Standard konektivity a bezpečnosti školy v 21. století
3. Vnitřní konektivita školy
3.1. Oblast 1: Bezpečná správa koncových zařízení
Proč?
Uživatel přistupuje k vnitřní síti nebo internetu pomocí jednotlivých koncových zařízení (notebook, stolní počítač, tablet, mobil apod.). Z vnějšku je tak i se svým zařízením vystaven rizikům. Na druhou stranu, jakmile se připojuje k síťovým zařízením školy, působí tato koncová zařízení jako riziko. V každém případě tedy musí být zabezpečená samotná zařízení. Čím dál větší výzvou je zvládnutí správy s ohledem na vzrůstající počet těchto zařízení a různorodosti hrozeb. Řešením může být tzv. centrální řízení účtů.
Co je potřeba zařídit:
- Pravidelné aktualizace software koncových zařízení – zejména aktualizace operačního systému zařízení tak, aby byly pravidelně řešeny minimálně kritické opravy operačního systému.
- Vhodně zvolená antivirová ochrana zařízení.
- Koncová zařízení mají aktuální operační systém a veškerý používaný software.
- Bezpečné opětovné zapojování mobilních zařízení v majetku školy, které uživatelé používají i mimo školní síť (například zapůjčené zařízení).
- V případě, že škola zvolila přístup BYOD[1], je ošetřeno bezpečné zapojení mobilních zařízení do sítě školy. (doporučení)
Návodné otázky
- Potřebuji centrální řízení účtů? Jsme schopni zajistit aktualizaci, zabezpečení a funkčnost každého koncového zařízení ve škole ručně?
- Jaký způsob řešení centrálního řízení účtů je pro naši školu vhodnější? Univerzální cloudový balíček pro školství, serverový systém nebo kombinace?
Co je to centrální řízení účtů?
Důvodem pro zavedení centrální správy účtů v organizaci je snaha zvýšit bezpečnost, produktivitu a zároveň snížit náklady a opakující se úkony při správě stejných účtů v rozličných aplikacích napříč organizací. Každému uživateli v síti je umožněno přihlásit se pomocí jeho unikátního přihlašovacího jména a hesla na jakoukoliv jemu povolenou stanici či do aplikace.
Centrální řízení účtů umožňuje:
- Jednotnou správu účtů uživatelů a správců s možností nastavení konkrétních oprávnění pro přístup k systémům či jen k datům v rámci sdílených úložišť apod.
- Rozdělovat účty do skupin s různými oprávněními přístupu (např. ke službám).
- Nastavit vícefaktorovou autentizaci pro určitou skupinu účtů (doporučeno pro administrátorské účty).
- Umožňuje mít přehled o jednotlivých stanicích, může být na jednom místě.
Potřebuji zajistit centrální řízení účtů (CŘÚ)?
Doporučení
Škola do 50 koncových zařízení (KZ)
V případě, že má škola správce, který zvládne pravidelně aktualizovat a spravovat koncová zařízení ručně, je možné v závislosti na charakteristice školy fungovat bez centrálního řízení účtů. Centrální řízení účtů je však doporučeno (viz výše).
§ Pozn.: Ruční správa vyžaduje pravidelnou činnost na týdenní bázi v závislosti na charakteristice činnosti školy.
Škola s 51-200 KZ
o Centrální řízení účtů je povinné.
o Pokud je CŘÚ řešeno serverem, je doporučen minimálně jeden server pro doménový řadič[2], který zvládne běh nejméně jednoho virtuálního stroje[3] (virtualizován může být například email, školní informační systém apod.). Server musí mít minimálně dva zrcadlené disky.
§ Data serveru je nutné pravidelně zálohovat.
§ Doporučeno zvážit druhý záložní server pro případ vyřazení prvního serveru z provozu.
o CŘÚ může být řešeno i pomocí univerzálních cloudových balíčků (např. MS Office 365 Education nebo Google Workspace for Education[4]).
Škola nad 200 KZ
o Centrální řízení účtů je povinné.
o Pokud je CŘÚ řešeno serverem, jsou doporučeny minimálně dva servery pro doménový řadič, nejlépe ve dvou budovách nebo co nejdále od sebe z důvodu havárií a nepředvídatelných situací.
§ Je vhodné, aby servery zvládly běh více virtuálních strojů14, aby v případě poruchy byla jednodušší obnova provozu. Servery musí mít minimálně dva zrcadlené disky.
o CŘÚ může být řešeno i pomocí univerzálních cloudových balíčků (např. MS Office 365 Education nebo Google Workspace for Education14).
Server nebo univerzální cloudové balíčky pro školství?
Centrální řízení účtů lze vyřešit dvěma způsoby, které mají své výhody a nevýhody a dají se i vzájemně kombinovat:
1. Univerzální cloudové balíčky pro školství (např. MS Office 365 Education nebo Google Workspace for Education14),
- Škola nemusí mít v budově fyzické servery, o ty se stará poskytovatel služby. V některých případech se jedná o bezplatnou službu.
- Data a informace školy jsou však reálně uložena na serverech, které jsou často mimo ČR, často i mimo EU.
- Je nutné počítat s náklady spojenými s aktivací služeb a vyškolením odpovědného pracovníka.
- Základním předpokladem pro dobrou funkčnost cloudových služeb je kvalitní konektivita; u škol do 50 KZ alespoň 100 Mb/s, u škol nad 50 KZ 1Gb/s.
- Pokud se škola rozhodne využívat cloudové balíčky, tak je řádově snížen nárok na úložiště a správu serveru. Cloudový balíček také ulehčuje online spolupráci v týmu a může pomoci rozvíjet digitální gramotnost žáků a učitelů.
- Poskytovatel služeb musí splňovat nároky na ochranu osobních údajů dle GDPR.
2. Vlastní serverové prostředí
- Data a informace školy jsou uloženy na serveru, který se fyzicky nachází v budově školy.
-
O server se musí starat kompetentní personál,
zejména je třeba zajistit:
- Musí být umístěn na čistém, nejlépe bezprašném místě, kde se nebude přehřívat (nejlepší je klimatizovaná místnost).
- Musí být uložen na bezpečném místě, ke kterému má přístup jen omezený počet lidí.
- Pokud není umístěn v rozvaděči (racku), nesmí existovat překážky před ventilačními otvory.
[1] Z anglického Bring Your Own Device, tzn. žáci ve výuce pracují s vlastními digitálními zařízeními (např. mobilem, tabletem nebo počítačem).
[2] Doménový řadič (Active Direcotry) zajišťuje v počítačové síti autentizaci a autorizaci uživatelů, počítačů i další služby. Řadič domény výrazně ulehčuje administraci počítačové sítě. Dalo by se říci, že pro administrátora je při větším počtu koncových zařízení nezbytná, viz: https://cs.wikipedia.org/wiki/Active_Directory
[3] Virtuální stroj je v informatice software, který vytváří virtualizované prostředí mezi platformou počítače a operačním systémem, ve kterém koncový uživatel může provozovat software na abstraktním stroji. Zjednodušeně řešeno, je to virtuální počítač běžící v jiném počítači (server). Virtuálních strojů může na serveru běžet více, záleží na tom, jak je server dimenzován. Virtualizované stroje se poté při poruchách jednodušeji přenáší na jiné servery a virtualizace odděluje jednotlivé služby, ke kterým lze potom přistupovat jednotlivě a nastavovat pro každé jednoduše vlastní zabezpečení. Důležitá je také záloha virtuálních strojů.