From: "Nick Gavrikov" <nickgavrikov@gmail.com>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] Политика информационной безопастности на предприятии
Date: Thu, 12 Apr 2007 12:04:45 +0400
Message-ID: <2b6384730704120104p20a3f08blcb52f02bf21ed904@mail.gmail.com> (raw)
In-Reply-To: <20070412064459.GA7372@mw.local.seiros.ru>
12.04.07, Денис Смирнов написал(а):
> NG> Здесь действует правило: любой винчестер может быть переформатирован
> NG> в любое время. Все работают с централизованной базой.
>
> Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут
> лежать какие-то документы, и который тоже backup'иться. "My Documents"
> указывала на сетевой диск, так что все было в этом смысле нормально. Но
> это нужно только в том случае, если не вся работа менеджеров может быть
> четко сформулирована в рамках этой базы (например если они изобретают
> какой-нибудь способ раскрутки, связываются со сторонними компаниями
> предоставляющими клиентов, или ещё что хитрое и не предусмотреное при
> создании базы творят).
К сожалению, рядовые менеджеры ничего этого делать не могут :-(
Если у них есть какие-то мысли, они обмениваются ими по почте (лежит
на сервере в IMAP). Так что мы пришли к мысли, что нефиг забивать им
голову всякой фигней.
А если есть возможность сохранять MyDocuments - сразу начинается
левак, кривые сметы, составленные не через общую базу а в экселе и
т.д. В общем, лучше не искушать людей :-)
> Единственное что -- совсем полезно таки сделать образы диска, и реально
> раз в неделю-две разворачивать систему с образа. Чтобы не повадно было.
Ну вот это не знаю... Все-таки они как минимум винду подстраивают под
себя. Ставят размер шрифта, картинку на десктопе... и т.д. А
морочиться с контроллером домена и общими настройками ради такого дела
не хочется.
> NG> Заказы, с
> NG> которыми работа не ведется дольше месяца, отправляются в архив, куда
> NG> менеджеры доступ не имеют.
> Кстати это автоматом делается?
Как как? По крону, разумеется :-)
Если у заказчика ничего не менялось и не добавлялось в течении месяца
- туды его, в качель.
> Жутко интересно попытать тебя на предмет
> какая вообще информация о заказе хранится. У меня сейчас заказ == данные
> требуемые для подготовки первички + ссылка на заказчика, в инфе о котором
> все реквизиты, всевозможные контакты и несколько полей для комментариев.
Ну во-первых, реквизиты заказчика, контактные лица, далее составленные
коммерческие предложения (на основании которых формируется первичка) и
договора - в виде отдельных вордовских файлов. К сожалению,
автоматизировать составление договора не представляется возможным,
поскольку договор отсылается заказчику по почте, а он в свою очередь
обязательно в нем что-нибудь поправит: запятую где-нибудь переставит
на другое место и т.п. То есть исправления могут быть совсем
незначительные, но раз уж он так хочет - пусть будет. По этому
максимум что можно сделать - это сохранять все версии договора в виде
вордовских файлов и внутрь их не лезть.
Хорошо бы еще, конечно, сделать diff двух файлов, но это уже задача
более сложного порядка :-)
> NG> Офис 2. Бухгалтерия, юр.отдел.
>
> Кстати о базе -- они работают с тамошней базой, или ты не поленился
> сделать репликацию?
Поленился :-)
К счастью, интернет работает достаточно стабильно, а трафик ни у
менеджеров, ни у бухов никто не считает.
> NG> В интернет в случае надобности ходят с консоли их сервера под гостевым
> NG> паролем, где крутятся иксы и firefox. Доступа с сервера на их
> NG> компьютеры для гостя нет. При необходимости пересылки текстовой
> NG> информации, они могут послать себе письмо с этого компьютера на свою
> NG> рабочую машину.
>
> А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов,
> вроде mosnalog.ru и прочих аналогичных?
В связи с тем, что это им не нужно. Чтобы не задавали глупых вопросов
"а почему mosnalog можно а xyz нельзя". Или "а почему я нажала на
ссылку (банер) а она не работает". Помимо этого, точный список сайтов,
к которым следует разрешить доступ, мне не известен. А еще, в
бухгалтерии у нас работают люди... м.... старшего возраста, увидевшие
компьютер не очень много лет назад. Со всеми вытекающими отсюда
последствиями. Так получилось.
> NG> Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный
> NG> сервис-центр.
> NG> Хитрая система: локальные компьютеры доступа к интернету напрямую не
> NG> имеют. Если им нужен интернет - они включают на своем компе X-сервер,
> NG> после чего ходят в интернет с удаленных терминалов с сервера. (Криво
> NG> сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на
> NG> свою рабочую машину - они копируют данные в определенную папку,
> NG> которая в свою очередь видна с их компов через FTP.
>
> Бухам не стал такое делать, потому как "для них это слишком хайтек", или
> были ещё причины?
Опять же, им это не нужно. Помимо этого, я не уверен, что наш главбух
разберется в иксах, работающих под виндой, да еще и по сети со своими
заморочками :-) А еще нефиг из интернета всякие проги устанавливать и
вирусов таскать. Пусть на линухе попробуют :-)
А то, блин, дали уже как-то в пенсионном фонде дискету с прогой
зараженной. Хорошо что последний дисковод сломался года этак два назад
:-)
> NG> Если консоль не нужна одновременно нескольким людям, кто-то один может
> NG> работать на локальной консоли сервера. Все же иксы по сети виндошные -
> NG> это не так удобно как настоящая консоль. В общем, кто как. Есть люди
> NG> которые любят свою мышу, свою клаву, свой стул и свой стол и никуда
> NG> переться не хотят чтобы почту проверить.
>
> Кстати, а им почему не разрешили почту локально? Чтобы не придумали
> способов таки послать через эту почту файлик (ююками хотябы)?
Именно. Чтобы максимально усложнить жизнь желающим вынести что-либо за
пределы офиса
> Хотя все это
> тоже не гарантировано. Если икссервер умеет copy&paste, если найдется
> более-менее квалифицированый товарищ который захочет вынести -- вынесет :(
Про эту дырку я знаю, как ее закрыть - хз. Поставил X-сервер, не
умеющий copy&paste :-)
> В SecretNet для этого мандатный контроль используют, который в том числе
> буфер тоже контролирует, и данные не позволит скопипастить из ценного
> файлика в какое-либо приложение, кроме имеющего право на работу с этой
> информацией.
Немного не понятно, он это делает на стороне x-server? Или на стороне
работающих приложений? Если на стороне иксов - не годится, поскольку
программистам необходим администраторский доступ для работы. Если на
стороне приложений - а что мешает тем же сервером вбить содержимое
клипбоарда как будто текст на клавиатуре набрали? Кстати, по-моему он
так и делает.
> NG> Есть некоторые тонкости организации безопасности канала по которому
> NG> работают иксы, пришлось немного KDM подпатчить. Если интересуют
> NG> подробности - расскажу.
>
> Безусловно.
> Шлите патчи (c) :)
В кратце - при логине юзверя поднимается правило файрвола, которое
разрешает ему доступ, при выходе - правило опускается. Подробнее
искать надо...
> NG> На сервере имеется папка для бекапа, куда ежедневно все сотрудники
> NG> уходя с рабочего места обязаны клать исходный код проекта, над которым
> NG> они сегодня работали.
>
> Логично. А просто заставить их в добровольно принудительном порядке класть
> все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их?
Тогда они не смогут смотреть свой бекап по датам. Когда смотришь и
видишь, что реально за последнюю неделю ты ничего полезного не сделал
- очень стимулирует мыслительный процесс :-)
> NG> Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на
> NG> чтение, таким образом испортить они ничего не могут. Бекапы выборочно
> NG> проверяются на предмет, не лежит ли в них мусор вместо работы. В
> NG> случае выявления подобных проделок - человек увольняется в 24 часа без
> NG> зарплаты (пока что только один раз было такое).
>
> Разумно. Естественно приемка работы происходит именно по содержимому
> бэкапа?
Само собой.
> NG> Доступ к чужим бекапам имеет только начальство. Если нужно передать
> NG> что-либо с компьютера разработчика наружу (например, схемы или готовые
> NG> программы) - это делается через начальство. Если несколько человек
> NG> ведут работу над одним проектом и им необходимо регулярно обмениваться
> NG> данными - они могут делать это, опять же без возможности выноса данных
> NG> за пределы рабочей группы.
>
> Каким образом их взаимодействие организовано? Шареные папки, или более по
> человечески?
Здесь я особо проблем безопасности не вижу - так что все делается через самбу.
> NG> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на
> NG> них нет. Все флешки, диски и прочая фигня проносятся только через
> NG> начальство.
>
> А куда суются разрешенные флешки если USB-порты опечатаны?
В мой личный комп :-)
Сам понимаешь, флешка, попавшая в мой USB-разъем, будет как минимум
скопирована ко мне на винчестер :-) Флешки объемом больше 1 гига не
принимаются :-)))
--
С уважением,
Nick Gavrikov
next prev parent reply other threads:[~2007-04-12 8:04 UTC|newest]
Thread overview: 185+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-04-06 4:57 [Sysadmins] запрет скачивания переименованных mp3 Serge
2007-04-06 5:30 ` Andrey Novoselov
2007-04-06 6:05 ` Slava Dubrovskiy
2007-04-06 6:46 ` ABATAPA
2007-04-06 7:38 ` Вадим Илларионов
2007-04-06 7:48 ` Slava Dubrovskiy
2007-04-06 8:09 ` Sergey
2007-04-06 8:32 ` Вадим Илларионов
2007-04-06 8:34 ` Вадим Илларионов
2007-04-06 8:52 ` Slava Dubrovskiy
2007-04-06 9:06 ` Dmitriy L. Kruglikov
2007-04-06 9:26 ` Шенцев Алексей Владимирович
2007-04-06 9:36 ` Dmitriy L. Kruglikov
2007-04-06 9:49 ` Вадим Илларионов
2007-04-06 9:57 ` Dmitriy L. Kruglikov
2007-04-06 10:20 ` Вадим Илларионов
2007-04-06 10:39 ` smont
2007-04-06 12:00 ` Вадим Илларионов
2007-04-06 12:19 ` Шенцев Алексей Владимирович
2007-04-06 9:52 ` Шенцев Алексей Владимирович
2007-04-08 20:19 ` Денис Смирнов
2007-04-09 8:16 ` Maxim Britov
2007-04-11 9:20 ` Денис Смирнов
2007-04-06 10:15 ` Alexey Morsov
2007-04-06 10:23 ` Dmitriy L. Kruglikov
2007-04-06 10:23 ` Вадим Илларионов
2007-04-06 10:31 ` Andrii Dobrovol`s`kii
2007-04-06 10:34 ` Alexey Morsov
2007-04-06 10:51 ` Slava Dubrovskiy
2007-04-06 11:09 ` Alexey Morsov
2007-04-06 11:18 ` Dmitriy L. Kruglikov
2007-04-06 11:31 ` Alexey Morsov
2007-04-06 11:53 ` Вадим Илларионов
2007-04-06 11:51 ` Вадим Илларионов
2007-04-06 10:47 ` Dmitriy L. Kruglikov
2007-04-06 11:47 ` Вадим Илларионов
2007-04-06 12:01 ` Dmitriy L. Kruglikov
2007-04-06 12:54 ` Вадим Илларионов
2007-04-06 12:12 ` [Sysadmins] Политика информационной безопастности на предприятии Шенцев Алексей Владимирович
2007-04-06 14:25 ` Sergey S. Skulachenko
2007-04-06 14:40 ` Шенцев Алексей Владимирович
2007-04-08 20:05 ` Денис Смирнов
2007-04-09 7:16 ` Sergey S. Skulachenko
2007-04-10 2:16 ` Денис Смирнов
2007-04-10 5:49 ` Sergey S. Skulachenko
2007-04-09 7:25 ` Дорогов Николай(computer-service)
2007-04-09 7:37 ` Dmitriy.Borisov
2007-04-09 7:41 ` Дорогов Николай(computer-service)
2007-04-09 7:53 ` Dmitriy.Borisov
2007-04-09 7:51 ` Sergey S. Skulachenko
2007-04-10 2:17 ` Денис Смирнов
2007-04-11 13:48 ` Nick Gavrikov
2007-04-11 13:57 ` Nick Gavrikov
2007-04-12 6:44 ` Денис Смирнов
2007-04-12 8:04 ` Nick Gavrikov [this message]
2007-04-12 9:16 ` Денис Смирнов
2007-04-12 9:50 ` Nick Gavrikov
2007-04-12 12:00 ` Денис Смирнов
2007-04-12 15:10 ` Nick Gavrikov
2007-04-12 16:06 ` Денис Смирнов
2007-04-12 6:50 ` Alexey Morsov
2007-04-12 7:17 ` Nick Gavrikov
2007-04-12 7:43 ` Alexey Morsov
2007-04-12 8:21 ` Nick Gavrikov
2007-04-12 7:45 ` Alexey Morsov
2007-04-12 7:55 ` Alexey Sidorov
2007-04-12 8:17 ` Nick Gavrikov
2007-04-12 8:50 ` Денис Смирнов
2007-04-12 9:03 ` Sergey S. Skulachenko
2007-04-12 9:21 ` Alexey Sidorov
2007-04-12 9:28 ` Денис Смирнов
2007-04-12 11:53 ` Vyatcheslav Perevalov
2007-04-12 11:49 ` Денис Смирнов
2007-04-12 12:17 ` Vyatcheslav Perevalov
2007-04-12 13:14 ` Денис Смирнов
2007-04-12 15:20 ` Nick Gavrikov
2007-04-12 15:35 ` Gennadiy Redko
2007-04-12 15:56 ` Денис Смирнов
2007-04-12 16:03 ` Денис Смирнов
2007-04-12 18:25 ` Nick Gavrikov
2007-04-12 19:56 ` Денис Смирнов
2007-04-12 10:22 ` Sergey S. Skulachenko
2007-04-12 8:11 ` Nick Gavrikov
2007-04-12 8:41 ` Денис Смирнов
2007-04-06 10:34 ` [Sysadmins] запрет скачивания переименованных mp3 Andrey Novoselov
2007-04-06 10:39 ` Шенцев Алексей Владимирович
2007-04-06 11:15 ` Alexey Morsov
2007-04-08 20:00 ` Денис Смирнов
2007-04-09 6:40 ` Alexey Morsov
2007-04-09 8:11 ` Sergey S. Skulachenko
2007-04-10 2:34 ` Денис Смирнов
2007-04-10 5:58 ` Sergey S. Skulachenko
2007-04-10 6:31 ` Dmitriy L. Kruglikov
2007-04-10 7:21 ` Sergey S. Skulachenko
2007-04-10 7:51 ` Dmitriy L. Kruglikov
2007-04-10 9:11 ` Sergey S. Skulachenko
2007-04-10 9:35 ` Dmitriy L. Kruglikov
2007-04-10 10:02 ` Sergey S. Skulachenko
2007-04-10 10:24 ` Dmitriy L. Kruglikov
2007-04-10 11:17 ` Sergey S. Skulachenko
2007-04-10 8:59 ` Nick Gavrikov
2007-04-10 9:29 ` Dmitriy L. Kruglikov
2007-04-10 9:49 ` Sergey S. Skulachenko
2007-04-10 16:14 ` Nick Gavrikov
2007-04-10 15:24 ` Nick Gavrikov
2007-04-10 15:55 ` Serge Polkovnikov
2007-04-10 16:21 ` Nick Gavrikov
2007-04-11 10:26 ` Денис Смирнов
2007-04-11 10:14 ` Денис Смирнов
2007-04-10 16:08 ` Dmitriy L. Kruglikov
2007-04-10 16:24 ` Nick Gavrikov
2007-04-11 5:55 ` Dmitriy L. Kruglikov
2007-04-11 7:48 ` Nick Gavrikov
2007-04-11 8:15 ` Dmitriy L. Kruglikov
2007-04-11 10:50 ` Денис Смирнов
2007-04-11 8:20 ` Sergey S. Skulachenko
2007-04-11 10:05 ` Денис Смирнов
2007-04-11 10:34 ` Dmitriy L. Kruglikov
2007-04-11 11:06 ` Денис Смирнов
2007-04-11 11:16 ` Sergey S. Skulachenko
2007-04-11 13:42 ` Денис Смирнов
2007-04-11 14:13 ` Sergey S. Skulachenko
2007-04-11 14:22 ` Денис Смирнов
2007-04-11 14:33 ` Sergey S. Skulachenko
2007-04-11 11:35 ` Nick Gavrikov
2007-04-11 12:01 ` Dmitriy L. Kruglikov
2007-04-11 17:57 ` Денис Смирнов
2007-04-13 8:00 ` Вадим Илларионов
2007-04-13 8:09 ` Dmitriy L. Kruglikov
2007-04-14 7:14 ` Вадим Илларионов
2007-04-14 7:21 ` Eugene Ostapets
2007-04-11 10:03 ` Денис Смирнов
2007-04-11 9:49 ` Денис Смирнов
2007-04-10 9:31 ` Sergey S. Skulachenko
2007-04-10 9:47 ` Dmitriy L. Kruglikov
2007-04-10 16:09 ` Nick Gavrikov
2007-04-11 9:32 ` Денис Смирнов
2007-04-11 9:21 ` Денис Смирнов
2007-04-11 9:30 ` Sergey S. Skulachenko
2007-04-06 14:56 ` Igor Zubkov
2007-04-09 6:56 ` Vladimir V. Kamarzin
2007-04-09 7:31 ` Aleksey Avdeev
2007-04-09 11:12 ` Vladimir V. Kamarzin
2007-04-09 11:33 ` Alexey Morsov
2007-04-06 9:44 ` Slava Dubrovskiy
2007-04-06 9:55 ` Вадим Илларионов
2007-04-06 10:03 ` Dmitriy L. Kruglikov
2007-04-06 10:03 ` Slava Dubrovskiy
2007-04-06 9:47 ` Вадим Илларионов
2007-04-06 9:39 ` Serge
2007-04-06 9:52 ` Dmitriy L. Kruglikov
2007-04-06 10:10 ` Вадим Илларионов
2007-04-08 19:52 ` Денис Смирнов
2007-04-06 11:11 ` Timur Batyrshin
2007-04-06 11:16 ` Alexey Morsov
2007-04-06 14:34 ` Igor Zubkov
2007-04-06 14:44 ` Шенцев Алексей Владимирович
2007-04-06 14:55 ` Igor Zubkov
2007-04-06 9:43 ` Вадим Илларионов
2007-04-06 11:23 ` [Sysadmins] администрирование squid'а Шенцев Алексей Владимирович
2007-04-06 11:31 ` Dmitriy L. Kruglikov
2007-04-06 11:58 ` Шенцев Алексей Владимирович
2007-04-06 12:09 ` [Sysadmins] администрирование squid'а - SAMS Alexander Volkov
2007-04-06 12:25 ` Шенцев Алексей Владимирович
2007-04-06 13:42 ` Alexander Volkov
2007-04-06 14:00 ` Шенцев Алексей Владимирович
2007-04-06 14:34 ` Alexander Volkov
2007-04-07 12:15 ` Timur Batyrshin
2007-04-09 6:07 ` Шенцев Алексей Владимирович
2007-04-06 11:37 ` [Sysadmins] администрирование squid'а Avramenko Andrew
2007-04-06 12:06 ` Шенцев Алексей Владимирович
2007-04-09 8:18 ` Alexey Shabalin
2007-04-10 10:56 ` [Sysadmins] cyrus-imap Timur Batyrshin
2007-04-12 7:46 ` Anton Kvashin
2007-04-12 7:55 ` Dmitriy L. Kruglikov
2007-04-13 14:14 ` Denis Kuznetsov
2007-04-12 7:58 ` Serge
2007-04-12 8:04 ` Alexey Morsov
2007-04-16 4:55 ` Sergey
2007-04-12 8:10 ` Dmitriy L. Kruglikov
2007-04-09 8:22 ` [Sysadmins] администрирование squid'а Alexey Morsov
2007-04-06 12:56 ` Вадим Илларионов
2007-04-06 13:37 ` Шенцев Алексей Владимирович
2007-04-06 13:05 ` Вадим Илларионов
2007-04-06 15:37 ` [Sysadmins] запрет скачивания переименованных mp3 Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=2b6384730704120104p20a3f08blcb52f02bf21ed904@mail.gmail.com \
--to=nickgavrikov@gmail.com \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git