Правила работы в компьютерной сети Университета ИТМО

На территориальных площадках ИТМО:
  * главный корпус, Кронверкский пр., 49
  * пер. Гривцова, д.14-16
  * пер. Вяземский, д.5-7
  * Биржевая линия В.О., 4; Песочная наб., 14; Серебристый бульвар, 29/1

ITMO University

I. Общие положения


Центр унифицированных коммуникаций Университета ИТМО (ITMO Unified Communications Center) является структурным подразделением вуза. Центр унифицированных коммуникаций создан для проведения работ в области телекоммуникационных технологий в сфере образования и вузовской науки и обеспечения взаимодействия с глобальными информационными ресурсами сети Интернет в интересах широкого круга пользователей.

Согласно положению о Центре его основными задачами являются:

Центр унифицированных коммуникаций Университета ИТМО в рамках своей компетенции при выполнении возложенных задач обязан:

Руководители подразделений согласовывают работы по планированию, разработке и вводу в эксплуатацию телекоммуникаций и локальных компьютерных сетей в Университете ИТМО с руководством Центра унифицированных коммуникаций Университета ИТМО.

Список контактных лиц Центра см.: http://noc.ifmo.ru/ucc.html, контактный e-mail: noc@ifmo.ru

Т.к. сотрудники Центра унифицированных коммуникаций Университета ИТМО несут ответственность за функционирование сети университета в целом и определенную ответственность за деятельность сотрудников подразделений университета в локальной сети и в Интернете, то они в свою очередь требуют и соответствующей ответственности руководства подразделений университета за деятельность их пользователей в сети, т.е. осуществляется иерархический принцип ответственности - в конечном счете за деятельность своих пользователей в сети отвечает административное руководство подключенных к сети подразделений, а не только сетевые системные администраторы.

Проведение в жизнь политики использования сетевых ресурсов ("network usage policy", далее по тексту - сетевой политики) также осуществляется иерархически. В частности, существует сетевая политика Университета ИТМО в целом, и в ее рамках ответственность/права возлагаются на/делегируются подразделениям.

Администраторам подразделений рекомендуется в рамках своей компетенции разрабатывать и применять свои правила работы, не входящие в противоречие с общеуниверситетскими. Решение всевозможных проблем, связанных с деятельностью конечных пользователей, прежде всего должна осуществлять администрация конкретного подразделения, подключенного к университетской компьютерной сети.

Политика использования сетевых ресурсов состоит из двух частей: общих принципов и конкретных правил работы, которые эквивалентны специфической сетевой политике. Общие принципы определяют подход к вопросам надежности и безопасности работы в сети, правила же определяют что разрешено, а что запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.

В действиях любого сетевого администратора, направленных на реализацию сетевой политики, выделяются следующие основные задачи:

В условиях высшего учебного заведения можно выделить следующие основные угрозы нормальному функционированию компьютерной сети вуза:

Следует подчеркнуть, что особенно внимательно Центр унифицированных коммуникаций Университета ИТМО относится к попыткам несанкционированного доступа к ключевым компонентам университетской сети - коммутаторам и маршрутизаторам опорной сети (backbone), к основным центральным серверам - dns, mail, proxy, www и т.д. - и к серверам конкретных университетских подразделений.

Необходимо также отметить, что обслуживание пользователей осуществляется только при условии соблюдения ими установленных данным документом правил работы в сети университета.

Содержание данного документа должно быть доведено до сведения всех сотрудников подразделений, студентов и аспирантов, которые являются пользователями сетей в этих подразделениях - данная обязанность возлагается на администрацию конкретных подразделений университета и локальных системных администраторов.

 

II. Цели разработки и внедрения сетевой политики


Данный документ нацелен прежде всего на создание условий для совместного использования всеми пользователями сетевых ресурсов Университета ИТМО и фиксирует определенные требования, в рамках которых должны осуществлять свою деятельность администраторы и пользователи сетей подразделений.

Необходимо отметить, что в настоящее время резко возросла значимость сети для работы и учебы. Соответственно, простои, связанные с проблемами в сетевых коммуникациях, влекут за собой большие проблемы и потери как рабочего времени, так и прямые потери в учебной, научной и организационно-финансовой области, а по мере увеличения зависимости нормального функционирования вуза от локальных/глобальных сетей потери от инцидентов с нарушением функционирования сети и сетевой безопасностью становится практически невозможно прямо оценить только финансовыми мерками.

Одна из целей данного документа - дать документальную основу действиям и политике Центра унифицированных коммуникаций Университета ИТМО, чтобы они однозначно воспринимались как действия, направленные на реализацию определенной сетевой политики при работе в сети университета, выработанной и согласованной с руководством Университета ИТМО.


III. Правила работы в сети Университета ИТМО


Обычно при разработке сетевой политики приходится балансировать между ограничением функциональности ради увеличения безопасности и надежности работы и соглашением на определенные компромиссы в отношении легкости использования ресурсов сети. Причем, все это необходимо осуществлять с учетом необходимости вложения ресурсов - рабочего времени для внедрения и поддержания сетевой политики и финансовых средств, необходимых для приобретения, разработки и сопровождения соответствующего оборудования и программного обеспечения.

Детально однозначно расписать по пунктам, что пользователи вуза должны и могут делать в компьютерной сети, конечно, невозможно, тем более в рамках учебы и работы в университете, - слишком широк профиль деятельности пользователей в сети вуза. Цель данного документа - привести общие рекомендации, а также некоторые указания о том, что явно запрещено или нежелательно делать в нашей сети. Вполне естественно, что ряд общеизвестных и общепринятых правил работы в компьютерных сетях в целом не требует явного повторения и отражения в данном документе (см. Приложения).

Далее приведен текущий список требований к работе в сети Университета ИТМО. Данный список является рабочим документом, т.е. это не просто предмет дальнейших уточнений, а предмет постоянной работы и изменений.

  1. Запрещается проводить несанкционированное сканирование чужих систем (в т.ч. на предмет поиска уязвимостей) и, тем более, осуществлять попытки несанкционированного проникновения в чужие системы и атаки типа "отказ в обслуживании" (DoS - denial of service). Деятельность по санкционированному проведению сканирований и тестовых атак на системы, с администраторами которых есть договоренность (в учебных целях или в целях обговоренной проверки защиты систем), если она проходит по backbone сети университета или выходит в Интернет, а не сугубо локальна, в обязательном порядке должна согласовываться с Центром унифицированных коммуникаций Университета ИТМО.

  2. Запрещается производить попытки присвоения себе чужих сетевых атрибутов (в частности ip-адресов, MAC-адресов сетевых карт), не выделенных явно сетевыми администраторами, генерировать сетевой трафик с поддельными ip- и MAC-адресами, рассылать электронную почту с поддельными исходными адресами, и в целом маскироваться под авторизованных пользователей для кражи или уничтожения информации, попыток несанкционированного доступа к информации, введения пользователей в заблуждение.

  3. Запрещается предоставлять на своих компьютерах бюджеты посторонним пользователям, если их деятельность связана с использованием этих машин как промежуточных при проведении с них дальнейших сканирований, атак или взломов компьютерных систем, а также с использованием этих машин как посредников для несанкционированного использования ресурсов Университета ИТМО посторонними внешними пользователями (например, пересылка "навылет" через внутренние почтовые сервера посторонней почты - mail relaying, организация открытых для внешнего мира proxy/socks/redirect-серверов общего доступа для использования через них сетевых ресурсов Университета ИТМО, создание серверов с возможностью для анонимных пользователей закачивания на них произвольных файлов с целью организации так называемых "warez"-серверов).

  4. Настоятельная рекомендация к системным администраторам подразделений - устанавливать на свои системы текущие обновления, сервисные пакеты и патчи, а также по возможности обновлять версии программного обеспечения, связанного с работой в сети, особенно на серверах www/ftp/mail/dns/ssh и др. Всевозможные уязвимости в компьютерных системах обнаруживаются очень часто, и иногда промедление в обновлении Вашей системы может обернуться полной потерей Вашей информации благодаря неизвестному взломщику или, что еще хуже - потерей контроля за собственной системой, когда ее ресурсы будут работать уже не на вас, а на безымянного "крэкера".

    (Сеть - это важный ресурс, который изменил стиль деятельности многих людей и организаций. Тем не менее, сети вообще и Интернет, в частности, страдают от серьезных и широко распространенных проблем с безопасностью. Много организаций было атаковано или зондировано злоумышленниками, в результате чего они понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации бывают вынуждены временно отключиться от сети и потратить значительные средства на устранение проблем с конфигурациями своих хостов и сетей. Системные администраторы, которые неосведомлены или игнорируют эти проблемы, подвергают свои системы риску сетевой атаки злоумышленниками. Следует учитывать, что даже те системы, которые внедрили у себя текущие на данный конкретный момент меры по обеспечению безопасности, подвергаются тем же опасностям из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.)

    Следует подчеркнуть, что один "заброшенный" хост или ресурс, администратор которого не уделяет достаточно внимания обеспечению его безопасности, привлекает к себе потенциальных взломщиков, которые затем могут (и делают это!) производить аналогичные попытки проникновения и по отношению к "соседним" по сети хостам, которые зачастую в условиях учебного заведения могут принадлежать совсем к другому подразделению и важность которых несоизмерима по отношению к первоначальной "приманке" (к примеру, попытки взлома могут перейти от "забытого" тестового студенческого учебного сервера к компьютерам ректората/деканатов/бухгалтерии и т.п.).

  5. Общая политика действий сетевых администраторов при возникновении заметных проблем и "заторов" в сети (сбои, атаки, сканирования, рассылка вирусов или спама, проведение массированных скачиваний в рабочее время информации постороннего для университета характера - игры, музыкальные и видеофайлы, а также в целом трафика весьма существенных объемов) - производить временные блокировки такого типа трафика, вплоть до временного отключения от сети такого пользователя или подразделения, до совместного обсуждения и решения вопроса между "проштрафившимися" пользователями и системными администраторами.

  6. При возникновении у конкретных университетских подразделений проблем в работе с сетью университета, требующих выяснения внутренних причин, поиска конкретных внутренних нарушителей и проведения внутренних "расследований", эти обязанности осуществляются системными администраторами этих подразделений. Сотрудники Центра унифицированных коммуникаций Университета ИТМО готовы при этом оказывать посильную помощь и консультации. Однако, с учетом того, что наши услуги по предоставлению доступа к сети предоставляются в основном лицам, имеющим непосредственное отношение к системе высшего образования, причем в компьютерно-сетевой области, большая часть вопросов, видимо, может быть решена в консультациях с преподавателями компьютерных кафедр Вашего факультета (пожалуйста, поберегите наше рабочее время и наши нервы). Кроме того, мы рекомендуем воспользоваться соответствующей литературой и поиском ответов на Ваши вопросы в Интернете.

  7. Центр унифицированных коммуникаций Университета ИТМО может производить временную блокировку проблемного трафика - с оповещением системных администраторов подразделения (а в случаях, не терпящих отлагательства по причинам возможного причинения ущерба сети ИТМО, и без оповещения непосредственно в момент проведения работ) - до устранения самого проблемного трафика и причин, его вызвавших, для того, чтобы остальные пользователи сети университета могли продолжать в это время нормально работать с сетевыми ресурсами. Подобные блокировки снимаются только после предоставления отчета о результатах расследования и предпринятых действиях.

  8. Настоятельное пожелание/требование - по возможности не генерировать особенно большие потоки трафика в рабочее время, стараться переносить это на ночное время, когда загрузка внешнего канала заметно меньше, и когда нет большого количества пользователей, работающих с сетью в интерактивном режиме (рабочим считается время 9:00-21:00 с понедельника до субботы включительно). Разумно также прежде всего попытаться воспользоваться внутренними университетскими информационными сетевыми ресурсами - информационными www/ftp-серверами учебных кафедр и университета в целом.

    При служебной/научной необходимости действительно больших потоков сетевого трафика, в т.ч. и проходящего только по внутреннему бэкбону сети университета без выхода наружу в мир, а также при создании и долговременной эксплуатации подобных сетевых туннелей (различные vpn и т.п.) существенной пропускной способности нужно заранее оповещать об этом сотрудников Центра унифицированных коммуникаций Университета ИТМО, в противном случае подобный трафик может быть заблокирован.

    Особо следует подчеркнуть, что размещение на университетских серверах и рабочих станциях пользователей в открытом общем доступе (в т.ч. и с использованием программного обеспечения для пиринговых файлообменных сетей) коммерческого и лицензионного программного обеспечения, мультимедийных и информационных материалов с нарушением соответствующих авторских прав противоречит сетевой политике Университета ИТМО.

  9. Внешний канал университета постоянно загружен всевозможного рода информационным трафиком, имеющим прямое отношение к научной и учебной деятельности. С учетом этого, различный внешний мультимедийный трафик типа интернет-видео, музыкальных сетевых радиостанций, а также трафик пиринговых сетей у нас имеет самый низкий приоритет и, фактически, нежелателен.

  10. Сетевые игры через опорную сеть университета и Интернет также не поощряются, и при возникновении подобного мешающего работе и учебе трафика подобные сетевые коммуникации блокируются без предупреждений: вуз - место для работы и учебы, а не бесплатная игротека.

  11. Поскольку услуги по обеспечению телекоммуникационного доступа предоставляются подразделениям университета без оплаты, т.е. не существует официального обоюдного договора об уровне сервисных услуг (SLA) между нами - непосредственными поставщиками сетевых услуг - и нашими клиентами-потребителями, то представляется невозможным обеспечить явные гарантии качества услуг (в частности, выделение сетевых каналов гарантированной запрошенной пропускной способности для запрошенного типа трафика). Однако Центр унифицированных коммуникаций Университета ИТМО по мере возможности будет обеспечивать потребности подразделений с учетом решаемых ими задач.

  12. Пользователям сети ИТМО запрещено распространять через сеть материалы рекламного и коммерческого характера в объемах, сравнимых по порядку величины с общим трафиком подразделений университета (к примеру - реклама, рассылаемая сотнями и тысячами экземпляров писем - типичный пример spam'а, т.е. нежелательной навязчивой рекламной почты).

    Пользователям сети Университета ИТМО запрещается распространять через сеть заведомо оскорбляющую честь и унижающую достоинство граждан информацию. Примечание: Центр унифицированных коммуникаций Университета ИТМО не занимается перлюстрацией и цензурой трафика, но в случае конкретных инцидентов и при наличии жалоб пострадавших данное правило применяется в полной мере.

  13. Вопросы физического подключения к сети Университета ИТМО новых подразделений и новых сетевых сегментов, в том числе и беспроводных (к примеру, wi-fi) должны решаться под обязательным руководством и при участии сотрудников Центра унифицированных коммуникаций Университета ИТМО. Проведение подобных сетевых работ осуществляется силами сотрудников подключаемого подразделения своими материалами после консультации и под руководством сотрудников Центра.

  14. При создании новых локальных компьютерных сетей подразделений, которые затем планируется подключать к единой университетской сети, а также при создании долговременных и/или постоянных сетевых туннелей с существенной пропускной способностью необходимо предварительное обсуждение и согласование планируемой сетевой структуры с Центром унифицированных коммуникаций Университета ИТМО.

  15. Еще раз подчеркнем - администрация компьютерной сети ИТМО резервирует за собой право с целью защиты сетевой инфраструктуры и пользователей всей сети блокировать доступ из подразделений и подсетей, из которых идут spam- и вирусные рассылки, сетевое сканирование, атаки на отказ в обслуживании, а также трафик с хостов, не администрируемых надлежащим образом - вплоть до временного прекращения всех коммуникаций с хостами, вовлеченными в подобные инциденты (спамовые рассылки, вирусные и хакерские атаки и т.п.), даже если это повлечет за собой временную невозможность нормального доступа пользователей к сетевым ресурсам.


IV. Приложения


 

Центр унифицированных коммуникаций Университета ИТМО
1997-2016, http://noc.ifmo.ru/ucc.html