Архив Галактики

Информационная безопасность: безопасный Интернет

Евгений Листраткин's blog / 22.10.2014

С 2011 года работаю в школе в качестве системного администратора и за это время накоплен ценный для меня опыт по организации контентной фильтрации, которым я бы и хотел поделиться.

Все способы фильтрации можно разделить по следующей схеме:


Общим большим недостатком персональной фильтрации является необходимость настраивать её на каждом клиентском компьютере.
I. Настройки браузера.
В современных браузерах имеется возможность подключать плагины и расширения, в том числе относящиеся к контентной фильтрации. Для браузера Mozilla Firefox - наиболее удобного и практичного для школы в свободном доступе имеются различные расширения: Adblock (позволяет блокировать загрузку и показ рекламных баннеров, всплывающих окон и других объектов), Internet Censor (позволяет задать список или группу сайтов, необходимых к блокировке), Public Fox (для защиты установленных дополнений от удаления), Безопасный поиск Яндекс (для поиска сайтов из категории до 18+).
Недостатки: Не для всех браузеров существуют такие дополнения; необходимо настраивать дополнения для каждого браузера и компьютера; слабый уровень фильтрации; можно обойти фильтрацию использованием ненастроенных браузеров.
Личный опыт: ни разу не использовал как единственную защиту по причине сложности установки и простоты снятия защиты. Но Безопасный поиск Яндекс убирает до 95% сайтов, подлежащих фильтрации в ОУ.
Итог: На мой взгляд, подойдёт для учреждений с небольшим парком компьютеров, доверительными отношениями среди пользователей и небольшими требованиями к уровню фильтрации.

II. Программы-фильтры.
Программа-фильтр представляет собой клиентское приложение с необходимыми настройками для организации различных уровней фильтрации в образовательном учреждении. Среди существующих программ наибольшей популярностью пользуются Internet Censor, NetPolice. Перечисленные выше программы практически полностью обеспечивают фильтрацию согласно законодательству Российской Федерации.
Недостатки: отсутствие обновляемого списка запрещённых сайтов МинЮста; Internet Censor нет для Linux; Net Police платный и дорогой; нестабильная работа; полностью отсутствуют версии для мобильных ОС (планшетов, КПК, смартфонов).
Личный опыт: В первый месяц работы в компьютерном классе стоял NetPolice (из пакета «Первая Помощь»), который уже на 2011 год не удовлетворял требованиям фильтрации. Соответственно паролей для удаления никто не знал. Удалив файл библиотеки dll через безопасный режим ОС, и перезагрузив компьютер, фильтр благополучно не запустился и позволил с лёгкостью удалить себя. На смену пришёл Internet Censor. После установки программы на 20 компьютерах почтовый ящик был завален письмами о попытках удаления, неправильно введённом пароле и ошибках программы (по одному письму на каждое действие с каждого компьютера). Также стабильность программы оставляла желать лучшего. Одну из двадцати программ еженедельно приходилось переустанавливать из-за системных ошибок. Удалить программу также можно было из безопасного режима ОС.
Итог: Подойдёт для любой по размеру организации, при условии наличия человека, который будет следить за работоспособностью и стабильность фильтров. Однако прокурорские проверки показывают, что не все сайты блокируются, а, значит, без предписания или штрафа не обойтись.

Каждый из видов централизованной фильтрации имеет свои плюсы и минусы, но в отличие от клиентской фильтрации настройка производится одновременно на все компьютеры либо на группу компьютеров.

I. DNS серверы.
DNS (Domain Name System) – система доменных имён отвечает за соответствие буквенного адреса сайта, к которому привыкли мы, его числовому значению, с которым работает сетевая структура. Наиболее популярные и используемые DNS серверы: SkyDNS (платный), Rejector, OpenDNS, Яндекс.DNS. Платный SkyDNS считается одним из лучших DNS фильтров для образовательных учреждений.
Недостатки: бесплатные DNS необходимо настраивать самостоятельно; фильтры обходятся использованием сторонних прокси-серверов; нет дифференцированности (либо все правила, либо ни одного).
Личный опыт: На смену Internet Censor пришёл бесплатный DNS фильтр Rejector. На компьютерах пользователей необходимо было всего лишь в настройках сети прописать DNS серверы Rejector, а на сайте в личном кабинете – выбрать категории блокировки и/или внести свой список сайтов. Система работала стабильно и вполне хорошо фильтровала. Список недоброжелательных ресурсов пополняется народным методом. На сайте имеется список адресов, которые пользователи Rejector отнесли к той или иной категории. Как только категорию подтверждают несколько пользователей, адрес автоматически присваивается этой категории, что зачастую занимало две-три недели. Также DNS фильтр не имеет дифференцированного подхода, то есть он либо применяется со всеми установленными правилами, либо не устанавливается вообще. Ну и вдобавок оказалось, что фильтрацию можно обойти, используя прокси-серверы без фильтрации.
Итог: Хорошая система защиты, но в совокупности с другими способами. Например, вместе с программой-фильтром. Также лучше прописывать настройки на устройство с ограниченным доступом (шлюз или маршрутизатор) для невозможности изменения.

II. Прокси-серверы.
Самым надёжным, но не всегда простым способом является установка и настройка в локальной сети собственного прокси-сервера. Тем самым осуществлять доступ в Интернет непосредственно через него и никак больше. Примерами таких систем являются прокси-сервер Squid+DansGuardian на ОС Linux, UserGate и Интернет Контроль Сервер. Каждый из них устанавливается на отдельный компьютер и настраивается.
Недостатки: бесплатный только прокси-сервер Squid+DansGuardian на ОС Linux, но при установке требуются базовые знания Linux и много времени на настройку; при обслуживании нужен человек с базовыми компьютерными знаниями.
Личный опыт: После года скитаний по различным системам было принято решение устанавливать фильтрацию на основе шлюза. Для школы необходимо было обойтись незначительными денежными вложениями, значительной простотой в использовании и качестве фильтрации. На практике различные образовательные учреждения республики (в основном ВУЗы) использовали разные системы шлюзовой фильтрации и все платные. У каждого были свои плюсы и минусы. Наш выбор пал на продукт Интернет Контроль Сервер по причине соотношения цена/качество. Он имеет внушительный функционал, включающий в себя: контентный фильтр (категории трафика SkyDNS, список МинЮста и Госнаркоконтроля), встроенный антивирус, модуль защиты от утечек информации, модуль учёта трафика, FTP и Web-сервер и многое другое. Покупка аппаратно-программного комплекса (сервер+программа) обошлась в 26000 рублей. Отдельно стоимость программы для ОУ начинается от 5500 рублей за 100 пользователей. Интуитивно понятный web интерфейс, множество возможностей по контролю и учёту доступа, многоуровневая система блокировки контента и защиты от обходов, а самое главное качественная фильтрация. Эта система мне понравилась не только как системному администратору, но и как учителю информатики. В любое время урока я могу запретить отдельному пользователю или всему классу пользоваться Интернетом или отдельным ресурсом. Причём такими возможностями можно наделить любого учителя, например, который использует на уроке мобильный класс.

Основываясь на личном опыте, могу сказать, что любое бесплатное программное обеспечение всегда требует значительных физических и умственных нагрузок от системного администратора для поддержания должного уровня фильтрации в образовательном учреждении. На мой взгляд, фильтрация информационного контента в сети Интернет должна осуществляться на уровне правительства страны и относится ко всей глобальной сети. Ведь большую угрозу для детей несёт не «школьный Интернет», ограниченный всевозможными фильтрами и надзором учителей, а тот, который они используют дома зачастую без фильтрации и без контроля родителями.