Autorizace uživatelů a monitoring přístupu

Související záležitostí je neautorizovaný přístup do školní sítě. Studenti a pedagogové se do počítačů buď nepřihlašují vůbec nebo nejsou autorizováni centrálním systémem nebo se přihlašují obecnými účty (zak1, pedagog2 a podobně). Díky tomu není možné v případě problémů zjistit, kdo je zodpovědný za zcizení dat či jiný bezpečnostní incident.

Uživatelé také většinou nebývají jednoznačně identifikovatelní v rámci Wi-Fi sítě a ani dalších síťových prvků, jako je například centrální internetová brána (router). V případě incidentu v rámci školní sítě je pak možné identifikovat zodpovědného uživatele pouze na základě fyzické adresy jeho zařízení, a to je ve většině případů naprosto nedostatečné. Mohlo to být totiž zařízení, které uživatel donesl pouze jednou (například nějaký osobní tablet studenta) nebo se jedná o školní počítač v učebně, ze kterého mohou přistupovat různí žáci. Pokud škola bude mít zájem umožnit přístup žáků k internetu z jejich soukromých zařízení (například z jejich osobních telefonů přes Wi-Fi), je filtrování internetového obsahu školou skoro povinností. Měla by totiž zamezit žákům přistupovat k potencionálně nebezpečnému obsahu a také k případnému páchání trestné činnosti. Minimálně by v případě spáchání trestného činu ze školní sítě měla být schopna poskytnout vyšetřujícím orgánům konkrétní informace.

V případě, že škola vlastní alespoň centrální Windows Server a má stanice s operačním systémem minimálně v edici Windows Professional, může nasadit centrální autorizaci uživatelů do školní sítě a mít tak alespoň základní záznamy o tom, co uživatelé v síti dělají, pro případ řešení nějakého incidentu. Windows Server totiž umožňuje spuštění role doménového řadiče a služby Active Directory v ceně operačního systému. Stačí pak vyexportovat všechny pedagogy a žáky ze školní databáze (například ze systému Bakaláři), zařadit počítače do domény a autorizace uživatelů do školní sítě je spuštěná.

Autorizaci uživatelů v rámci sítě mohou následně využívat i další síťové prvky a zařízení, které následně přidělují přístupy ke konkrétním školním či internetovým zdrojům. Jedná se například o školní server s výukovými materiály a dokumenty, centrální školní tiskárny, školní vzdělávací portály nebo internetovou bránu, která může také umožňovat kategorizaci obsahu internetu. Velmi důležitým prvkem ve škole je například centrální internetová brána, která umožňuje filtraci a monitoring internetového obsahu. Jedná se o funkcionalitu, která využívá databázi internetových stránek, rozdělenou do různých kategorií (např. vzdělávací portály, sociální sítě, zpravodajství, erotika a podobně). Tato databáze je neustále aktualizována a škola tak může zamezit přístupu žáků například k erotice, sociálním sítím či dalším potencionálně nebezpečným stránkám. Zařízení je většinou schopné také ukládat historii navštívených stránek dle konkrétních uživatelů a díky tomu má škola následně kompletní záznamy pro případné vyšetřování nějakého incidentu. Jedním z takovýchto zařízení je například Kernun UTM nebo Kernun ClearWeb.

Pro velké školy může pak být velmi zajímavé podrobné logování chování celé sítě. K tomu slouží zařízení, které neustále monitoruje celý síťový provoz, ukládá si o něm záznamy a historii a někdy také v reálném čase vyhodnocuje případné problémy v síti.
Dokáže například automaticky rozpoznat napadený počítač škodlivým kódem, zjistit potencionální únik dat ze školní sítě nebo nestandardní chování uživatele. Příkladem takového zařízení je sonda Flowmon.