Сертификат безопасности ростелеком для школ

Контент фильтрация для школ от Ростелекома. Что это и как внедрить?

В принципе, задача внедрения такой системы в школах, может быть решена одним человеком, который установит ПО в кабинет информатики, выставить счет на оплату онлайн и спокойно ретируется. Правда, чтобы выставлять счет нужно знать некоторую юридическую (ИНН,КПП) и финансовую (РС, БИК банка) вашей организации. Самый удобный для печати формат — PDF. Все современные онлайн-сервисы умеют конвертировать результат в PDF.

Что такое контент фильтрация?

В широком смысле контент-фильтрация — это система обеспечивающая фильтрацию контента (данных) на различных уровнях, используя шаблоны, базы и параметры. Вот базовые параметры, которые предъявляет Ростелеком к модулю контент-фильтрации

1. Использование баз данных запрещенных ресурсов.. Тут одним Роскомнадзором не обойтись. Сюда также входят базы Министерства Юстиции и Министерства Образования — в совокупности более полумиллиона сайтов. Как зарубежных, так и отечественных.

2. Возможность блокировки отдельного контента. . Имеется ввиду блокировка как отдельных страниц какого-то сайта (википедия — хороший пример), так и контента внутри каждой (или отдельной) страницы, например, встроенное видео и т.д.

3. URL и DSN-фильтрация.

4. Анализ содержимого (текста) на странице.. Фильтр должен уметь находить в тексте запрещенные слова, а также их словоформы.

5. Фильтрация текстовых запросов. Естественно, следует оградить учеников не только от запрещенных ресурсов, но и фильтровать поисковую выдачу — текст, а в особенности — изображения. Для примера, попробуйте найти пристойную картинку по запросу «School Girl» и тогда вы поймете, о чем речь:

Как это работает?

Так как существуют разные реализации контент-фильтрации, то и работают они по-разному.

1. Сторонний DNS-сервер. По такому принципу работает, например, SkyDNS. Т.е. вы регистрируетесь на сайте, указываете нужные категории для фильтрации и выставляете в роутере/компьютере DNS-адреса сервиса. Естественно, самостоятельное изменение параметров TCP/IP протокола с клиентских машин.

2. Интернет-шлюз Для выхода в интернет в школе устанавливается (используется) отдельный компьютер, который служит интернет-шлюзом. Соответственно, весь трафик проходит также через него. Также он может служить и для контроля трафика, прокси-сервером, FTP-сервером и так далее. Удобный способ хотя бы потому, что можно «отрубать» интернет не нарушая и останавливая работу самой локальной сети школы.

3. Защитное ПО Обычное клиент-серверное ПО. Клиенты устанавливаются на все компьютере (большинство таких программ сделано только под Windows), на сервере устанавливаются правила, фильтры и т.д.

Из готовых решений можно выделить SkyDNS и Интернет-цензор

Власти навязали «Ростелекому» российское оборудование для подключения школ к интернету

Распоряжением Правительства «Ростелеком» стал единственным исполнителем услуг по подключению школ к интернету в 2019-2020 гг. При этом Правительство поставило условие: подключение должно производиться с помощью российского оборудования. Иностранное можно использовать только в том случае, если в России недостаточно или нет совсем техники с нужными параметрами.

Распоряжение правительства

Правительство России обязало «Ростелеком» использовать только российское оборудование для подключения к интернету школ и избирательных участков. Соответствующее распоряжение опубликовано на официальном портале правовой информации. Оно датируется 21 ноября 2019 г.

Распоряжение определяет «Ростелеком» единственным исполнителем нескольких категорий услуг, которые Минкомсвязи будет закупать для школ, училищ и техникумов, а также региональных и территориальных избирательных комиссий в 2019-2020 гг. В перечень услуг входит предоставление доступа к интернету и ГИС, включая передачу и защиту данных, обеспечение безопасности связи, а также блокировку ресурсов, наносящих вред здоровью и развитию детей. Требования к подключению, доступу и передаче данных утвердят Минкомсвязи и Минпросвещения по согласованию с Центральной избирательной комиссией.

Контракты на эти услуги должны заключаться с единственным исполнителем на срок до 31 декабря 2020 г. «Ростелеком» имеет право привлекать к их исполнению субподрядчиков и соисполнителей, но при этом обязан выполнить не менее 5% обязательств самостоятельно.

В качестве дополнительного условия в распоряжении установлено следующее: и «Ростелеком», и соисполнители должны в ходе выполнения контрактов использовать телекоммуникационное оборудование российского происхождения.

Если в России не производится оборудование с необходимыми характеристиками, а также если производитель не может поставить его в достаточном количестве или в нужные сроки, «Ростелеком» имеет право по согласованию с Минкомсвязи использовать иное оборудование. При этом исполнитель должен предоставить в министерство копию своего запроса к российскому производителю и ответ этого производителя, что он не может обеспечить нужды контракта.

Также вводится еще одно дополнительное условие: оплата контрактов, заключаемых с единственным исполнителем, будет осуществляться исходя из объема фактически оказанных услуг (в размере, не превышающем цены контракта).

Подключение школ к интернету

«Ростелеком» очень хотел стать единым исполнителем по подключению школ к интернету. Летом 2018 г. президент компании Михаил Осеевский на встрече с премьер-министром Дмитрием Медведевым заявил о том, что проект подключения школ к интернету компания может реализовать за три-четыре года. По мнению «Ростелекома», городские школы должны быть подключены к интернету на скорости от 100 Мбит/с, сельские — от 50 Мбит/с. Этим стандартам не соответствует 80% российских школ.

При этом «Ростелеком» готов был предоставить не только доступ в интернет, но и организовать целый комплекс услуг: доступ к единой сети вебинаров и видеоконференций, создание сети Wi-Fi, позволяющей использовать смартфоны школьников в учебном процессе, системы видеонаблюдения с облачным хранением записей, электронные журналы и дневники, системы киберзащиты, фильтрацию нежелательного для детей контента и т. д. Минувшей весной, в ходе встречи с Президентом России Владимиром Путиным, Осеевский уточнил, что компания готова реализовать данный проект за 40 млрд руб. Позднее Путин дал поручение Правительству обеспечить подключение школ к высокоскоростному интернету до 2021 г.

Но Минкомсвязи пошло другим путем. Минувшим летом ведомство провело аукционы на подключение в каждом регионе всех типов социально-значимых объектов. К их числу относятся школы, территориальные избирательные комиссии, фельдшерско-акушерские пункты, органы государственной и муниципальной власти, отделения полиции, подразделения Росгвардии и пожарные части. Аукционы в 43 регионах выиграл «Ростелеком», в 13 — «Эр-телеком», в иных регионах были другие победители, включая МТС и «Мегафон».

Как пояснили Cnews в пресс-службе «Ростелекома», сейчас компания будет создавать выделенную сеть с криптографией и фильтрацией трафика для школ. При этом будет использоваться «последние мили», которые в регионах проложат соответствующие операторы по подключению социально-значимых объектов. В пресс-службе «Эр-телекома» также уточнили, что в рамках своего контракта на подключение школ компания предоставит «Ростелекому» в аренду каналы связи. Далее «Ростелеком» будет использовать их в рамках уже своего госконтракта.

Инициатива «Ростелекома»

В 2012 г. при подготовке веб-трансляции президентских выборов, «Ростелеком» централизованно обеспечил доступ в интернет для избирательных участков, большинство из которых находятся в школах. В сельской местности подключение осуществлялось по спутниковым тарелкам, но сразу после проведения выборов они были демонтированы.

Летом 2018 г. президент компании Михаил Осеевский на встрече с премьер-министром Дмитрием Медведевым заявил о том, что проект подключения школ к интернету компания может реализовать за три-четыре года. По мнению «Ростелекома», городские школы должны быть подключены к интернету на скорости от 100 Мбит/с, сельские — от 50 Мбит/с. Этим стандартам не соответствует 80% российских школ.

При этом «Ростелеком» готов предоставить не только доступ в интернет, но и организовать целый комплекс услуг: доступ к единой сети вебинаров и видеоконференций, создание сети Wi-Fi, позволяющей использовать смартфоны школьников в учебном процессе, системы видеонаблюдения с облачным хранением записей, электронные журналы и дневники, системы киберзащиты, фильтрацию нежелательного для детей контента и т. д.

Весной 2019 г. на встрече с Путиным Осеевский уточнил, что подключение 40 тыс. школ к интернету обойдется в 40 млрд руб. — примерно в ту же сумму, что заложена в национальной программе «Цифровая экономика». Эта сумма подразумевает оплату трафика на период до 2025 г.

Сертификаты

Сертификат соответствия Системы менеджмента качества ПАО «Ростелеком» требованиям стандарта ГОСТ P ИСО 9001-2015 (ISO 9001:2015) применительно к проектированию, разработке и предоставлению услуг электросвязи и вещания; выполнению инженерных изысканий, подготовке проектной документации, осуществлению строительства, реконструкции, капитального ремонта и сноса объектов капитального строительства; деятельности, связанной с использованием вычислительной техники и информационных технологий, а так же применение менеджмента риска к вышеуказанной деятельности.
Выдан органом по сертификации интегрированных систем менеджмента «ИнфоСерт» АНО «СЦ Связь – сертификат», зарегистрирован за № РОСС RU.ФК07.К00214 от 02.03.2020, срок действия 22.11.2022 (Учетный номер 00005).

Сертификат соответствия Системы менеджмента качества ПАО «Ростелеком» требованиям стандарта ISO 9001:2015 для следующих областей деятельности: проектирование, разработка и предоставление услуг электросвязи и вещания; выполнение инженерных изысканий, подготовка проектной документации, осуществление строительства, реконструкции, капитального ремонта и сноса объектов капитального строительства, деятельности, связанной с использованием вычислительной техники и информационных технологий, а так же применение менеджмента риска к вышеуказанной деятельности.
Выдан международной группой компаний AFNOR Certification, регистрационный № 2011/41875.5 от 25.12.2019, срок действия 22.12.2021.

Сертификат соответствия Системы менеджмента качества ПАО «Ростелеком» требованиям стандарта ISO 9001:2015 для следующих областей деятельности: проектирование, разработка и предоставление услуг электросвязи и вещания; выполнение инженерных изысканий, подготовка проектной документации, осуществление строительства, реконструкции, капитального ремонта и сноса объектов капитального строительства, деятельности, связанной с использованием вычислительной техники и информационных технологий, а так же применение менеджмента риска к вышеуказанной деятельности.
Выдан международной сетью сертификации IQNet, регистрационный № FR-2011/41875.5 от 25.12.2019, срок действия 21.12.2022.

Аттестат соответствия № ТДИ 70-18 сети передачи данных IP/MPLS ПАО «Ростелеком» требованиям безопасности информации удостоверяет, что сеть передачи данных IP/MPLS ПАО «Ростелеком» соответствует требованиям безопасности информации, предъявляемым к государственным информационным системам первого класса защищенности (ГИС К1) и информационным системам персональных данных первого уровня защищенности персональных данных (ИСПДн УЗ1) и классу защищенности автоматизированной системы от несанкционированного доступа к информации 1Г. Аттестат соответствия требованиям безопасности информации выдан ООО Торговый дом «Инфогаз» (действующий на основании Лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации №2107 от 11.10.2013, срок действия лицензии бессрочно) 27.02.2018 сроком на 3 года, в течение которых в сети передачи данных IP/MPLS разрешается обработка защищаемой информации.

Аттестат соответствия № Р62-674 автоматизированной системы Национальная облачная платформа ПАО «Ростелеком» требованиям безопасности информации удостоверяет, что автоматизированная система Национальная облачная платформа ПАО «Ростелеком» соответствует требованиям безопасности информации, предъявляемым к государственным информационным системам первого класса (К 1) защищенности, информационным системам персональных данных первого уровня защищенности (УЗ 1) персональных данных и классу защищенности автоматизированной системы от несанкционированного доступа к информации 1Г. Аттестат соответствия требованиям безопасности информации выдан АО «ЦентрИнформ» (действующий на основании Лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации №0849 от 23.07.2009, срок действия лицензии бессрочно) 25.05.2018 сроком на 3 года, в течение которых в автоматизированной системе Национальная облачная платформа ПАО «Ростелеком» разрешается обработка информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.

Ошибка «Сертификат безопасности сайта не является доверенным». Как ее исправить?

Доброго дня!

Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.

С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google).

Суть происходящего, и что это значит?

Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ ( сертификат ) о том, что сайт является подлинным (а не фейк или клон чего-то там. ). Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком: на скрине ниже показано, как это выглядит в Chrome.

Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.) , так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.

Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.

Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, VK и многих других. Их же вы не откажетесь посещать?).

Как устранить ошибку

1) Обратите внимание на адрес сайта

Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL). Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все OK — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки «Сертификат безопасности сайта не является доверенным»

Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе.

2) Проверьте дату и время, установленные в Windows

Второй момент — подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).

Батарейка на материнской плате ПК

3) Попробуйте провести обновление корневых сертификатов

Еще один вариант, как можно попробовать решить эту проблему — установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/

4) Установка «доверенных» сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority .

Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.

Кстати, чтобы скачать GeoTrust Primary Certification Authority:

нажмите правой кнопкой мышки по ссылке download и выберите вариант «сохранить ссылку как. «;

Сохранить ссылку как.

далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.

Файл с расширением PEM

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

1. сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
2. должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».

далее запустится мастер импорта сертификатов. Просто жмем «Далее».

Мастер импорта сертификатов

после нажмите кнопку «Обзор» и укажите ранее загруженный нами сертификат. Нажмите «Далее» (пример показан ниже);

Указываем сертификат, который загрузили

в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите «Далее».

Поместить сертификаты в доверенные. Далее

в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).

5) Обратите внимание на антивирусные утилиты

В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка.

Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).

Avast — основные настройки (отключение сканирование https трафика)

На этом у меня всё.

За дополнения по теме — отдельное мерси!

Проект «Образование» от Ростелекома. Как настроить интернет в школе?

Posted By: admin 13.08.2016

Образовательные и бюджетные организации, зачастую, не имеют штатного связиста, ограничиваясь максимум аутсорсингом системного администратора из местной фирмы. Именно поэтому на таких предприятиях нет никаких схем сетевой и серверной инфраструктуры, инструкций от оборудования и прочих весьма нужных материалов. Все школы в Республике Коми подключены по специальному проекту «Образование». А это значит, что стандартные настройки для модем здесь не помогут.

Что представляет собой такое подключение?

Школы подключены посредством VPN-канала через специальный контент-фильтр (что-то вроде Яндекс.DNS, который фильтрует сомнительные и «взрослые» сайты в сети). Таким образом, протокол PPPoE не используется, авторизация клиентов происходит посредством IP-адресации и DNS. Базовая настройка подразумевает собой прописывание шлюза и на сетевой карте (LAN модема) и, непосредственно, на самом модеме. Т.е. есть и WAN-адресация и LAN-адресация. Если сеть школы серьезней обычного модема, то для работы серверного оборудования школы аналогичные настройки должны быть прописаны на маршрутизаторах Cisco или любых других, используемых в организации. Полный список сетевого оборудования можно посмотреть на этом сайте

[su_quote] ПРИМЕР АДРЕСАЦИИ:

LAN IP 10.11.47.64
LAN МАСКА 255.255.255.224
LAN ШЛЮЗ 10.11.47.65
WAN IP 172.17.101.233
WAN МАСКА 255.255.255.252
WAN ШЛЮЗ 172.17.101.234[/su_quote]

LAN-адресация прописывается в свойствах подключения (на сетевом адаптере) компьютерной техники в Школе.

WAN-адресация прописывается в настройках модема. Обратите внимание, что нужный режим может называться в разных модемах совершенно по разному, хотя суть у них одна.

1. В русских прошивках надо выбирать режим iPoe
2. В зарубежных, как правило, режим называется MER (MAC Encapsulation Routing)

Также в настройках модема рекомендуется отключать DHCP-сервер.

Пример полной настройки на примере модема Dlink 2500.

IP-адрес модема 192.168.1.1

Логин и пароль для входа на модем: admin/admin

Галочку DSL Auto-connect убираем …

Указываем необходимые настройки VPI/VCI …

Выбираем настройку MAC …

Указываем необходимый WAN IP, WAN Mask и Use IP …

Галочки Enable NAT и Enable Firewall убираем …

Указываем LAN IP модема …

Для сохранения настроек нажимаем Save/Reboot

Альтернативный способ?

Если модем поддерживает заливку конфигурации, то все настройки можно «залить» одним файлом. По сути, прошивка — это обычный файл конфигурации, который можно отредактировать текстовым редактором. Пример куска прошивки:

[ eth.ini ] ifadd intf=School_WAN

ifconfig intf=School_WAN dest=School_ATM vlan=default

[ ppprelay.ini ] ifadd intf=bridge

[ dhcspool.ini ] pool add name=LAN_private

Как залить файл конфигурации на примере модема Dlink

В стартовом окне настроек выберите пункт «Расширенные настройки»:

Далее в категории «Система» выбираем пункт «Конфигурация».

Кнопкой «Обзор» ищем на компьютере и выбираем файл конфигурации, который будет загружен.

Какие DNS рекомендуется прописывать?

Для обеспечения бесперебойной работы службы DNS на персональных компьютерах, услуги Контент-фильтрации, компания ОАО «Ростелеком» Коми филиал рекомендует для получения IP-адреса по доменному имени использовать следующие DNS сервера: