Производительность приложения напрямую зависит от надежности и безотказной работы серверов. Даже плановое техническое обслуживание оборудования и обновление программного обеспечения негативно сказывается на производительности.

Перед ИТ-менеджерами стала задача в которой возрастают потребности компаний но бюджет ограничен, в то же время все больше и больше ресурсов, необходимо для охлаждения и поддержания существующих серверов а так же количество серверов продолжает расти. Необходимо все большее число серверов, больше времени, денег и людей.

На определенном этапе роста ИТ компаний традиционный подход становится все более дорогостоящим и сложным. Все больше времени для развертывания и обслуживания серверов, больше денег на покупку, питание и охлаждение серверных, и больше людей, необходимых для развертывания и поддержания (все это без увеличения бюджетов) стало ингибитор роста компаний.

Разумный рост

Виртуализация помогает избежать ограничений традиционных ИТ-подходов. Это позволяет одному серверу обслуживать одновременно несколько приложений, используя виртуальные серверы. Это позволяет в полной мере использовать всю производительность сервера.

Новые приложения могут быть быстро развернуты без приобретения, настройки и тестирования нового физического сервера. С помощью виртуализации необходимо меньшее количество физических серверов, что позволяет идти в ногу с растущими потребностями Вашей организации.

Для меньшего количество физических серверов, требуется меньше энергии для питания и охлаждения, меньше площадь серверной комнаты для размещения. ИТ-персонал тратит меньше времени на поддержание и больше времени на инновационную деятельность.

Виртуализация обеспечивает стратегию устойчивого роста для вашей компании. Она имеет большое количество преимуществ. Вот некоторые из них:

1. Более эффективное использование вычислительных мощностей
2. Меньше потребление электроэнергии
   1. возможность использовать один физический сервер вместо нескольких
   2. меньше нагрузка на кондиционер, что разрешает сохранить нетронутой окружающую среду
   3. необходимо меньше ресурсов резервного питания

1. Конец бесконечного обновления и покупки оборудования
   1. все оборудование виртуальное, поэтому нет необходимости приобретать специальные контроллеры
   2. модернизация оборудования находятся на программном уровне (память, процессор, или контроллер)
   3. нет необходимости в физической установке оборудования
2. Безопасное, быстрое резервное копирование и восстановление данных
   1. возможность делать моментальные снимки во время работы ОС
   2. вы можете запланировать, когда будут сделаны снимки ОС
   3. меньше времени, чтобы восстановить всю ОС
3. Сокращение накладных расходов ИТ
4. Упрощенное управление ИТ из удаленного места (из любой точки мира, используя Интернет-соединение).
5. Способность использовать существующие компьютеры для подключения к удаленным виртуальным машинам, расположенным на основном сервере.
6. Быстрое клиент / сервер соединение через виртуальный свич.

УТВЕРЖДАЮ:

Директор ООО «Предприятие»

_________________ Директор Д.Д.

«____» _________________ 201___ г.

Инструкция

пользователя компьютерной информационной сетью предприятия

Настоящая Инструкция определяет права и обязанности пользователей компьютерного оборудования.

Предприятие намерено придерживаться правил, изложенных ниже, и оставляет за собой право проверять их выполнение без предварительного уведомления пользователя.

1. Введение.

Компьютерной локальной вычислительной сетью (ЛВС) предприятия называется совокупность компьютеров, кабелей, сетевых адаптеров, работающих под управлением сетевой операционной системы и разрешенного прикладного программного обеспечения (ПО) и оборудования, явно не указанного в данной инструкции, но позволяющего использовать ресурсы ЛВС предприятия.

1.1. Локальная вычислительная сеть (ЛВС) предназначена для:

• предоставления разделенного доступа к файлам. ЛВС позволяет одновременно нескольким пользователям работать с одним и тем же файлом, хранящимся на центральном файл-сервере и производить с ним различные действия.

• передачи файлов. ЛВС позволяет быстро копировать файлы любого размера с одной рабочей станции на другую без использования переносных носителей информации.

• доступа к информации и файлам. ЛВС позволяет запускать прикладные программы на сервере с любой из рабочих станций, работать с базами данных и файлами, расположенными на сервере.

• предоставления разделенного доступа к принтерам. ЛВС позволяет нескольким пользователям на различных рабочих станциях использовать совместно один или несколько принтеров.

• удаленного доступа к оборудованию.

1.2. Персональные компьютеры (ПК), серверы, программное обеспечение, вся информация, хранящаяся на них и вновь создаваемая, оборудование ЛВС, коммуникационные средства являются собственностью предприятия и предоставляются работникам для осуществления ими их должностных обязанностей.

1.3. ПК, серверы, ПО, оборудование корпоративной ЛВС предприятия, коммуникационное оборудование и пользователи, образуют систему корпоративной локальной сети предприятия.

1.4. Целью настоящей инструкции является:

• регулирование работы пользователей с компьютерным оборудованием, ЛВС и ПО;

• распределение сетевых ресурсов коллективного пользования;

• определение мер по поддержанию необходимого уровня защиты информации, ее сохранности и соблюдения прав доступа к ней, обеспечение использования только лицензионного ПО;

• уменьшение рисков умышленного или неумышленного неправильного использования сетевых ресурсов, ПО;

• упорядочивание использования компьютерного оборудования корпоративной ЛВС предприятия с целью повышения эффективности выполнения производственных планов и осуществления другой деятельности предусмотренной производственной необходимостью;

• предотвращение ненадлежащего использования компьютерного оборудования, ЛВС и ПО.

1. 1. Действие настоящих правил распространяется на ПОЛЬЗОВАТЕЛЕЙ ЛЮБОГО компьютерного оборудования (компьютеры, компьютерная периферия, коммуникационное оборудование), подключенного к ЛВС предприятия, а также на ПОЛЬЗОВАТЕЛЕЙ, осуществляющих удаленный доступ к оборудованию из ЛВС предприятия и удаленный доступ к ЛВС предприятия.

2. Общие положения.

2.1. К работе с ЛВС предприятия допускаются лица, назначенные начальниками соответствующих отделов и подразделений, прошедшие инструктаж, регистрацию и получившие соответствующие уникальные средства аутентификации в ЛВС предприятия — это учётная запись (логин) пользователя и пароль, в отделе системного администрирования и закрепленные за определенным компьютером.

2.2. Работа с ЛВС предприятия каждому работнику разрешена только на определенных компьютерах, в определенное время (в пределах установленного рабочего графика), только со своей, полученной в отделе системного администрирования учетной записью пользователя и паролем, и только с разрешенными программами и сетевыми ресурсами. В случае необходимости выполнения работ вне указанного времени, на других компьютерах и с другими программами, необходимо получить разрешение системного администратора.

2.3. Пользователь, подключенного к ЛВС компьютера — лицо, за которым закреплена ответственность за данный компьютер. Пользователь должен принимать все необходимые меры по защите информации и контролю за соблюдением прав доступа к ней.

1. 1. Для работы на компьютере других лиц, кроме закрепленного за ним пользователя и его начальника отдела (подразделения), необходимо получить разрешение в отделе системного администрирования. Никто не может давать разрешение даже на временную работу на компьютере, без получения разрешения в отделе системного администрирования. После получения соответствующего разрешения, пользователь обязан зарегистрироваться на компьютере, под своей, полученной в отделе системного администрирования, учетной записью (логином).

2.5. В случае выявления нарушений инструкции пользования ЛВС предприятия, сотрудники отдела системного администрирования (ОСА) имеют право отстранить виновного от пользования компьютером или принять иные меры, необходимые для предотвращения выявленного нарушения, и сообщить о таком факте директору и в службу безопасности (СБ) предприятия.

2.6. Сотрудник ОСА имеет право отключить компьютер пользователя от ЛВС в случае, если с данного компьютера производились попытки несанкционированного доступа к информации других компьютеров, и при других серьезных нарушений настоящей инструкции. О данном факте сотрудник ОСА обязан незамедлительно сообщить директору и СБ предприятия.

1. 1. В случае появления у пользователя компьютера сведений или подозрений о фактах нарушения настоящих правил, а в особенности о фактах несанкционированного удаленного доступа к информации, размещенной на контролируемом им или каком-либо другом компьютере, о фактах использования неразрешенного или не лицензионного ПО, пользователь должен немедленно сообщить об этом в отдел системного администрирования. При этом, ОСА обязан проанализировать поступившую информацию и безотлагательно уведомить директора и СБ предприятия об указанных фактах.

   2. Все пользователи ЛВС предприятия при подключении, получают ограниченный уровень доступа к ресурсам своих компьютеров (уровень пользователя) и обязаны работать только с разрешенным уровнем доступа. Для получения административного уровня доступа к ЛВС и ресурсам компьютера, необходимо письменно указать необходимость работы на компьютере и ЛВС предприятия с повышенным уровнем доступа и получить письменное разрешение у руководства предприятия (административный доступ к ресурсам необходим для корректной работы некоторого программного обеспечения — для этого специалисты ОСА могут произвести дополнительные настройки данного ПО позволяющие работать ему с административным уровнем, при этом не предоставляя повышенных привилегий пользователю).

   3. Сотрудники отдела системного администрирования, с целью повышения уровня безопасности работы ЛВС предприятия, могут без уведомления пользователей проводить соответствующие работы (инсталляция нового программного обеспечения по сети на компьютеры пользователей, сканирование на вирусы и др.)

3. Пользователь ЛВС ОБЯЗАН:

3.1. Ознакомиться с настоящей инструкцией и правилами работы в ЛВС до начала работы на компьютерном оборудовании.

3.2. Соблюдать правила работы в корпоративной ЛВС, оговоренные настоящей Инструкцией.

3.3. Пользоваться только разрешенным ПО (необходимый перечень которого устанавливается приказом директора по предприятию) и не допускать использования ПО с нарушением лицензионных условий.

3.4. Пройти инструктаж и получить личные уникальные средства аутентификации в ЛВС предприятия (имя пользователя, пароль) для работы с оборудованием с ограниченным доступом.

3.5. Использовать индивидуальное имя пользователя для своей идентификации в сети. Индивидуальное имя пользователя назначается в ОСА.

3.6. САМОСТОЯТЕЛЬНО создать пароль для входа в ЛВС предприятия. Пароль должен содержать не менее 5 (пяти) символов и состоять из букв и цифр. Пароль не должен привязываться к дням рождения пользователя или его номера телефона и прочей информации, которая может быть легко подобрана путем сопоставления с данными пользователя. Изменение пароля на новый должно проводиться пользователем не реже 1-го раза в месяц.

3.6. Пользоваться только своим именем пользователя и паролем для входа в локальную сеть. Передача таких данных кому-либо ЗАПРЕЩЕНА.

3.7. При доступе к внешним ресурсам ЛВС, соблюдать правила, установленные отделом системного администрирования, для используемых и разрешенных ресурсов.

3.8. Использовать компьютерное оборудование ИСКЛЮЧИТЕЛЬНО для деятельности, предусмотренной производственной необходимостью и должностными инструкциями.

3.9. Бережно относиться к оборудованию, соблюдать правила его эксплуатации.

3.10. Рационально пользоваться ограниченными разделяемыми ресурсами (дисковой памятью компьютеров общего пользования, пропускной способностью локальной сети) и расходными материалами.

3.11. Выполнять требования сотрудников ОСА, а также лиц, назначенных ответственными за эксплуатацию конкретного оборудования.

3.12. Выполнять обязательные рекомендации и предписания специалистов ОСА и ответственных лиц по компьютерной безопасности, направленные на обеспечение безопасности ЛВС.

3.13. Предоставлять доступ к сетевому оборудованию и компьютеру сотрудникам ОСА для проверки исправности и соответствия установленным правилам работы.

3.14. Немедленно сообщать в отдел системного администрирования ЛВС об обнаруженных проблемах в использовании предоставленных ресурсов (несанкционированный доступ к оборудованию, информации, ее искажение или уничтожение), а также о фактах нарушения настоящей инструкции кем-либо. ОСА, при необходимости, с привлечением других специалистов и СБ предприятия, должны провести расследование указанных фактов и принять соответствующие меры.

3.15. Не разглашать известную им конфиденциальную информацию (имена пользователей, пароли), необходимую для безопасной работы ЛВС.

3.16. Немедленно отключить от ЛВС компьютер, при появлении сообщений антивирусного ПО о потенциальной опасности заражения, СООБЩИТЬ об этом в ОСА и далее действовать по его указаниям.

3.17. В случае обнаружения неисправности компьютерного оборудования или программного обеспечения, пользователь ОБЯЗАН сообщить об этом в отдел системного администрирования.

4. Пользователи ЛВС имеют право:

4.1. Подать заявку в отдел системного администрирования (ОСА) на получение прав доступа к оборудованию общего пользования.

4.2. Подавать заявки на закупку нового и модернизацию компьютерного оборудования персонального пользования.

4.3. Получать консультацию у сотрудников ОСА по работе с компьютерным оборудованием и программным обеспечением общего пользования, по вопросам компьютерной безопасности.

4.4. В случае несогласия, обжаловать руководителю подразделения действия ОСА.

4.5. Использовать в работе предоставленные им и разрешенные сетевые ресурсы, в оговоренных в настоящей инструкции рамках, если иное не предусмотрено по согласованию с ОСА. Системные администраторы вправе ограничивать доступ к некоторым сетевым ресурсам вплоть до их полной блокировки, изменять распределение трафика и проводить другие меры, направленные на повышение эффективности использования сетевых ресурсов.

4.6. Обращаться в ОСА по вопросам, связанным с распределением ресурсов компьютера. Какие-либо действия пользователя, ведущие к изменению объема используемых им ресурсов, или влияющие на загруженность или безопасность системы (например, установка общего доступа к папкам компьютера), должны санкционироваться отделом системного администрирования.

5. Пользователям ЛВС

ЗАПРЕЩАЕТСЯ:

5.1. Допускать посторонних лиц к работе на закрепленном компьютере (кроме случаев связанных с выполнением работ специалистами ОСА, в рамках своих служебных и должностных обязанностей, или по указанию руководителя отдела).

5.2. Использовать оборудование, сетевые программы для деятельности, не обусловленной производственной необходимостью и должностной инструкцией.

5.3. Создавать помехи работе других пользователей, помехи работе компьютеров и сети.

5.4. Самостоятельно устанавливать или удалять любое ПО на компьютерах, изменять настройки операционной системы и приложений, влияющие на работу сетевого оборудования и сетевых ресурсов.

Установку, удаление, модернизацию, настройку операционной системы, ПО и иные подобные действия на компьютере пользователя, — выполняют ТОЛЬКО специалисты отдела системного администрирования.

5.5. Повреждать, уничтожать или фальсифицировать информацию, не принадлежащую пользователю.

5.6. Вскрывать компьютеры, сетевое и периферийное оборудование, разбирать, изменять настройку оборудования общего пользования, подключать к компьютеру дополнительное оборудование без ведома ОСА, изменять настройки BIOS, а также производить загрузку рабочих станций с дискет, дисков, FLASH-накопителей и др.

Перемещение компьютерного оборудования допускается в исключительных случаях, а именно: пожарной опасности, других угроз жизни и здоровью людей или угроз повреждения имущества.

5.7. Самовольно подключать компьютер к ЛВС предприятия, а также изменять IP и MAC-адрес компьютера, выданный ОСА, устанавливать дополнительные сетевые протоколы, изменять конфигурацию настроек сетевых протоколов без предварительного уведомления отдела системного администрирования.

Передача данных в сеть с использованием других IP и MAC адресов в качестве адреса отправителя является распространением ложной информации и создает угрозу безопасности информации на других компьютерах.

5.8. Работать с каналоемкими ресурсами (real video, real audio, chat и др.) без согласования с руководством предприятия и ОСА.

5.9. Получать и передавать в сеть информацию, противоречащую законодательству и нормам морали общества, представляющую коммерческую или государственную тайну, распространять через сеть информацию, которая охраняется законодательством об интеллектуальной собственности, либо задевающую честь и достоинство граждан, а также рассылать обманные, угрожающие и др. сообщения.

5.10. Предпринимать попытки обхода учетной системы безопасности, системы статистики, ее повреждения или дезинформации.

5.11. Использовать иные формы доступа к сети, за исключением разрешенных ОСА, пытаться обходить установленный межсетевой экран.

5.12. Осуществлять попытки несанкционированного доступа к ресурсам ЛВС, проводить или участвовать в сетевых атаках и сетевом взломе. Производить действия, направленные на взлом (несанкционированное получение привилегированного доступа) рабочих станций и серверов ЛВС и передаваемой по сети информации, равно как и любых других компьютеров, в случае доступа к глобальной сети Интернет.

5.13. Использовать ЛВС для распространения рекламы, коммерческих объявлений, порнографической информации, призывов к насилию, разжиганию национальной или религиозной вражды, оскорблений, угроз и т.п.

5.14. Пользователи должны уважать право других пользователей на личную информацию. Это означает, что пользователь не имеет права пользоваться чужими именами и паролями (случайно ставшими ему известными) для входа в сеть, читать чужую электронную почту, причинять вред данным, принадлежащих другим пользователям.

5.15. Закрывать доступ к информации паролями без согласования с начальниками отделов и ОСА.

5.16. Передавать другим лицам свои личные атрибуты доступа (регистрационное имя и пароль) к компьютеру, а также предоставлять доступ к каналам сети пользователям других сетей (например, посредством proxy-server, socks-proxy, open relay и т.п.).

5.17. Использовать, распространять и хранить программы, предназначенные для осуществления несанкционированного доступа, взлома паролей, для нарушения функционирования компьютерного оборудования и компьютерных сетей, а также компьютерные вирусы и любые программы ими инфицированные, использовать, распространять и хранить программы сетевого управления и мониторинга, осуществляющих сканирование сети (различные «трассеры», «сниферы», сканеры портов и т.п.), без письменного предупреждения и разрешения отдела системного администрирования, а также разрешения службы безопасности предприятия, с объяснением служебной необходимости подобных действий.

5.18. Предоставлять доступ к компьютерному оборудованию незарегистрированным пользователям без согласования с ОСА.

5.19. Использовать в работе съемные носители информации без разрешения сотрудников ОСА. Съемные носители информации, перед началом работы с ними, ОБЯЗАТЕЛЬНО должны пройти проверку антивирусной программой.

5.20. Переносить информацию, связанную с деятельностью предприятия, с компьютера на компьютер (не распространяется, если перенос осуществляется внутри отдела).

5.21. Хранить информацию, связанную с деятельностью предприятия, в папках с общим доступом

5.22. Хранить на публичных сетевых дисках и серверах файлы, не относящихся к выполнению служебных обязанностей сотрудника (музыка, фотографии, игры, видео, виртуальные CD и т.п.)

6. Работа с электронной почтой.

6.1. Электронная почта предоставляется работникам предприятия только для выполнения своих служебных обязанностей. Использование ее в личных целях ЗАПРЕЩЕНО.

6.2. Все электронные письма, создаваемые и хранимые на компьютерах предприятия, являются собственностью предприятия и не считаются персональными.

6.3. Предприятие оставляет за собой право получить доступ к личной электронной почте работников, если на то будут веские причины. Содержимое электронного письма не может быть раскрыто третьим лицам, кроме как с целью обеспечения безопасности или по требованию правоохранительных органов.

6.4. В случае использования цифровых подписей на предприятии почтовые клиенты должны быть сконфигурированы так, чтобы каждое сообщение подписывалось цифровой подписью отправителя.

6.5. В случае если с помощью электронного письма должна быть послана конфиденциальная информация или информация, являющаяся собственностью предприятия, или другая важная информация, она должна быть зашифрована так, чтобы ее мог прочитать только тот, кому она предназначена, с использованием утвержденных на предприятии программ и алгоритмов.

6.6. Вся информация, классифицированная как критическая, конфиденциальная или относится к коммерческой тайне, при передаче ее через открытые сети, такие как Интернет, ОБЯЗАТЕЛЬНО должна быть предварительно зашифрована.

7.7. Выходящие сообщения могут быть выборочно проверены, чтобы гарантировать соблюдение политики безопасности предприятия.

6.8. Пользователи не должны позволять кому-либо посылать письма от чужого имени.

6.9. В качестве клиентов электронной почты могут использоваться только лицензионные программные продукты или утвержденные ОСА почтовые программы.

6.10. Категорически запрещено открывать или запускать приложения, полученные по электронной почте из неизвестного источника, с подозрительным названием и (или) не затребованные пользователем.

6.11. Запрещено осуществлять массовую рассылку не согласованных предварительно электронных писем. Под массовой рассылкой подразумевается как рассылка множеству получателей, так и множественная рассылка одному получателю (спам).

6.12. Запрещено использовать несуществующие обратные адреса при отправке электронных писем.

6.13. Отправлять по электронной почте, большие файлы (особенно музыку, видео и фото личного характера), за исключением случаев, связанных со служебной необходимостью.

7. Работа с веб-ресурсами.

7.1. Пользователям ЛВС предоставлено право использовать только разрешенные программы для поиска информации в сети Интернет и только для выполнения своих должностных обязанностей.

7.2. Использование ресурсов сети Интернет не должно создавать потенциальную угрозу предприятию.

7.3. Вся информация о сеансах доступа пользователей к ресурсам Интернет (дата, время, длительность, название ресурса, локальный адрес) протоколируется и накапливается в архиве.

7.4. Действия любого пользователя, подозреваемого в нарушении правил пользования Интернетом, могут быть запротоколированы и использоваться для принятия решения о применении к нему соответствующих санкций.

7.5. Сотрудникам предприятия, пользующимся Интернетом, запрещено передавать (сохранять) материал, который является непристойным, содержит порнографическую информацию, нарушает законодательство Украины в части использования объектов интеллектуальной собственности, а также не относящимся к деятельности предприятия.

7.6. Все программы, используемые для доступа к сети Интернет, не должны нарушать лицензионные условия их использования, утверждаются отделом системного администрирования и в них должны быть настроены необходимые уровни безопасности.

7.7. Все файлы, загружаемые с помощью сети Интернет, должны проверяться на вирусы/шпионское ПО с помощью утвержденных антивирусных программ.

7.8. При работе с веб-ресурсами ЗАПРЕЩЕНО:

• получать и передавать через ЛВС информацию, противоречащую законодательству и нормам морали общества, представляющую коммерческую тайну, распространять информацию, задевающую честь и достоинство граждан, а также рассылать обманные, беспокоящие или угрожающие сообщения;

• получать доступ к информационным ресурсам ЛВС или сети Интернет, не являющихся публичными, без разрешения их собственника;

• играть в различные ОНЛАЙН игры (онлайн КАЗИНО и тому подобные);

• использовать различные сайты и программы для анонимного доступа в сеть Интернет;

• использовать программы для зарабатывания денег в сети ИНТЕРНЕТ, таких как Spedia, Web Money и им подобных;

• скачивание музыкальных и видео файлов, а также файлов, не имеющих отношения к текущим служебным обязанностям работника, без согласования с руководством и отделом системного администрирования.

8. Ответственность.

8.1. Пользователь компьютера отвечает за всю информацию, хранящуюся на нем, технически исправное состояние вверенной ему техники.

8.2. Пользователь несет личную ответственность за весь информационный обмен между его компьютером и другими компьютерами в ЛВС и за ее пределами.

8.3. В зависимости от последствий невыполнения предписаний, предусмотренных в настоящей Инструкции, а также других обязательных условий работы с компьютерным оборудованием и ЛВС к пользователю могут быть применены соответствующие санкции в виде предупреждения, лишения премии, временного отстранения от работы в сети ЛВС, удержания заработной платы, увольнение и т.д., определяемых по представлению начальника отдела, в котором работает пользователь.

8.3.1. За нарушение пунктов 5.1. -5.3., 5.8, 5.11, 5.13. -5.15., 5.17., 5.19. -5.22., 7.5., 7.8. настоящей Инструкции, отделом системного администрирования выносится устное или письменное предупреждение пользователю с указанием на недопустимые действия последнего.

8.3.2. За повторные нарушения, указанные в п. 8.3.1. Инструкции, пользователь может быть лишен премии в размере до 50 %, а также временно отстранен от работы с компьютером и ЛВС.

8.3.3. За нарушение пунктов 5.4., 5.7., 5.10, 5.18, 6.10. Инструкции пользователь может быть по представлению начальника отдела лишен премии в размере 50 %, а также нести иную, предусмотренную настоящей Инструкцией ответственность.

8.3.4. За нарушение пунктов 5.5., 5.9., 5.12., 5.16 Инструкции пользователь может быть лишен премии в размере 100 %, а также нести иную, предусмотренную настоящей Инструкцией и действующим законодательством ответственность.

8.4. Нарушение данной Инструкции, повлекшее уничтожение, блокирование, модификацию либо копирование охраняемой законом компьютерной информации, нарушение работы компьютеров пользователей, системы или ЛВС компьютеров, может повлечь административную или уголовную ответственность в соответствии с действующим законодательством Украины, а также возмещение пользователем действительного ущерба, причиненного такими действиями.

8.5. Вся полнота ответственности за установку, использование и хранение на вверенном компьютерном оборудовании, ПК не утвержденного или не лицензионного ПО, несанкционированное распространение информации, являющейся интеллектуальной собственностью, возлагается на пользователя.

Приложение № 1

к «Инструкции пользователя компьютерной информационной сетью предприятия»

С «инструкцией пользователя компьютерной информационной сетью предприятия» утвержденной «___» _______________ 2010 г. ознакомлен лично:

№ п/п	Сотрудник	Подпись	Дата

]]> http://www.manageserver.ru/2010/06/23/%d0%b8%d0%bd%d1%81%d1%82%d1%80%d1%83%d0%ba%d1%86%d0%b8%d1%8f-%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d1%82%d0%b5%d0%bb%d1%8f-%d0%ba%d0%be%d0%bc%d0%bf%d1%8c%d1%8e%d1%82%d0%b5%d1%80%d0%bd%d0%be/feed/ 1 http://www.manageserver.ru/2010/03/08/%d0%ba%d0%b0%d0%ba-%d0%bf%d0%be%d1%81%d1%82%d1%80%d0%be%d0%b8%d1%82%d1%8c-%d0%b4%d0%b0%d1%82%d0%b0-%d1%86%d0%b5%d0%bd%d1%82%d1%80/ http://www.manageserver.ru/2010/03/08/%d0%ba%d0%b0%d0%ba-%d0%bf%d0%be%d1%81%d1%82%d1%80%d0%be%d0%b8%d1%82%d1%8c-%d0%b4%d0%b0%d1%82%d0%b0-%d1%86%d0%b5%d0%bd%d1%82%d1%80/#comments Sun, 07 Mar 2010 20:09:28 +0000 Повелитель серверов http://manageserver.ru/2010/03/08/%d0%ba%d0%b0%d0%ba-%d0%bf%d0%be%d1%81%d1%82%d1%80%d0%be%d0%b8%d1%82%d1%8c-%d0%b4%d0%b0%d1%82%d0%b0-%d1%86%d0%b5%d0%bd%d1%82%d1%80/ Сначала конечно же нужно было выровнять стены и сделать потолок (использовали фальшпотолок), высота 180см.

Стены конечно же были в ужастном состоянии...

Но, все всегда можно исправить...

Привезли фальшпол... Хороший и качественный немецкий... Фальшпол обошелся в много тысяч евро...

А Вы знали, что каждая плита может выдержать до 1000 килограм нагрузки?

Первый коридор собрали...

Второй коридор собирают...

Привезли лотки для кабеля (питание отдельно, сеть отдельно по схеме креста)...

И начали их мерять...

И ставить...

Тут приехали мастера по установке контроля доступа, и системе входа по отпечатку пальца...

Тем временем кондиционерщики били огромные дырки под воздуховоды...

Забор теплого воздуха...

Мощность системы свыше 160кВт...

По моей идее мы начали делать воздуховоды под фальшполом (чтобы охлаждение было точечным)...

И красиво ведь выходит...

Включили щит учета...

Счетчика нет, потому что питаемся от основной гермозоны (мощность ввода 160кВт на каждый ввод)... Данный ввод рассчитан на 120кВт мощности...

Вся электроника компании MHost IDC построена на АВВ...

Приехали пожарники...

Поставили мифические штуки...

Контроль доступа собрали...

Включили...

Вы знаете, я лично ругался что бы прекратили испытывать другие пальцы...

Электрики собрали щиток учета и даже помыли его...

Начали ставить клиентов...

Разных и красивых...

Читать продолжение на официальном блоге Mhost

Запретный плод сладок

Хороший бот никогда не полезет туда, где ему запрещено через robots.txt. Этим можно воспользоваться.
Создаем директорию, которую закрываем через robots.txt и делаем невидимую ссылку или ссылку через прозрачную картинку 1×1 пиксель на какую-то страницу в эту директорию.
Человек туда не попадет, а хорошие роботы запрет не нарушат,а плохие — пополнят наш список.

Заполните эту форму

Хороший бот никогда не станет заполнят форму и нажимать кнопку. А вот плохим ботам, типа XRumer, только дай поспамить. А ведь это отличная идея!
Давайте возьмем и поместим на сайт форму-обманку для регистрации или отправки комментария? А выше нее поставим картинку в которой напишем — это ловушка для ботов, если вы отправите эту форму — мы вас забаним.
Таким образом можно отсечь спамботов. И неграмотных, невнимательных посетителей.

Может печеньку?

Хороший бот игнорирует кукисы. Неплохим вариантом будет предложить кукис в запрещенной для ботов директории. Если он ее примет, то на основе этой куки можно попробовать ему подсунуть сайт-ловушку, в которой структура бесконечно вложена и посмотреть — он поймет это или нет.
Если поймет — то осторожно, это умный и хитрый бот. А если не понимает — его можно смело банить на 100-й попытке зайти вглубь сайта.

Хорошие боты javascript не трогают!

Вот черт, получается что Гуглбот — плохой, злой? Ведь он умеет ходить по таким ссылкам и его можно случайно забанить. Нет, это недопустимо! Лучше сделать так — в директорию, запрещенную для роботов, добавим ссылку или даже редирект на javascript. Если бот выполнит и совершит переход/редирект — то это точно очень плохой и злой бот.

Дополнительные меры защиты

Прозрачная картинка на весь экран? Белые буквы на белом фоне? Скрытые поля формы?
Все это поможет определить кто же у нас на сайте — человек или бот. Возможно капча на флеше? Буду рад если предложите свои варианты.

Заключение

Создаем директорию, которая будет закрыта для ботов через robots.txt.
Сделаем две скрытые ссылки на две страницы внутри этой директории, одну обычную и вторую через javascript. Подсовываем кукис.
На страницах мы предложим заполнить форму для регистрации. С сообщением о том, что это приведет к бану. И скрытым полем, лучше всего если это поле для ввода URL сайта.
Если не смотря на все эти меры, форма отправлена и кука присутствует — поздравляю, вы нашли злого, умного и плохого бота!

А еще я советую сразу блокировать все диапазоны разных ЦОД от посещений вашего сайта. Все равно через их IP, выделяемые под арендованные сервера, нормальный посетитель ходить не будет, и эта мера срезает сразу 80% спама через формы.

cd /usr/

wget ftp://mirror.mcs.anl.gov/pub/gentoo/snapshots/portage-latest.tar.bz2

tar xjf portage-latest.tar.bz2

rm portage-latest.tar.bz2

emerge screen

Все дальнейшие команды лучше запускать в screen. Для того чтоб отсоеденить его надо нажать control+a потом d, а чтоб вернуть — выполнить screen -r
Для максимального облегчения я оформил все команды в виде скрипта. Создайте файл, заполните его содержимым а потом запустите: sh файл. И можете пойти выпить чашечку кофе, так как сборка займет время.
Но прежде надо раскрыть возможность поставить необходимый софт, который замаскирован, иначе ничего не выйдет. Выполните:
nano /etc/portage/package.keywords и введите:

www-servers/mongrel_cluster ~amd64

dev-ruby/ruby-debug ~amd64

dev-ruby/ruby-openid ~amd64

dev-ruby/ruby-yadis ~amd64

dev-ruby/ruby-debug-base ~amd64

dev-ruby/columnize ~amd64

dev-ruby/linecache ~amd6

После ввода жмем control+x потом y потом enter. Ну а теперь скрипт:

#!/bin/sh

USE="-ssl -perl" emerge dev-db/mysql

USE="server" emerge dev-ruby/rubygems

emerge dev-lang/ruby dev-ruby/mysql-ruby dev-ruby/rubygems dev-ruby/ruby-termios

echo "dev-ruby/rmagick lcms gif imagemagick jbig jpeg jpeg2k pdf png svg tiff truetype unicode wmf xml xpm pcre" >> /etc/portage/package.use

ehho "media-gfx/imagemagick lcms gif imagemagick jbig jpeg jpeg2k pdf png svg tiff truetype unicode wmf xml xpm pcre" >> /etc/portage/package.use

USE="-perl" emerge media-gfx/imagemagick dev-ruby/rmagick

USE="mysql" emerge dev-ruby/rails

emerge dev-ruby/rake dev-ruby/capistrano dev-ruby/daemons dev-ruby/gem_plugin www-servers/mongrel www-servers/mongrel_cluster dev-ruby/rmagick dev-ruby/bluecloth dev-ruby/redcloth dev-ruby/ruby-debug dev-ruby/ruby-termios dev-ruby/ruby-openid dev-ruby/ruby-yadis

USE="-perl fastcgi" emerge www-servers/nginx

ln -s /usr/lib64/ruby/gems/1.8/gems/mongrel_cluster-1.0.5/resources/mongrel_cluster /etc/init.d/mongrel_cluster

chmod +x /etc/init.d/mongrel_cluster

mkdir /etc/mongrel_cluster

После окончания установки задаем пароль MySQL и запускаем:

emerge --config =dev-db/mysql-5.0.84-r1

/etc/init.d/mysql start

Пусть у нас все проекты создаются в /var/www. Создадим тестовый проект /var/www/test, и добавим его в Mongrel с правами nginx (вообще-то рекомендуется делать отдельного пользователя под каждый проект, это просто для упрощения):

mongrel_rails cluster::configure -e production -p 3000 -N 3 -c /var/www/test -a 127.0.0.1 --user nginx --group nginx

Мы поместили проект на 3000 порт. Для каждого проекта надо будет указывать новый порт.
Добавим сгенеренный конфиг в автозапуск:

ln -s /var/www/test/config/mongrel_cluster.yml /etc/mongrel_cluster/test.yml

И стартанем Mongrel:

 /etc/init.d/mongrel_cluster start

Теперь Nginx. Настроем его проксировать все запросы к Mongrel, а статику отдавать напрямую. Конфиг сервера будет таким:

server {

listen 80;

server_name test;

access_log /var/log/nginx/test.access_log main;

error_log /var/log/nginx/test.error_log info;

location / {

proxy_pass <a href="http://localhost/">localhost</a>:3000/;

proxy_set_header Host $host;

proxy_set_header X-Forwarded-For $remote_addr;

}

location ~* ^.+\.(css|htm|html|js|txt|pdf|jpg|jpeg|gif|png|ico|zip|rar|bz2|gz|tar)$ {

root /var/www/test/public;

}

}

Разумеется, что для каждого проекта надо будет прописывать каждый раз свою секцию server. Теперь запустим nginx.

/etc/init.d/nginx start

Осталось добавить все службы в автозагрузку, чтоб после перезапуска VDS все поднялось само:

rc-update add mysql default

rc-update add nginx default

rc-update add mongrel_cluster default
Источник:http://habrahabr.ru/blogs/linux/76621/

Приступаем:

wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm
rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm
yum install ffmpeg ffmpeg-devel flvtool2 mplayer mencoder lame libogg libvorbis libtheora swftools amrnb amrwb transcode x264
wget http://downloads.sourceforge.net/sourceforge/ffmpeg-php/ffmpeg-php-0.6.0.tbz2
tar xjf ffmpeg-php-0.6.0.tbz2
cd ffmpeg-php-0.6.0
phpize
./configure && make
make install

Осталось добавить в php.ini

extension=”ffmpeg.so”

Как же быть? Как сохранить свои данные в целости и сохранности? И тут на помощь приходит шифрование файловых систем. Я расскажу только про две из них — LUKS и CryptoFS.

Следует отметить, что LUKS отлично работает на Linux, а CrytopFS — на FreeBSD.

LUKS

dd if=/dev/urandom of=luks.img bs=1M count=100
losetup /dev/loop0 luks.img
cryptsetup luksFormat /dev/loop0
cryptsetup luksOpen /dev/loop0 luks
mkfs.ext3 /dev/mapper/luks
mkdir /luks
mount /dev/mapper/luks /luks

Для последующего включения:

losetup /dev/loop0 luks.img

cryptsetup luksOpen /dev/loop0 luks

mount /dev/mapper/luks /luks

CryptoFS

mkdir /usr/local/cfs /cfs
cp /usr/local/share/doc/cryptofs/cryptofs.conf /usr/local/cfs/.cryptofs
cryptofs -r /usr/local/cfs /cfs

Подключать потом:

cryptofs -r /usr/local/cfs /cfs

Вывод:

LUKS позволяет выбрать тип файловой системы, но использует блочное устройство, а CryptoFS использует текущую файловую систему для шифрования. CryptoFS ощутимо быстрее, а LUKS гибче.

Что именно использовать — решать вам.

И да, самая надежная защита — это репутация вашего системного администратора.

luks.img

—
/boot/loader.conf
net.inet.tcp.tcbhashsize=(значение подставляется опытным путем)
vm.kmem_size=1536m

Сервер, сокет которого слушает запросы от клиента:

1. Для установки соеденения клиент выбирает CISN для пакета и отправляет его с флагом SYN, обычно это называют SYN пакетом. Когда сервер получает SYN пакет, он создает новое соеденение TCP, которое отнимает память.
2. На второй фазе установки TCP соеденения сервер выбирает SISN для пакета и отправляет его клиенту с SYN и ACK. Это обычно называется SYN/ACK пакет. При получении клиент проверяет свой CISN.
3. На финальной фазе клиент подтверждает прием SISN, возвращая его в пакете с битом ACK. После этого сервер завершает открытие TCP соеденения и обе машины могут обмениваться данными.

Проблема — SYN может быть с поддельным IP

Это значит, что сервер никогда не получит ответ SYN/ACK и его коннект будет висеть в памяти, пока не закроется. И это первая проблема.

От SYN Spoof атаки память на сервере кончается быстрее, чем забивается канал

Конечно, скажет неискушенный читатель, ведь для таких случаев в Linux был придуман механизм защиты, называемый syncookies, который позволяет сохранить память, храня только хеш вместо полного набора параметров. Более подробно об этом можно прочитать в патенте IBM и сравнить с реализацией в Linux.

Так вот, дорогой мой читатель — это тоже не поможет. При массированной бомбардировке, а SYN пакеты маленькие (64 байта), сервер будет полностью занят операциями вида вычисления хешей.

От SYN Spoof атаки нагрузка на сервер возрастает сильнее, чем нагрузка на канал

Более искушенные читатели конечно не забудут напомнить, что число SYN трафика можно лимитировать, оставив большую часть канала под легитимный трафик, это значит что новым соеденениям будет сложнее открыть связь, но старые пройдут без проблем. Отлично, дорогие мои, а что если в этот самый момент к SYN SPoof присоеденяется классический DDOS?

SYN Spoof + DDOS = смерть сервера

Разумеется сервер будет жить — в физическом смысле и даже, вероятно будет доступен. Но легальный пользователь не сможет установить коннект, так как на 100 SYN пакетов будет приходится только один с реальным адресом, а на 1000 реальных пакетов только один от реального посетителя. Остальные пойдут от ботнета. Более того.

Источник SYN Spoof будет всегда неизвестным

Если классический ботнет может иметь географическую привязку и заблокирован по этому принципу на аплинке или через geoip на сервере, то SYN Spoof может иметь в заголовках китайский IP, а отправленым быть из Урюпинска. И наконец последнее.

Если сила SYN атаки забьет полностью канал, то вы ничего не сможете сделать

И это действительно так. Если ваш Дата Центр не обладает мощной системой и множеством аплинков — сервер перестанет существовать. По крайней мере для обычных людей в интернете.

Хорошие новости

Этим атакам можно противостоять, установив зеркала и настроив DNS для ловли SYN пакетов по геопризнаку. Эта методика похожа на выбрс ловушек, которыми самолет прикрывает себя от ракет.

Плохие новости

Поддержка такой инфраструктуры стоит достаточно больших средств. Необходимо поддерживать все зеркала и при этом большую часть времени они будут стоять без дела, просто в режиме готовности.

Что я могу предложить:

Беспрецедентную акцию: каждый хостинг может мне выделить один сервер для настройки подобной системы. Я абсолютно бесплано произвожу настройки и подключаю сервер в систему.

После этого каждый из хостингов, предоставивших сервер, получает возможность возможность бесплатно использовать всю систему в случае DDOS атак.

По вопросам сотрудничества можете писать в комментарии.