Varnost v omrežju
CMI upravlja z več mehanizmi varovanja računalniškega omrežja IJS:
Požarni zid
...nadzoruje IP pakete pri vstopu in izstopu iz omrežja IJS v javno omrežje. Pravila sproti prilagajamo znanim nevarnostim in željam uporabnikov IJS in so nujno le dober kompromis med varnostjo in uporabnostjo omrežja.
Dostop do notranjih strežnikov (npr http, ftp, ...) je odprt le za tiste računalnike, katerih administratorke in administratorji to izrecno želijo in ki sproti skrbijo za posodabljanje programske opreme na teh strežnikih zlasti z vidika znanih pomanjkljivosti/napak v programski opremi in pogostih načinov napadov na programsko opremo.
Za večino notranjih računalnikov velja, da od zunaj niso dostopni, hkrati pa je z njih dostop do večine zunanjih storitev dovoljen, razen za nekaj izrecno prepovedanih rizičnih storitev.
Notranji računalniki, za katere opazimo, da so ranljivi za kakšen trenutno popularen način vdiranja, so blokirani na požarnem zidu v celoti in v obe smeri. Še vedno je s takih računalnikov možno branje in odpošiljanje elektronske poste, dostop do zunanjih WWW strežnikov (http, ftp) prek web proxyja: www-proxy.ijs.si, port 8080, ter dostop do vseh notranjih institutskih računalnikov.
Požarni zid lahko brani le pred paketi, ki prihajajo skozi njega. To pomeni, da so notranji računalniki na IJS med seboj prosto dostopni in med seboj še vedno ranljivi, če ni sproti poskrbljeno za posodabljanje programske opreme in sprotno odpravljanje varnosnih pomanjkljivosti. Učinkovito dopolnilo osrednjemu požarnemu zidu je osebni požarni zid (programska oprema), ki teče na vsakem posameznem računalniku. Popularen program za ta namen za Microsoftove operacijske sisteme je npr. Zone Alarm - glej npr. strani uprave IJS. Unix sistemi so manj problematični, novejši pa tudi vsebujejo možnost nastavitve lokalnih pravil dostopa.
Varnost elektronske pošte
Poštni strežnik IJS skrbi za odkrivanje virusov in sorodnih zlonamernih vsebin v elektronskih sporočilih. Sporočila s tako vsebino so zavrnjena in pošiljateljica ali pošiljatelj je o zavrnitvi obveščen, kar pomeni, da niso izgubljena.
Izjema so le sporočila, ki vsebujejo take znane viruse, ki ponarejajo odhodni naslov in se razpošiljajo masovno in avtomatsko - taka sporočila so le shranjena v karanteno, odhodni naslov pa o zavrnitvi ni obveščen, ker ni znan.
Če namerno želimo poslati sporočilo s problematično vsebino, ki bi jo lahko naš ali prejemni poštni filter prestregel, si lahko pomagamo tako, da jo zavijemo v šifrirano ovojnico (npr. PGP, GPG, ...) ali pa v arhiv zaščiten z geslom (npr. zip, rar). Če vsebina ni skrivnost, lahko geslo priložimo v istem sporočilu. Namen tega je, da se potencialno problematična vsebina (npr. izvršljivi programi, virusi) ne more aktivirati samodejno na prejemnem računalniku, ampak se mora prejemnica ali prejemnik zavestno odločiti za to in jo odkodirati ali odšifrirati z izrecno akcijo.
Pošiljateljica ali pošiljatelj sporočila, ki sicer ne vsebuje enega od trenutno znanih virusov, vendar vsebuje varnostno rizično vsebino (npr. nezakodiran izvršljivi program), dobi od našega strežnika zavrnitveno sporočilo s približno tako vsebino: http://www.ijs.si/mail-policy.html
Pregledovanje elektronske pošte na postnem strežniku nas brani pred večino tovrstne nadlege. Je učinkovito dopolnilo protivirusnim programom na vsakem osebnem računalniku, ni pa njihov nadomestek, saj lahko virus ali trojanski konj pride do notranjega računalnika tudi po drugih poteh, npr. pri pobiranju pošte (POP3, WWW) z zunanjih poštnih predalov, prek WWW bralnika, s prenašanjem datotek, prek diskete oz. CD-ja, USB-ja ali prek kakšne druge ranljivosti operacijskega sistema ali aplikacije.
Zasebnost elektronske pošte
Osnovni Internetni standardi, ki določajo mehanizme za prenašanje elektronskih poštnih sporočil, ne zagotavljajo tajnosti ali avtentičnosti vsebine elektronskega sporočila. Kjerkoli na celotni poti od odhodnega do prejemnega poštnega predala je potencialno možen vpogled v sporočilo in celo spreminjanje vsebine sporočila. Osnovni poštni standardi tudi ne zagotavljajo, da je naveden odhodni naslov tudi resničen odhodni naslov. Ponarejanje odhodnega naslova je preprosto in poslužuje se ga večina nezaželenih masovnih poštnih sporočil in večina novejših virusov.
Edini način za zagotavljanje tajnosti vsebine elektronskega sporočila je uporaba kriptografskih metod (šifriranje). Edini način za ugotavljanje istovetnosti odhodnega naslova (avtentikacija) je uporaba kriptografskih metod (elektronski podpis, certifikati). Oba mehanizma sta neodvisna, tako lahko npr. odpošljemo podpisano a prosto čitljivo sporočilo (avtentikacija), ali pa npr. skrito (šifrirano) a nepodpisano sporočilo, ki preprečuje vpogled nepovabljenim, a ne preprečuje ponarejanja oz. zamenjave sporočila.
Mnogi novejši bralniki e-poste so že prilagojeni navezi s kriptografskim programom ali pa te mehanizme že vsebujejo sami. Tudi če poštni program tega sam ne podpira, je vedno možno postopke opraviti ločeno: pripraviti besedilo, ga zašifrirati in/ali podpisati na datoteki, in to potem poslati kot e-pošto. Najpopularnejše kriptografske metode so GPG, PGP, OpenPGP, S/MIME.
Obramba pred nezaželeno elektronsko pošto (spam)
Približno 70 % vseh elektronskih sporočil, ki so namenjena poštnemu strežniku IJS, predstavlja nezaželeno komercialno pošto (UBE - unsolicited bulk e-mail, po domače spam). Sprotno posodabljanje UBE filtrov na našem poštnem strežniku nam zagotavlja, da le majhen del UBE sporočil doseže naslovnice in naslovnike na IJS.
Poštna sporočila, ki jih UBE filter prepozna kot spam, niso izgubljena. Vedno je odhodni poštni naslov o razlogu zavrnitve obveščen (če je znan oz. če ni odhodni naslov ponarejen). Poleg tega vsa taka sporočila začasno shranimo v karanteno, tako da je možno kasnejše poizvedovanje o usodi kakšnega elektronskega sporočila.
Agresivnost proti-UBE filtra je mogoče do neke mere prilagoditi željam uporabnic in uporabnikov na IJS, čeprav to večinoma ni potrebno in to uporabljamo le izjemoma.
Pravila dopustne uporabe
Ker je institutsko računalniško omrežje vključeno v slovensko akademsko omrežje ARNES, veljajo tudi za nas pravila uporabe omrežja ARNES. Glej ločen dokument: Pravila dopustne uporabe