Спецвыпуск. Open Source
№01-02(218-219)
январь-февраль 2021
Моделирование сетей
Обновление CentOS 7 до Virtuozzo Linux 8, или до CentOS 8,
но с помощью инструментов Virtuozzo
GLPI –
инвентаризация компьютерного
оборудования
Проблемы кибербезопасности
встраиваемых
индустриальных ОС
Программные решения
для обеспечения цикла
непрерывной разработки
У меня есть тайна. Или уже нет?
Заочный круглый стол
Наука и технологии Наука и технологии Наука и технологии
Анализ существующих Разработка программных СУБД класса NoSQL.
автоматизированных систем средств увеличения В работе проведен системный
обучения и их роль в процессе изображений с использованием анализ возможностей категории
обучения студентов в вузах их фрактальных свойств NoSQL
Будь в курсе!
Оформив редакционную подписку на журнал
«Системный администратор», вы получите возможность
изучить практический опыт ИТ-гуру, воспользоваться
их советами и рекомендациями.
На страницах «Системного администратора» –
решения самых актуальных проблем!
Спецвыпуск. Open Source Только полезная
№01-02(218-219) информация
январь-февраль 2021
Бумажная
Моделирование сетей
электронная
Обновление CentOS 7 до Virtuozzo Linux 8, или до CentOS 8, версии
но с помощью инструментов Virtuozzo 7600 руб.
GLPI –
инвентаризация компьютерного
оборудования
Проблемы кибербезопасности
встраиваемых
индустриальных ОС
Программные решения
для обеспечения цикла
непрерывной разработки
У меня есть тайна. Или уже нет? Бумажная версия –
6600 руб.
Заочный круглый стол Электронная версия –
4000 руб.
Наука и технологии Наука и технологии Наука и технологии
Анализ существующих Разработка программных СУБД класса NoSQL.
автоматизированных систем средств увеличения В работе проведен системный
обучения и их роль в процессе изображений с использованием анализ возможностей категории
обучения студентов в вузах их фрактальных свойств NoSQL
Подписывайтесь
прямо на сайте!
samag.ru/subscribe
В номере
10 15
АДМИНИСТРИРОВАНИЕ БЕЗОПАСНОСТЬ
Миграция Миграция данных
10 Обновление CentOS 7 до Virtuozzo Linux 8, или до 22 Василий Севостьянов: «Как безболезненно пе-
CentOS 8, но с помощью инструментов Virtuozzo. рейти с одного продукта на другой». На вопросы
П роблема бесшовного перехода с одной версии CentOS «Системного администратора» о проблемах миграции
на другую не теряет остроты со времен выхода CentOS 6. и о том, как можно безболезненно переходить с одного
Выход CentOS 8 не привнес ничего нового – официаль- продукта на другой, отвечает начальник отдела техниче-
ных инструментов обновления с CentOS 7 нет, а изме- ского сопровождения продаж компании «Доктор Веб».
нение отношения к дистрибутиву со стороны компании
RedHat и вовсе заставляет задуматься, не выбрать ли Встроенные ОС
другую альтернативу, также основанную на исходных
кодах RedHat Enterprise Linux. 28 Проблемы кибербезопасности встраиваемых
индустриальных ОС. Данная статья является про-
Денис Силаков должением статьи «Особенности требований к встраи-
ваемой индустриальной ОС», опубликованной в № 12,
Инструменты 2020. Далее мы сосредоточимся на одном из аспек-
тов требований к индустриальным встраиваемым ОС,
15 GLPI – инвентаризация компьютерного обору- только затронутом в предыдущей статье, а именно, на
дования. Продукт GLPI умеет учитывать и структури- проблематике кибербезопасности.
ровать информацию о характеристиках компьютеров
и серверов, сетевого активного и пассивного обору- Сергей Парьев
дования, телефонов, расходных материалов и многое
другое. Установим, настроим, подключим плагины, ЗАОЧНЫЙ КРУГЛЫЙ СТОЛ
сделаем выводы.
33 У меня есть тайна. Или уже нет? С уществует из-
Сергей Болдин вестное утверждение о том, что когда важную инфор-
мацию знает один человек – это тайна, если ее знают
Продукты и решения двое – только полтайны, а если трое, то, считай, ни-
какой тайны и нет. Конфиденциальная информация –
20 Коротко о корпусе. Как выбрать системный блок отличный товар и повод для шантажа, поэтому при-
под конкретные задачи. Сегодня хороший корпус думано так много способов и средств для ее кражи и
для ПК – это не просто деталь интерьера вашего ра- защиты. Недавний скандал с утечкой более 1,3 милли-
бочего места. Корпус должен защищать внутренние она строк данных клиентов «РЖД Бонус», содержащих
комплектующие, разместить и надёжно зафиксиро- по каждому клиенту адрес, e-mail и ID-пользователя,
вать от перемещений все компоненты системного бло- зашифрованный пароль, дату регистрации и последне-
ка, равномерно охлаждать все элементы и иметь до- го входа в систему, а также служебные данные – еще
полнительное место для будущих апгрейдов, а также один повод вернуться к обсуждению проблемы защиты
предотвратить попадание жидкостей, пыли. информации и конфиденциальности в ИТ.
Сергей Горбенко
2 январь-февраль 2021 системный администратор
ПАО СБЕРБАНК Г. МОСКВА БИК 044525225
Сч. № 30101810400000000225
Банк получателя
Сч. № 40702810138000086304
ИНН 9717008803 КПП 771701001
ООО "ИЗДАТЕЛЬСКИЙ ДОМ ПОЛОЖЕВЕЦ
И ПАРТНЕРЫ"
Получатель
Счет на оплату № 2021/СА/ПВ от 1 февраля 2021 г.
Поставщик ООО "ИЗДАТЕЛЬСКИЙ ДОМ ПОЛОЖЕВЕЦ И ПАРТНЕРЫ", ИНН 9717008803, КПП 771701001,
(Исполнитель): 129515, Москва г, Академика Королева ул, дом № Дом 13, Строение 1, Пом. II, Ком. 63
Тел.: 8 499 2771245, 8 499 2771241
Покупатель
(Заказчик):
Основание: Счет 2021/СА/ПВ от 01.02.2021
№ Товары (работы, услуги) Кол-во Ед. Цена Сумма
1200,0 0 1200,00
1 Журнал "Системный администратор" № 1-2/2021 (январь-февра 1 шт 600,00 600,00
600,00 600,00
2 Журнал "Системный администратор" № 3/2021 (март) 1 шт
600,00 600,00
3 Журнал "Системный администратор" №4/2021 (апрель) 1 шт 600,00 600,00
1200,0 0 1200,00
4 Журнал "Системный администратор" №5/2021 (май) 1 шт 600,00 600,00
600,00 600,00
5 Журнал "Системный администратор" №6/2021 (июнь) 1 шт
600,00 600,00
6 Журнал "Системный администратор" № 7-8/2021 (июль-август) 1 шт 600,00 600,00
7 Журнал "Системный администратор" № 9/2021 (сентябрь) 1 шт
8 Журнал "Системный администратор" № 10/2021 (октябрь) 1 шт
9 Журнал "Системный администратор" № 11/2021 (ноябрь) 1 шт
10 Журнал "Системный администратор" № 12/2021 (декабрь) 1 шт
Итого: 7 200,00
Без налога (НДС) -
Всего к оплате: 7 200,00
Всего наименований 10, на сумму 7 200,00 руб.
Семь тысяч двести рублей 00 копеек
Оплата данного счета означает согласие с условиями поставки товара.
Товар отпускается по факту прихода денег на р/с Поставщика.
Руководитель Положевец Г.В. Бухгалтер Положевец Г.В.
Чтобы оформить редакционную подписку на журнал «Системный администратор» 2021 г.:
Шаг 1. Оплатите данный счет.
Шаг 2. Пришлите точный почтовый адрес доставки на e-mail: [email protected] с указанием
наименования подписчика и реквизиты (если юр. лицо)
или Ф.И.О. и точный почтовый адрес доставки (если физ. лицо).
Ваша подписка будет оформлена.
Дополнительная информация на сайте: http://samag.ru в разделе «Подписка», тел. 8 (499) 277-12-45
С уважением, Издательскийдом «Положевец и партнеры».
ПАО СБЕРБАНК Г. МОСКВА БИК 044525225
Сч. № 30101810400000000225
Банк получателя
Сч. № 40702810138000086304
ИНН 9717008803 КПП 771701001
ООО "ИЗДАТЕЛЬСКИЙ ДОМ ПОЛОЖЕВЕЦ
И ПАРТНЕРЫ"
Получатель
Счет на оплату № 2021/БИТ/ПВ от 1 февраля 2021 г.
Поставщик ООО "ИЗДАТЕЛЬСКИЙ ДОМ ПОЛОЖЕВЕЦ И ПАРТНЕРЫ", ИНН 9717008803, КПП 771701001,
(Исполнитель): 129515, Москва г, Академика Королева ул, дом № Дом 13, Строение 1, Пом. II, Ком. 63
Тел.: 8 499 2771245, 8 499 2771241
Покупатель
(Заказчик):
Основание: Счет 2021/БИТ/ПВ от 01.02.2021
№ Товары (работы, услуги) Кол-во Ед. Цена Сумма
1 шт 600,00 600,00
1 Журнал «БИТ. Бизнес&Информационные технологии» 1 шт 600,00 600,00
1 шт 600,00 600,00
№1/2021 (февраль) 1 шт 600,00 600,00
2 Журнал «БИТ. Бизнес&Информационные технологии» 1 шт 600,00 600,00
1 шт 600,00 600,00
№2/2021 (март) 1 шт 600,00 600,00
3 Журнал «БИТ. Бизнес&Информационные технологии» 1 шт 600,00 600,00
1 шт 600,00 600,00
№3/2021 (апрель) 1 шт 600,00 600,00
4 Журнал «БИТ. Бизнес&Информационные технологии»
№4/2021 (май)
5 Журнал «БИТ. Бизнес&Информационные технологии»
№5/2021 (июнь)
6 Журнал «БИТ. Бизнес&Информационные технологии»
№6/2021 (август)
7 Журнал «БИТ. Бизнес&Информационные технологии»
№7/2021 (сентябрь)
8 Журнал «БИТ. Бизнес&Информационные технологии»
№8/2021 (октябрь)
9 Журнал «БИТ. Бизнес&Информационные технологии»
№9/2021 (ноябрь)
10 Журнал «БИТ. Бизнес&Информационные технологии»
№10/2021 (декабрь)
Итого: 6 000,00
Без налога (НДС) -
Всего к оплате: 6 000,00
Всего наименований 10, на сумму 6 000,00 руб.
Шесть тысяч рублей 00 копеек
Оплата данного счета означает согласие с условиями поставки товара.
Товар отпускается по факту прихода денег на р/с Поставщика.
Руководитель Положевец Г.В. Бухгалтер Положевец Г.В.
Чтобы оформить редакционную подписку на журнал «БИТ.Бизнес&Информационные технологии» 2021 г.:
Шаг 1. Оплатите данный счет.
Шаг 2. Пришлите точный почтовый адрес доставки на e-mail: [email protected] с указанием
наименования подписчика и реквизиты (если юр. лицо)
или Ф.И.О. и точный почтовый адрес доставки (если физ. лицо).
Ваша подписка будет оформлена.
Дополнительная информация на сайте: http://bit.samag.ru в разделе «Подписка», тел. 8 (499) 277-12-45
С уважением, Издательскийдом «Положевец и партнеры».
В номере
48 54
СЕТИ OPEN SOURCE
Инструменты 69 30 лет назад в 1991 году началась история
Linux. О б истории развития ОС с открытым исходным
48 Моделирование сетей. П рограмма Packet Tracer яв- кодом в нашей стране читайте статьи авторов «Систем-
ляется эмулятором компьютерной сети, которая позво- ного администратора» и «БИТа» в спецвыпуске «OPEN
ляет новичку разобраться в основах построения ЛВС, SOURCE».
а опытному сетевому инженеру – оттачивать свои на-
выки и тестировать изменения для имеющихся сетей. Перспективы
Сергей Болдин 70
РАЗРАБОТКА Куда приведет Open Source? Д вижение Open
Source зародилось как протест против проприетарного
Языки программирования подхода к программному обеспечению и поначалу вос-
принималось, скорее, как развлечение.
54
Сергей Супрунов
Практическое изучение языка программирова- 75 Open Source взглядом оптимиста. Стремительный
ния Python через улучшение и усовершенство- рост числа программных проектов с открытыми исход-
вание самостоятельно написанной программы. ными текстами и одновременно свободными от платы
Создание программы «Контакты» с терминаль- за использование создал ситуацию, когда явление, су-
ным интерфейсом. В данном цикле статей будет рас- ществующее де-факто, пока не получило всесторонне-
сматриваться практический опыт изучения языка про- го объяснения своего возникновения и развития.
граммирования Python – от написания элементарной
программы «Контакты», с терминальным интерфей- Алексей Барабанов
сом, и постепенного усовершенствования её, до уровня
применения нейронных сетей (записи и получения дан- Особое мнение
ных голосом). Применяемый инструментарий – Python
3, ООП, Git, GitHub, Tkinter, PostgreSQL, Django, Django 80 Как зарабатывают на Open Source. О жесточен-
Rest Framework, HTML, CSS, Bootstrap, JSON, Linux (ОС ная конкуренция между программистами заставляет
Raspbian), Raspberry Pi, GPIO, Нейронные сети и т. д. не только совершенствовать качество кода, но так-
же искать новые, более эффективные бизнес-схемы,
Вадим Заря использующие все доступные средства, в том числе
и концепцию открытых исходных текстов, уверенно
DevOps противостоящую компаниям-гигантам.
66 Программные решения для обеспечения цикла Крис Касперски
непрерывной разработки. В данной статье рас-
скажем о программном обеспечении, которое, при Администрирование
правильной настройке, должно обеспечить цикл непре-
рывной разработки. 86 Особенности перехода на бесплатные решения
Сергей Головашов Open Source. Статья посвящена вопросам миграции
системный администратор январь-февраль 2021 5
В номере
75 80
на Open Source-системы. Рассмотрены плюсы и мину- няется тем, что из-за недоработок в лицензиях можно
сы данного процесса, а также всевозможные «подвод- формально их выполнить, но нарушить суть и основ-
ные камни». ную идею.
Алексей Бережной Андрей Савченко
91 Стратегия и тактика перехода на бесплатные Закон есть закон
решения Open Source. К акие есть возможности для
миграции на Open Source-системы? Что выбрать в ка- 108 Правовые риски свободных программ. Чем юри-
честве той или иной методики, какие ошибки бывают
при переходе на свободное программное обеспечение? сты пугают ваших инвесторов. К аждый ИТ-стартап
рассчитывает рано или поздно привлечь солидного
Алексей Бережной инвестора и вырасти в преуспевающий и стабильный
ИТ-бизнес. Разумеется, главное на пути к этой цели –
Безопасность содержание самого ИТ‑продукта, именно уникальный
продукт позволит привлечь внимание к вашему про-
96 Безопасен ли открытый код? Сторонники про- екту. Но простого внимания недостаточно. Чтобы при-
грамм с открытым исходным кодом настаивают на его влечь инвестиции или получить заказ на разработку,
повышенной безопасности, противники же, наоборот, нужно показать тот актив, в который инвестору пред-
считают, что возможность просмотреть исходники лагается вложить свои деньги.
лишь вредит. Попробуем разобраться, кто прав.
Татьяна Никифорова
Сергей Яремчук
Технологии
100 Open Source в ИБ: враг или друг? Можно ли ис-
112 Будущее за открытостью: Open Source поможет
пользовать Open Source для защиты инфор-
мации? Какие есть риски и проблемы? Сегодня, не упустить возможность. Несколько лет назад, вы-
испытывая экономические сложности, компании ста- ступая на конференции, я перечислял действия, кото-
раются оптимизировать свои расходы на ИТ-инфра- рые, возможно, выполняли слушатели: снятие денег в
структуру. Сейчас все больше организаций переходит банкомате, проверка соцсетей, совершение онлайн-по-
на аутсорсинг с целью снизить стоимость технического купок, регистрация на рейс, просмотр фильма. И за каж-
сопровождения. дым из этих действий стояли технологии Open Source,
которые уже тогда были в тренде и набирали силу.
Андрей Бирюков
Джим Уайтхерст (Jim Whitehurst)
Лицензирование
КАРЬЕРА/ОБРАЗОВАНИЕ
103 Уязвимости в лицензиях СПО. Лицензии на прог-
Ретроспектива
раммное обеспечение можно рассматривать как про-
граммы. Как и любые программы, лицензии не идеаль- 114 Трудно быть «Бошем». В списке крупнейших миро-
ны и содержат уязвимости, которые эксплуатируются
злоумышленниками в целях ограничения прав и сво- вых компаний, включившихся в «гонку десятилетия»
бод пользователей и разработчиков. Ситуация ослож- по созданию тестов, вакцин и лекарств против бушу-
6 январь-февраль 2021 системный администратор
В номере
ющей в мире пандемии коронавируса, неожиданно на- 130 Организация управления компьютерным узлом
тыкаешься на название, прямо скажем, неожиданное.
Всем известен немецкий промышленный гигант Robert инфраструктуры современного предприятия на
Bosch GmbH – ведущий мировой производитель бы- основе методов стохастической аппроксимации.
товых потребительских товаров и разнообразных тех-
нологий: автомобильных, промышленных, энергетиче- Ткаченко К.С.
ских, строительных, упаковочных.
134 Программа для вычисления площади фигуры
Владимир Гаков
сложной конфигурации разными способами.
НАУКА И ТЕХНОЛОГИИ
Ильичев В.Ю.
Раздел для научных публикаций
138 Применение языков программирования высо-
120 Анализ существующих автоматизированных
кого уровня JavaScript и Prolog для аналитиче-
систем обучения и их роль в процессе обучения ского моделирования многоканальной системы
студентов в высших учебных заведениях. массового обслуживания.
Люлява Д.В., Дуксин Н.А., Гушель В.О., Ткаченко К.С.
Тебинов Н.С., Шепухин Д.О., Долидзе И.И.
ЗАЛ СЛАВЫ «СА»
124 Разработка программных средств увеличения
144 Чайник on-line. На сей раз очередной экспонат наше-
изображений с использованием их фракталь-
ных свойств. го виртуального музея – наверное, один из самых не-
обычных. В полном смысле неосязаемый. Хотя, с другой
Ильичев В.Ю. стороны, это уже десятки миллиардов вполне осязаемых,
конкретных и всем знакомых материальных объектов –
128 СУБД класса NoSQL. от бытовых приборов до офисных помещений, жилых
конструкций и промышленных сооружений, соединенных
Фролов А.В. сетью Интернет. Не живых пользователей Сети, а именно
подключенных к ней приборов и целых сооружений.
Владимир Гаков
системный администратор январь-февраль 2021 7
Дорогие читатели! Если перед вашими глазами эти страницы «Системного
администратора», то ИТ-технологии, скорее всего, уже занимают важное место
в вашей жизни. Значит, вам сюда!
Наш издательский дом презентует новый проект в ИТ-образовании
и ИТ‑карьере в России – портал Выбираю•IT. Он поможет в выборе будущей
профессии абитуриентам и студентам, в развитии профессиональных навыков
молодым специалистам, в подборе дополнительных программ обучения
и специальных курсов, в поиске достойной работы в ИТ
ПРАВИЛЬНЫЙ ВЫБОР
Выбираю•IT – новый проект в ИТ-образовании
и ИТ-карьере в России
Выбираю•IT предоставляет широкие
возможности для школьников, студентов
и ИТ-специалистов в поиске образовательных
программ, вузов и курсов для получения
профессии или повышения квалификации,
выборе работы
Выбираю•IT – это агрегатор, навигатор,
эксперт в области ИТ-образования
и карьеры в онлайн- и офлайн-формате
http://choose-it.ru
ГЛАВНОЕ
Выбираю•IT – это информационно-образовательный портал для старшеклассников,
студентов технических вузов и молодых специалистов в сфере ИТ
Портал Выбираю•IT – это:
♦♦ агрегатор, который аккумулирует всю информацию про ИТ-образование
и ИТ‑карьеру в России
♦♦ навигатор, с помощью которого можно найти необходимый вуз, учебный курс,
выбрать ИТ-специальность, образовательную программу или способ обучения,
вакансию или стажировку
♦♦ календарь ключевых событий в сфере ИТ-образования и карьеры
♦♦ эксперт, который даст профессиональный совет по разным темам, связанным
с ИТ-образованием и профессией в сфере ИТ
♦♦ образовательная площадка для получения дистанционного образования
в сфере ИТ
♦♦ стажировки и вакансии ведущих ИТ-компаний
России, собранные в одном месте
http://choose-it.ru
РЕШЕНИЕ
Портал Выбираю•IT аккумулирует на единой площадке подробную
информацию об образовании и карьере в ИТ-отрасли в России
♦♦ Аккумулирует всю самую актуальную информацию о российском
рынке ИТ-образования и работы в сфере ИТ
♦♦ Помогает каждому посетителю портала сориентироваться в потоке
информации и найти необходимые сведения, подобрать для себя
перспективное образование, вакансию или стажировку
♦♦ Сотрудничает с ведущими вузами и ИТ-компаниями по всей России
♦♦ Предоставляет онлайн-курсы по различным ИТ-направлениям
♦♦ Анонсирует важные события и практикумы в ведущих ИТ-компаниях
♦♦ Освещает совместные проекты вузов и ИТ-бизнеса,
интегрированные в учебный процесс
Администрирование миграция
Визитка
ДЕНИС СИЛАКОВ, к.ф.-м.н., старший системный архитектор, Virtuozzo,
доцент, Национальный исследовательский университет «Высшая школа экономики»,
[email protected]
Обновление CentOS 7 до Virtuozzo Linux 8,
или до CentOS 8, но с помощью инструментов Virtuozzo
Проблема бесшовного перехода с одной версии CentOS на другую не теряет
остроты со времен выхода CentOS 6 [1]. Выход CentOS 8 не привнес ничего нового –
официальных инструментов обновления с CentOS 7 нет, а изменение отношения
к дистрибутиву со стороны компании RedHat и вовсе заставляет задуматься,
не выбрать ли другую альтернативу, также основанную на исходных кодах RedHat
Enterprise Linux
Как и в случае перехода с шестой версии на седьмую, «yum update» на CentOS 7 с подключенными репозитори-
в CentOS 8 присутствуют серьезные изменения, меша- ями CentOS 8 не приводит к успеху, поскольку пакетный
ющие просто взять CentOS 7, подключить репозитории менеджер не в состоянии понять – какие Python-пакеты надо
CentOS 8 и запустить обновление пакетов или их синхро- оставить, а какие удалить.
низацию через «yum distrosync». Однако на сей раз масштаб
изменений не столь радикален, – если при предыдущей В итоге приходится использовать вспомогательные ин-
смене поколений мы получили новую систему инициализации струменты, тем более что для обновления коммерческого
systemd и новые инструменты управления сетью и брэндма- дистрибутива RHEL такие инструменты имеются.
уером NetworkManager и firewalld, то теперь наиболее ради-
кальным нововведением является переход на Python3 в ка- Leapp – замена redhat-upgrade-tool
честве интерпретатора Python по умолчанию.
Для миграции с RHEL 6 на RHEL 7 компания Red Hat предо-
Из других важных изменений нельзя не отметить пере- ставляла инструментарий redhat-upgrade-tool – не сказать,
ход на пакетный менеджер DNF и серьезное обновление чтобы очень удобный, но вполне работоспособный. Одним
RPM. Последнее принесло с собой нововведения в ме- из его недостатков можно назвать сильную привязку к кон-
таданные пакетов и триггеры, выполняющиеся при уста- кретному дистрибутиву – поддержка клонов RHEL была те-
новке и удалении пакетов. Эти нововведения незнакомы оретически возможна, но не очень удобна. При разработке
«старым» RPM и Yum и могут вызвать ошибки при по- RHEL 8 была сделана попытка создать более универсальный
пытке манипуляции новыми пакетами с помощью старых инструмент, по крайней мере, дающий удобные средства
инструментов. для добавления каких-то других сценариев обновления по-
мимо RHEL 7 → 8. Новый инструмент получил название
Впрочем, обновление формата пакетов не представляет leapp, его исходный код открыт и сопровождается подробной
серьезной проблемы при переходе с CentOS 7 на вось- документацией [2].
мую версию. Основной загвоздкой является разрешение
зависимостей, связанное с переходом на Python3. Раз- Впрочем, обновление формата
работчики RedHat и отличаются аккуратностью в подго- пакетов н е представляет
товке пакетов, и строго следуют политикам именования, серьезной проблемы
но для сценария апгрейда это сыграло против системных при переходе с CentOS 7
администраторов. на восьмую версию
В частности, модули для Python3 всегда упакованы в па- Впрочем, пока универсальность утилиты на практике еще
кеты с префиксом «python3» и поэтому не замещают пакеты не проявилась. Как и для предыдущей утилиты, краеуголь-
с модулями Python2 (имеющие суффикс «python-»), а яв- ным камнем является необходимость подготовки данных
ное замещение (например, посредством добавления тега для работы, – в случае перехода с RHEL 7 на RHEL 8 к таким
Obsoletes) не предусмотрено, да и во многих случаях может
привести к коллизиям. Однако в то же время некоторые
python3-пакеты не могут быть установлены одновремен-
но со своими python2-аналогами (например, из-за наличия
конфликта по файлам). В результате попытка запустить
10 январь-февраль 2021 системный администратор
миграция Администрирование
Приходится использовать
вспомогательные
инструменты,
тем более что для обновления
коммерческого дистрибутива
RHEL т акие инструменты
имеются
данным относится информация о замещении и обновлении В основе VHS как продукта лежит дистрибутив Virtuozzo
пакетов. Не мудрствуя лукаво, leapp для обновления ис- Linux (VzLinux) – как и CentOS, основанный на исходных
пользует таблицу соответствия пакетов в седьмой и восьмой кодах RHEL. При этом в инструменте обновления vzupgrade
версиях системы. Если пакет из седьмой версии нельзя предусмотрена работа в режиме «чистого дистрибутива»,
просто обновить на пакет с таким же именем в версии 8, без компонентов виртуализации, что позволяет использовать
то в таблице должно быть указано, – а на что, собственно, его и для обновления других клонов RHEL – в частности,
этот пакет менять (допустимо и пустое множество, если CentOS.
пакет надо удалить). Файл pes-events.json с такой таблицей
соответствий и ожидает получить на вход leapp. Хорошей новостью является то, что vzupgrade присут-
ствует и в седьмой версии Virtuozzo Linux, позволяя произ-
Обладатели подписки RedHat могут скачать такой файл вести ее обновление до VzLinux 8. «Под капотом» утилиты
с пользовательского портала компании, но для CentOS произошло много изменений, и она теперь использует leapp
напрямую его применить не получится – хотя бы потому, вместо redhat-upgrade-tool, однако с точки зрения конечного
что для каждого пакета указано имя репозитория, в котором пользователя изменений практически нет.
он находится, а имена эти в CentOS другие. Поддержка же
leapp и необходимые данные для самого CentOS в планы Более того – теперь нет необходимости предварительно
разработчиков не входит [3]. превращать CentOS 7 в VzLinux 7. Правда, в результате
обновления по-прежнему будет получаться VzLinux, поэтому
Кроме того, внутри текущего leapp есть немного жестких финальный шаг «превращения» системы обратно в CentOS
привязок к RedHat – например, список ключей, которыми все-таки надо будет проделать вручную. Рассмотрим про-
должны быть подписаны пакеты. Их немного и все их можно цесс подробнее.
исправить вручную, а для отключения некоторых даже пре-
дусмотрены отдельные опции (например, -no-rhsm отключает Подготовка CentOS 7 к обновлению
обращения к серверу подписок RedHat). Однако можно
воспользоваться модифицированной реализацией Leapp В отличие от переезда с шестой версии, апгрейд седьмого
из репозиториев Virtuozzo, а заодно и оберткой vzupgrade, CentOS с помощью vzupgrade не требует его превраще-
предоставляющей необходимую таблицу обновления паке- ния в VzLinux. Достаточно установить пакет vzupgrade
тов. Таблица рассчитана на пакеты и репозитории Virtuozzo, и его зависимости из репозиториев Virtuozzo – например,
но превратить Virtuozzo Linux 8 в CentOS 8 – задача нетруд- подключив их при помощи yum-config-manager из пакета
ная, о чем расскажем ниже. yum-utils:
Leapp, VzUpgrade и Virtuozzo Linux # yum install -y yum-utils
# yum-config-manager --add-repo http://repo.virtuozzo.com/
Мы уже рассматривали vzupgrade как инструмент обновле- vzlinux/7.9/x86_64/os/
ния CentOS 6 до CentOS 7 [4]. Напомню, основной задачей # yum install -y --nogpgcheck vzupgrade
этого инструмента является обновление с одной версии
на другую системы виртуализации Virtuozzo (не так давно После этого необходимо убрать репозиторий VzLinux,
называвшейся просто «Virtuozzo», а в настоящее время иначе при установке обновлений вам предложат заменить
носящей имя Virtuozzo Hybrid Server, VHS). пакеты CentOS на пакеты VzLinux – в этом нет необходимо-
сти, а времени может занять довольно много:
системный администратор январь-февраль 2021 11
Администрирование миграция
# rm -f /etc/yum.repos.d/repo.virtuozzo* удаляются автоматически. В таблице от Virtuozzo нет указа-
ния удалять Qt, однако могут быть другие.
Обязательным условием является установка всех послед- Основной способ заполучить подобные пакеты после
них обновлений системы: обновления – это сохранить их список, а после завершения
процесса установить заново (естественно, из репозиториев,
# yum update -y предназначенных для CentOS 8). Впрочем, можно и самосто-
ятельно донастроить leapp, подготовив данные для обновле-
После чего можно запустить диагностику возможных ния ваших специфических пакетов, – инструкции для этого
проблем при обновлении: есть в документации [2].
Ряд проблем считается критическим – при их возникнове-
# vzupgrade check --skip-vz нии работа инструмента останавливается. Например, если
у вас установлено самосборное ядро, то leapp откажется
Ключ "--skip-vz" указывает утилите пропустить ряд прове- с ним работать и потребует ядро из репозиториев CentOS.
рок, специфических для системы виртуализации Virtuozzo. Часть сообщений в отчете носит информативный ха-
Кроме того, при выставлении этого ключа ряд специфичных рактер – вам напомнят, что в CentOS 8 нет файла /usr/
для Virtuozzo проверок заменяется либо дополняется про- bin/python и рекомендуется явно указывать в скриптах
верками, необходимыми для CentOS – например, подпись python2 или python3 (но можно и вернуть /usr/bin/python, если
пакетов CentOS добавляется в список разрешенных. очень хочется), ознакомят со списком изменений в утилитах
Вызов vzupgrade с ключом «check» в режиме «--skip-vz»
сводится к запуску утилиты leapp с параметром «preupgrade» Ряд проблем считается
и опцией «--no-rhsm», отключающей проверку наличия критическим –
подписки RedHat. Результатом его работы является отчет
со списком потенциальных опасностей, поджидающих вас п ри их возникновении
при обновлении. работа инструмента
останавливается. Н апример,
Отчет доступен в директории /var/log/leapp в двух видах – если у вас установлено
самосборное ядро,
текстовом (leapp-report.txt) и JSON (leapp-report.json). По- то leapp откажется
следний можно открыть, например, в Firefox – так его изучать с ним работать и потребует
даже удобнее, чем текстовый вариант (рис.1). В этой же ядро из репозиториев CentOS
директории в заархивированном виде хранятся отчеты
всех запусков vzupgrade и leapp, так что можно сравнить
их при необходимости.
По сравнению с отчетами, генерировавшимися при об-
новлении с CentOS 6, в данном случае количество потен-
циальных проблем гораздо меньше (по крайней мере, если
вы не сильно перекраивали систему после установки).
Основные сообщения, на которые надо обратить внима-
ние, – это списки пакетов, которые leapp не может обно- типа grep, из-за которых вам, возможно, надо обновить свои
вить, поскольку они отсутствуют в его таблице соответствия скрипты, и т. д.
пакетов разных версий CentOS. Как правило, это пакеты В случае если критических проблем для обновления
из сторонних репозиториев, и с большой вероятностью не обнаружено, в конце работы leapp preupgrade (и со-
при обновлении они будут просто удалены. ответственно vzupgrade check) произведет ряд действий,
Также одной из причин удаления потенциально полезных непосредственно подготавливающих систему к обновле-
вам пакетов может быть удаление их зависимостей – напри- нию, – например, перенесет конфигурацию sendmail в но-
мер, в оригинальной таблице соответствия пакетов от RedHat вые файлы, преобразует настройки ntpdate в конфигура-
прописано, что все пакеты Qt версии 4 при обновлении не- цию chrony и т. д. Наконец, будет установлен и включен
обходимо удалить. Все пакеты, зависящие от Qt, при этом сервис leapp_resume, – который будет запущен сразу же
после перезагрузки системы в спе-
Рисунок 1. Результаты подготовки к обновлению оформляются в виде JSON-файла, который удобно изучать в Firefox циальный режим, предназначенный
исключительно для обновления сис-
темы.
Перезагрузка в режим
обновления
Аналогично redhat-upgrade-tool,
leapp производит непосредствен-
ное обновление системы в специ-
альном неинтерактивном режиме,
в котором все другие активности за-
блокированы. Заметное улучшение
по сравнению в redhat-upgrade-tool
12 январь-февраль 2021 системный администратор
миграция Администрирование
Рисунок 2. При первой загрузке в обновленную систему leapp напомнит о себе ФС вашей системы, изучать журналы обновления и пытаться
завершить этот процесс.
Одной из потенциальных проблем может оказаться не-
верная установка загрузчика Grub2 – в этом случае на диске
присутствует полноценная обновленная система, и для ее за-
пуска достаточно поправить загрузчик. В большинстве дру-
гих случаев проще будет сохранить нужные вам файлы
и установить VzLinux 8 начисто.
состоит в том, что leapp сам генерирует initrd-файл, необ- Однако если у вас есть
ходимый для загрузки системы в такой режим. Vzupgrade желание попробовать Stream-
по умолчанию сам подключает необходимые для обновления версию CentOS, то сделать
на Virtuozzo Linux 8 репозитории, поэтому для запуска про- это не так уж сложно.В конце
цесса апгрейда достаточно несложной команды: концов, превратить ее обратно
в VzLinux 8 тоже недолго
# vzupgrade install --skip-vz с помощью скрипта vzdeploy
Опция «--skip-vz» вам уже знакома, в случае команды Если же всё прошло хорошо, то при первой загрузке
«install» она пропускает часть шагов обновления, специ- VzLinux 8 выполнит ряд завершающих обновление действий –
фичных для Virtuozzo. как минимум, отключит сервис leapp_resume. При первом
входе после перезагрузки вы увидите соответствующее
Если же все прошло успешно, то можно перезагружать сообщение leapp (рис. 2). Пугаться его не стоит, главное –
компьютер. При перезагрузке будет автоматически выбран чтобы в нем не было сообщений об ошибках.
пункт меню "Upgrade-initramfs" и запущен неинтерактивный
процесс обновления вашей системы. Попробуем CentOS 8 Stream?
В ходе этого процесса вы сможете наблюдать на мо- Позиции CentOS 8 на рынке серверных дистрибутивов
ниторе сообщения yum/dnf и вспомогательных скриптов несколько пошатнулись после объявления его перехода
апдейта, но как-то вмешаться в этот процесс не сможе- на «Stream»-модель, подразумевающую отказ от выпус-
те – ровно так же, как это происходило при обновлении ка стабильных версий и сборку пакетов с обновлениями
с VzLinux 6 на VzLinux 7. до того, как они попадут в стабильную версию RHEL.
Кроме обновления никаких других процессов выполняться Virtuozzo Linux 8 придерживается традиционной модели
не будет. После выполнения всех необходимых действий с выпуском обновлений после выхода соответствующего
машина снова перезагрузится. Если всё прошло успешно, обновления RHEL, поэтому может оказаться более пред-
вы увидите в меню загрузки пункт "Virtuozzo Linux 8", который почтительным в плане стабильности, чем CentOS Stream.
и надо выбрать. Если вы увидели свое старое меню с пред- К тому же с выходом Virtuozzo 8 и OpenVZ 8 можно будет
ложением загрузить CentOS 7, то значит что-то пошло не так. превратить VzLinux 8 в одну из этих систем виртуализации.
Надо загружаться в старую систему и смотреть журналы
leapp и vzupgrade. Однако если у вас есть желание попробовать Stream-
версию CentOS, то сделать это не так уж сложно. В конце
По нашим наблюдениям, по сравнению с обновлением концов, превратить ее обратно в VzLinux 8 тоже недолго
CentOS 6 до CentOS 7 вероятность получить незагружаемую с помощью скрипта vzdeploy.
систему существенно меньше.
Чтобы получить CentOS 8 Stream, необходимо сначала
Это обусловлено как использованием обсуждавшейся удалить пакет vzlinux-release и установить вместо него пакеты
выше таблицы соответствия пакетов, так и проведением CentOS с данными о репозиториях:
основных операций в chroot-окружении перед их переносом
в основную систему. Более точно – leapp создает chroot-ок- # rpm -e --nodeps vzlinux-release
ружение с «заготовкой» для новой системы в директории / # dnf install http://mirror.centos.org/centos/8-stream/BaseOS/
var/lib/leapp/el8userspace. Последующие манипуляции с па- x86_64/os/Packages/centos-stream-repos-8-2.el8.noarch.rpm \
кетами выполняются сначала в этом окружении, и только http://mirror.centos.org/centos/8-stream/BaseOS/x86_64/os/
при успешном разрешении всех зависимостей и установке Packages/centos-stream-release-8.4-1.el8.noarch.rpm \
всех необходимых пакетов окружение становится основной http://mirror.centos.org/centos/8-stream/BaseOS/x86_64/os/
системой. Packages/centos-gpg-keys-8-2.el8.noarch.rpm
Если все-таки вам не повезло и загрузить обновленную Версии пакетов могут изменяться со временем. Если ути-
систему невозможно, то придется прибегнуть к традицион- лита dnf сообщает о невозможности скачать пакет, то пере-
ным способам восстановления системы – попробовать зайти йдите в директорию, где он должен находиться, и посмотри-
на машину с другого сервера по SSH (если сеть поднялась те: нет ли пакета с более свежей версией.
и сервис sshd активен) либо загрузиться с внешнего носите-
ля (например, с LiveCD), примонтировать раздел с корневой
системный администратор январь-февраль 2021 13
Администрирование миграция
Рисунок 3. Distrosync оставляет ядра Virtuozzo Linux, – если CentOS Stream загрузится Ограничения
успешно, то можно их удалить
Vzupgrade – это надстройка над leapp и ей присущи практи-
После установки указанных пакетов CentOS достаточно чески все те же ограничения, что описаны в [5]. В частности,
запустить синхронизацию пакетов с подключенными репо- обновляемая система не должна находиться на зашифро-
зиториями (после замены vzlinux-release на centos-release ванном или сетевом диске, не допускается использование
в системе будут снова приписаны репозитории CentOS): модулей winbind и wins в nsswitch.conf и т. д.
# dnf distrosync Однако по сравнению с redhat-upgrade-tool ограничений
существенно меньше – и главное, leapp поддерживает об-
Этот шаг не таит серьезных опасностей, поскольку новление систем с графическим окружением Gnome и KDE.
VzLinux 8 и CentOS 8 достаточно близки по версиям паке- Впрочем, поделиться опытом обновления таких систем с по-
тов и в результате вы просто замените пакеты из репози- мощью leapp я не могу за неимением оных.
ториев VzLinux на пакеты CentOS. В крайнем случае, у вас
останется несколько пакетов от VzLinux, которые вряд ли За прошедшее с момента выхода RHEL 7 время ин-
что-то испортят. струменты обновления RedHat и Virtuozzo получили замет-
После завершения синхронизации пакетов можно еще По скорости процесс
раз перезагрузить машину и на сей раз запустить уже обновления ничуть
CentOS 8 (рис.3). В загрузочном меню по-прежнему будет не быстрее установки чистой
фигурировать Virtuozzo Linux 8, – чтобы убрать его окон- системы, но избавляет
чательно, необходимо удалить пакеты с ядрами, принад- от необходимости настройки
лежащими VzLinux. новой системы и ручного
переноса в сех старых
Журналы и работа над ошибками конфигурационных файлов
Даже если вы успешно загрузились в VzLinux 8, еще ные усовершенствования, сделавшие процесс апгрейда
не факт, что обновление прошло абсолютно гладко. Первое, более надежным и в то же время более функциональным.
на что стоит обратить внимание, – это оставшиеся паке- Как и в случае с CentOS 7, утилиты Virtuozzo можно ис-
ты от старой версии системы, которые можно вычислить пользовать и для обновления на CentOS 8 (впрочем, можно
по дистсуффиксам «el7»: рассмотреть вариант и использования Virtuozzo Linux 8).
# rpm -qa | grep el7 По скорости процесс обновления ничуть не быстрее уста-
новки чистой системы, но избавляет от необходимости нас-
Такая ситуация возможна, если у вас были установле- тройки новой системы и ручного переноса всех старых кон-
ны пакеты из неофициальных репозиториев, – например, фигурационных файлов. Тем не менее использовать такое
EPEL. Зачастую такие пакеты будут удалены при обновлении, обновление следует с осторожностью. Если у вас есть воз-
но даже если они остались – необходимо проверить их ра- можность проверить обновление на реальной или виртуаль-
ботоспособность и по возможности обновить до версий, ной машине, идентичной боевым серверам, – обязательно
предназначенных для CentOS 8. сделайте это, и не забудьте сделать резервную копию всех
важных данных. EOF
Журналы обновления лежат в директории /var/log. Если
вы подозреваете, что в процессе обновления что-то пошло [1] Migrating CentOS 5 to CentOS 6. // CentOS Wiki. https://wiki.
не так, то первым делом необходимо обратить внимание centos.org/HowTos/MigrationGuide/MigratingFiveToSix
на файл /var/log/vzupgrade.log. В этом файле содержится
информация о действиях самого vzupgrade и отображаются [2] Developer Documentation for Leapp. https://leapp.readthedocs.
только критические ошибки – например, невозможность io/en/latest/
разрешить зависимости устанавливаемых пакетов.
[3] Request for leapp for upgrade CentOS 7 to 8. // CentOS Bug
Более детальная информация о том, что происходило Tracker. https://bugs.centos.org/view.php?id=16116
во время обновления, доступна внутри директории файлах
/var/log/leapp. [4] Силаков Д.В. Опыт обновления CentOS 6 до CentOS 7 с со-
хранением всех настроек и параметров конфигурации. // Сис-
Как и в случае с обновлением с CentOS 6 главным кри- темный администратор. 2018. № 6. С. 24–28.
терием успеха является возможность загрузиться в обнов-
ленную систему – после этого можно спокойно проверить, [5] Upgrading From RHEL 7 To RHEL 8. https://access.redhat.com/
все ли ваши сервисы на месте и работают, как и раньше. documentation/en-us/red_hat_enterprise_linux/8/html/upgrading_
from_rhel_7_to_rhel_8/index
Ключевые слова: VzLinux 8, CentOS 8, обновление, сервер, за-
грузка, дистрибутив, исходный код
14 январь-февраль 2021 системный администратор
инструменты Администрирование
Визитка
СЕРГЕЙ БОЛДИН,
системный администратор в энергетической компании, [email protected]
GLPI –
инвентаризация компьютерного оборудования
Продукт GLPI умеет учитывать и структурировать информацию о характеристиках
компьютеров и серверов, сетевого активного и пассивного оборудования, телефонов,
расходных материалов и многое другое. Установим, настроим, подключим плагины,
сделаем выводы
В крупной компании системному администратору необходимо Проверяем выполненную работу командой
иметь перечень имеющегося ИТ-оборудования с их характе-
ристиками. Один из вариантов – использовать бесплатный php -info | more
продукт GLPI. В него встроено большое количество функций,
которые могут быть полезны для техподдержки для создания После этого в графической консоли IIS открываем Default
и обработки заявок, а также можно вести учет поставщиков, Document, нажимаем на кнопку Add, вписываем название
договоров, составлять бюджет и др. файла index.php.
Нас интересует направление инвентаризации [1]. В ручном
режиме можно добавлять данные про корпуса, картриджи, Открываем Handler Mappings, справа нажимаем кнопку
телефоны, сим-карты, серверные стойки, сетевые розетки, Add Module Mapping, заполняем 4 поля:
свитчи, роутеры, распределители питания, а с помощью
агентов – автоматически собирать с компьютеров инфор- >> Request Path = *.php;
мацию о железе и об установленных программах. >> Module = FastCgiModule;
>> Executable (optional) = C:\Program Files\Php\php-cgi.exe;
Продукт GLPI рассчитан на использование в Linux- >> Name = FastCGI.
системах, поэтому при развертывании его на Windows Server Далее нам нужно поработать с файлом php.ini, в котором
(настройка IIS+PHP+MySQL) могут возникнуть сложности. прописываются различные параметры для PHP. Переходим
Разберемся в его настройках. в каталог PHP и файл php.ini-production переименовываем
в php.ini. Указываем на использование необходимых пара-
Установка веб-сервера метров и расширений, убрав символ “;”:
на Windows Server 2019
opcache.enable_cli = 0
Активация роли IIS вопросов не создает. Помимо предло- opcache.enable = 1
женных компонентов нужно еще выбрать CGI [2]. session.save_path = “/tmp”
fastcgi.impersonate = 1
Установка PHP cgi.fix_pathinfo = 1
на Windows Server 2019 cgi.force_redirect = 1
extension_dir = “ext”
Несмотря на наличие возможности установить PHP нажатием extension=bz2
нескольких кнопок из графической консоли IIS, мы эти дейст- extension=curl
вия произведем вручную. extension=fileinfo
extension=gd
Скачиваем PHP v.8 [3] и распаковываем архив .tgz, а за- extension=intl
тем .tar. Открываем консоль PowerShell и выполняем 3 шага extension=ldap
для регистрации PHP в системе Windows: extension=mbstring
extension=exif
$OldPath = (Get-ItemProperty -Path 'Registry::HKEY_LOCAL_ extension=mysqli
MACHINE\System\CurrentControlSet\Control\Session Manager\ extension=openssl
Environment' -Name PATH).Path extension=opcache
extension=sodium
$NewPath= 'C:\Program Files\Php\;' + $OldPath
Установка MySQL на Windows Server 2019
Set-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\System\
CurrentControlSet\Control\Session Manager\Environment' -Name Чтобы оперировать готовой информацией, ей необходи-
PATH -Value $newPath мо место хранения. Для этого используется база данных
MySQL.
системный администратор январь-февраль 2021 15
Администрирование инструменты
Чтобы оперировать готовой
информацией, е й необходимо
место хранения. Д ля этого
используется база данных
MySQL
Скачиваем с сайта [4] СУБД MySQL v.8. Во время уста- Скачиваем программу с сайта [5], распаковываем архив
новки выбираем Config Type = Server Computer, радиоточку .tgz, а затем .tar в папку GLPI. На папку даем права на из-
Use Legacy Authentication Method, вводим пароль для поль- менение локальному администратору и доменному пользо-
зователя root и создаем нового glpiadmin. вателю (или нескольким). Затем в консоли IIS удаляем сайт
по умолчанию, создаем новый сайт, выбрав в контекстном
Проверить доступность базы данных можно в CMD с по- меню пункт Add Website, присвоив имя и указав путь (рис. 1).
мощью команд:
Увеличим время ожидания компонента FastCGI с 60 секунд
cd c:\Program Files\MySQL\MySQL Server 8.0\bin (по умолчанию) до 600 с помощью следующего кода:
mysql.exe -u root -p
exit %windir%\system32\inetsrv\appcmd set config -section:system.
mysql.exe -u glpiadmin -p webServer/fastCgi /[fullPath='"C:\Program Files\Php\
exit php-cgi.exe"'].activityTimeout:600
Установка GLPI Теперь в консоли IIS в контекстном меню сайта GLPI
на Windows Server 2019 выбираем пункт Manage Website → Browse. В браузере от-
кроется сайт GLPI с начальной его конфигурацией. В ре-
Установку программы GLPI будем производить вручную, зультате в программу можно войти с учетными данными
так как для нее не предусмотрена автоматическая распа- по умолчанию glpi\glpi.
ковка на основе msi или exe.
Настройка автоматического
Рисунок 1. Создание нового сайта сбора данных
В данный момент программа пуста. Сразу
приступим к автоматизации сбора дан-
ных с компьютерного парка с помощью
плагина.
Скачиваем c сайта [6] плагин
FusionInventory, распаковываем архив
.tar.bz2 в директорию plugins директории
GLPI. В программе заходим в Настрой-
ки → Плагины. Новый плагин сам появ-
ляется. Здесь же предлагается его уста-
новить (активировать).
После этого в меню Администрирова-
ние появляется пункт FusionInventory, в ко-
тором можно создать группы, управлять
агентами (удалить, обновить, клонировать,
перенести, применить модули), настро-
ить отображение нужной информацией
(рис. 2).
16 январь-февраль 2021 системный администратор
инструменты Администрирование
Рисунок 2. Настройка плагина FusionInventory не созданы, не заполнены, поэтому пока
оставим данную возможность и вернемся
к ней позже.
Чтобы распечатать список оборудо-
вания, необходимо над таблицей в вы-
падающем поле выбрать файл/документ
для экспорта и нажать кнопку экспорта.
Список программ
Агенты предоставляют данные об уста-
новленных программах на компьютерах
сотрудников.
Чтобы вывести всю информацию
об установленных программах, необхо-
димо зайти в Активы → Программное
обеспечение. Здесь будет видно назва-
ние программы, фирму-разработчика, вер-
сию, количество инсталляций, лицензии.
Если нашлась подозрительная программа
Теперь с сайта [7] скачиваем клиент- Рисунок 3. Собранная информация с компьютеров
скую часть FusionInventory под систему
Windows и копируем в общедоступную
папку. В этой же папке создаем cmd-
файл и указываем параметры тихой
установки:
%~dp0fusioninventory_x64_2.6.exe /
acceptlicense /
add-firewall-exception /debug=2 /
execmode=Service /installtasks=Full /
timeout=30 /delaytime=5 /
server="http://192.168.200.201/plugins/
fusioninventory/" /S
Далее открываем редактор групповых Рисунок 4. Информация о картриджах
политик, создаем политику для компью-
теров, заходим в Конфигурация ком-
пьютера → Политики → Конфигурация
Windows → Сценарии (запуск\заверше-
ние) → Автозагрузка. В появившемся окне
по нажатию на кнопку Добавить выбираем
путь к cmd-файлу.
После обновления политик, переза-
грузки компьютеров в программе GLPI
будут появляться компьютеры с нужной
для нас информацией. Чтобы ее увидеть,
переходим в меню Активы → Компьютеры
(рис. 3). Нажав на конкретном компьюте-
ре, появится весь перечень содержимо-
го железа, комплектующих, их характери-
стик, а также установленные программы.
Если выбрать какой-то компьютер,
то появится форма для заполнения
большого количества информации, ко-
торая будет полезна позже. Здесь можно
устанавливать связь между компонен-
тами сети, а также это можно сделать
визуально в разделе Анализ влияния.
Других компонентов сети пока нет, они
системный администратор январь-февраль 2021 17
Администрирование инструменты
и нужно увидеть компьютер, на котором Рисунок 5. Заполнение формы по сим-картам
она установлена, то достаточно на ней
нажать.
Учет картриджей
В GLPI предусмотрена возможность учи-
тывать картриджи принтеров. Вручную.
Заходим в меню Активы → Картриджи.
Нажимаем на кнопку “+”, на появившейся
форме необходимо заполнить несколько
полей о картридже: Наименование, Арти-
кул, Специалист, ответственный за обо-
рудование, Группа, ответственная за обо-
рудование, Местонахождение склада, Тип,
Производитель, Комментарии.
Когда информация о картридже будет
заполнена, он отобразится в общем спис-
ке. Нажав на нём, появится возможность
внести еще данные и/или изменить суще-
ствующие. Добавить можно модель принтера, количество Затем в списке выбираем созданную позицию, перехо-
картриджей и др. (рис. 4). дим в раздел Сетевые порты и вносим еще данные отно-
Учет сим-карт сительно портов: Номер порта, Сетевая розетка, Тип порта
Ethernet, Cкорость порта Ethernet, MAC-адрес, Cетевое
В данной программе есть возможность учитывать и нали- имя, IP-адрес, Подключено к.
чие сим-карт. Первоначально необходимо будет заполнить После создания порта появится возможность создать
множество полей. VLAN. В перечне портов выделяем нужный, переходим в раз-
Чтобы забить базу по сим-картам, нужно зайти в меню Ак- дел VLAN, по нажатию на “+” добавляем номер VLAN.
тивы → SIM-карты. Изначально видно основные поля для за-
полнения, но некоторые из них требуют дополнительных Учет серверных стоек
правок. Это означает не вводить символы, а справа от поля Как и другое пассивное оборудование, серверные шкафы
нажать на “+” и в появившейся форме заполнить еще не- висят на балансе в бухгалтерии, числятся за ИТ-персоналом
сколько полей. Это характерно для поля Местоположение, и также подлежат инвентаризации.
Линия, Компонент, Статус, Группа (рис. 5), но не является В GLPI учет серверных стоек ведется по следующим
обязательным. основным параметрам: Наименование, Специалист, ответ-
Учет офисных телефонов ственный за оборудование, Серийный номер, Инвентарный
номер, Ориентация двери в комнате, Количество юнитов,
Вместе с другим оборудованием в программе GLPI можно Высота, Ширина, Глубина, Мощность, Тип, Производитель,
вести учет и телефонных аппаратов. Модель.
Заходим в Активы → Телефоны. По нажатию на “+” по- Когда стойка создана, выделяем ее, заходим в режим
является форма с множеством полей для заполнения. Про- дополнительного редактирования, а затем – в раздел
изведя первичное заполнение, телефон
отобразится в списке. По нажатию на него Рисунок 6. Визуальное отображение стоек с оборудованием
появится форма для внесения дополни-
тельной информации. Например, можно
произвести подключение телефона к ком-
пьютеру. Для этого в разделе Подключе-
ния необходимо в выпадающем списке
Действия выбрать пункт Подключить, а за-
тем выбрать из списка компьютер.
Учет сетевого
оборудования
Если не настроено SNMP-обнаружение,
то сетевое оборудование можно добавлять
в базу данных вручную.
Заходим в меню Активы → Сетевое уст-
ройство, нажимаем на “+” и заполняем
основные поля: Наименование, Контакт-
ное лицо, Тип, Производитель, Модель,
Серийный номер, Инвентарный номер.
18 январь-февраль 2021 системный администратор
инструменты Администрирование
Рисунок 7. Связь ПК с сетевым оборудованием иконки отделить цветом (создать для них
группу).
Достоинства: удобная в управлении
программа, много функций, возможность
собирать информацию автоматически
и вручную, поддержка русского языка,
бесплатная.
Недостатки: нет поддержки Windows-
систем, отсутствие понятной документа-
ции по продукту.
Вывод: GLPI можно отнести к разряду
качественных и продвинутых продуктов
за счет обширного функционала и друже-
любного интерфейса. Программа позволя-
ет за считанные минуты собрать инфор-
Объекты. Сразу будет отображена пустая Рисунок 8. Схематическая связь
стойка с лицевой и тыльной стороны. На-
полнить ее очень просто – необходимо
подвести мышку, нажать на появившем-
ся “+”, в окне выбрать оборудование.
Мы в стойку добавили несколько сер-
веров, коммутатор, монитор.
По умолчанию элементы серверного
шкафа отображаются стандартным цве-
том или выбранным по своему усмотре-
нию. Однако для большей наглядности
можно для каждого оборудования загру-
зить картинку лицевой и тыльной стороны
(рис. 6) размером до 2Мб, за это отвечает
параметр Модель.
При загрузке картинок для оборудова-
ния или для профиля пользователя воз-
никает ошибка:
мацию с компьютеров в автоматическом режиме, а также
PHP Warning: Unknown: open_basedir restriction in effect. дополнить ее вручную. Для удобства можно отобразить связи
File (C:\GLPI) is not within the allowed path(s): устройств на схеме, собрать стойку из серверов и сетевого
(C:\Windows\TEMP) in Unknown on line 0 оборудования. EOF
PHP Warning: Unknown: failed to open stream: Operation not
permitted in Unknown on line 0
[1] Управление активами и автоматическая инвентаризация –
В этом случае нужно в файле php.ini найти строку open_ https://glpi-project.org/ru/управление-активами-и-автоматическа/
basedir = C:\GLPI\ и закомментировать ее, т. е. вначале [2] Установка и настройка веб-сервера IIS + PHP + MySQL – https://
поставить символ “;”. www.dmosk.ru/instruktions.php?object=iis-php
Установка связей [3] Оф. сайт PHP – https://windows.php.net/download/
[4] Оф. сайт MySQL – https://dev.mysql.com/downloads/installer/
Когда уже в списках имеется сетевое оборудование, между [5] Оф. сайт GLPI – https://glpi-project.org/downloads/
ним и компьютерами можно установить связь. Сделаем это. [6] Плагин FusionInventory – https://github.com/fusioninventory/
Возвращаемся в меню Активы → Компьютеры, выделяем fusioninventory-for-glpi/releases
первый в списке компьютер и переходим в раздел Сетевые [7] Агент для Windows – https://github.com/fusioninventory/
порты. В списке сетевых карт нажимаем кнопку Подключить fusioninventory-agent/releases
(рис. 7) и в появившемся окне в выпадающем поле выбираем [8] GLPI: installation sous Windows Server 2016 – https://ms-sec.fr/?p=2759
номер VLAN, нажимаем кнопку Связать. [9] Установка и настройка GLPI и FusionInventory, инвентаризация
Также можно установить и визуальную связь, т. е. ото- ИТ инфраструктуры – https://winitpro.ru/index.php/2020/04/14/
бразить связывающие компоненты на схеме. Для этого пере- itsm-glpi-inventory/
ходим в раздел Анализ влияния, справа на панели будут
располагаться иконки зарегистрированного оборудования. Ключевые слова: GLPI, инвентаризация, учет оборудования, архив
Переносим их на холст и линиями связываем между собой .tgz, .tar, IIS, PHP, MySQL, php.ini, CGI, сайт, веб-сервер, плагины,
(рис. 8). Для лучшего восприятия схемы можно некоторые FusionInventory, Windows Server 2019, активы, серверные стойки
системный администратор январь-февраль 2021 19
Администрирование продукты и решения
Визитка
СЕРГЕЙ ГОРБЕНКО,
системный администратор
Коротко о корпусе
Как выбрать системный блок под конкретные задачи
Сегодня хороший корпус для ПК – это не просто деталь интерьера вашего рабочего
места. Корпус должен защищать внутренние комплектующие, разместить и надёжно
зафиксировать от перемещений все компоненты системного блока, равномерно
охлаждать все элементы и иметь дополнительное место для будущих апгрейдов,
а также предотвратить попадание жидкостей, пыли, посторонних предметов
на дорожки плат, снизить уровень издаваемого компьютером шума
В ассортименте компьютерных магазинов сейчас можно Аналогичный по размерам B27 корпус формата Mid-Tower
найти тысячи моделей корпусов. Как выбрать из них те, Eurocase B02 имеет сетчатую фронтальную стенку. Здесь
которые будут соответствовать всем требованиям, предъ- такой же превосходный потенциал охлаждения, есть место
являемым к корпусам для ПК? для трёх вентиляторов спереди, двух сверху и одного сзади.
Стандарт плат ATX, mATX. Простая организация пространст-
Следует отметить, что при современном разнообразии ва достигается возможностью снять обе стенки при мон-
деление на типоразмеры довольно условно: нельзя сказать, таже комплектующих, которых здесь может быть немало,
что есть четкая граница, отделяющая Full Tower от Mid-Tower, так как имеется 7 слотов расширения. Все кабели аккуратно
Mid-Tower от Mini-Tower и т. д. Всегда найдутся отдельные прячутся и не мешают, если нужно что-то снять или уста-
представители, характеристики которых сильно отличаются новить. Передняя панель имеет кнопки Power, System Reset
от средних по типоразмеру. с индикацией HDD Activity, Power, и один выход под USB 3.0,
два под USB 2.0. Сам корпус выглядит очень красиво, хочет-
Мы сэкономили вам немного времени и подготовили об- ся установить спереди вентиляторы с подсветкой.
зор новых моделей компьютерных корпусов EuroCase, по-
явившихся недавно на нашем ИТ-рынке. Eurocase B33. Это корпус формата Mid-Tower, который
объединяет стильное и узнаваемое внешнее оформление,
Чешская компания EuroCase, основанная в 2001 году, превосходный потенциал охлаждения, имеются четыре встро-
является одним из крупнейших европейских производителей енных вентилятора и два слота для расширения, простую
качественных и доступных компьютерных комплектующих, организация пространства. Поддержка форм-фактора ма-
а их представитель в России – X-Сom, предоставил нашей теринских плат ATX, mATX. Здесь стоит обратить внимание
редакции возможность опробовать свои новинки лично. на дизайн фронтальной панели, которая вполне подойдёт
для сборки игрового ПК. Метал 0.5 см., и из-за особенностей
Итак, в продуктовом портфеле X-Com представлены пока профиля рама прочная и жёсткая на кручение. Органы уп-
четыре модели корпусов EuroCase: B27, B02, B33, MA02. равления и разъемы расположены вверху корпуса, разъемы
USB разнесены на достаточное расстояние друг от друга,
Начнём с Eurocase B27. кнопки включения и перезагрузки расположены далеко друг
Классический Middle Tower корпус с глухой передней от друга, на ощупь не перепутаешь. Без проблем позволит
панелью и прозрачной боковой стенкой. Подойдёт для ма- установить внутрь карты расширения до 330 мм и кулеры CPU
теринских плат ATX, mATX. Его размеры 200 × 430 × 340 мм высотой до 160 мм. При своих габаритах 200 × 430 × 340 мм
позволяют вместить в корпус много габаритных комплек- весит он 3.3 кг.
тующих и при этом он не выглядит громоздко. Прекрас-
ная вентиляция, способная вместить до 6 источников Компактный корпус Eurocase
охлаждения, и простота сборки дают широкий простор MA02 пригодится тем, кому
для возможной комплектации. Материал корпуса – ABS- часто приходится переносить
пластик, закаленное стекло, металл (что важно – не тон- компьютер с места на место
кий). Панель управления удобно расположилась наверху
передней стенки и добавляет два разъёма USB 3.0 и один
USB 2.0. Большинство современных внешних носителей
соединяются с ПК по интерфейсу USB, поэтому наличие
на передней панели хотя бы парочки (а лучше – больше)
разъемов уже можно назвать необходимым условием ком-
фортной работы.
20 январь-февраль 2021 системный администратор
продукты и решения Администрирование
Сводная таблица характеристик.
Модель Eurocase B27 Eurocase B02 Eurocase B33 Eurocase MA02
Типоразмер Midi Tower Midi Tower Midi Tower Mini Tower
Поддерживаемые форм-факторы ATX, mATX ATX, mATX ATX, mATX Mini-ITX, mATX
материнских плат
Материал корпуса ABS-пластик (акрило- ABS-пластик (акрило- ABS-пластик (акрило- ABS-пластик (акрило-
бутадиен-стирол), бутадиен-стирол), бутадиен-стирол), Акрил, бутадиен-стирол),
Толщина стенок Закаленное стекло, Металл Закаленное стекло, Металл Закаленное стекло, Металл Закаленное стекло, Металл
Окно на боковой панели
Безвинтовое крепление 0.5 мм 0.5 мм 0.5 мм 0.4 мм
накопителей 3.5" и 5.25"
Количество слотов расширения Есть Есть Есть Есть
Допустимая высота карт
расширения Нет Нет Нет Нет
Механизм открывания
Наличие разъемов на передней 7 7 7 4
панели FH (FP) FH (FP) FH (FP) FH (FP)
USB 3.0 (3.1 Gen1)
Тип охлаждения Снимаются две стенки Снимаются две стенки Снимаются две стенки Снимаются две стенки
Количество дополнительно Есть Есть Есть Есть
устанавливаемых вентиляторов
Кнопки на передней/верхней 2 шт 1 шт 2 шт 1 шт
панели Воздушное Воздушное Воздушное Воздушное
Индикация 6 шт 6 шт 2 шт 3 шт
Скрытая укладка шлейфов
Габариты Power, System Reset Power, System Reset Power, System Reset Power, System Reset
Вес нетто
HDD Activity, Power HDD Activity, Power HDD Activity, Power HDD Activity, Power
Да Да Да Да
200 × 430 × 340 мм 200 × 430 × 340 мм 200 × 430 × 340 мм 170 × 350 × 290 мм
4.5 кг 7.2 3.3 кг 2.4 кг
Eurocase MA02 компактнее (170 × 350 × 290 мм): это кор- Система менеджмента качества EuroCase соответствует
пус формата Mini Tower. В него поместятся «материнки» международному стандарту ISO 9001:2016. Исходные мате-
форм-фактора Mini-ITX, mATX. Модель выдержана в строгом риалы и компонентная база проходят тщательный контроль,
стиле и черном цвете. Сетчатая передняя панель сочетается а качество изделий тестируется на каждом этапе произ-
с «глухими» боковыми стенками. Устройство отлично подой- водства.
дет в качестве основы для недорогих офисных компьютеров.
Металл здесь 0.4 мм, вес 2.4 кг и занимает минимум места Гарантия на продукцию составляет 2 года.
на рабочем столе. Производственная база включает передовое высокотех-
нологичное оборудование, позволяющее гибко адаптировать
Подводя итоги производство под выпуск крупных и малых партий продукции
с заданными характеристиками из различных материалов.
Думаю, каждый определит для себя из четырех представ- Продукты EuroCase отмечены наградами и премиями
ленных необходимую модель опираясь на свои потребности. российских, европейских и американских технологических
изданий. Компания получает положительные отзывы неза-
Если основным критерием выбора корпуса для вас яв- висимых блогеров, журналистов, сборщиков компьютеров
ляется цена, выбирайте Mid-Tower B27 или B33. Они под- и геймерского сообщества.
держивают большинство материнских плат, а приличный Компания X-Com является генеральным дистрибьютором
внутренний объем обеспечит неплохое охлаждение даже EuroCase в России и поставляет ее продукцию произво-
с единственным встроенным вентилятором. дителям компьютеров и конечным потребителям, а также
широко применяет ее в собственном производстве. На скла-
Компактный корпус Eurocase MA02 пригодится тем, кому дах X-Com в Москве, Подмосковье и Санкт-Петербурге до-
часто приходится переносить компьютер с места на место. ступен широкий ассортимент продукции EuroCase. Доставка
Или просто ценит пространство. осуществляется по всей стране собственным транспортом
поставщика или силами сторонних транспортных компаний.
Для сервера или для высокопроизводительного компью- Корпоративным клиентам и сборщикам компьютеров досту-
тера отлично подойдёт Eurocase B02: ведь надо разместить пен лизинг, кредитные линии, постоплата. EOF
нестандартную материнскую плату, множество накопителей,
плат расширения и еще оставить место для хорошего воз- Ключевые слова: системный блок, компоненты, корпус, ПК, по-
духообмена. Для получения максимальных характеристик требитель, производство, EuroCase, X-Com
от вашей сборки вам потребуется корпус с серьезным ох-
лаждением, поскольку разогнанные процессоры и видео-
карты греются намного сильнее.
системный администратор январь-февраль 2021 21
Безопасность миграция данных
Василий Севостьянов:
«Как безболезненно перейти с одного продукта на другой»
На вопросы «Системного администратора» о проблемах миграции и о том, как можно
безболезненно переходить с одного продукта на другой, отвечает начальник отдела
технического сопровождения продаж компании «Доктор Веб»
Б еседовал Павел Наконечный
– Василий, насколько просто, по вашему мнению, ми- – Идея довольно-таки простая. Поскольку обычно в корпо-
грировать между корпоративным антивирусным ПО се- ративной сети достаточно много компьютеров, управлять от-
годня? дельно каждым из них трудозатратно. Чтобы этого избежать,
– Сама процедура довольно простая. Она начинается с уда- соответственно, был создан центр управления.
ления одного антивируса для перехода на другой. Как пра-
вило, для этого используются его штатные средства. Центр управления – это серверное программное обес-
печение, которое, как правило, устанавливается на от-
Большинство современных корпоративных антивирусов ис- дельный сервер. У нас, например, центр управления –
пользуют средства централизованного управления, которые кроссплатформенный. Он устанавливается на отдельном
позволяют его как установить, так и удалить. Централизован- сервере. Затем к нему подключаются агенты, развернутые
ными средствами одного антивируса мы его удаляем, затем на рабочих станциях пользователей. После этого с помо-
централизованными средствами управления другого антивиру- щью центра управления можно управлять всеми настрой-
са устанавливаем новый. Здесь удобство и скорость процесса ками этих агентов из одной точки. Сервер управления
упираются в производительность железа и каналов связи, выполняет две функции.
которые нужны для того, чтобы всю информацию туда-сюда
передать. Сложно изобрести что-то принципиально новое. Первая функция – это именно установка настроек и пере-
дача их агентам. Вторая функция – это сбор обратной связи
Важно понимать, что антивирус как средство защиты ин- от агентов. Агенты отправляют на сервер всю информацию
формации обладает инструментами самозащиты, он не дол- по статистике сканирования, по выявленным угрозам, воз-
жен разрешать автоматически удалять себя какими-то сто- можно, по каким-то действиям пользователя в случае не-
ронними средствами. обходимости.
Для Windows существуют различные средства удаленного Информация собирается на сервере центрального уп-
управления, которые как раз позволяют управлять программ- равления, где администратор может ее просмотреть. Со-
ным обеспечением, установленным на рабочей станции: уда- ответственно, сервер в данном случае часто использует-
лять и устанавливать ПО, обновлять его при необходимости. ся для распространения обновлений на рабочие станции
пользователей. Тогда они напрямую из Интернета ничего
Только антивирус не дает взаимодействовать с собой не скачивают, это делает центр управления. Здесь еще
удаленно. Если антивирус позволит что-то сделать с собой получается экономия трафика по внешней полосе.
без подтверждения администратора, то ровно то же самое
сможет с ним сделать неквалифицированный пользователь – При каком количестве компьютеров в сети его целе-
(например, будучи введенным в заблуждение предложением сообразно использовать?
«удалить антивирус, чтобы не мешал» из описания к ска- – Целесообразность зависит, в первую очередь, не столько
чанной игре) или вредоносное программное обеспечение. от количества компьютеров, сколько от организации сети.
И после этого вредоносное ПО сможет делать с компьютером Например, если в организации используется пара сотен
всё что угодно. рабочих станций, но все они автономные (не имеют под-
ключения к сети), то их просто невозможно обслуживать
Для решения этой проблемы антивирус имеет модули с помощью сервера центрального управления.
самозащиты. И чтобы его удалить, нужно взаимодействовать
с этими модулями. Это возможно только если используются Если же станции имеют подключение к сети, то уже
штатные средства разработчика антивируса. при одном-двух десятках ПК использование сервера цен-
трального управления имеет смысл просто для экономии
– Расскажите подробнее о технологии серверов цен- времени специалиста. Чтобы из одного места можно было
трального управления. В чем ее особенность?
22 январь-февраль 2021 системный администратор
миграция данных Безопасность
централизованно управлять всеми настройками, собирать Также можно использовать список компьютеров Active
всю информацию в сети. Directory для того, чтобы его сканировать со стороны сер-
вера центрального управления. Проверить: если там отсут-
Здесь ключевое преимущество даже не в удобстве управ- ствует антивирусный агент, то можно его туда установить.
ления. В конце концов, очень многие администраторы один
раз задали настройки, а затем долгое время их не трогают. – Вы упомянули еще одну функцию сервера централь-
И, по большому счету, этого вполне достаточно. ного управления – передачу информации об инцидентах
снизу вверх, от компьютеров к администратору. Какие
Для администраторов крайне важен сбор информации технологии в этом помогают? Как это реализовано?
об инцидентах. Если в локальной сети происходит инцидент – В общем виде если на компьютере пользователя срабо-
с проникновением вредоносного ПО, это нужно расследо- тал один из антивирусных модулей, который обнаружил
вать. какую-то угрозу, то информация о нем передается на сервер
управления.
Необходимо узнать: что произошло, каким образом
это вредоносное ПО попало на компьютер пользовате- Антивирусных модулей много. Каждый из них занимается
ля и требуется ли по этому поводу предпринимать какие- наблюдением за своим сектором ответственности. И если
то дальнейшие действия. Без сервера централизованного какой-то из них обнаруживает угрозу, то модуль генерирует
управления администратор может вообще никогда об инци- оповещение. Самый простой поиск – по сигнатурному ана-
денте не узнать, потому что пользователи не очень склонны лизатору. Просканировали какой-то файл – обнаружили,
делиться с админами такой информацией. что он детектируется по сигнатурным базам.
– Как технология сервера центрального управления, ко- В зависимости от настроек модуль также может выдать
торая вами разрабатывается, взаимодействует с Active предупреждение пользователю: у вас выявлено вредонос-
Directory? ное ПО. После этого на сервер управления отправляется
– Active Directory – это база управления, встроенная в опера- информация о том, что на таком-то агенте в такое-то время
ционную систему Windows. Она нужна как раз для передачи таким-то модулем выявлена такая-то угроза, которая что-
настроек групповых политик, централизованного управления то пыталась сделать. Мы узнаем время инцидента, место ин-
пользователями, ведения общего списка компьютеров до-
мена и прочего. И здесь не так уж и много получается точек Логика простая: е сли
пересечения. антивирус позволит что-
то с собой делать удаленно,
С Active Directory центр управления может взаимодейство- то и вредоносное ПО, которое
вать для авторизации пользователей. Например, в центре запускается на компьютере,
управления можно задать список групп Active Directory, кото- сможет его автоматически
рые считаются администраторами антивируса. Тогда не нуж- удалить
но в центре управления создавать отдельных пользователей
со своим логинами и паролями. Можно будет использовать цидента, пользователя, у которого этот инцидент произошел,
те же данные для входа, которые эти администраторы уже название файла. Сам файл будет перемещен в карантин.
используют в Active Directory, когда входят в домен.
Карантин доступен через сервер центрального управле-
Можно использовать Active Directory для распространения ния. Администратор сможет получить образец этого файла,
агентов на компьютеры. Через групповые политики Windows чтобы направить его на анализ в нашу вирусную лабора-
можно задать правило, что на компьютерах пользователей торию. Или провести анализ самостоятельно, если у него
должно быть установлено ПО в виде агента антивируса. есть навыки.
Тогда, когда эта рабочая станция в следующий раз к домену
подключится, она скачает с него эти политики и применит Затем необходимо принять решение по угрозе. Если,
их. Если еще не установлен агент антивируса, она его авто- например, в нашей вирусной лаборатории подтвердили,
матически установит в соответствии с правилами, которые что это действительно угроза, то можно предпринимать
заданы в Active Directory. какие-то действия для расследования: обратиться к это-
му пользователю, уточнить у него, каким именно образом
Также Active Directory можно использовать для различных он получил данную угрозу.
задач по группировке рабочих станций в антивирусной сети.
В Dr.Web, например, все компьютеры, которые защищаются Здесь важны два аспекта. Можно провести опрос поль-
антивирусом, объединяются в так называемую антивирус- зователя. Но также наш агент ведет подробные логи, по ко-
ную сеть. Она может выстраиваться по довольно сложной торым можно отследить весь путь проникновения файла
иерархической структуре. на компьютер пользователя. Если пользователь получил
файл по электронной почте, по логам можно отследить,
На самом нижнем уровне находятся личные компьютеры что клиент электронной почты с такого-то адреса скачал
пользователей, затем они объединяются в группы, для кото- письмо, в котором был этот самый зараженный файл. Поль-
рых уже можно задавать настройки. Группы могут также идти зователь этот файл открыл из почты и радостно нажал
в несколько уровней. Эти группы тоже можно привязывать
к Active Directory.
Если у вас компьютер находится в какой-то конкретной
организационной единице Active Directory, то на сервере
Центра управления можно задать правило: компьютеры
в этой организационной единице будут автоматически пере-
мещаться в ту или иную группу антивирусной сети.
системный администратор январь-февраль 2021 23
Безопасность миграция данных
на кнопку «я хочу получить много счастья быстро, бесплатно, с производительностью: ПО записало, антивирус должен
без регистрации и смс». теперь всё это прочитать. В случаях с не очень высокой про-
изводительностью диска и высокой загрузкой системы могут
Дальше по логам мы сможем увидеть, что это вредонос- возникать проблемы. Они, как правило, решаются добавле-
ное ПО пыталось сделать, какие действия начало совершать. нием соответствующих файлов в исключения антивируса.
Как правило, весь процесс завершается блокированием
вредоносного ПО и генерацией дальнейшего оповещения В таких ситуациях мы всегда просим пользователя прис-
о том, что обнаружена угроза безопасности. лать нам логи. У нас есть специальная утилита для их сбора.
Наша служба поддержки передает утилиту пользователю,
– Можно сказать, что сервер центрального управления он у себя запускает, программа собирает информацию
выступает еще и как SIEM-система? Или же он интегри- о системе и логи антивируса. Мы по этим данным смо-
руется с внешними системами? жем посмотреть, что именно происходит. Поскольку каж-
– Не совсем. Всё-таки SIEM-система – это отдельная сущ-
ность. Ее задача – собирать события безопасности от разных Для администраторов крайне
источников и выявлять корреляции между ними. Антивирус важен сбор информации
в данном случае будет лишь один из источников. об инцидентах. Если
в локальной сети происходит
Важно помнить, что инциденты безопасности не ограни- инцидент с проникновением
чены исключительно вредоносным ПО. Может быть много вредоносного ПО, э то нужно
различных аспектов, которые нужно собирать и разбирать расследовать.
их все вместе. SIEM-система как раз необходима для того,
чтобы от различных систем информационной безопасности дый компонент антивируса ведет логи, можно отследить,
собрать всю информацию и выстроить общую картину. Анти- что в каждый конкретный момент времени делал каждый
вирус здесь может дать только небольшую часть картины. из компонентов. Можно увидеть: где именно есть затык, где
Но довольно важную. возникли проблемы совместимости, с чем они возникли.
И затем давать рекомендации.
Мы достаточно часто сталкиваемся с просьбами помочь
в интеграции с SIEM-системами. И у нас есть инструменты Если это ПО от разработчика, у которого есть электрон-
для этой интеграции. но-цифровая подпись, то мы с такими компаниями обычно
взаимодействуем.
– Какие еще проблемы могут появиться при смене анти-
вирусного ПО? Мы удалили один антивирус, установили Мы получим от них образцы ЭЦП, добавим у себя в спи-
другой, а что-то не работает. сок доверенных, и к ним будем относиться более спокойно.
– Наиболее частые ситуации – это проблемы совместимости В некоторых ситуациях мы даем пользователю рекомендации
с различным ПО, которое уже установлено или только будет внести какие-то файлы или папки в список исключений, что-
установлено на компьютеры пользователей. Чаще проблемы бы антивирус их не проверял и не расходовал понапрасну
возникают в ситуациях, когда пользователь использует ПО, системные ресурсы. Зачастую там и проверять нечего.
которое разработано данной компанией.
В некоторых ситуациях нам приходится взаимодейство-
У антивируса есть достаточно много различных инстру- вать с разработчиками ПО, чтобы с ними договориться: где
ментов для анализа файлов, которые запускаются на ком- именно возникли проблемы совместимости, на чьей стороне
пьютерах пользователя. Одним из важнейших элементов их лучше всего решить, какие рекомендации можно в дан-
этой системы является ЭЦП (электронно-цифровая подпись) ном случае дать пользователю, как эту проблему решить
разработчика. быстрее всего.
Все компании, профессионально занимающиеся разра- – А какие шаги может предпринять системный админист-
боткой ПО, имеют электронную цифровую подпись, которая ратор, чтобы упростить процедуру миграции для себя
также заверена в соответствующем центре сертификации. и компании?
Когда они собирают свое ПО, то подписывают исполняемые – Рекомендация очень простая. Перед тем как начинать
файлы электронной цифровой подписью. По этой подписи массовую миграцию, выделите некую пилотную зону, по-
можно убедиться в том, что, во-первых, это ПО было создано старайтесь в нее собрать по максимуму разнообразные
именно этим разработчиком, и во-вторых, что этот испол- компьютеры пользователей. Разнообразные как по систем-
няемый файл не изменялся после того, как он был собран. ной конфигурации, так и по установленному набору ПО.
На пилотной зоне установите наш антивирус. И в течение
Доморощенное ПО, как правило, не имеет таких подпи- какого-то времени просто понаблюдайте, не возникает ли
сей. Антивирус при некоторых условиях может это ПО посчи- каких-то проблем у пользователей при работе с ним.
тать угрозой. Пользователь запускает какое-то неизвестное
ПО, которое не подписано, мы про него ничего не знаем. Обычно этот период занимает 1-2 недели. Этого времени,
У антивируса возникают вопросы, и он может начать бло- как правило, достаточно для того, чтобы выявить все проб-
кировать это ПО. лемы, которые появились, решить их и сформулировать
Случаются проблемы с ПО, которое ведет очень актив-
ный обмен данными с диском. Мы довольно часто стал-
киваемся с программным обеспечением, которое пишет
большой объем логов. Всё, что пишется на диск, антивирус
анализирует на лету. Поэтому если обмен данными с дис-
ками очень интенсивный, то могут возникнуть проблемы
24 январь-февраль 2021 системный администратор
миграция данных Безопасность
конкретный перечень мер по их устранению, чтобы при мас- качать эти обновления. Существует довольно много нас-
совой миграции они снова не возникли. троек, которые можно регулировать в зависимости от кон-
кретных пожеланий конкретного клиента.
– Допустим, системный администратор убежден в том,
что нужно провести миграцию с одного антивируса – При помощи серверов центрального управления мы мо-
на другой, однако руководство выражает сомнение. жем настроить обновления в закрытой сети без доступа
Как убедить его в необходимости смены антивируса? в Интернет?
– Для руководства наиболее значимый фактор, как правило, – Да. По умолчанию сервер центрального управления качает
экономический. С технической точки зрения, если адми- обновление из Интернета. Но он может их использовать
нистратор предлагает миграцию, то понятно, что он считает, и из локальной папки или с локального ftp-сервера, напри-
что сможет справиться с новым продуктом, и что есть тех- мер. Тогда система будет работать в закрытом сегменте сети.
ническая целесообразность.
– Даст ли нам какой-то прирост производительности
Для руководства важен именно экономический фактор. использование внешних баз данных для серверов анти-
И во время миграции экономика складывается из разницы вируса?
в стоимости лицензии и затрат на миграцию. Оценить их мож- – Здесь идея тоже довольно простая. По умолчанию сервер
но как раз в процессе пилотного проекта, оценить, сколько управления использует встроенную базу SQLite. Важно по-
времени это займет в условиях конкретной организации. нимать, что это чисто файловая база данных. Ее основная
проблема заключается в том, что, когда в базу ведется
Во всех организациях есть свои нюансы: у всех разное запись, все остальные операции не должны выполняться.
количество ресурсов в ИТ-службах, у всех разные квали- Если мы пытаемся произвести в нее запись, когда мы из нее
фикации администраторов. Потому затраты на миграцию читаем, например, то мы не сможем ничего записать нового
могут различаться за счет этих факторов. Если стоимость до тех пор, пока не завершатся все остальные операции.
лицензии и затраты на миграцию суммарно ниже, чем стои-
мость продления существующего антивируса и с учетом Также, когда в сети большое количество рабочих станций
дальнейшей эксплуатации, то перенос целесообразен. и они интенсивно присылают много информации на сер-
вер, тогда могут начинаться коллизии. Если станций доста-
Факт дальнейшей эксплуатации тоже важен. В определен- точно много, то встроенная база данных просто не будет
ных ситуациях может случиться так, что миграция на новый справляться с нагрузкой. Сервер начнет сыпать ошибками,
антивирус позволит существенно сэкономить на системных поскольку он не способен нормально взаимодействовать
ресурсах, на затратах на администрирование. Эти затраты, с такой встроенной базой данных.
в конечном счете, могут подтолкнуть руководство к под-
держке миграции. В подобных ситуациях мы поддерживаем возможность
использования внешних баз данных, причем здесь можно ис-
– Системный администратор убедился, что действитель- пользовать как бесплатные (PostgreSQL, MySQL), так и плат-
но стоит осуществить миграцию, – как ее осуществить, ные (Microsoft, Oracle). Теоретически можно настроить связь
с какими проблемами может столкнуться, как убедить с любой SQL-базой. Но мы стараемся из коробки поддер-
руководство. Остается небольшой момент – оптимизация живать именно эти.
дальнейшей работы антивируса. Какие технологии воз-
можно использовать для Dr.Web или других антивирусов? На практике же я обычно
– Для таких ситуаций мы предлагаем богатый набор нас- рекомендую клиентам, если
троек, которые связаны с интенсивностью использования они используют 250–
системных ресурсов. От простейших вещей: проверять ли 300 станций, выбирать
архивы на лету, инсталляционные файлы, что довольно за- внешнюю базу данных
тратная процедура. До довольно сложных настроек вроде
количества используемых ядер процессора. Многое можно В документации мы пишем, что использование внешних
регулировать, в том числе интенсивность обмена с диском. баз данных становится обязательным при количестве рабо-
чих станций более 1000. На практике эта цифра достижима
Касательно сетевого трафика тоже можно определен- в том случае, если у нас сервер с высокопроизводительной
ные моменты регулировать. Можно использовать довольно дисковой и подсистемой. Если станции присылают на сервер
распределенную сеть. Я уже приводил пример, когда центр не очень много событий, и идет не очень интенсивный обмен
управления может быть источником распространения обнов- информации с базой данных.
лений, чтобы рабочим станциям не приходилось их из Ин-
тернета напрямую качать. На практике же я обычно рекомендую клиентам, если
они используют 250–300 станций, выбирать внешнюю базу
Но центральный сервер также будет полезен, если данных, поскольку только она способна обслужить такой
есть удаленные офисы. В удаленном офисе можно поставить высокоинтенсивный обмен данными и одновременно чтение
промежуточный прокси-сервер, который будет обслуживать и запись. Как правило, любая современная внешняя база
свои локальные рабочие станции. И этот прокси-сервер ста- данных с этим неплохо справляется.
нет получать обновления от центрального сервера, а с него
уже – все локальные станции. Если удаленный офис с узки-
ми каналами, то можно на канале немножечко сэкономить.
Также могут быть настройки касательно того, в какое
время передавать обновления с сервера на агентов, ка-
кое количество агентов максимально одновременно может
системный администратор январь-февраль 2021 25
Безопасность миграция данных
Перед тем как начинать Если мы клонируем виртуальную машину, на которой уста-
массовую миграцию, новлен агент, то у нас появляется несколько виртуальных ма-
выделите некую пилотную шин, каждая из которых имеет одинаковый идентификатор.
зону, постарайтесь Когда все они подключаются к серверу, у них начинается
в нее собрать по максимуму гонка за подключение: на каждого следующего подключаю-
компьютеры пользователей. щегося агента сервер прерывает соединение с предыдущим.
Н а пилотной зоне установите Все агенты, если их много, начинают постоянно перепод-
наш антивирус. И в течение ключаться: это нехорошо как для них, так и для сервера.
какого-то времени просто
понаблюдайте, не возникают Для подобных ситуаций у нас есть специальный инстру-
ли проблемы у пользователей мент, который позволяет запомнить идентификатор такого
при работе с ним агента. Когда устанавливаем агента какой-то виртуальной
машины, мы указываем, что это будет так называемый зо-
Кроме того, если требуется интеграция с SIEM-системами, лотой образ. Запоминаем его идентификатор и на серве-
то здесь тоже есть два варианта. Можно настроить прямую ре создаем простенький скрипт при помощи встроенного
передачу данных из лог-файлов сервера в SIEM-систему, скриптового движка. Каждый подключающийся агент с этим
разбирать эти записи, анализировать. Либо SIEM-система идентификатором получит команду сменить идентификатор
может сама подключаться к базе данных сервера управ- на новый. Каждый раз, когда у нас следующий клон под-
ления, получать из нее оповещения самостоятельно. Этот ключается к серверу, тот смотрит идентификатор: это у нас
вариант, например, возможен только с внешней базой дан- золотой образ, – дает ему команду сменить идентификатор,
ных, из встроенной SQLite- базы это сделать не получится. агент присваивает новый идентификатор как отдельный
компьютер.
– Когда системный администратор принимает решение
перехода с одной базы данных на другую, ему тоже Мы рекомендуем, помимо того, что менять идентификатор,
нужно провести какую-то миграцию? собирать их все в отдельную группу, и для этой группы при-
– Да. Несмотря на то, что все перечисленные базы данных менять агрессивную схему очистки. По умолчанию из баз
следуют стандарту SQL, на практике получается, что напря- данных сервера агенты удаляются по истечении 90 дней.
мую нельзя перенести данные из одной базы в другую. Надо,
условно говоря, из языка одной перевести их в язык другой. Если в течение 90 дней от какого-то агента подключения
не было, он удаляется из базы сервера. В случае с такими
Для решения этой задачи у нас тоже есть встроенные клишированиями срок нужно сокращать, чтобы не было
инструменты экспорта базы, которые сохраняют БД в фор- перерасхода лицензии. Иногда для хранения достаточно
мате, понятном нашему центру управления. И есть инстру- даже суток: если эти клонированные агенты больше су-
менты импорта базы. Выполняется это все самим центром ток не подключались, значит они больше не используются.
управления. Мы их удаляем из баз данных сервера, лицензии высво-
бождаются.
Мы запускаем центр управления, просим его сделать
экспорт. Он делает экспорт, сохраняет его в файл. Дальше – Можем ли мы предотвратить попадание вирусов
мы меняем настройки центра, поскольку наше решение при помощи флешек, SD-карт, любых внешних носи-
позволяет без перезапуска, прямо во время работы, ме- телей данных?
нять используемую базу данных. Центр можно переключить – Можем, причем для этого есть несколько способов. Во-
со встроенной БД на внешнюю или с одной внешней на дру- первых, любой файл, который открывается с внешнего но-
гую в случае необходимости. После того как мы сделали сителя, всё равно будет проверен антивирусом.
экспорт, сменили настройки на использование новой базы,
проинициализировали ее, дальше с помощью инструмента Некоторые организации вообще запрещают пользоваться
импорта из файла центр управления загружает туда данные, внешними носителями. На этот случай у нас есть функционал
которые были ранее экспортированы. контроля устройств. Он позволяет блокировать устройство
как по шине подключения: USB, SD-карты, FireWire – вари-
– Как системный администратор может правильно на- антов довольно много, так и по типу устройств. Чаще всего
строить подключение к серверу центрального управле- блокируют именно внешние носители, внешние сетевые
ния при клонировании виртуальных машин в компании? карты тоже любят блокировать.
– При установке агента на любой компьютер агент гене-
рирует уникальный идентификатор, который запоминается В случае необходимости мы поддерживаем функционал
сервером центрального управления и дальше используется белого списка (whitelist), то есть вы можете заблокиро-
при взаимодействии сервера с этим агентом. вать все устройства кроме каких-то конкретных, у которых
есть свои идентификаторы. Администратор добавляет этот
список идентификаторов подключения в белый список, и тог-
да можно подключать только эти флешки, все остальные
будут блокироваться.
– Может случиться такая ситуация, когда, условно го-
воря, мы настроили корпоративную сеть, 1000 компью-
теров, и вдруг наш системный администратор забыл
пароль от Active Directory или от сервера центрального
управления. Что можно сделать?
26 январь-февраль 2021 системный администратор
миграция данных Безопасность
– В таких случаях ему придется сбрасывать пароль. Это тоже Предварительный шаг экономит много времени и сил
возможно средствами центра управления, но для этого по- на дальнейшую настройку. Уже не приходится на ходу
надобится физический доступ к серверу центра управления, это всё придумывать и восстанавливать. Соответствен-
без каких-то потерь по настройке компьютеров или серве- но, желательно при этом не забыть, есть ли какие-
ров. то исключения в старом антивирусе по проверке файлов
или папок, если были какие-то исключения, их тоже нужно
– Какие сейчас существуют решения по автоматизации перенести.
миграции у вашей компании или у каких-то других вен-
доров при переходе? Следующий шаг – надо развернуть это всё на небольшой
– Как правило, здесь используются штатные средства. Уда- пилотный зоне. Важно подойти к этому неформально: взять
ление в любом случае возможно только штатными средства- десяток компьютеров случайным образом выбранных, они
ми центра управления, а при установке обычно используются должны быть максимально разнообразные.
либо функционал удаленной установки, который доступен
в центре управления, либо какие-то внешние системы. Нам В крупных компаниях, как правило, используется большой
встречались случаи, когда клиенты использовали, например, «зоопарк» как по железу, так и по различному программно-
Microsoft SIEM для того, чтобы передать инсталлятор вместе му обеспечению. Желательно, чтобы пилотная группа была
с файлом конфигураций, которые он уже автоматически сам выбрана разнообразно. Компьютеры должны быть разные
доставляет на рабочие станции пользователей. Инсталлятор по железу. Также следует постараться, чтобы весь набор
с настройками запускается, подключается к серверу, сервер программного обеспечения, который используется на пред-
принимает и дальше передает все настройки. приятии, был охвачен пилотной зоной.
– Что нужно знать системным администраторам при ми- Естественно, это должны быть компьютеры, которые ак-
грации о технологиях, о которых мы говорили сейчас? тивно задействованы в работе и выход которых из строя
– Самое главное, читать документацию, потому что в моей не очень критичен. Чтобы если у кого-то произойдет какой-
практике получается, что примерно 90 % вопросов, которые то инцидент, что-то перестанет работать, то это не парали-
задают системные администраторы, на них дается ответ зовало бы работу всего предприятия.
в виде ссылки на соответствующий раздел документации, и,
как правило, этого всегда достаточно. Чтение документации Неделю-две наблюдаем за пилотной зоной. В этот период
решает большую часть проблем. по любым вопросам можно обращаться в нашу техническую
поддержку. Мы дадим рекомендации по решению любых
– Могли бы вы пошагово перечислить, что должен сде- возникающих проблем. После того как будет завершено
лать системный администратор при переходе с одного пилотное тестирование, по его результатам у вас уже должна
антивируса на другой? сформироваться окончательная политика информационной
– Во-первых, начать надо с формулирования своих текущих безопасности для конкретного антивируса, которую можно
политик безопасности. У кого-то они записаны на бумаге: применять по всему предприятию в целом.
на уровне приказа по компании или по ИТ-отделу существуют
сформулированные требования к настройкам антивируса. – На какой размер компаний рассчитаны ваши реше-
Это идеальный случай. ния по автоматизации миграции? Малый? Средний?
Крупный бизнес?
Наиболее частые – В общем, на любой. От масштаба меняется только про-
ситуации – это проблемы должительность перехода. И то она может сильно зависеть
совместимости с различным от ресурсов ИТ-отдела. От того, сколько специалистов мо-
ПО, которое уже установлено жет быть задействовано в этом процессе. Даже если очень
или только будет установлено много рабочих станций, всё равно можно сменить довольно
на компьютеры пользователей быстро при соответствующих ресурсах.
Если этого нет, то имеет смысл взять настройки текущего – Вы говорите, что многие проблемы легко решаются,
антивируса, пройтись по ним и зафиксировать какие-то клю- если специалист внимательно читает документацию.
чевые моменты, которые были ранее настроены и которые Однако бывает сложно найти документацию разработ-
важно сохранить дальше. чиков, потому что она не всегда поставляется вместе
с решением, а находится где-то на сайтах. У вас доку-
Соответственно, нужно уже развернуть центр управле- ментацию где можно посмотреть?
ния нового антивируса, и попробовать важные настройки – У нас документация, во-первых, доступна внутри интер-
перенести из старой базы данных в новую: воссоздать по- фейса центра самого управления. После разворачивания
литику безопасности, понять, как переносится структура документация доступна локально. И точно так же на сайте.
групп рабочих станций, как переносятся настройки политики Как правило, когда мы продаем лицензии новым клиентам,
безопасности для этих рабочих станций. наши менеджеры присылают им ссылки на документацию,
дают рекомендации, уточняют, что искать в разделах до-
кументации. Их помощь понадобится вам на первых этапах
внедрения. EOF
Ключевые слова: миграция, антивирус, кибербезопасность, до-
кументация, лицензия
системный администратор январь-февраль 2021 27
Безопасность встроенные ОС
Визитка
СЕРГЕЙ ПАРЬЕВ,
независимый эксперт
Проблемы кибербезопасности
встраиваемых индустриальных ОС
Данная статья является продолжением статьи «Особенности требований
к встраиваемой индустриальной ОС», опубликованной в № 12, 2020. Далее
мы сосредоточимся на одном из аспектов требований к индустриальным
встраиваемым ОС, только затронутом в предыдущей статье, а именно,
на проблематике кибербезопасности
Введение участвующих в технологическом процессе (например, персо-
нал промышленного предприятия), так и окружающего насе-
Индустриальные встраиваемые ОС предназначены для ис- ления, которое может потенциально пострадать в результате
пользования в индустриальных устройствах, примерами компьютерной атаки на индустриальное оборудование.
которых являются: контроллеры, роутеры, принтеры, счет-
чики электричества, установки МРТ и сотни других типов Можно заметить, что эти вопросы имеют пересечение
устройств. с традиционной для индустриального сектора функциональ-
ной безопасностью (safety), однако кибербезопасность рас-
Яркими примерами индустриальных встраиваемых ОС сматривает воздействие компьютерных атак, что в разрезе
являются: VxWorks, QNX, Integrity, STM32Cube, ThreadX (Azure функциональной безопасности ранее не производилось.
OS после покупки Microsoft), Windows 10 IoT, FreeRTOS, uC/ В последние годы идет медленное развитие методик функци-
OS, eCos и другие. ональной безопасности, как-то учитывающих риски кибербе-
зопасности, но до зрелого состояния им еще очень далеко.
Предполагается, что читатель знаком с особенностями
встраиваемых индустриальных систем, таких как: ограни- Актуальность вопросов кибербезопасности
ченные вычислительные ресурсы, долгие сроки жизни, для индустриальных ОС
регламентирование обслуживания, полевые условия экс-
плуатации, широкое использование автоматических (т. е. Еще 5 лет назад производители индустриальных устройств
без участия человека) режимов работы, специализирован- в большинстве своем не имели никакого представления о ки-
ные аппаратные компоненты, протоколы, системное и при- бербезопасности, а руководители предприятий не восприни-
кладное ПО и т. д. мали риски кибербезопасности всерьез. Но уже тогда были
известны случаи остановки и даже частичного разрушения
Какое отношение больших индустриальных комплексов по причине кибератак.
уязвимости в индустриальных
устройствах имеют С тех пор ситуация кардинально изменилась, атаки стали
к индустриальным ОС? намного чаще и профессиональнее, а правительства ряда
Самое прямое государств открыто угрожают применением кибероружия
по гражданской инфраструктуре. Количество найденных
Сразу оговоримся, что кибербезопасность, как она по- и опубликованных уязвимостей в различном индустриальном
нимается в индустриальной сфере, несколько больше тради- оборудовании исчисляется сотнями в год, при этой значи-
ционной информационной безопасности. Помимо вопросов тельная часть таких уязвимостей просто не публикуется
защиты информации, также рассматриваются вопросы за- по причине их особой опасности.
щиты технологического (индустриального) процесса (напри-
мер, процесса перегонки нефти или процесса выработки Дотошный читатель может спросить, а какое отношение
электричества), защиты оборудования, окружающей среды, уязвимости в индустриальных устройствах имеют к индустри-
а также жизни и здоровья людей, как непосредственно альным ОС? Самое прямое. Дело в том, что большинство
серьезных уязвимостей приходится именно на системный
слой – ядро ОС, драйверы устройств, сетевой стек, про-
цессы начальной загрузки и обновления и т. д.
Кроме того, как будет обсуждаться далее, именно
в ОС должны быть сосредоточенны механизмы защиты
28 январь-февраль 2021 системный администратор
встроенные ОС Безопасность
(или их основные части), защищающие не только саму ОС, Потенциально уязвимыми оказались около 2 миллиардов
но и всё индустриальное устройство от соответствующих (2 000 000 000) встраиваемых устройств, работающих в ос-
угроз кибербезопасности. новном в промышленности (ПЛК, SCADA серверы и др.),
медицине (HMI-панели контроля физических параметров
Наиболее показательным, можно даже сказать эпическим, больного, МРТ-установки и др.) и корпоративном секторе
случаем обнаружения уязвимостей в самой встраиваемой (роутеры, принтеры и др.).
ОС сегодня является обнаружение набора уязвимостей,
названного Urgent/11. Уязвимости до их обнаружения существовали уже 13 лет.
Но самое страшное даже не это. Спустя год после обнару-
Спустя год после обнаружения, жения, по оценке ARMIS, 97 % уязвимых устройств остаются
по оценке ARMIS, уязвимыми. Более того, большая часть этих устройств никог-
97% уязвимых устройств да и не будет защищена, т. к. в них просто нет физической
остаются уязвимыми возможности заменить (или пропатчить) ОС.
В 2019 году исследовательская компания ARMIS, исполь- Угрозы кибербезопасности
зуя новые методики и автоматизированный инструментарий, для индустриального устройства
неожиданно обнаружила 11 серьезных уязвимостей, при-
чем 6 из них были критическими, т. к. позволяли удаленно- Уязвимости в ПО являются, конечно, основной, но не един-
му злоумышленнику запустить произвольный код на уязви- ственной причиной возникновения угроз кибербезопасности
мом устройстве. Уязвимости были обнаружены в наиболее индустриального устройства. Для ознакомления с угроза-
распространенной коммерческой ОС VxWorks, а точнее, ми кибербезопасности современного индустриального уст-
в ее сетевом стеке IPNet. Позднее оказалось, что тот же ройства воспользуемся рисунком из документа, подготовлен-
стек используется или использовался как минимум еще ного Industrial Internet Consortium озаглавленным «Industrial
в 6 встраиваемых ОС – ThreadX (Azure OS после покупки Internet of Things Volume G4: Security Framework».
Microsoft), Integriry, Nucleos RTOS, ITRON и ZebOS.
Перечислим группы угроз кибербезопасности, представ-
ленные на рисунке:
>> (1) угрозы, связанные с целостностью аппаратной части
устройства. Злоумышленник может, например, физиче-
ски подменить файловое хранилище (особенно, если
оно съемное), а устройство, не зная об этом, записать
Рисунок 1. Угрозы кибербезопасности для современного IIoT устройства. (c) Industrial Internet Consortium
системный администратор январь-февраль 2021 29
Безопасность встроенные ОС
на него конфиденциальные данные. Также распростра- массовых примеров атак является подмена злоумыш-
ненным является несанкционированное подключение ленником важных данных, например, показаний датчи-
стороннего устройства злоумышленником к отладочным ков, передающихся устройством по сети. Также частым
интерфейсам. Если такой интерфейс не блокируется и/ являются атаки (подмена, уничтожение) на данные, на-
или устройство (а точнее, ОС в данном случае) не мо- ходящиеся на съемных носителях.
жет распознать такую ситуацию, то это грозит полным >> (12) угрозы, связанные с атаками на процесс мони-
захватом устройства злоумышленником. торинга устройства, в том числе на мониторинг безо-
>> (2) и (3) угрозы, связанные с возможными атаками пасности устройства. Часто после совершения атаки
на загрузчик (UEFI, первой, второй, третьей стадии), злоумышленник старается очистить логи безопасности,
а также сам процесс начальной загрузки. Классиче- чтобы скрыть свои действия.
ским примером является подмена злоумышленником >> (13) угрозы безопасности процесса управления и конфи-
легитимной прошивки на модифицированную на уст- гурирования устройства. Одним из примеров является
ройстве, которое не проверяет прошивку на аутентич- перехват централизованного управления устройством
ность при загрузке. путем вычленения из сетевого трафика незащищенного
логина и пароля учетной записи, с помощью которой
Типичной атакой осуществляется такое управление. После этого уст-
на гипервизор я вляется ройство полностью переходит под управление злоу-
атака на API гипервизора мышленника.
с целью п олучения доступа >> (14) угрозы, связанные с атаками на систему организа-
к его внутренней памяти ции безопасности (на принятую модель безопасности,
политики, сложившиеся практики и др.). Здесь частыми
>> (4) угрозы, связанные с возможными атаками непосред- типами атак являются обходы различных механизмов
ственно на ОС, в том числе на реализованные в ней безопасности из-за неправильного конфигурирования
механизмы безопасности. Одним из частых примеров политики безопасности.
является дефолтная учетная запись, встроенная в ОС >> (15) угрозы, связанные с процессом разработки уст-
производителем устройства, например, в целях отладки, ройства. Такие угрозы являются довольно сложными
и к которой злоумышленник получает подступ после для реализации, но при этом трудно выявляемы и явля-
реверсинга (т. е. разбора и понимания бинарного кода) ются частью целого комплекса мероприятий, осущест-
прошивки. вляемых злоумышленником. Например, такой комплекс
может состоять из: проникновения в сеть разработчи-
>> (5) угрозы, связанные с возможными атаками на гипер- ка, модификации процесса сборки ПО для включения
визор, если он, конечно, присутствует в устройстве. в него вредоносных модулей, затем вычисления рас-
В настоящее время наличие гипервизора является эк- положения потенциальных жертв, к которым попадает
зотикой для индустриальных встраиваемых устройств, от разработчика модифицированное ПО и затем уже
однако такие устройства уже есть в продаже и популяр- целенаправленные атаки устройств с модифицирован-
ность гипервизоров медленно, но верно растет. Типич- ным ПО.
ной атакой на гипервизор является атака на API гипер-
визора с целью получения доступа к его внутренней Как защищаться?
памяти, позволяющий злоумышленнику манипулировать
запущенными в гипервизоре виртуальными машинами, После обзорного рассмотрения всего спектра угроз ки-
в частности записывать зловредный код в их память. бербезопасности индустриального устройства возникает
вопрос, а как от них защищаться? И в этом центральную
>> (6), (7), (8), (9) угрозы, связанные с возможными ата- роль должна играть операционная система, встраиваемая
ками на прикладное ПО и различные прикладные API. в устройство. Только в ней можно сделать целостную под-
Пожалуй, самая массовая и разнообразная группа, т.
к. количество прикладных программ довольно высоко Частыми типами атак
и их качество в среднем значительно ниже, чем качест- являются о бходы различных
во системного ПО. механизмов безопасности
из-за неправильного
>> (10) угрозы, связанные с возможными атаками на про- конфигурирования политики
цесс развертывания ПО (или его части). При развер- безопасности
тывании, если не предприняты соответствующие меры,
злоумышленник может подменить ПО или, например, систему безопасности, отвечающую современным вызовам
подменить начальную конфигурацию, вызвав отключе- и активно развивающимся в настоящее время нормативным
ние каких-то важных механизмов защиты устройства. требованиям.
>> (11) угрозы безопасности непосредственно данных, Очевидно, что критические части механизмов защиты,
как хранящихся на устройстве, так и используемых о части из которых далее будет рассказано более детально,
в процессе его работы, а также передающихся и при-
нимающихся устройством по сети. Одним из довольно
30 январь-февраль 2021 системный администратор
встроенные ОС Безопасность
должны быть защищены на системном уровне, иначе меха- документ всё же является рамочным и требует дальней-
низмы защиты сами по себе будут легкой добычей для злоу- шей детализации (работы по развития стандартов по раз-
мышленника. работке безопасного ПО находятся в планах регулятора
на этот год).
Также довольно очевидно, что защита устройства в целом
не может являться задачей прикладного слоя ПО – у него Основные этапы этого процесса: построение модели
совсем другие, прикладные задачи. Соответственно это за- угроз, выбор требований безопасности, реализация мер
дача системного слоя, т. е. в первую очередь операционной защиты и последующие проверки независимыми иссле-
системы. дователями защищенности полученного ПО. Следует от-
метить, что рассматриваются не только технические меры,
Эту задачу условно можно разделить на две: но и организационные.
1) построение процесса разработки безопасного ПО;
2) реализация набора механизмов защиты, который бы Как видно, из описанного процесса разработки безопас-
в совокупности представлял собой целостную подсистему ного ПО естественным образом возникает вторая задача,
безопасности, способную эффективно противостоять воз- отмеченная выше, а именно – реализация комплекса мер
защиты. Рассмотрение всех возможных мер защиты и созда-
Защита устройства в целом ние целостной подсистемы безопасности выходит за рамки
не может являться задачей данной статьи, но перечислим наиболее популярные:
прикладного слоя ПО – у него
совсем другие, прикладные >> Доверенная загрузка.
задачи >> Доверенные обновления
можным компьютерным атакам. »» основной прошивки,
Построение процесса разработки безопасного ПО акту- »» прикладных компонентов.
>> Аутентификация
ально не только для ОС, но и для любого другого ПО. Уже »» устройства во внешних системах,
существуют определенные стандарты, регламентирующие »» пользователей/внешних систем на устройстве.
этот процесс. >> Защищенное хранилище.
>> Логирование событий безопасности.
В РФ в 2018 году ФСТЭК России принял ГОСТ Р 56939- >> Контроль целостности ПО в хранилищах (файловых
2016 «Защита информации. Разработка безопасного системах).
программного обеспечения», в котором описаны основ- >> Шифрование
ные этапы этого процесса и требования к ним, однако »» трафика от и к устройству,
»» хранилищ на устройстве.
>> Контроль запуска прикладного ПО.
>> Контроль сетевых взаимодействий (встроенный меж-
сетевой экран).
Рис. 2. Результаты опроса разработчиков устройств об используемых в текущих разработках мерах защиты. (с) AspenCore (embedded.com), EE Times
системный администратор январь-февраль 2021 31
Безопасность встроенные ОС
В этом списке значительная часть мер защиты является его кибербезопасности.
криптографическими, что заставляет включать в состав опе- Из первой группы наиболее интересными являются про-
рационной системы библиотеки криптопримитивов (базовых
криптографических алгоритмов) и решать вопросы управле- фили безопасности ОС, построенные на основе методологии
ния криптографическими ключами и сертификатами. Common Criteria (в РФ это серия ГОСТ 15408). В частности,
у нас ФСТЭК России выпустил соответствующие профили
Центральным элементом для ОС реального времени и встраиваемых ОС (правда,
в обеспечении под встраиваемыми здесь подразумеваются ОС для смарт-
кибербезопасности карт и подобных устройств). По этим требованиям произ-
индустриального устройства водится сертификация.
является индустриальная
операционная система Из второй группы наиболее интересными сейчас являются
документы IIC: «Industrial Internet of Things Volume G4: Security
В настоящее время развитие мер защиты в индустриаль- Framework» и «Endpoint Security Best Practices» (которые не яв-
ных встраиваемых ОС очень неоднородно. Если ведущие ляются стандартами, а скорее, гайдлайнами) и стандарты
производители ОС, такие как Wind River (VxWorks), уже от- серии МЭК 62443 «Industrial communication networks – Network
читались об организации процесса безопасного ПО и ре- and system security» (к сожалению, только 3 части из этого
ализовали ряд мер защиты, то большинство более мелких стандарта переведены, причем не самых последних версий).
производителей пока этого не сделали, либо остановились
только на организации самого процесса. На этом фоне Из серии МЭК 62443 наиболее интересны для нашей
развиваются предложения сторонних компаний, которые задачи часть 4-1 – покрывающая вопросы разработки
за счет встраиваемых поверх операционной системы про- безопасного ПО и часть 4-2, содержащая меры защиты
граммных компонентов пытаются компенсировать их отсут- (на русский язык ни та, ни другая часть в настоящее время
ствие в самой ОС. не переведены). Стандарт МЭК 62443 выделяется еще тем,
что имеет все шансы стать основой для всеевропейской
Отдельная ситуация с open source ОС, среди которых системы сертификации по кибербезопасности индустри-
наиболее популярными в рассматриваемом сегменте явля- ального оборудования.
ются Linux (embedded) и FreeRTOS. В случае использования
таких ОС вся тяжесть организации процесса разработки Также нельзя не отметить группу нормативных документов,
безопасного ПО, своевременного поиска и исправления относящихся к тематике обеспечения безопасности критичес-
уязвимостей, разработки мер защиты ложится на произво- кой информационной инфраструктуры (КИИ). В частности,
дителя устройства. Далеко не все производители обладают приказ № 239 ФСТЭК России, в котором перечислены меры за-
необходимой экспертизой и ресурсами, чтобы качественно щиты объекта КИИ, частью которого часто являются индустри-
проводить такие работы. альные устройства с встроенными в них индустриальными ОС.
Хорошей иллюстрацией того, что происходит в умах раз- Криптографические средства и в РФ, и за рубежом имеют
работчиков устройств по теме кибербезопасности, является отдельную систему сертификации. Сейчас в РФ сертифика-
опрос, который был проведен в 2019 году авторитетными из- ция криптографии в составе встраиваемой системы, к со-
даниями embedded.com (принадлежит компании AspenCore) жалению, является довольно трудной задачей из-за особен-
и EE Times. Одним из заданных вопросов был вопрос об ис- ностей сложившихся подходов и законодательства, однако
пользуемых в текущих разработках устройств мерах защиты. альтернатив использованию криптографии не существует,
Получены следующие результаты: и эта проблема рано или поздно будет решена.
В этом списке наибольшие оценки получили шифрование, Итоги
аутентификация и доверенная загрузка. Далее идут доверен-
ное обновление прошивки, защита от проникновения внутрь Тематика кибербезопасности индустриальных устройств во-
устройства и механизмы работы с криптографическими обще и индустриальных операционных систем в частности
ключами и сертификатами. только набирает свои обороты на фоне всё большего количе-
ства успешных атак на индустриальную инфраструктуру. Раз-
Стандарты и сертификация нообразие возможных атак со временем только увеличивается.
Если говорить о стандартах и нормативных требованиям Центральным элементом в обеспечении кибербезопас-
по кибербезопасности, то их необходимо разделить на две ности индустриального устройства является индустриальная
части: операционная система. Именно на ОС возлагается задача
создания целостной подсистемы безопасности индустри-
1) стандарты, непосредственно относящиеся к операци- ального устройства и, как следствие, именно в ОС должны
онным системам; находиться основные механизмы защиты.
2) стандарты, относящиеся к встраиваемому инду- Стандартизация, сертификация и нормативные требования
стриальному устройству, но опосредованно влияющие также активно развиваются. Одной из движущих сил можно
на операционную систему, которая, как говорилось назвать возрастающее внимание во всем мире к кибербе-
выше, является центральным элементом обеспечения зопасности критической информационной инфраструктуры,
значительная часть которой является индустриальной и со-
стоит из индустриальных встраиваемых устройств. EOF
Ключевые слова: кибербезопасность, индустриальные устройства,
индустриальные операционные системы, стандартизация, сертифи-
кация, нормативные требования
32 январь-февраль 2021 системный администратор
ЗАОЧНЫЙ
КРУГЛЫЙ СТОЛ
У меня есть тайна.
Или уже нет?
Существует известное утверждение о том, что когда важную информацию
знает один человек – это тайна, если ее знают двое – только полтайны,
а если трое, то, считай, никакой тайны и нет. Конфиденциальная
информация – отличный товар и повод для шантажа, поэтому придумано
так много способов и средств для ее кражи и защиты. Недавний скандал
с утечкой более 1,3 миллиона строк данных клиентов «РЖД Бонус»,
содержащих по каждому клиенту адрес, e-mail и ID-пользователя,
зашифрованный пароль, дату регистрации и последнего входа в систему,
а также служебные данные – еще один повод вернуться к обсуждению
проблемы защиты информации и конфиденциальности в ИТ.
Вопросы для экспертов:
34 Очевидно, что самая большая угроза для защиты данных исходит
от человека – преднамеренно или нет, но сотрудник может легким
движением руки нанести огромный ущерб любой компании. Есть ли
эффективные способы борьбы с человеческим фактором, как вы
полагаете? Если да, то расскажите о них.
40 Какие документы для защиты информации и конфиденциальности
в ИТ необходимо подписать компании и работнику при его приеме на
работу?
41 Что может предпринять работодатель в случае разглашения тайны
сотрудником? Может ли работодатель, например, взыскать с него
ущерб, причиненный разглашением тайны?
43 Нарушение какой тайны – служебной, коммерческой, государственной
– уголовно наказуемо?
44 Какие средства защиты обязательны для поддержания базового
уровня информационной безопасности? Могут ли средства защиты
информации быть избыточными?
46 Новейшие тенденции в защите корпоративной информации. Какие
из них вы считаете перспективными?
Заочный круглый стол
Вопрос 1
Очевидно, что самая большая угроза для защиты данных
исходит от человека – преднамеренно или нет, но сотрудник
может легким движением руки нанести огромный ущерб
любой компании. Есть ли эффективные способы борьбы
с человеческим фактором, как вы полагаете? Если да,
то расскажите о них.
Борис Шаров может случайно ввести с помощью автозаполнения адрес,
которому эта информация не предназначается. В зависимо-
Помимо стихийных бедствий, которые могут повредить ИТ- сти от настройки система DLP либо не позволит отправить
инфраструктуру (например, уничтожить дата-центры), ущерб этот файл, либо отразит факт отправки в журнале событий
информационному благополучию компании всегда исходит безопасности.
от человека. Что принято называть «человеческим факто-
ром», – я сказать затрудняюсь, но это выражение часто Кроме неумышленных действий, системы защиты от уте-
приходится слышать, когда речь идет о компьютерных ин- чек противодействуют также преднамеренному распростра-
цидентах, независимо от тяжести их последствий. нению конфиденциальных документов сотрудниками.
Похоже, человечество придумало себе универсальную Вячеслав Логушев
индульгенцию, назвав ее «человеческим фактором», – она
якобы позволяет не выполнять те обязанности, которые Человеческий фактор был и остается одним из самых уяз-
возложены на людей как раз для того, чтобы пресловутый вимых мест в системах информационной безопасности.
«человеческий фактор» никогда не нарушал наши планы. Полностью защититься от него вряд ли удастся, ведь никогда
Поэтому в глобальном плане основной метод борьбы с «че- нельзя исключать «троянских коней» в лице нелояльных сот-
ловеческим фактором» – полный запрет на использование рудников с высоким уровнем доступа к конфиденциальным
самого этого термина. Тогда неизбежно придется разбирать- данным. Но снизить его влияние и минимизировать потен-
ся в истинных причинах, которые привели к тому или иному циальные риски вполне возможно. Важно понимать, что ин-
неблагоприятному исходу. формационная безопасность – комплекс взаимоувязанных
мер, реализуемых на технологическом и административном
Если принять за аксиому, что в любой системе безопас- уровнях.
ности именно человек является наиболее слабым звеном,
то тогда надежность такой системы не может быть выше, Человеческий фактор
чем надежность человека, который является элементом был и остается одним
этой системы. Чем меньше функций получается возложить из самых уязвимых мест
на людей, тем выше надежность системы защиты. Исклю- в системах информационной
чить вероятность «человеческого фактора» можно, только безопасности
убрав вообще человека из системы мониторинга, принятия
каких-либо решений в системе безопасности. Насколько В практику работы компании должны быть внедрена
это реалистично в более-менее значительных масштабах – и неукоснительно соблюдаться политика информационной
покажет время. безопасности. Это должен быть не формальный документ,
принимаемый «для галочки», а реально действующий набор
Алексей Кубарев стандартов и правил, соблюдение которых контролируется,
а намеренное или случайное нарушение – карается.
Способы борьбы с человеческим фактором, безусловно,
есть. Наиболее эффективный способ – в применении та- Доступ сотрудников к полным наборам данных, одно-
ких технических средств как DLP-системы. Они созданы, временное использование которых может повлечь за со-
чтобы защитить активы организаций от непредумышленных бой ИБ-риски для компании или ее клиентов, должен быть
действий сотрудников, связанных с конфиденциальной ин-
формацией.
Например, при отправке конфиденциального документа
по корпоративной почте на несколько адресов сотрудник
34 январь-февраль 2021 системный администратор
исключен или строго разграничен. Также необходимо пери- Заочный круглый стол Участники заочного круглого стола
одически обучать сотрудников правилам безопасной работы
с ИТ-сервисами, рассказывать о потенциально возможных Денис Батранков,
нетипичных ситуациях и правилах реагирования на них. эксперт
по информационной
Никита Кузнецов безопасности
Да, такие способы есть, один из самых недорогих и эффек- Андрей Кашкаров,
тивных – постоянное напоминание сотрудникам о важности психотерапевт,
правильного обращения с конфиденциальной информацией. НМИЦ им. В.А.
Если организация работает с большим количеством конфи- Алмазова
денциальной информации, например, с персональными дан-
ными третьих лиц, то стоит ввести в практику обязательные Минздрава России,
для посещения регулярные семинары. На них, в простой Санкт-Петербург
и доступной форме, нужно объяснять сотрудникам, как пра-
вильно обращаться с персональными данными и что ждет тех Алексей Кубарев,
сотрудников, которые будут эти правила нарушать (на при- руководитель
мере реальной судебной практики, которой уже довольно группы развития
много). Это единственный, на мой взгляд, верный способ бизнеса центра
в борьбе с человеческим фактором в организациях. продуктов Solar
Dozor компании
Если организация р аботает «Ростелеком-
с большим количеством Солар»
конфиденциальной
информации, то стоит ввести Вячеслав Логушев,
в практику обязательные директор направ-
для посещения регулярные ления ИТ-сервиса
семинары и аутсорсинга
компании X-Com
Также не стоит забывать об обязательной разработке
внутренних политик и регламентов, которые будут четко Артём Мышенков,
определять порядок обработки конфиденциальной инфор- инженер
мации в вашей организации (для некоторых категорий ин- по безопасности
формации это прямое требование закона – например, бан- хостинг-
ковской информации или тех же персональных данных). провайдера
Но тут также стоит учитывать, что данные документы будут и регистратора
полезны скорее с точки зрения привлечения к ответствен- доменов REG.RU
ности нарушителя, который уже совершил проступок, чем
со стороны превентивных мер, так как большинство новых 35
сотрудников часто забывает содержание таких документов
сразу же после того, как ознакомятся с ними.
И все же важно понимать, что построить надежную сис-
тему защиты информации без дополнительных материальных
затрат невозможно. Для тех организаций, которые все же
готовы выделить бюджет на защиту информации и хотят луч-
ше защититься от утечки, стоит обратить внимание на сле-
дующие методы:
>> внедрение системы по предотвращению утечек (Data
Leak Prevention, DLP). Она позволит усилить контроль
над действиями сотрудников и информацией, которую
они используют, копируют или отправляют через почту
и мессенджеры;
>> внедрение защищенных средств терминального доступа
и виртуализации. С помощью покупки терминального
сервера можно не только сэкономить на приобретении
мощных рабочих станций для пользователей и облегчить
системный администратор январь-февраль 2021
Заочный круглый стол
процесс масштабирования бизнеса, но и обеспечить к конфиденциальной информации, содержащейся
безопасное разграничение доступа пользователей к ин- в промышленном сегменте сети, но и оптимизировать
формации и защититься от утечек. Пользователь, под- сам процесс программного обеспечения;
ключаясь со своего терминала к рабочему окружению >> внедрение средств защиты данных и изолирования ра-
(виртуальной машине), может быть полностью огра- бочей среды на телефонах и других мобильных устрой-
ничен в возможностях по копированию и скачиванию ствах, и использование только их при предоставлении
информации не только с рабочего окружения на тер- доступа к сервисам компании (например, электронной
минал, но и обратно. Это сильно ограничит каналы почте или файловому хранилищу). Эта технология по-
возможной утечки информации в компании, а, кроме хожа на технологию терминального доступа – при ее ис-
того, внедрение данной технологии позволит повысить пользовании на мобильных устройствах пользователь
общую безопасность удаленного доступа для сотруд- подключается не напрямую к нужному ему сервису,
ников, постоянно работающих на удалении, особенно а к изолированной среде, которая позволяет взаимо-
при использовании личных устройств; действовать с документами и информацией без воз-
>> сегментирование сети и разграничение областей с кон- можности скачать ее на устройство.
фиденциальной информацией. В любой уважающей Единственным минусом данной технологии является
себя организации должен быть определен перечень только то, что с ее помощью можно в основном защитить
конфиденциальных сведений, который обрабатывает- только файлы, содержащие большое количество инфор-
ся в ее информационных системах, это необходимо мации. При работе с файлами, содержащими небольшое
не только для правового фиксирования данной ин- количество информации или текста, пользователь может
формации, но и для корректного проектирования архи- просто скопировать ценную информацию или документ,
тектуры локальной вычислительной сети организации. делая снимки (скриншоты) экрана на мобильном устройстве.
Важно построить сеть так, чтобы пользователи организа-
ции, работающие с одним типом информации, не могли иметь Николай Смирнов
доступ к сегментам сети, в которых обрабатываются иные
виды информации, и я сейчас не говорю о разграничении Человеческий фактор может обрушить системы безопас-
прав доступа пользователей на уровне, например, общей ности любой организации с любой зрелостью процессов.
сетевой папки, я имею в виду именно сетевой доступ. Ошибки, к сожалению, случаются у всех и полностью исклю-
Например, в моей практике был случай, когда сотрудник чить их – задача необозримая и недостижимая. Что можно
компании, не являющийся ИТ-специалистом, использовал и нужно делать?
специализированную программу, которую ему посоветовал
«друг айтишник», и пытался втайне скопировать информа- Важно обучать персонал. Каждый человек в организа-
цию о клиентах компании, находящуюся в другом сегменте ции должен четко понимать, как реагировать и что делать
сети. Потенциально он мог добиться своей цели, так как не- при наступлении нештатной ситуации, а главное – обладать
смотря на то, что в организации присутствовала сегментация навыками ее выявления.
сети, сетевой доступ между некоторыми сегментами закрыт
не был; Аналитика показывает, что в последнее время опять вы-
>> минимизирование количества лиц, которые имеют дос- росли случаи фишинга. Если раньше киберпреступники ис-
туп к конфиденциальной информации. Руководствуй- пользовали довольно примитивный типизированный подход,
тесь принципом предоставления минимально необхо- сейчас их «мастерство» существенно выросло. Все чаще
димых прав; для подготовки фишинговых писем анализируются циф-
>> также не стоит «размывать» права для ИТ-сотрудни- ровые следы, оставленные сотрудником, и используются
ков и программистов. Например, если у вас много элементы социальной инженерии. Получая такое письмо,
разработчиков имеют доступ к находящимся в про- неподготовленный сотрудник не заподозрит ничего опас-
мышленной эксплуатации серверам, содержащим ного и может выполнить предложенные злоумышленниками
конфиденциальную информацию, – минимизируйте действия (открыть вложения или перейти по предложенным
его, а лучше полностью исключите. Хорошим тоном ссылкам), скомпрометировав таким образом свои данные.
будет внедрение технологии непрерывной интеграции
и развертывания (CI/CD), при которой разработчики, Каждый человек
после разработки новой версии приложения, не раз- в организации должен четко
мещают его самостоятельно в «боевой» среде, а пе- понимать, как реагировать
редают его специализированным DevOps-инженерам, и что делать при наступлении
ответственным за непосредственное развертывание нештатной ситуации
приложений в таких средах. А в случае обнаружения
ошибок или нестабильности работы в разработанном Поэтому необходимо уделять большое внимание не только
приложении версия программы сразу же откатывает- обучению сотрудников правилам цифровой гигиены, но и под-
ся инженером на предыдущий образ, а разработчики готовке специалистов, в чьи обязанности входит реагирова-
исправляют ошибки и готовят новый, исправленный ние на подобные инциденты. В последнем случае мало только
образ, не отвлекаясь на проблемы с развертыва- описать процесс на бумаге, необходимо предоставить таким
нием. Таким образом можно не только значительно
уменьшить количество сотрудников, имеющих доступ
36 январь-февраль 2021 системный администратор
сотрудникам возможность получать практические навыки. Заочный круглый стол Участники заочного круглого стола
Для этого идеально подойдут специальные платформы – ки-
берполигоны, позволяющие отрабатывать предотвращение Евгений Мосин,
кибератак в интерактивных средах моделирования. технический
директор САТЕЛ
Киберполигоны дают возможность загрузить виртуальные
представления корпоративных приложений и инфраструктур, Николай Смирнов,
включая разнообразные сценарии атак и действий пользо- директор
вателей, что позволяет ИБ-специалистам оттачивать навыки
реагирования на киберугрозы в безопасном для компании по продуктам
режиме. компании
В группе компаний «ИнфоТеКС» тоже есть подобный «ИнфоТеКС»
тренажер собственной разработки, который мы активно ис-
пользуем для подготовки своих специалистов и экспертов, Денис Суховей,
работающих на стороне партнеров и заказчиков. директор департа-
мента развития
Задавая этот вопрос, вы сами подчеркнули, что ошибки, технологий компа-
к сожалению, случаются у всех и полностью исключить нии «Аладдин Р.Д.»
их – задача недостижимая. Я с вами полностью согласен,
поэтому кроме проактивной защиты не будем забывать Борис Шаров,
про минимизацию потерь. Для этого в компании должна быть генеральный
выстроена система раннего оповещение в случае успешно директор «Доктор
реализованной кибератаки.
Веб»
Артём Мышенков
37
Основной способ борьбы с человеческим фактором – ор-
ганизационный, то есть составление и введение в работу
таких документов, как соглашение о неразглашении или NDA
(non-disclosure agreement). Сотрудники должны понимать
его содержание и осознавать, какую ответственность они
могут понести за разглашение конфиденциальной инфор-
мации и коммерческой тайны.
Для работы с непреднамеренными утечками нужно повы-
шать общий уровень образованности сотрудников в теме
информационной безопасности, обеспечивать защиту рабо-
чих компьютеров. Также серверов и хранилищ, на которых
хранится конфиденциальная информация. Нужно контро-
лировать и разграничивать доступ к серверам, корпора-
тивным ресурсам и базам данных, мониторить связанные
с этим инциденты. Существуют специальные типы систем
по предотвращению утечек – DLP (Data Leak Prevention).
Волшебного алгоритма защиты от человеческого фактора
нет, но при комплексном подходе можно снизить риски
утечек.
Андрей Кашкаров
Сотрудник может действием, имеющим разные формы,
как навредить, так и помочь компании. Это главное, когда
подразумевают «человеческий фактор». Полагал бы рас-
смотреть проблематику в двух возможных аспектах: техни-
ческая ошибка и намеренные действия.
Первая может случиться у каждого, но не входит в сис-
тему, что несложно отследить по статистике «успехов»
конкретного сотрудника, сделав выборку за N-е время.
О новичках не говорю, поскольку полагаю, что первый год
их работы ожидать выдающихся положительных результатов
почти в любой сфере деятельности, где предполагаются
профкомпетенции, не приходится; первый год в них компа-
ния только вкладывает, ожидая дивиденды впоследствии.
Эта система работает.
системный администратор январь-февраль 2021
Заочный круглый стол
Итак, случайность ошибки, признаем ее технической, В соответствии со сказанным про «оценку», они не плохие
может «посетить» каждого – панацеи нет. Но если видна и не хорошие, а такие, как есть, какие заслужены предва-
«система», то это уже профнепригодность. Не детский сад – рительной деятельностью или бездействием.
перевоспитывать, затрачивая личные и материальные ре-
сурсы, такого сотрудника не будут, да и терпеть тоже, если, Второй аспект «намеренности» говорит сам за себя
разумеется, это не частный случай родства с руководителем и определяется мотивами (демотивацией) работника. Тут
или влиятельным управленцем (что, кстати, не так редко слу- сфера деятельности службы безопасности и вопрос про-
чается в корпорациях, и это самый сложный момент вреда фессионализма ее сотрудников. Намеренные действия могут
для компании, устранить который труднее всего). квалифицироваться значительной угрозой для компании
в ситуации конкурентного рынка. Поэтому профессионалы
Сотрудник может действием, их стараются предотвращать, а не исправлять последствия,
имеющим разные формы, что много сложнее.
как навредить, так и помочь
компании. Это главное, когда Превентивная работа по обеспечению безопасности ком-
подразумевают «человеческий пании строится на информации о работниках, получаемой
фактор» из открытых источников, сообщаемой ими работодателю
(в т. ч. комплектация «личного дела») и систематического
Давайте поговорим именно об этом. Недавно у нас про- мониторинга поведенческих процессов.
изошел такой случай, на первый взгляд, пустяковый. Роздали
карты СОУТ сотрудникам для подписи в формате единого Люди есть люди, их психический фон, связанный, кстати,
документа – не индивидуально, а списком. не только с работоспособностью напрямую, но и с возмож-
ными ошибками при «исправлении должности», динамично
Кто не знает, это карты проверки соответствия условий меняется, и в этой тонкой сфере нет ничего застывшего,
труда; на крупных предприятиях и холдинге этим занимается навсегда данного. Значительно поругался с женой, под-
профкомиссия. ставил коллега, проблемы у детей, в том числе взрослых,
материальные проблемы, осложнения со здоровьем, ко-
В картах указали персональные и паспортные данные: торые скрывают, – всё это и многое другое мы называем
фио, дату рождения, СНИЛС, номер паспорта и адрес ре- факторами влияния.
гистрации. Все сотрудники подразделения узнали о других
сотрудниках служебную информацию; по этим данным не- В ситуации психологического дискомфорта сотрудник
трудно установить не только доходность, материальное поло- работает иначе, чем «довольный жизнью». Представим,
жение, кредитную нагрузку, но и собственность гражданина. смоделируем тут ситуацию, что в это время на ранее без-
упречного относительно трудовых взаимоотношений чело-
Что делает лицо, допустившее ошибку? Оно не признаёт века воздействует еще и такой фактор, как предложение
ошибки и с «испугу нападает первым», заручившись про- конкурентов, поиск нового места, связанное с желанием
фильными документами по трудовому кодексу. В резуль-
тате сотрудники недовольны. Но дисциплинарно наказать В ситуации психологического
«лицо» нельзя – оно приходится родственницей еще более дискомфорта сотрудник
влиятельному лицу, а направлять на переобучение (для со- работает иначе,
вершенствования квалификации) по ситуации поздно – дело чем «довольный жизнью»
сделано. В этом случае изобретают «ход конем» – направля-
ют «лицо» «на повышение», где оно, убежден, еще в той же «уйти от проблемы» и (или) найти ее наилучшее, в том числе
перспективе покажет себя. в материальной части, решение. Не каждый устоит.
В непростой ситуации, когда экономические перспекти- Чтобы предвидеть развитие неблагоприятной ситуации
вы, доходность, конкурентность в профессиональной нише, в команду службы коммерческой безопасности (где она
реноме компании и, в целом, ее безопасность на рынке есть) набирают именно профессионалов – оперативников
(как и безопасность служебных данных) зависят от руко- с неноминальными компетенциями психологов. Не стал бы
водителя с авторитарным стилем управления (не трудового на этой сфере экономить.
коллектива), ничего не остается, как «терпеть». Изменение
стиля управления, уход от застарелых догм, когда аргумент Техническая сторона контроля действий сотрудников,
«выше начальника только звезды», сопровождаемый сменой в том числе в информации передаваемой ими по каналам
руководящей «вертикали» или приход нового авторитетно- связи, к примеру, корпоративной электронной почте, тоже
го, влиятельного сотрудника, понимающего проблематику важна – наряду со сказанным. Это один из возможных спо-
и ее последствия, – единственный путь к оздоровлению собов предотвращения потерь разного «генеза».
и безопасности трудовых отношений.
Денис Суховей
Оценка зависит от установки и во всем важен пример –
эти незыблемые принципы педагогики, как ни странно, ра- Да, безусловно, такие способы и методы защиты существу-
ботают во всех сферах жизни, включая и государственное ют. К примеру, метод шифрования информации на дисках
управление, результаты которого как говорится, «налицо». рабочих станций пользователей максимально эффективно
решает задачу предотвращения утечек, особенно непредна-
меренных. Все дело в том, что существуют средства защиты
38 январь-февраль 2021 системный администратор
Solar Dozor 7
Новое поколение DLP-системы
Теперь с UBA
Предотвращение утечек информации, анализ поведения
пользователей и проведение расследований
rt-solar.ru
Заочный круглый стол
информации, которые обеспечивают высокую степень про- в регионе, то он ищет, где бы подработать. Поэтому у нас
зрачности мер защиты для авторизованного (прошедшего в стране можно купить на черном рынке любые данные
двухфакторную аутентификацию) пользователя. Таким сред- о человеке: звонки с телефона, перемещение по городу,
ством защиты является, например, Secret Disk компании данные по счету и даже его переписку в whatsapp.
«Аладдин Р.Д.».
То же самое с ущербом компании: я встречал органи-
Денис Батранков зации, где ценностью являлся проект здания. Это, по сути,
файл, утечка которого может стоить архитектурному бюро
Да, есть. Когда вы сделаете зарплату сотрудника зависящей потере всего проекта. А это сотни тысяч долларов. И здесь
от успеха компании, то ему будет уже неинтересно отдавать все сотрудники реально заинтересованы в безопасности
коммерческую тайну конкурентам, потому что он лично зара- этого файла, но остается риск хакерской атаки. И тут уже
ботает меньше. Когда человек сидит на маленькой зарплате нужны технологии безопасности, такие как DLP, Zero Trust,
IDM, XDR, Threat Hunting.
Вопрос 2
Какие документы для защиты информации
и конфиденциальности в ИТ необходимо подписать
компании и работнику при его приеме на работу?
Борис Шаров относится к категории тех, кто имеет доступ к специфической
информации, – он должен быть ознакомлен с содержанием
Это могут быть правила внутреннего трудового распорядка, этих документов под роспись, а затем внесен в списки людей,
положение о конфиденциальности, положение об отделе, имеющих доступ к определенного рода информации.
договор о материальной ответственности, трудовой договор,
должностная инструкция, служебные задания на разработку Алексей Кубарев
ПО, перечень конфиденциальной информации, к которой
допускается работник. Но главное не набор документов, Обязательным документом является NDA (Соглашение о не-
а информация, которая в них содержится. Теоретически всё разглашении) с перечнем сведений, которые не должны вый-
необходимое можно отразить и в одном трудовом договоре. ти за пределы компании. Вместе с этим можно подписать до-
Должно быть подробное описание того, что относится к кон- полнительное соглашение к трудовому договору, в котором
фиденциальной информация в компании, запрет на распро- будет прописано, что всё, что сотрудник использует в своей
странение такой информации, а также подтверждение того, трудовой деятельности, и результаты этой деятельности при-
что сотрудник получил к ней доступ. надлежат компании. При этом организация оставляет за со-
бой право контролировать каналы коммуникаций сотрудника
Артём Мышенков для предотвращения распространения этих активов.
Основным таким документом является NDA (non-disclosure Например, если программист написал для работодателя
agreement) – соглашение о неразглашении. В нем пере- код и хочет его повторно использовать в своем личном про-
числены типы информации, с которыми будет работать екте, поскольку этот код принадлежит компании, сотрудник
нанимаемый сотрудник. Также информация, разглашение должен будет получить разрешение на его использование.
которой запрещено: это может быть коммерческая тайна, Иначе это будет считаться нарушением конфиденциальности
персональные данные, интеллектуальная собственность, и права собственности.
разрабатываемая в компании. Информация о запрете на раз-
глашение сотрудником определенного рода данных может Евгений Мосин
быть также включена в содержание трудового договора.
Для защиты информации и соблюдения конфиденциальности
На предприятии могут быть приняты Политика инфор- в организации, как правило, действует положение «О ком-
мационной безопасности или Положение о коммерческой мерческой тайне». В этом положении юристы ИТ-компаний
тайне. Эти документы особенно актуальны для крупного определяют несколько важных пунктов: основные понятия,
бизнеса, у которого разветвленные базы данных и множество права и обязанности сторон, режим допуска к коммерческой
категорий пользователей с разными правами доступа к от- тайне, ответственность за разглашение конфиденциальной
дельным типам информации. В таком случае, если сотрудник информации. Кроме того, в таком положении прописывают,
40 январь-февраль 2021 системный администратор
Заочный круглый стол
как компания будет защищать информацию, хранящуюся >> порядок использования локальной вычислительной
на компьютере и на материальных носителях. сети, распределения ролей и сетевой безопасности;
Устраиваясь на работу, сотрудник подписывает обяза- >> порядок резервного копирования и восстановления
тельство о неразглашении коммерческой тайны. Это обя- информации;
зательство можно оформить как приложение к трудовому
договору либо включить раздел о коммерческой тайне в сам >> порядок разработки программного обеспечения, поря-
трудовой договор. док мониторинга внутренней инфраструктуры и аудита
информационных ресурсов.
Никита Кузнецов
Также в организации могут применяться иные, более
Данный список будет сильно зависеть от рода деятель- специализированные документы.
ности организации и профессии сотрудника, принимае-
мого на работу, но я постараюсь привести обобщенный Николай Смирнов
пример.
При приеме на работе сотрудника необходимо проинформи-
Всех сотрудников стоит ознакомить с политиками, по- ровать и получить от него согласие, что к его должностной
ложениями и инструкциями, регламентирующими: инструкции добавляются документы о неразглашении сведе-
ний, носящих конфиденциальный характер, составляющих
>> общие требования по безопасности; коммерческую, служебную, а иногда и государственную тай-
>> парольную защиту; ну. Это первый базовый уровень, на котором еще в полной
>> безопасное использование сети Интернет, электронной мере нельзя понять, с какого рода информацией сотрудник
будет реально работать.
почты и мобильных устройств;
>> антивирусную защиту; Далее, при включении его в любой новый проект, необ-
>> использование съемных устройств типа флеш-карт ходимо каждый раз получать его согласие о неразглашении
сведений, составляющих тайну и связанных уже с конкрет-
и USB-токенов; ной работой. С юридической точки зрения тайной будет
>> доступ к информационным и файловым ресурсам; являться любая информация, которая представляет ценность
>> использование удаленного и беспроводного доступа; до момента ее разглашения третьей стороне.
>> обращение с конфиденциальной информацией и пер-
Денис Суховей
сональными данными (даже если сотрудник изначально
не имеет к ним доступа); Стандартное соглашение с работодателем может включать
>> предоставление и разграничения доступа к информа- отдельный раздел о конфиденциальности, это повсеместная
ции в организации. практика.
Также стоит разработать и внедрить инструкции по об-
наружению и идентификации вредоносного программного Денис Батранков
обеспечения и фишинговых рассылок.
Сотрудников подразделений, связанных с информацион- Из того, что почти у всех используется сегодня: каждый сотруд-
ными технологиями, в зависимости от их направления дея- ник юридически подписывает NDA с компанией при приходе
тельности, дополнительно стоит ознакомить со следующими на работу и ему грозит юридическое преследование в случае
политиками, положениями и инструкциями: утечки исходных кодов, проектов, базы клиентов и так далее.
>> порядок использования, обновления и контроля про-
граммного обеспечения;
Вопрос 3
Что может предпринять работодатель в случае разглашения
тайны сотрудником? Может ли работодатель, например,
взыскать с него ущерб, причиненный разглашением тайны?
Артём Мышенков всего, возместить убытки, причиненные ему. Взыскание
предусмотренных соответствующими соглашениями (тру-
Многое зависит от типа информации и содержания под- довым договором, NDA) штрафных санкций или вреда, на-
писанных сотрудниками документов. Однако по общему несенного разглашением «закрытой» информации, проис-
смыслу законодательства работодатель может, прежде ходит через суд.
системный администратор январь-февраль 2021 41
Заочный круглый стол
Взыскание предусмотренных Евгений Мосин
соответствующими
соглашениями штрафных Конфиденциальную информацию в ИТ-компаниях защищает
санкций или вреда, федеральный закон «О коммерческой тайне». Закон охраня-
нанесенного разглашением ет сведения, благодаря которым компания может получить
«закрытой» информации, конкурентное преимущество или увеличить прибыль. Напри-
происходит через суд мер, уникальные технологические наработки, финансовые
показатели, методы производства, производственные и мар-
При этом работодателю нужно будет доказать ряд мо- кетинговые планы, информацию о клиентах.
ментов, например:
Сохранение коммерческой тайны в ИТ имеет особое
>> продемонстрировать, что на сотрудника распространял- значение: это высококонкурентная среда, которая быст-
ся определенный режим тайны (например, предоставив ро развивается. Два фактора определяют успешность ИТ-
доказательства подписания листа ознакомления с Поло- компаний: скорость и уникальность инноваций. Конечно,
жением о коммерческой тайне; или подписанный NDA); такие условия создают риски: недобросовестный сотрудник
может передать конфиденциальные сведения конкурентам
>> доказать сам факт разглашения; или злоумышленникам.
>> доказать факт нанесения ущерба и причинно-следствен-
Помимо ФЗ «О коммерческой тайне», ИТ-компании ис-
ную связь между действиями сотрудника и ущербом. пользуют ФЗ «О государственной тайне». Это необходи-
Что касается разглашения не просто конфиденциальной мо, когда предприятия сотрудничают с органами власти.
информации, но именно коммерческой тайны, – вопросы Сейчас это происходит достаточно часто, поскольку мно-
ответственности при ее разглашении дополнительно регули- го государственных проектов связано с цифровизацией:
руется специальным законом. Согласно ему виновное лицо искусственный интеллект используют в ЖКХ, налоговых
может быть привлечено не только к гражданско-правовой, службах, поликлиниках, его применяют для контроля до-
но также дисциплинарной, административной или уголовной рожного потока и для автоматизации документооборота.
ответственности (Федеральный закон от 29.07.2004 № 98-ФЗ Иногда приходится прибегать к понятию служебной тайны:
«О коммерческой тайне»). То есть разглашение такой инфор- когда компании работают, например, над базами данных
мации может повлечь не только обращение работодателя МЧС или МВД.
в суд, но также дает основание для увольнения сотрудника.
В ряде случаев – повод обратиться в полицию с заявлением Чтобы защитить коммерческую тайну, надо действовать
о преступлении по факту разглашения коммерческой тайны. в трех направлениях: правовом, организационном и техни-
ческом. Недостаточно выпустить один-два локальных акта,
Алексей Кубарев необходима комплексная работа.
Работодатель может собрать доказательную базу с помощью Сначала юристы готовят необходимые документы. Поми-
технических средств защиты информации и обратиться в суд. мо разработки трудового договора, они готовят документы
Если он докажет ущерб и факт нарушения NDA, то с высокой для взаимодействия с контрагентами, определяют, что входит
долей вероятности сможет взыскать с сотрудника ущерб. в понятие коммерческой тайны в данной организации.
В этом вопросе есть много нюансов, например, чтобы суд
принял доказательную базу, собранную с технических средств Потом руководители решают, кому давать доступ к ком-
защиты информации, они должны быть сертифицированы мерческой тайне, кто будет нести ответственность, кто кон-
соответствующим органом, в данном случае – это ФСТЭК. тролировать. Наконец, программисты предоставляют доступ,
работают над защитой устройств от киберпреступников
Вячеслав Логушев или нечистоплотных сотрудников, устанавливают антиви-
русы, настраивают резервное копирование. Они же проду-
Сотрудник, допустивший разглашение служебной тайны,
может быть уволен по ст. 81 ТК РФ. К нарушителю коммер- Чтобы защитить
ческой тайны также может применяться дисциплинарное коммерческую тайну,
взыскание, предусматривающее выговор или увольнение. н адо действовать в трех
При этом работодатель не в праве взыскивать с виновного направлениях: п равовом,
упущенную выгоду, а наличие и размер реального ущерба организационном
придется доказывать в судебном порядке. и техническом
Борис Шаров мывают, как защитить компьютеры, внешние жесткие диски
и серверы от повреждений, как можно будет восстановить
При наличии документов из п. 2 работодатель может обра- информацию в случае искажения или стирания злоумыш-
титься в суд для взыскания ущерба либо в правоохранитель- ленником.
ные органы для привлечения к уголовной ответственности.
Однако иногда коммерческую тайну неспособна защитить
даже совместная работа юристов, менеджеров и специалис-
тов в области ИТ. Если сотрудник разглашает коммерческую
42 январь-февраль 2021 системный администратор
Заочный круглый стол
тайну или она оказывается общедоступной по какой-либо коммерческую тайну, владелец информации вправе требо-
другой причине, работодатель может обратиться к подго- вать возмещения убытков, а также инициировать уголов-
товленному заранее «антикризисному» плану. ное преследование в соответствии со ст. 183 Уголовного
кодекса. Максимальный срок наказания за данное деяние
План действий бывает разным. Например, если разглаша- предусматривает лишение свободы на срок до семи лет.
ют сведения о секретной разработке, приходится ускорять
производство, чтобы выпустить ее первыми. Если злоумыш- Денис Суховей
ленник пытается использовать полученную информацию,
чтобы выставить компанию в невыгодном свете, могут помочь Оценить ущерб в качественном или количественном выра-
PR-специалисты. жении, обратиться в правоохранительные органы, содей-
ствовать расследованию, подать иск в суд, по результатам.
Никита Кузнецов Конкретные действия зависят от тяжести ущерба и репута-
ционной позиции компании.
Да, право организации по защите конфиденциальной ин-
формации гарантировано предпринимателям ст. 6.1. Феде- Денис Батранков
рального закона от 29.07.2004 № 98-ФЗ «О коммерческой
тайне». Может, но тут возникает вопрос доказательства и это самое
сложное.
В случае незаконного разглашения, получения или ис-
пользования третьими лицами информации, составляющей
Вопрос 4
Нарушение какой тайны – служебной, коммерческой,
государственной – уголовно наказуемо?
Борис Шаров способом. 2. Незаконные разглашение или использова-
ние сведений, составляющих коммерческую, налоговую
Да, наказание за нарушение коммерческой и государствен- или банковскую тайну, без согласия их владельца лицом,
ной тайн регламентируется тремя основными статьями. которому она была доверена или стала известна по службе
или работе.
Статья 147. Нарушение изобретательских и патентных
прав. 1. Незаконное использование изобретения, полезной Статья 283. Разглашение государственной тайны. 1. Раз-
модели или промышленного образца, разглашение без со- глашение сведений, составляющих государственную тайну,
гласия автора или заявителя сущности изобретения, полез- лицом, которому она была доверена или стала известна
ной модели или промышленного образца до официальной по службе, работе, учебе или в иных случаях, предусмо-
публикации сведений о них, присвоение авторства или при- тренных законодательством Российской Федерации, если
нуждение к соавторству, если эти деяния причинили крупный эти сведения стали достоянием других лиц, при отсут-
ущерб (250 тыс. руб. и более). ствии признаков преступлений, предусмотренных статья-
ми 275 и 276 настоящего Кодекса.
Статья 183. Незаконные получение и разглашение сведе-
ний, составляющих коммерческую, налоговую или банков- Алексей Кубарев
скую тайну. 1. Собирание сведений, составляющих коммер-
ческую, налоговую или банковскую тайну, путем похищения Уголовно наказуемо разглашение государственной тайны.
документов, подкупа или угроз, а равно иным незаконным Теоретически может быть уголовно наказуемо и разглаше-
ние служебной или коммерческой тайны, если оно привело
Уголовно наказуемо к техногенной катастрофе или жертвам среди населения.
разглашение государственной
тайны. Теоретически может Артём Мышенков
быть уголовно наказуемо
и разглашение служебной Уголовная ответственность предусмотрена для разглаше-
или коммерческой тайны ния государственной и коммерческой тайн. Для служебной
тайны предусмотрены дисциплинарные меры ответствен-
ности (увольнение) и гражданско-правовые (взыскание
ущерба).
системный администратор январь-февраль 2021 43
Заочный круглый стол
Вячеслав Логушев может быть разной: от штрафа размером до 1,5 млн руб.
до лишения права занимать определенные должности и даже
В соответствии с действующим законодательством раз- лишения свободы.
глашение служебной, коммерческой или государственной
тайны может повлечь за собой уголовную ответственность Никита Кузнецов
лица, совершившего данное правонарушение. При этом на-
рушение коммерческой или государственной тайны может Ответил ранее. Что касается государственной тайны – да,
быть связано с условным или реальным лишением свободы. ответственность разглашение сведений, составляющих го-
сударственную тайну, предусмотрена ст. 283 Уголовного
Евгений Мосин кодекса, которая также предусматривает наказание в виде
лишения свободы сроком до семи лет.
Для сотрудника предусмотрена уголовная, дисциплинарная
и административная ответственность. Если работник разгла- Денис Суховей
сил коммерческую тайну умышленно или по неосторожно-
сти, но его действия нельзя классифицировать как престу- Уголовно наказуемо нарушение коммерческой и государ-
пление, он понесет дисциплинарную или административную ственной тайны.
ответственность: увольнение, выговор, штраф. Владелец
компании может попробовать возместить убытки в суде, Денис Батранков
апеллируя к ст. 15 ГК РФ «Возмещение убытков».
Есть статья 183 «Незаконное получение и разглашение
Для этого, конечно, необходимо собрать доказательства. сведений, составляющих коммерческую, налоговую или бан-
Для суда будет важно, знаком ли сотрудник с положением ковскую тайну» и статья 283 «Разглашение государствен-
о коммерческой тайне, прописала ли компания точный пере- ной тайны». Сейчас возможным является применение ста-
чень конфиденциальных сведений, поставила ли маркировку, тьи 274.1. «Неправомерное воздействие на критическую
вовремя ли обнаружила правонарушение. Другой важный информационную инфраструктуру Российской Федерации»,
нюанс – ГК позволяет компенсировать убытки, но не воз- где есть фразы «неправомерный доступ к охраняемой ком-
местить «упущенную выгоду». пьютерной информации» и «нарушение правил эксплуата-
ции средств хранения, обработки или передачи охраняемой
Если действия сотрудника можно классифицировать компьютерной информации».
как преступление, работодатель обязан уведомить об этом
правоохранительные органы. Ответственность в таком случае
Вопрос 5
Какие средства защиты обязательны для поддержания
базового уровня информационной безопасности?
Могут ли средства защиты информации быть избыточными?
Алексей Кубарев называется «модель угроз». Построив «модель угроз»
или «модель нарушителя», можно определить, какие базовые
Средства защиты информации могут быть избыточны, и тог- технические средства и подкрепляющие их организационные
да они становятся препятствием для бизнес-процессов. меры нужно применять.
Этого нельзя допускать, так как информационная безо-
пасность является функцией обеспечения, а не основным Борис Шаров
бизнес-процессом. Если опустить правовой аспект защиты
информации, который регулируются законами и подзаконны- Исходя из нашей практики и руководствуясь НПА ФСТЭК,
ми актами, то останется два столпа – это организационные для поддержания базового уровня информационной безопас-
меры и технические средства. ности необходимы следующие средства защиты: · средства
защиты информации от несанкционированного доступа ·
Для того чтобы правильно использовать средства защи- средства антивирусной защиты · средства межсетевого экра-
ты, сначала нужно ответить на несколько вопросов: какая нирования · средства обнаружения и предотвращения втор-
информация является ценной, где она находится и как цир- жений · средства криптографической защиты информации
кулирует, кто имеет к ней доступ, кто может представлять · средства анализа и контроля защищенности информации.
угрозу. Матрица, которую образуют ответы на эти вопросы,
44 январь-февраль 2021 системный администратор
Заочный круглый стол
При этом для обеспечения защиты информации, содер- применяется удаленный доступ, средства удаленного дос-
жащейся в информационной системе, применяются сред- тупа должны быть защищены, а в случае использования
ства защиты информации, прошедшие оценку соответствия средств виртуализации гипервизоры должны обладать со-
в форме обязательной сертификации на соответствие тре- ответствующими средствами защиты или, как минимум, ре-
бованиям по безопасности информации. Данный список гулярно обновляться.
может быть расширен.
Николай Смирнов
Средства защиты информации могут быть избыточными,
если в системе не обрабатываются сведения, составляю- Подходы к информационной безопасности носят вероятност-
щие государственную тайну, а данную систему аттестовали ный или рисковый характер. Необходимость и достаточность
по высшему классу защиты, соответственно, их защитили определяются в зависимости от модели нарушителя и угроз,
с помощью СЗИ, которые для информационной системы которая учитывает тип обрабатываемых данных и наши пред-
общего доступа просто избыточны. ставления о возможностях злоумышленника.
Вячеслав Логушев Безусловно, возникают кейсы, в которых применение
тех или иных средств информационной безопасности яв-
Инструменты ИБ для каждой компании стоит подбирать ляется чрезмерным. Но гораздо неприятнее сталкиваться
индивидуально, исходя из специфики ее деятельности, про- с примерами, когда стоимость адекватной модели защиты
филя реальных и потенциальных угроз, а «базовые» уровни оказывается выше границ рентабельности системы.
безопасности в малом офисе, промышленном предприятии
и крупном банке будут разительно отличаться. В таком случае CISO должен принимать решения, какие
данные защищаются, а какие могут быть скомпрометиро-
Если говорить о компаниях SMB-сектора, составляющих ваны, так как их защита будет стоить дороже, чем сами
основной пул наших клиентов, то в общем случае им можно данные. Такие менее защищенные сегменты системы могут
рекомендовать средства защиты от вредоносного ПО, спама, выполнять роль Honeypot – ловушек для киберпреступников,
фишинга, сетевых атак, а также программный или аппарат- благодаря которым ИБ-специалист может детектировать
ный межсетевой экран. интерес к корпоративной системе со стороны злоумышлен-
Для аутентификации пользователей в большинстве слу- Безусловно, возникают кейсы,
чаев достаточно возможностей операционной системы, в которых применение средств
но для большей надежности их можно дополнить средст- ИБ является чрезмерным.
вами многофакторной идентификации, в т. ч. на основе Но гораздо неприятнее,
биометрических данных. когда стоимость адекватной
модели защиты оказывается
При этом важно не «переборщить» и соблюсти баланс выше границ рентабельности
между безопасностью данных и эффективностью функ- системы
циональных рабочих процессов организации. Кроме того,
стоимость внедрения и поддержки средств защиты должна ников. Это возможно только в том случае, если в компании
быть адекватна потенциальному ущербу от ИБ-инцидентов. выстроена адекватная система мониторинга и реагирования
на инциденты ИБ.
Артём Мышенков
Если мы говорим про общепринятые подходы, оптималь-
Если говорить о защите рабочего компьютера сотрудника, ный дизайн информационной системы должен быть иерар-
то для поддержания базового уровня информационной безо- хическим, многоуровневым, с защищенным центральным сег-
пасности необходимы: антивирусы, сетевой экран, средства ментом, где хранятся данные, составляющие тайну. На уровне
криптографической защиты, например, для шифрования дизайна системы люди, которым не положено иметь доступ
данных на диске. к подобной информации, не должны его иметь. Это модель
идеальная, но при реализации может быть довольно дорогой.
Средства защиты информации могут быть избыточными,
но, конечно, здесь речь уже идет не о базовом уровне. За- Денис Суховей
щита информации – это всегда мероприятия по снижению
рисков информационной безопасности. И когда затраты Как и говорилось выше, при всем богатстве выбора средств
на средства защиты информации превышают риски воз- защиты наиболее эффективным методом предотвращения
никновения угроз, от которых защищают эти средства, тогда утечек является криптографическая защита конфиденци-
можно считать такие средства избыточными. Грубо говоря, альной информации. Этот метод отличается низкими тру-
если возможный ущерб меньше, чем стоимость защиты. дозатратами специалистов на настройку, поддержку и со-
провождение.
Никита Кузнецов
Для поддержания базового (минимального) уровня защиты
в организации достаточно использования средств анти-
вирусной защиты (включающих контроль используемого
программного обеспечения и съемных устройств), межсе-
тевого экранирования, резервного копирования, контроля
доступа и видеонаблюдения. В случае, если в организации
системный администратор январь-февраль 2021 45
Заочный круглый стол
Денис Батранков непонимание, как сегодня обходят средства защиты. Лю-
бое средство защиты в одиночку не может справиться
Для государственных и коммерческих организаций (в за- с угрозами. Если вы откроете WikiLeaks, и в частности
висимости от их размера) базовый уровень будет раз- Vault 7, то узнаете множество способов обхода любой за-
ный. Самым важным является наличие защиты на хостах щиты: антивирусов, межсетевых экранов, двухфакторной
и на сети, сегментация сетей и наличие хотя бы одного че- аутентификации.
ловека, кто читает и реагирует на журналы безопасности.
Проблемой является интернет вещей, который в принципе Поэтому всегда нужна многоэшелонированная защи-
создается незащищенным. Также проблемой ИТ является та. Когда средств защиты несколько, то вероятность того,
что злоумышленник будет остановлен, повышается.
Вопрос 6
Новейшие тенденции в защите корпоративной информации.
Какие из них вы считаете перспективными?
Борис Шаров это делается для недопущения аналогичных инцидентов
в будущем.
Развитие систем защиты информации всегда связано, с од-
ной стороны, с ростом объемов защищаемой информации, Огромное количество сенсоров постоянно отправляют
а с другой, с ростом числа угроз, которые потенциально гигантские объемы информации на серверы систем бе-
могут нанести этой информации урон. зопасности, которые анализируют их в реальном времени
и с небольшим опозданием сигнализируют операторам,
Кроме того, нельзя сбрасывать со счетов такой фактор, что на том или ином участке корпоративной сети, возможно,
как бизнес-модели поставщиков решений информационной началось несанкционированное вторжение с пока непонят-
безопасности, которые постоянно вынуждены давать рынку ными последствиями.
что-то новое, по более высоким ценам, обеспечивая таким
образом свое корпоративное развитие. Что касается наиболее близкой нам антивирусной те-
матики, то мы стараемся также шагать в ногу со вре-
В результате мы видим наполнение рынка всё более до- менем, но наши действия всегда ограничены конкрет-
рогими продуктами безопасности, всё более совершенными ным хостом, конкретным сервером или устройством, где
и, как ни странно, обязательно приносящими пользователям, мы должны остановить во что бы то ни стало неприятеля
по словам их создателей, боˊльшую экономию и выгоду. до того момента, когда он успеет нанести информаци-
онной системе ущерб. Поскольку традиционные методы
Нельзя сбрасывать со счетов детектирования и противодействия атакам вредоносных
такой фактор, как бизнес- программ – сигнатурный детект – становится всё менее
модели поставщиков решений и менее эффективным, мы постоянно совершенствуем не-
ИБ, которые постоянно сигнатурные, превентивные механизмы, которые могли бы
вынуждены давать рынку по первым действиям той или иной программы распознать
что-то новое ее злонамеренность и заблокировать ее до дальнейших
разбирательств.
События последних лет показали очень наглядно – доро-
гие и сложные системы безопасности смещают свой фокус Вячеслав Логушев
с непосредственной защиты (события мая 2017 года по-
казали их неспособность противостоять хорошо продуман- В последнее время трендом стало применение аналитиче-
ным атакам) на выявление аномалий в информационных ских инструментов для решения типовых задач защиты дан-
системах, которые позволяли бы немедленно блокировать ных. Многие разработчики средств ИБ интегрируют в свои
отдельные сегменты, исключая в максимально возможной решения технологии машинного обучения и искусствен-
степени распространение угрозы по другим сегментам сис- ного интеллекта, различные виды углубленной аналитики.
темы. Эти средства также дают возможность быстро и точно Это касается как относительно простых решений, так и от-
находить источник атаки и даже нейтрализовать его. Всё носительно сложных систем, таких как средства монито-
ринга событий ИБ и систем реагирования на инциденты.
Исторически инструменты киберпреступников развиваются
быстрее средств ИБ, что диктует необходимость применения
технологий защиты от угроз «нулевого дня». А размытие
46 январь-февраль 2021 системный администратор
Заочный круглый стол
Исторически инструменты доступа. Также среди трендов защиты корпоративной ин-
киберпреступников формации:
р азвиваются быстрее
средств ИБ, что диктует >> развитие облачных технологий в средствах защиты
необходимость применения информации;
технологий защиты от угроз
«нулевого дня» >> разработка новых средств аутентификации, основанных
на биометрии;
информационного периметра организаций и ставшая при-
вычной удаленная работа сотрудников делают практически >> создание центров обеспечения информационной бе-
обязательным применение средств многофакторной аутен- зопасности (SoC) и оказание такими центрами услуг
тификации пользователей и шифрования данных. комплексной защиты информации. Всё это направлено
на развитие информационной безопасности, но что ока-
Алексей Кубарев жется более перспективным – покажет время.
Основной тенденцией в области киберзащиты является Денис Суховей
переход на сервисную модель обеспечения ИБ. В данной
модели бизнесу не нужно делать капитальные вложения Новейшая тенденция – это трансформация рабочего режима
в средства защиты информации и искать высококвалифици- сотрудников (массовый перевод своих сотрудников на ги-
рованных ИБ-специалистов, а нужно всего лишь подключить бридный график работы, который подразумевает нахожде-
необходимый сервис. Обеспечение его работы будет полно- ние сотрудника в офисе только часть рабочего времени,
стью на стороне сервис-провайдера с соответствующим остальное время сотрудник работает из дома).
уровнем SLA. Получается информационная безопасность
по подписке, которая кроме высокого уровня сервиса дает Что самое интересное, 2020 г. показал, что удаленка
возможность бизнесу перевести капитальные затраты в опе- и гибридный график работы сотрудников напрямую влияют
рационные и инвестировать в профильную деятельность. на рост утечек конфиденциальной и критичной информа-
ции. Оно и понятно, ведь работать с секретами организа-
Николай Смирнов ции на своем компьютере приходится не только в офисе,
но и за пределами организации – в недоверенной среде.
Я постараюсь кратко описать один из наиболее популярных
подходов к защите корпоративной информации, он включает Опять же, метод прозрачного шифрования конфиденци-
следующие шаги: управление активами, идентификацию ро- альной информации и здесь наиболее эффективен в силу
лей, Access Management, защиту каналов связи и создание неприхотливости в сопровождении и максимальной надеж-
доверенного пространства внутри с белым списком. ности в защите.
На мой взгляд, развитие классических технических Денис Батранков
средств сейчас идет в сторону обогащения их функций ана-
литикой: поведенческой, экспертной, машинно-обученной, На самом деле, нужно лишь четко соблюдать стандартные
которая стала доступна благодаря Big Data. В роли достой- процессы защиты информации при ее хранении, обработке
ных внимания подходов остаются NGFW, NGNAC, NG IAM, и передаче. Я еще не встречал компании, где это реализо-
развитие сервисной формы потребления решений по ИБ. вано идеально. Всем есть что улучшать.
Из технологий, опережающих потребность, могу выделить Хорошая тенденция - проводить раз в год пентесты и бло-
квантовое направление. Благодаря квантовому распределе- кировать найденные техники обхода защиты.
нию ключей, не подверженному взлому, защита информации
может выйти на принципиально новый уровень. Также нужно повышать культуру каждого сотрудника:
не отправлять конфиденциальные документы на личную
Никита Кузнецов почту, не бросать конфиденциальные документы в мусор,
использовать шредер, хранить распечатанные документы
Отвечу коротко – всё вышеперечисленное и работа с людьми. в сейфе, а бэкапы и электронные документы - на зашиф-
рованном хранилище.
Артём Мышенков
Интересный тренд - читать хакерские форумы и отсле-
Из-за пандемии резко возросло количество удаленных рабо- живать конкретных хакеров, которые интересуются вашей
чих мест. В итоге растут риски атак на сотрудников с целью компанией. Кто-то покупает такую информацию. Кто-то про-
дальнейшего проникновения в сеть организации. Поэтому сит внешние компании постоянно сканировать периметр
закономерной является тенденция к защите удаленного и рассказывать про новые уязвимые точки.
Продвинутые компании также используют Threat Hunting
для своевременного обнаружения взломов, ведь современ-
ная парадигма защиты - нужно вовремя узнавать, что вас
взломали. И история с SolarWinds показала, что вы даже
не можете предположить, как вас могут взломать: там во мно-
гие компании хакеры проникли через софт, которому компа-
нии доверяли. Так что основной принцип остается: доверяй,
но проверяй! EOF
Ключевые слова: информационная безопасность, киберзащита,
тайна, удаленная работа, данные
системный администратор январь-февраль 2021 47
Сети инструменты
Визитка
СЕРГЕЙ БОЛДИН,
системный администратор в энергетической компании, [email protected]
Моделирование сетей
Программа Packet Tracer является эмулятором компьютерной
сети, которая позволяет новичку разобраться в основах построения
ЛВС, а опытному сетевому инженеру – оттачивать свои навыки
и тестировать изменения для имеющихся сетей
Если нужно смоделировать сеть будущего предприятия пунктирной линией и называется Copper Cross-Over. Пря-
или филиала, указать в техническом задании специфика- мой линк обозначен сплошной черной линией и называ-
ции оборудования, его деталей, плат расширения, названия ется Copper Straight-Through. Еще мы будем использовать
протоколов, собрать схему умного дома/кабинета, то здесь оптический линк (Fiber), обозначенный сплошным желтым
подойдет программа Packet Tracer от Cisco. В ней мож- цветом, и IoT-кабель. Результат соединения всех устройств
но строить сети разной сложности, выполнять реальные можно увидеть на рис. 1.
команды конфигурирования сетевого оборудования Cisco, Линки имеют индикаторы с обеих сторон. Зеленый цвет
отобразить прохождение трафика, разобраться в нюансах говорит о корректном соединении устройств между собой.
подбора различных устройств, необходимых протоколах Желтый – промежуточное состояние, процесс перехода
и получить наглядный результат. Рассмотрим, как создаются из одного состояния в другое, обычно при перезагрузке
такие схемы ЛВС. порта/оборудования. Красный цвет говорит, что физическое
Выбор компонентов сети соединение отсутствует, зачастую не включены сетевые
интерфейсы (порты) или протокол не настроен.
Для составления схемы уже имеется ряд готовых сетевых Далее можно проверить реальную связь между устройст-
устройств разного направления. Они расположены в левом вами. Для этого нужно справа нажать кнопку Simulation
нижнем углу. Сначала соберем простую сеть, например, и кнопку Play. Естественно, сейчас трафик проходить не бу-
для нового филиала. дет, потому что им не назначены IP-адреса.
Переносим на холст компьютеры, прин-
тер, сервер (раздел End Devices), марш- Рисунок 1. Простая схема ЛВС
рутизатор, например модель 1841 (раздел
Network Devices->Routers), коммутатор,
например модель 2960 (раздел Network
Devices->Switches), Wi-Fi маршрутиза-
тор типа Home (раздел Network Devices-
>Wireless Devices).
Теперь все сетевые устройства нужно
соединить между собой. Типы связей рас-
положены в разделе Connections. Здесь
нужно учесть один нюанс. Лет 20 назад не-
которые сетевые устройства соединялись
«обратным» линком, например, 2 компьюте-
ра, 2 коммутатора, 2 маршрутизатора. Спу-
стя некоторое время сетевые карты и интер-
фейсы усовершенствовались и устройства
стали понимать привычный прямой линк.
Однако в программе Packet Tracer традиция
использования «обратного» линка осталась.
В программе Packet Tracer «обрат-
ный» тип соединения обозначен черной
48 январь-февраль 2021 системный администратор
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
SysAdmin01-02_2021
Discover the best professional documents and content resources in AnyFlip Document Base.
Search