Рекламный блок.

VladB
интересно, перешли если не трудно на alexk(dot)softwarium(dot)net
думаю как готовить в унивеситете сисадминов сами системные администраторы не ответят - не было у нас просто еще таких специальностей в ВУЗ-ах

alexk
Напиши письмо мне на wladkerch@mail.ru
Добавлено в [mergetime]1105017801[/mergetime]
Просто у меня письмо возвратилось обратно с рабочего адреса

так выложил бы уже сюда. я думаю многим будет интересно

Возвращаясь к теме:

Рассмотрим идеальную ситуацию для ничем не выдающегося ВУЗа. Идеальность состоит:
1. Экзамены сдаются не за деньги. (сейчас это редкость) 2. Квалификация преподователя достаточна для преподования.
Так вот даже в такой ситуации, студент не получает современных знаний в таких областях как компьютерные технологии, полиграфия.
Приведу конкретный пример, захотелось мне второе высшше,

Что выложил? Содержание будущей книги? Могу выложить ее оглавление. Всю естественно - нет.
А по поводу чему учить будущих сисадминов:
1. Основы сетей.
2.Понятие о протоколах
3.понятие о железе
4. Проводах
и т.д. Полностью писать?

Содержание книги:

Тема 1: Актуальность проблемы обеспечения безопасности информационных технологий
Основные причины обострения проблемы обеспечения безопасности информационных технологий
Тема 2: Основные понятия информационной безопасности
Информация и информационные отношения. Субъекты информационных отношений, их безопасность
Цель защиты АС и циркулирующей в ней информации
Тема 2: Правовые и организационные основы защиты информации
Что такое законодательный уровень информационной безопасности и почему он важен
Обзор украинского законодательства в области информационной безопасности
Правовые акты общего назначения, затрагивающие вопросы информационной безопасности
Обзор зарубежного законодательства в области информационной безопасности
Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт
Основные понятия
Механизмы безопасности
Классы безопасности
Информационная безопасность распределенных систем. Рекомендации X.800
Сетевые сервисы безопасности
Сетевые механизмы безопасности
Администрирование средств безопасности
Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий"
Основные понятия
Функциональные требования
Требования доверия безопасности
Гармонизированные критерии Европейских стран
Интерпретация "Оранжевой книги" для сетевых конфигураций
Руководящие документы Гостехкомиссии России
Тема 3:Угрозы информационной безопасности в АС
Особенности современных АС как объекта защиты
Уязвимость основных структурно-функциональных элементов распределенных АС
Угрозы безопасности информации, АС и субъектов информационных отношений
Источники угроз безопасности
Классификация угроз безопасности
Основные непреднамеренные искусственные угрозы
Основные преднамеренные искусственные угрозы
Классификация каналов проникновения в систему и утечки информации
Неформальная модель нарушителя
Оценка и управление рисками
Методики управления рисками
Тема 4: Виды мер и основные принципы обеспечения информационной безопасности
Виды мер противодействия угрозам безопасности
Правовые (законодательные)
Морально-этические
Технологические
Организационные
Меры физической защиты
Технические
Достоинства и недостатки различных видов мер защиты
Законодательные и морально-этические меры
Организационные меры
Физические и технические средства защиты
Основные принципы построения системы Защиты ресурсов АС
Законность
Системность
Комплексность
Непрерывность защиты
Своевременность
Преемственность и совершенствование
Разделение функций
Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат)
Персональная ответственность
Минимизация полномочий
Взаимодействие и сотрудничество
Гибкость системы защиты
Открытость алгоритмов и механизмов защиты
Простота применения средств защиты
Научная обоснованность и техническая реализуемость
Специализация и профессионализм
Взаимодействие и координация
Обязательность контроля
Тема 5: Основные защитные механизмы, используемые в СЗИ
Основные механизмы защиты информационных систем
Идентификация и аутентификация пользователей
Разграничение доступа зарегистрированных пользователей к ресурсам АС
Списки управления доступом к объекту
Списки полномочий субъектов
Атрибутные схемы
Полномочное управление доступом
Регистрация и оперативное оповещение о событиях безопасности
Криптографические методы защиты информации
Криптография с симметричными ключами
Криптография с открытыми ключами
Два важных свойства криптографии с открытыми ключами
Криптография с открытыми ключами.
Шифрование
Формирование ЭЦП с хэшированием
Комбинированный метод
Доверие к открытому ключу и цифровые сертификаты
Контроль целостности программных и информационных ресурсов
Защита периметра компьютерных сетей
Управление механизмами защиты
Выводы
Тема 6: Организационная структура системы обеспечения информационной безопасности
Цели создания системы обеспечения информационной безопасности
Регламентация действий пользователей и обслуживающего персонала АС
Понятие технологии обеспечения информационной безопасности
Политика безопасности организации
Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
Разовые мероприятия
Периодически проводимые мероприятия
Мероприятия, проводимые по необходимости
Постоянно проводимые мероприятия
Распределение функций по ОИБ
Служба безопасности (отдел защиты информации)
Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций)
Управление автоматизации (фонд алгоритмов и программ - ФАП)
Система организационно-распорядительных документов по организации комплексной системы защиты информации
Тема 7: Обязанности конечных пользователей и ответственных за ОИБ в подразделениях
Общие обязанности сотрудников по обеспечению информационной безопасности при работе с ресурсами АС
Обязанности ответственного за обеспечение безопасности информации в подразделении
Администратора информационной безопасности обязан:
Администратор информационной безопасности имеет право:
Порядок работы с носителями ключевой информации
Обязанности исполнителя
Действия при компрометации ключей
Права исполнителя
Ответственность за нарушения
Тема 8: Инструкции по организации парольной и антивирусной защиты
Инструкция по организации парольной защиты
Инструкция по организации антивирусной защиты
Применение средств антивирусного контроля
Действия при обнаружении вирусов
Ответственность
Тема 9: Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей АС
Правила именования пользователей
Процедура авторизации сотрудников
Тема 10: Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств АС
Обеспечение и контроль физической целостности и неизменности конфигурации аппаратных ресурсов АС
Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС
Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций
Экстренная модификация (обстоятельства форс-мажор)
Тема 11: Основные задачи подразделения обеспечения информационной безопасности
Организационная структура, основные функции службы компьютерной безопасности
Тема 12: Определение требований к защите ресурсов
Определение требований к защищенности информации
Категорирование Защищаемых ресурсов
Категории защищаемой информации
Категории конфиденциальности защищаемой информации:
Категории целостности защищаемой информации:
Категории функциональных задач
Требуемые степени доступности функциональных задач:
Категории компьютеров
Порядок определения категорий защищаемых ресурсов АС
Проведение информационных обследований и категорирования защищаемых ресурсов
Тема 13: Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
При проектировании и разработке
При проведении испытаний
При сдаче в промышленную эксплуатацию
В процессе эксплуатации (сопровождения)
Тема 14: Планы защиты и планы обеспечения непрерывной работы и восстановления подсистем АС
План защиты информации
План обеспечения непрерывной работы и восстановления
Классификация кризисных ситуаций
Общие требования
Средства обеспечения непрерывной работы и восстановления
Обязанности и действия персонала по обеспечению непрерывной работы и восстановлению системы
Обязанности системного инженера по ОНРВ
Тема 15: Концепция информационной безопасности организации
Назначение и статус документа
Тема 16: Концепция информационной безопасности организации
Назначение и статус документа
Тема 17: Назначение и возможности СЗИ НСД
Задачи, решаемые средствами защиты информации от НСД
Тема 18: Рекомендации по выбору средств защиты от НСД
Тема 19: Проблемы обеспечения безопасности в IP-сетях
Типовая корпоративная сеть
Примерный сценарий действий нарушителя
Этап 1 - сбор сведений
Этап 2 - попытка получения доступа к узлу Поиск необходимых инструментов
Получение доступа к выбранному узлу сети
Этап 3 - получение доступа к другим узлам внутренней сети
Этап 4 - получение полного контроля над одним из узлов
Тема 20: Угрозы, уязвимости и атаки в сетях
Основные понятия
Классификация уязвимостей
Источники возникновения уязвимостей
Классификация уязвимостей по уровню в инфраструктуре АС
Классификация уязвимостей по степени риска
Высокий уровень риска
Средний уровень риска
Низкий уровень риска
Что такое CVE?
Классификация атак
Классификация атак о целям
Классификация атак по мотивации действий
Местонахождение нарушителя
Механизмы реализации атак
Статистика по уязвимостям и атакам
Тема 21: Межсетевые экраны
Введение
Основные сведения
Типы МЭ
Пакетные фильтры
Шлюзы уровня соединения
Шлюзы прикладного уровня
Технологии Proxy и Stateful inspection
Варианты расположения МЭ
Виртуальные частные сети
Виды виртуальных частных сетей
Тема 22: Средства анализа защищенности сетей
Контроль эффективности системы защиты
Средства анализа защищенности сетевых сервисов (служб)
Средства анализа защищенности операционных систем
Сетевой сканер Nessus - пример средства анализа защищённости
Введение
Архитектура
Характеристики
Модульная архитектура
NASL
Идентификация служб
Система отчётов
Техническая поддержка
Параллельное сканирование
Регулярное обновление
Тема 23: Средства обнаружения атак
Обнаружение атак и опасных действий нарушителей
Архитектура систем обнаружения атак
Типы систем обнаружения атак
Классификация по уровням информационной инфраструктуры
Классификация по принципу реализации
Классификация по технологии обнаружения

ага, вот это как раз то, что я и НЕ имел ввиду по обучением в ВУЗ-е

Вы представляете себе университетские курсы:
дискретная математика
сетевое программирование.
распределенные системы
и рядом "понятие о железе" или "понятие о проводах" .. да эти самые провода в качестве физической среды передачи могут вообще устареть через каких-то десять-двадцать лет, я уже не говорю о "железе", слава Всевышнему в нашем образовании все таки не доходит до курсов наподобие: "чем bedo память отличается от fpm а та от sdram", или "чем компьютеры Mac отличаются от компьютеров IBM" или "как настроить outpost firewall".
для того, чтобы готовить специалистов нужно представлять специальность в общем, а не с точки зрения конкретного работника (который никогда не будет использовать все полученные знания), в то же время знать, чем в реальности будут заниматься будущие профессионалы.

У дочки в вузе есть курс основы сетей. Нужно краткое содержание или достаточно перечня лабораторок?
Добавлено в [mergetime]1105039531[/mergetime]
Кстати, вверху содержание это содержание вузовского (надеюсь) учебника по основам теории защиты информации

Да... интересное содержание.
Вот только боюсь, что мои админы по защите и половины слов-то таких не слышали никогда, не говоря уж о том, что сии мудрёные термины означают...

Что же касается образования... Если судить по специфике работы моего отдела, то нужно не сколько образование специальное (хотя, конечно, хотя диплом приличного универа немало дает), сколько опыт и работающая голова. А уж если учитывать пожелания боссов по части кадров «чтоб денег хотел мало, а умел ВСЕ и СРАЗУ» то положение почти аховое...

Аналогично НО - образованием доволен. Имхо, университет должен давать УНИВЕРСАЛЬНЫЕ знания, которые не устареют через пару лет. Поэтому современные университетские курсы вполне оправданы. Они дают ШИРОКИЕ знания и таки учат учиться - что главное. А когда человек определяется со своей будущей специальностью, он должен дополнительно УГЛУБИТЬ эти знания. Как он это сделает: самообразованием, специализированными курсами или обучением за счет работодателя - неважно. Имхо, система описанная Владом, наиболее практична. Вот не могу я одновременно углубленно вникать в тонкости маршрутизаторов CISCO, защиту корпоративной информиации, администрирование Oracle и драйверописание для LINUX! Во-первых, это дорого. Во-вторых, очень много времени отнимает. В-третьих, пока эти знания пригодятся, вполне могут устареть. То есть - учиться надо конкретным вещам на базе знаний, приобретенных в вузе. И непрерывно. Так что бОльшую роль играет упомянутый талант и желание его использовать. Но тут уж - что Бог послал. Не все выбирают специальность сознательно и здраво.


Добавлено в [mergetime]1105040724[/mergetime]

Аналогично НО - образованием доволен. Имхо, университет должен давать УНИВЕРСАЛЬНЫЕ знания, которые не устареют через пару лет. Поэтому современные университетские курсы вполне оправданы. Они дают ШИРОКИЕ знания и таки учат учиться - что главное. А когда человек определяется со своей будущей специальностью, он должен дополнительно УГЛУБИТЬ эти знания. Как он это сделает: самообразованием, специализированными курсами или обучением за счет работодателя - неважно. Имхо, система описанная Владом, наиболее практична. Вот не могу я одновременно углубленно вникать в тонкости маршрутизаторов CISCO, защиту корпоративной информиации, администрирование Oracle и драйверописание для LINUX! Во-первых, это дорого. Во-вторых, очень много времени отнимает. В-третьих, пока эти знания пригодятся, вполне могут устареть. То есть - учиться надо конкретным вещам на базе знаний, приобретенных в вузе. И непрерывно. Так что бОльшую роль играет упомянутый талант и желание его использовать. Но тут уж - что Бог послал. Не все выбирают специальность сознательно и здраво.

FreeLSD
Абсолютно согласен. Просто нужно быть узким спецом в своей професии и стараться знать то, что ее окружает чтобы хотя бы приблизительно понимать, что из этого может возникнуть в будущем

Стандартная ситуация С обучением или хотя бы повышением квалификации никто не связывается. Потому что чем выше эта самая квалификация, тем больше нужно платить. Иначе он без проблем найдет другое место (потому что готовый специалист), и денежки, что за него уплачены - тю-тю!

VladB

Ну... я бы так не говорил... Т.е. это полезно, но не всегда... У меня нет узкой специациализации, так уж получилось. Но сейчас это даже к лучшему, опять же таки в силу занимаемой должности. 90% проблем решаются без привлечения «гуру» из головной конторы... Хотя, конечно, иногда другого выхода, как обратиться к ним за помощью, нет


FreeLSD

Твои доводы вполне резонны. Однако нередки случаи, когда сам кандидат на повышение квалификации отказывается... В силу разных причин, в том числе и от отсутствия желания «привязываться» к работодателю... Ибо, увы, но пока отношения «работникработодатель» достаточно далеки от цивилизованных.

Про свое обучение, в свое время:

Согласен, НО! ВУЗ - на то и ВУЗ, что бы было у кого самообразовываться. У нас (в то время в СПИ) менно так и было - кто хотел, тот учился, получал знания и практику потому что были хорошие специалисты-преподы, которые на лекциях отчитывали, а если ты хотел - давали намного больше знаний не жадничая.

Дык, именно крутого специалиста по поиску и усвоению новой информации в вузе и готовят. И именно практику по этой процедуре дают хорошую

Вот, исходя из этого, и мое отношение к нынешним коммерческим вузам - у нас, в Евпатории, ни одного вуза никогда не было, а нынче их развелось.... А кто в них преподает, если раньше вузов не было? - правильно, школьные учителя.
Во-первых - школьные отношения (я тут учу, и если ты чегото не знаешь, то это моя проблема (имхо в вузе должно быть наоборот - если чего-то не знаешь, твои проблемы, иди учи!)) переносятся в то, что именуется вузом. В результате практики по поиску информации ноль - или "препод" даст на блюдечке, или скачает из инета что попало, пятилетней давности, и даже не прочитает
Во вторых - предположим, я пришел в такой "вуз" получить знания, а у кого мне их брать?
Школьная программа в чуть расширенном виде?

yarmol
Именно в этом и проблемы! Вузовские преподаватели (те, кто помоложе) сами так начинают учить. А те кто постарше, уже, как правило сами давно практикой не занимались. В вузе действительно учиться ты должен сам!

В связи с этим предлагаю открыть что-то типа темы "Вопросы и ответы" в которой можно было бы задавать вопросы и получать на них ответы. В частности у меня есть куча вопросов по информационному праву. Я не юрист, а сейчас нужен анализ юридических вопросов в области ЗИ. Задать их, увы некому. А помощь нужна, причем довольно срочно. Если конкретнее то нужен анализ украинских нормативных документов в области ЗИ. А его просто нет! Писать самому? Я не юрист. Могу допустить массу неточностей. Будет обидно мне!

Я думаю это не на этом форуме... надо искать что то более специализированное... (посмотри www.citforum.ru )у нас в КРЫМУ я не думаю что больше специалистов чем в Киеве...

К сожалению, на российских форумах это обсуждать нельзя, у них просто другие законы. А украинских специализированных форумов я не видел. Да и проблема в том, что на форумы по ЗИ не ходят юристы, а юридических форумов я не видел вообще.
Но это мои вопросы. У вас могут быть другие. На те, на которые я смогу ответить - я постараюсь ответить. Соответственно прошу помощи и у вас тоже.

FreeLSD правильно сказал, университеты не должны готовить ремесленников, которые бы сразу были подготовленны к выволнению какой-то конкретной работы. Они должны давать именно базовые знания, пользуясь которомы человек сможет сам найти более узкую специализацию по выбору, и потом чтобы имел возможность сменить ее, если потребуется.
Особенно в IT, где конкретные, прикладные знания устаревают за 2-3 года.
Университет по большому счету должен учить думать самостоятельно. И наши университеты в общем дают такую возможноть, если есть конечно желание этому учиться, а если нет желания - то тогда собственно и так ничего не получится.
Хотя конечно для экономики государства выгоднее чтобы из вузов выходили готовые специалисты, на которых не нужно тратить время и денег для дополнительного обучения.
Поэтому в университетах помимо общей программы нужны хорошие спецкурсы, которые дают именно прикладные знания. Но и вести их по хорошему должны специалисты, имеющие большой прикладной опыт. Только у таких специалистов как правило нет свободного времени, чтобы заниматься этим, либо их время стоит достаточно дорого, и университетам не по карману его оплачивать. Проблема сложная, однозначно ее не решишь, но пробовать хоть немного улучшить ситуацию можно.

Вообще на эту тему есть хорошая повесть у Азимова - Профессия.
(http://lib.ru/FOUNDATION/professia.txt)

Fireball
И все как всегда упирается в то, что практический курс должны вести профи, их нет, т.к. не чем платить.
Меня интересует так же точка зрения тех, кто ПЛАТИТ за образование. А вас устраивает что вы платите, но не получаете конечный результат. В конце-концов стоит подумать, через сколько деньги, вложенные в ваше образование дадут прибыль и дадут ли вообще. Почему здесь не обсуждается это? Неудобно? Неприятно осознавать что учишься на платном? Так это ерунда! Какая разница - платное или бесплатное образование. Важно что ты потом будешь делать! Или я не прав?

VladB
Возможно я не прав... но у нас на платных факультетах учат в основном - Юристов да экономистов, про Ин. яз я молчу (он всегда был особого статуса).
А все кто тут имеет техническое образование, учились бесплатно

Гэс
У нас ситуация иная. На технических факультетах учат и платно и бесплатно. У дочери госзаказ всего порядка 10% от количества студентов на специальности