечает за работу подузла информационных сетей и относящихся к нему средств электронных коммуникаций (локальной сети образовательного учреждения), в соответствии с планами работы Службы и образовательного учреждения;
определяет необходимость и возможность использования готовых программных средств;
осуществляет сопровождение внедренных программ и программных средств;
оказывает содействие и помощь специалистам образования, преподавателям и участникам ВТК, выполняющим работы с использованием оборудования и средств связи подузла по заданию администрации образовательного учреждения;
участвует в организации работ по техническому и программно-методическому обеспечению функционирования подузла, способствует инновационной и опытно-экспериментальной работе в нем;
участвует в организации технических и учебно-методических мероприятий образовательного учреждения с использованием оборудования и средств связи подузла;
следит за сохранностью оборудования подузла, обеспечивает его своевременный ремонт, отвечает за соблюдение норм и правил техники безопасности и гигиены здоровья работников и обучающихся, использующих оборудование подузла;
ведет учет времени и объема загрузки оборудования, организует ремонт техники и дооснащение подузла.
Программист должен знать:
Руководящие и нормативные материалы, регламентирующие использование вычислительной техники при обработке информации.
Виды программного обеспечения, современные операционные системы.
Технико-эксплуатационные характеристики, конструктивные особенности, назначение и режимы работы электронно-вычислительных машин, правила ее технической эксплуатации.
Технологию автоматической обработки и кодирования информации.
Формализованные языки программирования.
Порядок оформления технической документации.
Основы трудового законодательства.
Правила внутреннего трудового распорядка.
Правила и нормы охраны труда.
1.3.4 Электротехник
Электротехник относится к категории специалистов. Назначение на должность электроника и освобождение от нее производится приказом директора образовательного учреждения по представлению руководителя школьной информационной службы. Электроник подчиняется непосредственно руководителю школьной информационной службы.
Должностные обязанности электроника:
обеспечивает правильную техническую эксплуатацию, бесперебойную работу электронного оборудования Службы;
проводит техническое обслуживание и ремонт оборудования Службы (в рамках своей компетенции), мероприятия по улучшению его эксплуатации, эффективному использованию;
отвечает за техническое обслуживание вычислительной техники, обеспечивает ее рациональное использование, работоспособное состояние, проведение профилактического и текущего ремонта, принимает меры по своевременному и качественному выполнению ремонтных работ;
участвует в проверке технического состояния электронного оборудования, проведении профилактических осмотров и текущего ремонта, приемке оборудования из капитального ремонта, а также в приемке и освоении вновь вводимого в эксплуатацию оборудования;
изучает возможность подключения дополнительных внешних устройств к электронно-вычислительным машинам с целью расширения технических возможностей Службы;
отвечает за проведение работ по развитию и сопровождению системы мониторинга качества образовательных услуг в образовательном учреждении;
привлекается для демонстрации работы оборудования Службы во время образовательного процесса.
Электроник должен знать:
Руководящие и нормативные материалы, касающиеся эксплуатации и ремонта электронной вычислительной техники;
правила его технической эксплуатации; технологии автоматизированной обработки информации;
формализованные языки программирования; виды технических носителей информации;
основы математического обеспечения и программирования;
организацию ремонтного обслуживания электронной вычислительной техники;
правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты.
1.3.5 Техник
Техник относится к категории специалистов. Назначение на должность техника и освобождение от нее производится приказом директора образовательного учреждения по представлению руководителя школьной информационной службы. Техник подчиняется непосредственно руководителю школьной информационной службы
Должностные обязанности техника:
проводит текущие технические работы по обеспечению нормального функционирования оборудования Службы, поста электронной почты и их эксплуатации;
в рамках своей компетенции осуществляет помощь в монтаже, запуске и ремонте ВТ и другого оборудования Службы, настройку и опытную проверку оборудования Службы, следит за его исправным состоянием;
выполняет работу по обеспечению сбора, накопления, автоматизированной обработки поступающей в Службу учебной, педагогической информации, сохранению информации на всех видах носителей;
принимает и регистрирует поступающую по электронной почте документацию и корреспонденцию, обеспечивает ее сохранность;
систематизирует, обрабатывает и подготавливает данные для составления отчетов о работе;
принимает участие в обучении работников и обучающихся в образовательном учреждении;
принимает участие в сборе информации и переводе ее на электронные носители, создает и сопровождает информационные базы данных, необходимые для работы Службы;
участвует в проведении работ по развитию и сопровождению системы мониторинга качества образовательных услуг в образовательном учреждении;
оказывает помощь в монтаже, запуске и ремонте вычислительной техники и другого оборудования Службы в рамках своей компетенции;
изучает с целью использования в работе справочную и специальную литературу;
выполняет отдельные служебные поручения своего непосредственного руководителя;
привлекается для демонстрации работы оборудования Службы во время образовательного процесса.
Техник должен знать:
методические, нормативные и справочные материалы по выполняемой работе; терминологию, применяемую в специальной литературе по профилю работы;
методы автоматизированной обработки информации;
средства вычислительной техники, сбора, передачи и обработки информации и правила их эксплуатации;
виды технических носителей информации, правила их хранения и эксплуатации;
основы делопроизводства;
основы трудового законодательства;
правила внутреннего трудового распорядка;
правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты.
1.4 Описание технологии работ во время практики.
Рабочий день начинается в 8 00 и заканчивается в 18 00. Перерыв с 13 00 до 15 00. Руководитель практики в начале рабочего дня даёт задание, которое необходимо выполнить самому или в качестве помощника-ассистента программиста (системного администратора), электроника, техника, лаборанта. Повторение правил техники безопасности и охраны труда на конкретных рабочих местах в соответствии с должностными обязанностями работников. После окончания работы, если она завершена до конца рабочего дня, даётся следующее задание. В зависимости от вида проводимых работ, выдаётся необходимый для выполнения работы инструмент или программное обеспечение, разрешается доступ в Интернет. По окончанию работы инструмент сдаётся руководителю практики.
1.5 Формы оплаты труда
Форма оплаты труда МОУ СОШ №15 для обслуживающего и учебно-вспомогательного персонала устанавливается исходя из разрядов единой тарифной сетки . Для материального и морального стимулирования сотрудников разработано положение о материальном стимулировании МОУ СОШ №15. Оплата работника определяется его личным трудовым вкладом с учётом конечных результатов работы и максимальными размерами на ограничивается. Установленные государством должностные оклады и часовые тарифные ставки являются гарантом минимальных размеров оплаты труда. В целях поощрения работника применяются следующие виды материального стимулирования: надбавки, доплаты, премии.
Надбавки устанавливаются за достижением высокой результативности в работе, успешное выполнение наиболее сложных видов деятельности, напряженность, интенсивность и другие качественные показатели труда данного работника.
Доплаты устанавливаются за дополнительную работу непосредственно не входящую в круг должностных обязанностей работника.
Премия – дополнительная часть заработной платы выплачиваемая за выполнение плановых результатов школы. Могут быть премии как индивидуального характера, так и коллективные. Работникам школы оказывается материальная помощь (в размере до 2 тысяч рублей) к отпуску, в связи с юбилейными датами, свадьбой, рождением ребёнка, для платного лечения сотрудника или его семьи, а также в связи с чрезвычайными обстоятельствами.
1.6 Обеспечение охраны труда в МОУ СОШ №15
В соответствии с Федеральным законом «Об основах охраны труда в Российской Федерации» от 17 июля. 1999 г. № 181 -Ф 3, требованиями охраны труда в статьях 209-237 Трудового кодекса РФ, в целях улучшения организации работы по созданию здоровых и безопасных условий труда, проведению образовательного процесса в 2007 году назначена ответственной за охрану труда и соблюдение правил техники безопасности заместителя директора по АХР Прокопец О.М., создана комиссию по охране труда и соблюдению правил техники безопасности в составе:
– Перистый В.П., директор школы,
– Прокопец О.М., зам, директора по АХЧ,
– Наделяева И.В., председатель профкома.,
– Чернышев В,КЗ., преподавателю - организатору ОБЖ.
Комиссией по охране труда и соблюдению правил техники безопасности:
Разработать раздел Коллективного договора об охране труда, совместные мероприятия администрации и трудового коллектива по обеспечению требований охраны: труда, предупреждению производственного травматизма и профессиональных заболеваний.
Разработан проверку условий и охраны труда на рабочих местах два раза в год (сентябрь, февраль) и информировать работников о результатах проверок на собраниях трудового коллектива, (отв. Наделяева И.В.)
Возложить ответственность на заместителей директора по учебно-воспитательной работе Дзюба Т. А. и учителя математики Дудукалову А. П. за:
организацию работы по соблюдению в образовательном процессе норм и правил охраны труда;
обеспечение контроля за безопасностью приборов;
организацию разработки и периодический осмотр инструкций по охране труда, а также разделов требований безопасности при проведении практических и лабораторных работ;
контроль за своевременным проведением инструктажа обучающихся по технике безопасности и его регистрацию в журнале;
проведение совместно с профсоюзным комитетом контроля безопасности использования учебных приборов, мебели, химических реактивов (изымать все то, что не предусмотрено типовыми перечнями; приостанавливать образовательный процесс в помещениях, если создаются условия, опасные для здоровья);
выявление обстоятельств несчастных случаев с учащимися, воспитанниками, сотрудниками;
ведение «Журнала регистрации несчастных случаев с учащимися, воспитанниками», происшедшими на уроках и в ГПД (Кравец Т.Влад,. зам по УВР);
ведение «Журнала инструктажа безопасности труда на рабочем-месте» (зам. по А.ХР Прокопец О. М.).
Возложена ответственность на заместителя директора по админи¬стративно-хозяйственной работе Прокопец О.М. за:
обеспечение соблюдения требований охраны труда при эксплуатации основного здания и хозяйственных построек, технологического и энергетического оборудования, осуществление их периодического осмотра и организацию текущего ремонта;
обеспечение безопасности при погрузочно-разгрузочных работах;
организацию соблюдения требований пожарной безопасности, исправность средств пожаротушения:
обеспечение текущего контроля за санитарно-гигиеническим состоянием всех помещений учреждения;
обеспечение учебных кабинетов, мастерских и других помещений оборудованием и инвентарем;
отвечающим требованиям правил и норм техники безопасности;
организацию проведения ежегодных измерений сопротивления изоляции электроустановок и электропроводки, заземляющих устройств, периодических испытаний и освидетельствований системы отопления, анализ воздушной среды на содержание пыли, газов и паров вредных веществ, замер освещенности, наличие радиации, шума в помещениях в соответствии с правилами: и нормами по обеспечению безопасности жизнедеятельности;
организацию разработки инструкций по охране труда по видам работ для технического персонала (не реже 1 раза в 5 лет);
организацию обучения, проведение инструктажа при приеме на работу технического персонала с записью в «Журнал регистрации: вводного инструктажа по безопасности труда», а также периодические текущие инструктажи с записью в «Журнал регистрации вводного инструктажа по безопасности труда на рабочем месте»;
приобретение и выдачу спец, одежды и других индивидуальных средств защиты;
2 Защита информации в локальной сетиы
В связи с бурным развитием локальных и глобальных вычислительных сетей широкое развитие получили и методы разведки (промышленного шпионажа), направленные на перехват информации, обрабатываемой (передаваемой, хранящейся) в локальных сетях. Причем, трудно уверенно сказать, кто сейчас больше занимается разведывательной деятельностью: государства против других государств или коммерческие фирмы против других фирм. Соответственно, бурное развитие получили и методы противодействия разведке. Как правило, проникновение в локальную сеть какой либо организации возможно только при недостаточно квалифицированной настройке всех элементов локальной сети (включая и каждую рабочую станцию) администратором системы. В случае же грамотной настройки, применения дополнительных программных и аппаратных средств, выполнении необходимых организационных мероприятий, шпионам необходимо изыскивать методы добывания информации, не связанные с необходимостью проникновения в локальную сеть. В связи с этим в последнее время "второе дыхание" получают методы перехвата информации по каналам побочных излучений и наводок элементов локальной сети.
Методика защиты отдельных компьютеров достаточно хорошо проработана, подкреплена необходимыми нормативными документами. Задача же защиты информации от утечки по каналам в локальной сети существенно сложнее, чем для автономно используемых устройств.
2.1 Защита активного оборудования и рабочих станций
Источниками электромагнитных излучений в локальной сети являются, безусловно, рабочие станции (компьютеры) и активное сетевое оборудование. Для защиты от утечки информации по каналам побочных излучений и наводок применяется экранирование этого оборудования.
Для снижения уровня излучений активного оборудования локальной сети это оборудование лучше всего размещать в экранированном шкафу. В частности, можно рекомендовать шкафы производства Schroff GmbH типа "HF". В конструкции этих шкафов приняты специальные меры по улучшению экранирующих свойств, такие, как, например, пружинящие контакты по всему периметру дверцы пример на рисунке 2.
Рисунок 2 – Дверь с контактами
Благодаря этому достигнуто ослабление радиочастотных сигналов свыше 80 децибел на частоте 30 МГц. На более высоких частотах уровень ослабления лежит в пределах от 40 до 70 децибел.
Хорошей практикой является размещение в этих же шкафах и серверов. Иногда в таких шкафах можно разместить и компьютеры. Однако чаще компьютеры устанавливаются на рабочих местах и, соответственно, приходится полагаться на экранирующие свойства их корпусов.
В настоящее время в Украине на рынке оборудования для средств вычислительной техники доступны корпуса очень высокого качества, в том числе и предназначенные для изготовления компьютеров, удовлетворяющих требования Европейской Директивы по электромагнитной совместимости (European EMS Directive 89/336/EEC). Однако, на уровень излучения существенно влияет качество всех элементов, устанавливаемых в компьютер, а не только качество его корпуса. Более того, требования по электромагнитной совместимости намного менее жесткие, чем требования по технической защите информации. Проводились исследования уровней излучения, создаваемых компьютерами в различных серийно выпускаемых корпусах. Результаты исследований показали, что современные корпуса позволяют значительно ослабить излучения элементов компьютера. Однако, за редким исключением, без дополнительной доработки ни один серийный корпус не может использоваться в качестве корпуса компьютера с защитой информации. Более того, качество экранирования корпуса системного блока компьютера влияет на уровень излучения всех устройств, подключенных к системному блоку (например, клавиатуры).
Стандартная клавиатура обычно имеет очень высокий уровень излучения. В тоже время с клавиатуры вводятся очень критичные с точки зрения безопасности данные, включая пароли пользователей и администратора системы. Излучение клавиатуры относительно узкополосное и сосредоточено, в основном, в области коротких и ультракоротких волн. Для его перехвата может использоваться очень дешевый коротковолновый разведывательный приемник. Учитывая также, что данные, вводимые с клавиатуры, вводятся в последовательном коде и поэтому могут быть легко интерпретированы, излучения, создаваемые клавиатурой, следует считать наиболее опасными.
Результаты же измерений уровня электрической показано на рисунке 3 и магнитной рисунке 4 составляющих, показал, что у компьютеров с различными серийно выпускаемыми корпусами системных блоков мощность побочных излучений от клавиатуры может отличаться более чем в 100 раз.
Рисунок 3 – Уровень электрической составляющей.
Рисунок 4 – Уровень магнитной составляющей.
Аналогичные соотношения получаются и для других устройств, входящих в состав ПК.
Самый главный же вывод из результатов измерений неутешителен: при более или менее жестких требованиях по безопасности любой серийный корпус необходимо дорабатывать.
Задача доработки стандартных корпусов и шкафов, пусть даже с улучшенными характеристиками по электромагнитной совместимости, на первый взгляд простая, но в практической реализации оказывается далеко не тривиальной.
Во-первых, корпуса изготавливаются не из цельного куска металла. В местах соединения отдельных конструкций корпуса всегда есть щели, которых достаточно для того, чтобы существенно ухудшить экранирующие свойства.
Во-вторых, корпус электронного прибора, как правило, не может быть герметичным. Нужны вентиляционные отверстия для отвода тепла.
В третьих, конструкция экранирующего корпуса не может быть рассчитана заранее. Поэтому доработка стандартного корпуса с целью улучшения его экранирующих свойств это всегда экспериментальная работа.
Тем не менее, эти трудности разрешимы. Сейчас существует множество материалов, предназначенных для улучшения экранирующих свойств корпусов. (Всевозможные пружинящие уплотнители, электропроводящие эластомеры, самоклеющиеся металлизированные покрытия).
Еще больше хлопот приносит блок питания. Точнее говоря, не сам по себе блок питания, а необходимость подачи электроэнергии внутрь экранированного корпуса. Внутрь экранированного объема любой провод может заходить только через специальный фильтр, препятствующий распространению побочных излучений вдоль этих проводов.
В настоящее время теория фильтров очень хорошо проработана. Однако, для правильного расчета характеристик фильтра необходимо знать выходное сопротивление источника высокочастотных колебаний (блока питания активного оборудования) и входное сопротивление приемника этих колебаний (электрической сети, от которой данное оборудование запитывается). В нашем случае выходное сопротивление конкретного блока питания еще можно каким-либо образом измерить. Но комплексное внутреннее сопротивление электрической сети мы не будем знать никогда. А оно в зависимости от протяженности линий электропитания, количества и характеристик подключенной к этой сети приборов может не только изменяться по величине, но и менять свой характер. На некоторых частотах комплексное сопротивление может носить емкостной характер, на некоторых индуктивный. И это сопротивление может изменяться при подключении к линии электропитания различных приборов. Поэтому разработка фильтра для подавления излучений в цепях электропитания это тоже большей частью экспериментальная работа. Хороший результат достигается путем большого количества проб и ошибок. Более того, ни один серийно изготавливаемый фильтр не может полностью выполнять свои функции в широкой полосе частот. Хорошие фильтры - это компромиссное решение, которое только в большинстве случаев удовлетворяет предъявляемым к фильтру требованиям.
Тем не менее, техника, в частности компьютеры, изготавливаются в защищенном от утечки информации по каналам исполнении уже очень давно. И только конструкторы такой техники представляют, каким трудом удается получить требуемые характеристики.
2.2 Компьютеры с защитой информации и заземление
Компьютеры с защитой информации могут использоваться как в составе локальной вычислительной сети, так и автономно. В зависимости от этого характеристики по защите информации от утечки по каналам могут существенно отличаться. И основным фактором, приводящим к различию характеристик, является заземление устройств. Особенности заземления устройств в составе локальной сети мы рассмотрим несколько позже, после анализа побочных излучений кабельной системы.
Что же касается автономных устройств, то вопреки распространенному мнению заземление не улучшает и не ухудшает их экранирующих свойств.
Заземление необходимо только по требованиям техники электробезопасности.
Впрочем, учитывая сказанное выше, понятно, что из-за неидеальности экранирования определенное влияние заземление все же оказывает. Как правило, уровень побочных излучений при грамотно выполненном заземлении несколько снижается. Однако в некоторых случаях при подключении заземления уровень побочных излучений может и увеличиться. Поэтому нельзя однозначно утверждать, что заземление необходимо с точки зрения защиты информации от утечки по каналу. И более того, чем качественнее выполнено экранирование корпуса (включая и качество фильтров в цепях электропитания), тем меньше сказывается на уровне побочных излучений наличие или отсутствие заземления.
2.3 Побочные излучения кабельной системы
Кабельная система не содержит активных или нелинейных элементов, поэтому сама по себе она не может быть источником побочных излучений. Однако кабельная система связывает между собой все элементы компьютерной сети. По ней передаются сетевые данные, но вместе с этим она является также приемником всех наводок и средой для переноса побочных электромагнитных излучений рисунок 5.
Рисунок 5 – Кабельная система
Поэтому следует различать:
Побочное излучение, вызванное передаваемыми по данной линии сигналами (трафиком локальной сети);
прием и последующее переизлучение побочных излучений от расположенных вблизи других линий и устройств;
излучение кабельной системой побочных колебаний от элементов сетевого активного оборудования и компьютеров, к которым подключен кабель.
Довольно часто при оценке защищенности кабельной системы интересуются только тем, насколько ослабляется побочное излучение, вызванное сигналами, передаваемые по кабелю в процессе сетевого обмена информацией. Все понимают, что если по радиоизлучению кабельной системы можно восстановить трафик в локальной сети, то это представляет большую опасность. На самом деле трафик локальной сети достаточно хорошо защищен от утечки информации по каналам и без нашего участия. Современные кабели для локальных сетей имеют очень низкий уровень излучения передаваемых сигналов. В этих кабелях сигналы передаются по витой паре проводов, причем количество скруток на единицу длины строго постоянно. Благодаря этому витая пара получается очень хорошо сбалансированной. В принципе такая система вообще не должна излучать. Более того, наличие экрана у витой пары очень мало влияет на уровень излучения сигналов, передаваемых по витой паре.
Правда, в реальной системе всегда имеют место отдельные неоднородности кабеля. В первую очередь они возникают при небрежной или неквалифицированной прокладке кабеля. На местах поворотов кабеля в случае резкого изгиба изменяется взаимное положение проводников в витой паре и, как следствие, изменяется волновое сопротивление. Кроме того, большое влияние оказывает качество заделки кабеля в коннекторы. Более того, количество скруток на единицу длины в разных парах одного кабеля разное, к тому же каждый производитель имеет свое мнение по вопросу, сколько скруток на единице длины должно быть. Да и конструкция коннекторов у разных производителей разная. Все это, безусловно, влияет на уровень побочного излучения, возникающего в процессе сетевого обмена. Тем не менее, уровень излучения сигналов, передаваемых по кабелю, остается довольно низким, особенно для кабелей категории выше пятой. Реально на расстоянии буквально единиц метров уже невозможно по электромагнитному излучению современного кабеля перехватить передаваемую по нему информацию.
Но в большинстве практических случаев кабельная система - это отличная антенна для всех побочных излучений оборудования, подключенного к сети. Побочные излучения, возникающие в элементах компьютера, наводятся на все провода кабеля локальной сети рисунок 6.
Рисунок 6 – Побочные излучения в элементах компьютера
Вследствие этого для побочных излучений элементов компьютера кабель локальной сети нельзя рассматривать как витую пару. Его необходимо рассматривать просто как одиночный многожильный провод, выходящий за пределы экранированного объема. Поставить для этих проводов фильтр, подавляющий побочные излучения, невозможно. Ведь побочные излучения элементов компьютера (жесткий диск, клавиатура) сосредоточены в той же полосе частот, что и спектр импульсов, передаваемых по витой паре в процессе сетевого обмена. Подавляя побочные излучения, мы подавим и сетевой трафик. Таким образом, если компьютер с защитой информации включить в локальную сеть на неэкранированной витой паре, то провода неэкранированной витой пары, играя роль антенны, могут усилить напряженность поля, создаваемого, например, клавиатурой компьютера (рисунок 3 и рисунок 4), в десятки тысяч раз. Поэтому неэкранированная витая пара не может применяться в локальной сети, в которой обрабатывается информация с ограниченным доступом.
Применение же экранированной витой пары значительно улучшают ситуацию, но не гарантирует подавления синфазных наводок. Причин для этого в локальной сети много, но основная - заземление устройств, входящих в состав локальной сети.
2.4 Заземление в локальной сети
По технике электробезопасности все активное оборудование, входящее в состав локальной сети, должно иметь защитное заземление. Защитное заземление активного оборудования слабо влияет на излучение информации, циркулирующей в локальной сети. Но оно коренным образом изменяет способность кабелей локальной сети излучать синфазно наведенные на эти кабели колебания, вызванные работой элементов компьютера. Рассмотрим эквивалентную схему участка локальной сети для побочных излучений элементов компьютера (рисунке 7):
Рисунок 7 – Эквивалентная схема участка сети.
Побочные излучения элементов компьютера наводятся синфазно на провода кабельной системы. Электрическое поле E, создаваемое наведенным излучением, локализуется в пространстве между жилами кабеля и экранирующей оплеткой. Поэтому оно очень хорошо подавляется (по крайней мере, при применении высококачественных кабелей). Наведенное напряжение приводит к появлению наведенного тока по жилам кабеля Iпр. и его оплетке Iобр. В отсутствии заземления магнитное поле, вызванное протеканием наведенного тока по жилам кабеля, компенсируется магнитным полем, вызванным протеканием этого тока во встречном направлении по оплетке кабеля. Поэтому в незаземленной системе побочные излучения элементов компьютера, проникающие в экранированные кабели локальной сети, могут быть хорошо подавлены.
В том случае, если все активное оборудование заземлено, излучение элементов компьютера также вызывает появление наведенного тока Iпр. по жилам кабеля. Однако обратный ток в этом случае протекает как по экранирующей оплетке кабеля Iобр., так и по проводам заземления I'обр. рисунок 8.
Рисунок 8 – Схема участка сети.
В результате в контуре, образованном экранирующей оплеткой кабеля и проводами (шинами) заземления образуется разностный ток DI. Поэтому рассматриваемый контур для наведенного тока в кабеле, оплетке и цепях заземления представляет собой рамочную антенну, иногда просто гигантских размеров. Именно этот эффект и приводит к тому, что при подключении хорошо защищенного компьютера к локальной сети уровень излучений компьютера (в первую очередь, магнитной составляющей) значительно возрастает независимо от того, экранированные кабели применяются или нет. Особенно хорошо данный эффект проявляется на относительно низких частотах. А ведь во многих случаях именно подавление магнитной составляющей на низких частотах представляет трудности даже для автономного (не подключенного к локальной сети) устройства (рисунок 4).
Важно отметить, что рамочная антенна образуется независимо от того, каким образом и как качественно выполнено заземление. Устранить это явление рациональным выбором системы заземления нельзя. Единственный способ уменьшить излучение - это подключение защитного заземления к каждому элементу локальной сети через фильтр, который обладает большим сопротивлением в широкой полосе частот, но малым сопротивлением на частоте 50 герц.
2.5 Сеть локальная как часть сети глобальной
Локальная компьютерная сеть в настоящее время уже не может эксплуатироваться автономно, без взаимодействия с другими сетями. В частности, любая организация, будь то частное предприятие или орган государственного управления, должна быть активно представлена в глобальной сети Интернет. Это и собственный сайт, и общедоступная электронная почта, и доступ сотрудников к информации глобальной сети. Такое тесное взаимодействие вступает в конфликт с требованиями обеспечения безопасности.
При взаимодействии нескольких сетей могут возникать различные угрозы безопасности. Например, при подключении к глобальной сети Интернет самой безобидной из возможных угроз является взлом сети из хулиганских побуждений. Наиболее типичное проявление вандализма в Интернет - замена существующих ссылок на ссылки порнографических сайтов. Это, по крайней мере, вредит имиджу владельца сайта и приводит к дополнительным материальным затратам на восстановление всех ссылок.
В компьютерных сетях государственных органов власти циркулирует информация, представляющая интерес для иностранных разведок. Эта информация может не иметь грифа секретности. Однако в совокупности позволяет получить довольно важные сведения. Поэтому, в случае объединения компьютерных сетей государственных органов с глобальной сетью Интернет кроме хулиганских взломов следует предполагать и более квалифицированные попытки проникновения в сеть сотрудников иностранных разведок. Противостоять таким попыткам крайне сложно. Поэтому сеть Интернет необходимо изолировать от внутренней сети, в которой сосредоточены обобщенные данные.
Известно несколько способов изоляции собственной компьютерной сети от глобальной сети Интернет с целью обеспечения безопасности. В сетях, в которых не циркулирует информация с ограниченным доступом, для изоляции сетей как правило достаточно использовать маршрутизатор. Но серьезную защиту от вторжения из глобальной сети можно обеспечить только при применением межсетевых экранов (FireWall). Поэтому для защиты корпоративной информации коммерческих фирм необходимо применение межсетевых экранов. Однако, для защиты информации в государственных органах как правило межсетевой экран не обеспечивает требуемого уровня защиты.
Наиболее полно безопасность обеспечивается только в случае физической изоляции сети Интернет от собственной локальной сети. Безусловно, это создает определенные неудобства в работе и требует дополнительных затрат при создании компьютерной сети. Однако в условиях необходимости противодействия иностранным разведкам это оправданная мера. Именно поэтому в Украине постановлением Кабинета Министров от 12.04.2002 года запрещено подключать к глобальным сетям вычислительные сети и отдельные компьютеры, на которых обрабатывается или хранится информация с ограниченным доступом, собственником которой является государство.
При построении сетей с физической изоляцией также необходимо учитывать вопросы защиты от утечки информации по каналам. Во многих случаях сотруднику, работающему с информацией ограниченного доступа необходима и возможность выхода в Интернет. Решается этот вопрос, как правило "в лоб". На рабочем месте устанавливается два компьютера, один из которых подключен к локальной сети предприятия (организации), а второй к сети Интернет. В этом случае кабели собственной сети с защитой информации и кабели открытой сети Интернет очень трудно разнести на достаточное расстояние. Вследствие этого информация, циркулирующая в локальной сети, а также все побочные излучения компьютеров, наведенные на кабели локальной сети, могут наводиться и на кабели открытой сети Интернет. Мало того, что кабель открытой сети это достаточно длинная антенна (особенно когда открытая сеть проложена неэкранированным кабелем). Кабели открытой сети как правило выходят за границы охраняемой территории, поэтому снять информацию можно не только путем перехвата излучений, но и путем непосредственного подключения к кабелям открытой сети. Поэтому кабели открытой сети также должны быть проложены в соответствии со всеми рекомендациями, выполняемыми при построении сети с защитой информации.
2.6 Межсетевые экраны
2.6.1 Общие требования.
Предъявляемые требования к любому средству зашиты информации в компьютерной сети можно разбить на следующие категории:
функциональные - решение требуемой совокупности задач зашиты;
требования по надежности — способности своевременно, правильно и корректно выполнять все предусмотренные функции зашиты;
требования по адаптируемости — способности к целенаправленной адаптации при изменении структуры, технологических схем и условий функционирования компьютерной сети;
эргономические — требования по удобству администрирования, эксплуатации и минимизации помех пользователям;
экономические — минимизация финансовых и ресурсных затрат.
Межсетевые экраны должны удовлетворять следующим группам более детальных требований. По целевым качествам — обеспечивать безопасность защищаемой внутренней сети и полный контроль над внешними подключениями и сеансами связи. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировку, и в процессе работы им требуется доступ к некоторым ресурсам внутренней компьютерной сети организации. Брандмауэр должен надежно распознавать таких пользователей и предоставлять им необходимые виды доступа.
По управляемости и гибкости — обладать мощными и гибкими средствам управления для полного воплощения в жизнь политики безопасности организации. Брандмауэр должен обеспечивать простую реконфигурацию системы при изменении структуры сети. Если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики межсетевых взаимодействий.
По производительности и прозрачности — работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик при максимальной нагрузке. Это необходимо для того, чтобы брандмауэр нельзя было перегрузить большим количеством вызовов, которые привели бы к нарушению его работы. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий. В противном случае пользователи будут пытаться любыми способами обойти установленные уровни защиты.
По самозащищенности — обладать свойством самозащиты от любых несанкционированных воздействий. Поскольку межсетевой экран является и ключом и дверью к конфиденциальной информации в организации, он должен блокировать любые попытки несанкционированного изменения его параметров настройки, а также включать развитые средства самоконтроля своего состояния и сигнализации. Средства сигнализации должны обеспечивать своевременное уведомление службы безопасности при обнаружении любы* несанкционированных действий, а также нарушении работоспособности межсетевого экрана.
В настоящее время общеупотребительным подходом к построению критериев оценки средств информационно-компьютерной безопасности является использование совокупности определенным образом упорядоченных качественных требований к подсистемам защиты, их эффективности и эффективности реализации. Подобный подход выдержан и в руководящем документе Гостехкомиссии России, где устанавливается классификация межсетевых экранов по уровню защищенности от несанкционированного доступа к информации. Данная классификация построена на базе перечня показателей защищенности и совокупности описывающих их требований.
Показатели защищенности применяются к брандмауэрам для определения уровня защищенности, который они обеспечивают при межсетевом взаимодействии. Конкретные перечни показателей определяют классы межсетевых экранов по обеспечиваемой защищенности компьютерных сетей. Деление брандмауэров на соответствующие классы по уровням контроля межсетевых информационных потоков необходимо в целях разработки и принятия обоснованных и экономически оправданных мер по достижению требуемой степени защиты информации при межсетевых взаимодействиях.
Устанавливается пять классов межсетевых экранов по показателям защищенности. Самый низкий класс защищенности — пятый, применяемый для безопасного взаимодействия автоматизированных систем класса 1Д с внешней средой, четвертый — для 1Г, третий — 1В, второй — 1Б, самый высокий — первый, применяемый для безопасного взаимодействия автоматизированных систем класса 1А с внешней средой. При включении брандмауэра в автоматизированную систему (АС) определенного класса защищенности, класс защищенности совокупной системы, полученной из исходной путем добавления в нее межсетевого экрана, не должен понижаться. Для АС класса ЗБ, 2Б должны применяться брандмауэры не ниже 5-го класса. Для АС класса ЗА, 2А в зависимости от важности обрабатываемой информации должны применяться брандмауэры следующих классов:
– при обработке информации с грифом "секретно" — не ниже 3-го класса;
– при обработке информации с грифом "совершенно секретно" — не ниже 2- го класса;
– при обработке информации с грифом "особой важности". — не ниже 1-го класса.
Вспомним, что в соответствии с руководящим документом Гостехкомиссии России, устанавливается девять классов защищенности автоматических систем от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в автоматических системах. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности автоматических систем. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом NA, где N — номер группы от 1 до 3. Следующий класс обозначается NБ.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Данная группа содержит два класса ЗБ и ЗА. Вторая группа включает автоматические системы, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации автоматической системы, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. Эта группа содержит два класса 2Б и 2А. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации автоматической станции. Данная группа содержит пять классов 1Д, 1Г. 1В, 1Б и 1А.
2.6.2 Дополнительные требования к межсетевым экранам первого класса защищенности.
Идентификация и аутентификация. Дополнительно межсетевой экран должен обеспечивать идентификацию и аутентификацию всех субъектов прикладного уровня. Администрирование; идентификация и аутентификация. Межсетевой экран должен обеспечивать идентификацию и аутентификацию администратора при его запросах на доступ. Межсетевой экран обязан предоставлять возможность для идентификации и аутентификации по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия. Межсетевой экран должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах на доступ администратора идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
Администрирование: простота использования. Многокомпонентный межсетевой экран должен обеспечивать возможность централизованного управления своими компонентами, в том числе, конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации. Должен быть предусмотрен графический интерфейс для управления межсетевым экраном.
Целостность. Межсетевой экран должен содержать средства контроля за целостностью своей программной и информационной части по контрольным суммам аттестованного алгоритма как в процессе загрузки, так и динамически. Тестирование. В межсетевом экране дополнительно должна обеспечиваться возможность регламентного тестирования процесса централизованного управления компонентами брандмауэра и графического интерфейса для управления межсетевым экраном. Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
Конструкторская (проектная) документация. Дополнительно документация должна содержать описание графического интерфейса для управления межсетевым экраном.
2.6.3 Дополнительные требования к межсетевым экранам второго класса защищенности.
Дополнительные требования к межсетевым экранам второго класса защищенности Управление доступом. Межсетевой экран дополнительно должен обеспечивать:
возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети;
возможность трансляции сетевых адресов.
Регистрация. Дополнительно межсетевой экран должен обеспечивать:
дистанционную сигнализацию попыток нарушения правил фильтрации;
регистрацию и учет запрашиваемых сервисов прикладного уровня;
программируемую реакцию на события в межсетевом экране.
Администрирование: идентификация и аутентификация. Межсетевой экран должен предоставлять возможность идя идентификации и аутентификации по идентификатору (коду) и паролю временного действия. Брандмауэр должен препятствовать доступу идентифицированного субъекта или субъекта, подлинность идентификации которою при аутентификации не подтвердилась. При удаленных запросах на доступ администратора идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассив-нону и активному перехвату информации.
Целостность. Межсетевой экран должен содержать средства контроля за целостностью своей программной и информационной части по контрольным суммам как в процессе загрузки, так и динамически. восстановление. Межсетевой экран должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать оперативное восстановление свойств брандмауэра. Тестирование. В межсетевом экране должна обеспечиваться возможность регламентного тестирования:
реализации правил фильтрации;
процесса регистрации;
процесса идентификации и аутентификации запросов;
процесса идентификации и аутентификации администратора;
процесса регистрации действий администратора;
процесса контроля за целостностью программной и информационной части межсетевого экрана;
2.6.4 Требования к межсетевым экранам пятого класса защищенности.
Управление доступом. Межсетевой экран должен обеспечивать фильтрацию на сетевом уровне. Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов,
Администрирование: идентификация и аутентификация. Межсетевой экран должен обеспечивать идентификацию и аутентификацию администратора при его локальных запросах на доступ. Брандмауэр должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.
Администрирование: регистрация. Межсетевой экран должен обеспечивать регистрацию входа/выхода администратора в систему (из системы), а также события загрузки и инициализации системы и ее программного останова. Регистрация выхода из системы не проводится в моменты аппаратурного отключения брандмауэра. В параметрах регистрации должны указываться:
дата, время и код регистрируемого события;
результат попытки осуществления регистрируемого события — успешная или неуспешная;
идентификатор администратора межсетевого экрана, предъявленный при попытке осуществления регистрируемого события.
Целостность. Межсетевой экран должен содержать средства контроля за целостностью своей программной и информационной части. Восстановление. Межсетевой экран должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств Межсетевом экране. Тестирование. В межсетевом экране должна обеспечиваться возможность регламентного тестирования:
реализации правил фильтрации;
процесса идентификации и аутентификации администратора;
процесса регистрации действий администратора;
процесса контроля за целостностью программной и информационной части межсетевого экрана;
процедуры восстановления.
Руководство администратора межсетевого экрана.
Документ должен содержать:
описание контролируемых функций брандмауэра;
руководство по настройке и конфигурированию межсетевого экрана;
описание старта брандмауэра и процедур проверки правильности старта;
руководство по процедуре восстановления.
Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования. Конструкторская (проектная) документация. Должна содержать:
– общую схему межсетевого экрана;
– общее описание принципов работы брандмауэра;
– описание правил фильтрации;
– описание средств и процесса идентификации и аутентификации;
– описание средств и процесса регистрации;
– описание средств и процесса контроля за целостностью программной информационной части межсетевого экрана;
– описание процедуры восстановления свойств брандмауэра.
Разработка политики межсетевого взаимодействия. Политика межсетевого взаимодействия является той частью политики безопасности в организации, которая определяет требования к безопасности информационного обмена с внешним миром. Данные требования обязательно должны отражать два аспекта:
– политику доступа к сетевым сервисам;
– политику работы межсетевого экрана.
Политика доступа к сетевым сервисам определяет правила предоставления а также использования всех возможных сервисов защищаемой компьютерной сети. Соответственно в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран, и допустимые адрес; клиентов для каждого сервиса. Кроме того, должны быть указаны правша для пользователей, описывающие, когда и какие пользователи каким сервисом и на каком компьютере могут воспользоваться. Отдельно определяют правила аутентификации пользователей и компьютеров, а также условии работы пользователей вне локальной сети организации.
Политика работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирований брандмауэра. Может быть выбран один из двух таких принципов:
– запрещено все, что явно не разрешено;
– разрешено все, что явно не запрещено.
В зависимости от выбора, решение может быть принято как в пользу безопасности в ущерб удобству использования сетевых сервисов, так и наоборот В первом случае межсетевой экран должен быть сконфигурирован таким образом, чтобы блокировать любые явно не разрешенные межсетевые взаимодействия. Учитывая, что такой подход позволяет адекватно реализовать принцип минимизации привилегий, он, с точки зрения безопасности, является лучшим. Здесь администратор не сможет по забывчивости оставить разрешенными какие-либо полномочия, так как по умолчанию они будут запрещены. Доступные лишние сервисы могут быть использованы во вред безопасности, что особенно характерно для закрытого и сложного программного обеспечения, в котором могут быть различные ошибки и некорректности. Принцип "запрещено все, что явно не разрешено", в сущности является признанием факта, что незнание может причинить вред.
При выборе принципа "разрешено все, что явно не запрещено" межсетевой экран настраивается таким образом, чтобы блокировать только явно запрещенные межсетевые взаимодействия. В этом случае повышается удобство использования сетевых сервисов со стороны пользователей, но снижаете безопасность межсетевого взаимодействия. Администратор может учесть и все действия, которые запрещены пользователям. Ему приходится работать режиме реагирования, предсказывая и запрещая те межсетевые взаимодействия, которые отрицательно воздействуют на безопасность сети.
2.6.5 Определение схемы подключения межсетевого экрана.
Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования, а также количества сетевых интерфейсов брандмауэра.
Брандмауэры с одним сетевым интерфейсом не достаточно эффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких межсетевых экранов, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, иена решения которой превышает стоимость замены брандмауэра с одним сетевым интерфейсом на брандмауэр с двумя или тремя сетевыми интерфейсами. Поэтому рассмотрим лишь схемы подключения межсетевых экранов с двумя и тремя сетевыми интерфейсами. При этом защищаемую локальную сеть будем рассматривать как совокупность закрытой и открытой подсетей. Здесь под открытой подсетью понимается подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт. В открытую подсеть могут, например, входить общедоступные WWW-. FTP- и SMTP-серверы, а также терминальный сервер с модемным пулом.
Среди всего множества возможных схем подключения брандмауэров типовыми являются следующие:
– схема единой защиты локальной сети;
– схема с защищаемой закрытой и не защищаемой открытой подсетями;
– схема с раздельной зашитой закрытой и открытой подсетей.
Схема единой зашиты локальной сети является наиболее простым решением, при котором брандмауэр целиком экранирует локальную сеть от потенциально враждебной внешней сети. Между маршрутизатором и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Открытые серверы, входящие в локальную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, вместе с другими ресурсами защищаемой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения брандмауэра можно использовать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять.
При наличии в составе локальной сети общедоступных открытых серверов их целесообразно вынести как открытую подсеть до межсетевого экрана. Данный способ обладает более высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до межсетевого экрана. Некоторые брандмауэры позволяют разместить эти серверы на себе. Но такое решение не является лучшим с точки зрения загрузки компьютера и безопасности самого брандмауэра. Учитывая вышесказанное, можно сделать вывод, что схему подключения брандмауэра с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.
В случае же, когда к безопасности открытых серверов предъявляются повышенные требования, то необходимо использовать схему с раздельной защитой закрытой и открытой подсетей. Такая схема может быть построена на основе одного брандмауэра с тремя сетевыми интерфейсами или на основе двух брандмауэров с двумя сетевыми интерфейсами. В обоих случаях доступ к открытой и закрытой подсетям локальной сети возможен только через межсетевой экран. При этом доступ к открыто сети не позволяет осуществить доступ к закрытой подсети.
Из последних двух схем большую степень безопасности межсетевых в: действий обеспечивает схема с двумя брандмауэрами, каждый из кс образует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсеть здесь выступает в качестве экранирующей подсети. Обычно экранирующая подсеть конфигурируется таким образом, чтобы o6ecпечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Однако прямой обмен информационными пакетами между внешней сетью и закрытой подсетью невозможен.
При атаке системы с экранирующей подсетью необходимо преодолеть, по крайней мере, две независимые линии зашиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых экранов практически неизбежно обнаружат подобную попытку, и администратор системы своевременно предпримет необходимые действия по предотвращению несанкционированного доступа.
Следует обратить внимание, что работа удаленных пользователей, подключаемых через коммутируемые линии связи, также должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Типовое решение этой задачи — установка сервера удаленного доступа 1терминального сервера), который обладает необходимыми функциональными возможностями, например, терминального сервера Annex компании Bay Networks. Терминальный сервер является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью осуществляется только после соответствующей аутентификации внешнего пользователя.
Подключение терминального сервера должно осуществляться таким образом, чтобы его работа выполнялась исключительно через межсетевой эк Это позволит достичь необходимой степени безопасности при работе удаленных пользователей с информационными ресурсами организации. Такое подключение возможно, если терминальный сервер включить в состав or-крытой подсети при использовании схем подключения брандмауэра с раздельной защитой открытой и закрытой подсетей.
Программное обеспечение терминального сервера должно предоставлять возможности администрирования и контроля сеансов связи через коммутируемы; каналы. Модули управления современных терминальных серверов имеют достаточно продвинутые возможности обеспечения безопасности самого сервера разграничения доступа клиентов, выполняя следующие функции:
– использование локального пароля на доступ к последовательному порт на удаленный доступ по протоколу РРР, а также для доступа к административной консоли;
– использование запроса на аутентификацию с какой-либо машины локальной сети;
– использование внешних средств аутентификации;
– установку списка контроля доступа на порты терминального сервера;
– протоколирование сеансов связи через терминальный сервер.
2.6.6 Настройка параметров функционирования брандмауэра.
Межсетевой экран представляет собой программно-аппаратный комплекс зашиты, состоящий из компьютера, а также функционирующих на нем операционной системы и специального программного обеспечения. Следует отметить, что это специальное программное обеспечение часто также называют брандмауэром.
Компьютер брандмауэра должен быть достаточно мощным и физически защищенным, например, находиться в специально отведенном и охраняемом помещении. Кроме того, он должен иметь средства защиты от загрузки операционной системы с несанкционированного носителя.
Операционная система брандмауэра также должна удовлетворять ряду требований:
– иметь средства разграничения доступа к ресурсам системы;
– блокировать доступ к компьютерным ресурсам в обход предоставляемого программного интерфейса;
– запрещать привилегированный доступ к своим ресурсам из локальной сети;
– содержать средства мониторинга/аудита любых административных действий.
Приведенным требованиям удовлетворяют различные разновидности операционных систем UNIX, а также Microsoft Windows NT. После установки на компьютер брандмауэра выбранной операционной системы, ее конфигурирования, а также инсталляции специального программного обеспечения можно приступать к настройке параметров функционирования всего межсетевого экрана. Этот процесс включает следующие этапы:
– выработку правил работы межсетевого экрана в соответствии с разработанной политикой межсетевого взаимодействия и описание правил в интерфейсе брандмауэра;
– проверку заданных правил на непротиворечивость;
– проверку соответствия параметров настройки брандмауэра разработанной политике межсетевого взаимодействия.
Формируемая на первом этапе база правил работы межсетевого экрана представляет собой формализованное отражение разработанной политикой межсетевого взаимодействия. Компонентами правил являются защищаемые объекты, пользователи и сервисы.
В число защищаемых объектов могут входить обычные компьютеры с одним сетевым интерфейсом, шлюзы (компьютеры с несколькими сетевыми интерфейсами), маршрутизаторы, сети, области управления. Защищаемые объекты могут объединяться в группы. Каждый объект имеет набор атрибутов, таких как сетевой адрес, маска подсети. Часть этих атрибутов следует задать вручную, остальные извлекаются автоматически из информационных баз, например NIS/NIS+, SNMP M1B, DNS. Следует обратить внимание на необходимость полного описания объектов, так как убедиться в корректности заданных правил экранирования можно только тогда, когда определены сетевые интерфейсы шлюзов и маршрутизаторов. Подобную информацию можно получить автоматически от SNMP-агентов.
При описании правил работы межсетевого экрана пользователи наделяются входными именами и объединяются в группы. Для пользователей указываются допустимые исходные и целевые сетевые адреса, диапазон дат и времени работы, а также схемы и порядок аутентификации.
Определение набора используемых сервисов выполняется на основе встроенной в дистрибутив брандмауэра базы данных, имеющей значительный набор TCP/IP сервисов. Нестандартные сервисы могут задаваться вручную с помощью специальных атрибутов. Прежде чем указывать сервис при задании жид, необходимо определить его свойства. Современные брандмауэры содержат предварительно подготовленные определения всех стандартных TCP/IP-сервисов, разбитых на четыре категории — TCP, UDP, RPC, ICMP.
Сервисы TCP являются полностью контролируемыми сервисами, так как предоставляются и используются на основе легко диагностируемых виртуальных соединений.
Сервисы UDP традиционно трудны для фильтрации, поскольку фаза установления виртуального соединения отсутствует, равно как и контекст диалога между клиентом и сервером. Брандмауэр может сам вычислять этот контекст, отслеживая все UDP-пакеты, пересекающие межсетевой экран обоих направлениях, и ассоциируя запросы с ответами на них. В результате получается аналог виртуального соединения для дейтаграммного протокола, а все попытки нелегального установлении подобного соединения, равно как и дейтаграммы, следующие вне установленных соединений, обрабатываю в соответствии с установленной политикой межсетевого взаимодействия.
RPC-сервисы сложны для фильтрации из-за переменных номеров используемых портов. Брандмауэры отслеживают RPC-трафик, выявляя запросы к функции PORTMAPPER и извлекая из ответов выделенные номера портов.
Протокол ICMP используется самим IP-протоколом для отправки контрольных сообщений, информации об ошибках, а также для тестирования целостности сети. Для ICMP протокола не используется концепция портов. В нем используются числа от 0 до 255 для указания типа сервиса, которые вместе: адресами и учитываются при контроле межсетевого взаимодействия.
После того как база правил сформирована, она проверяется на непротиворечивость. Это очень важный момент, особенно для развитых, многокомпонентных сетевых конфигураций со сложной политикой межсетевого взаимодействия. Без подобной возможности администрирование межсетевого экрана с неизбежностью привело бы к многочисленным ошибкам и созданию слабостей. Проверка сформированных правил на непротиворечивость выполняется автоматически. Обнаруженные неоднозначности должны быть устранены путем редактирования противоречивых правил. После окончательного определения правил и устранения ошибок от администратора могут потребоваться дополнительные действия по компиляции и установке фильтров и посредников. Большинство брандмауэров после формирования базы правил выполняют процесс окончательной настройки автоматически. Проверка соответствия параметров настройки брандмауэра разработанной политике межсетевого взаимодействия может выполняться на основе анализа протоколов работы межсетевого экрана. Однако наибольшая результативность такой проверки будет достигнута при использовании специализированных систем анализа защищенности сети. Наиболее ярким представителем таких систем является пакет программ Internet Scanner SAFEsuite компании Internet Security Systems.
Входящая в состав данного пакета подсистема FireWall Scanner обеспечивает поиск слабых мест в конфигурации межсетевых экранов и предоставляет рекомендации по их коррекции. Поиск слабых мест осуществляется на основе проверки реакции межсетевых экранов на различные типы попыток нарушения безопасности. При этом выполняется сканирование всех сетевых сервисов, доступ к которым осуществляется через межсетевой экран. Для постоянного полдержания высокой степени безопасности сети FireWall Scanner рекомендуется сделать частью установки межсетевого экрана.
При настройке межсетевого экрана следует помнить, что и как любое другое средство, он не может защитить от некомпетентности администраторов и пользователей. Несанкционированные проникновения в защищенные сети могут произойти, например, по причине выбора легко угадываемого пароля. Экранирующая система не защищает также от нападения по не контролируемым ею каналам связи. Если между потенциально враждебной внешней сетью и защищаемой внутренней сетью имеется неконтролируемый канал, то брандмауэр не сможет защитить от атаки через него. Это же относится и к телефонным каналам передачи данных. Если модем позволяет подключиться внутрь защищаемой сети в обход межсетевого экрана, то защита будет разрушена. Здесь следует вспомнить основной принцип защиты — система безопасна настолько, насколько безопасно ее самое незащищенное звено. Поэтому необходимо, чтобы экранирующая система контролировала все каналы передачи информации между внутренней и внешней сетью.
Заключение
В результате практики я научился:
работать в коллективе;
устанавливать и работать с антивирусной программой Kaspersky Anti-Virus
научился устанавливать и настраивать видиопроэктор;
обжимать сетевой кабель для подключения компьютеров;
устанавливать физически и программно локальную сеть;
как организовать доступ рабочих станций в Интернет через прокси-сервер;
как организовать прокси-сервер с помощью программного обеспечения «User gate v2.8»;
освоил установку фильтров в программу «User gate v2.8» для блокировки банерной сети и порно-сети для исключения случайного и умышленного входа учащихся в запрещённые министерством образования части Интернет; Освоил установку антивирусного программного обеспечения «Avast» и дальнейшее его обслуживание;
делать презентации с помощью программы Power Point.
Закрепил на практике:
установку операционных системы Windows XP и Windows 98;
установку офисных программ;
работу с интерактивной доской.
работу с программой Microsoft Word и Microsoft Excel.
Список использованной литературы
1. Руководство по составлению и оформлению отчётных письменных работ. – Новороссийск: Новороссийский техникум градостроительство и экономики, 2004. – 68 с.
2. Документация МОУ СОШ №15
3. Новое трудовое законодательство. – Краснодар: Типография издательства «Советская Кубань», 2005. 96 с.
4. Современные методы педагогического процесса по реализации информационно-компьютерных технологий в ОУ. – Тимашевск: МОУ СОШ №15, 2006. – 27 с.
5. Руководство пользователь к программному обеспечению «Kaspersky Anti-Virus»