Дипломная работа: Обеспечение защиты информации в локальных вычислительных сетях

OpenOffice.org (OOo, OO.o) – свободный пакет офисных приложений, разработанный с целью предоставить альтернативу Microsoft Office как на уровне форматов, так и на уровне интерфейса пользователя. Одним из первых стал поддерживать новый открытый формат OpenDocument (ISO/IEC 26300). Отлично работает на платформе Microsoft Windows и других платформах. Офисный пакет OpenOffice.org может свободно устанавливаться и использоваться в школах, офисах, вузах, домашних компьютерах, государственных, бюджетных и коммерческих организациях и учреждениях России и стран СНГ согласно GNU General Public License.

К специальному программному обеспечению относятся:

·  Программы выписки доверенностей

·  1С бухгалтерия

·  Программы выписки командировок

·  Антивирусная программа Касперского 6.0

2.2.3 Защита информации в ЛВС программными средствами

Для эффективной защиты информации обрабатываемой, хранящейся и циркулирующей в локальной сети завода отделом АСУ используются следующие программы:

·  Программы Firewall

·  Антивирусные средства (Антивирус Касперского (6.0.4.1212)

·  Программы антиспама

Firewall – межсетевой экран или сетевой экран – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Антивирус Касперского – антивирусное программное обеспечение, разрабатываемое Лабораторией Касперского. Предоставляет пользователю защиту от вирусов, троянских программ, шпионских программ, руткитов, adware, а также неизвестных угроз с помощью проактивной защиты, включающей компонент HIPS.

Базовая защита Антивируса Касперского:

·  Защита от вирусов, троянских программ и червей;

·  Защита от шпионских и рекламных программ;

·  Проверка файлов в автоматическом режиме и по требованию;

·  Проверка почтовых сообщений (для любых почтовых клиентов);

·  Проверка интернет-трафика (для любых интернет-браузеров);

·  Защита интернет-пейджеров (ICQ, MSN);

·  Проактивная защита от новых вредоносных программ;

·  Проверка Java- и Visual Basic-скриптов.

Предотвращение угроз Антивирусом Касперского:

·  Поиск уязвимостей в ОС и установленном ПО;

·  Анализ и устранение уязвимостей в браузере Mozilla Firefox;

·  Блокирование ссылок на зараженные сайты;

·  Распознавание вирусов по способу их упаковки;

·  Глобальный мониторинг угроз (Kaspersky Security Network).

Защита конфиденциальных данных

·  Блокирование ссылок на фишинговые сайты;

·  Защита от всех видов кейлоггеров.

2.3 Компьютерная телекоммуникационная сеть отдела

2.3.1 Структура сети, топология подсети

В отделе АСУ звездообразная топология подсети. Все компьютеры подключены к одному коммутатору (свитчу), который оптоволоконным кабелем соединен со шлюзом.

Звезда́ (Рисунок 2.1) – базовая топология компьютерной сети, в которой все компьютеры сети присоединены к центральному узлу, образуя физический сегмент сети. В качестве центрального узла используются концентраторы и коммутаторы. Сегменты сети функционируют в составе сложной сетевой топологии («дерева»). Весь обмен информацией идет исключительно через центральный узел, на который таким способом ложится очень большая нагрузка, потому ничем другим, кроме сети, оно заниматься не может. Никакие конфликты в сети с топологией звезда в принципе невозможны, потому что управление полностью централизовано.

Рисунок 2.1. Топология «Звезда»

2.3.2 Основные технические характеристики сетевого оборудования

Оборудование, используемое в ЛВС ЗАО завода ЛИТ:

·  Коммутаторы (Рисунок 2.2);

·  Концентратор(Рисунок 2.3);

·  Маршрутизатор(Рисунок 2.4);

·  Оптоволоконный кабель(Рисунок 2.5);

·  UTP- и SFTP- кабели(Рисунок 2.6).

Основными целью коммутаторов и концентраторов является соединение компьютеров в локальную сеть.

Рисунок 2.2. Коммутатор Cisco SRW2024-EU

Технические характеристики:

·  Тип устройства: коммутатор для рабочей группы

·  Корпус: монтируемый в шкаф-стойку корпус

·  Тип сети: Gigabit Ethernet, Fast Ethernet, Ethernet

·  Кол-во базовых портов: 24

·  MDI: 24 автоматически переключающиxся порта

·  Индикаторы:

o  активное соединение

o  электропитание

·  Поддерживаемые стандарты:

o  IEEE 802.1p (Prioritizing)

o  IEEE 802.1Q (VLAN)

o  IEEE 802.1X

o  IEEE 802.3 (Ethernet)

o  IEEE 802.3ab (TP Gigabit Ethernet)

o  IEEE 802.3af (power over ethernet)

o  IEEE 802.3u (Fast Ethernet)

o  IEEE 802.3x (Flow Control)

·  Сертификаты: CE Mark, EN 60950, UL-1950

·  Интерфейсы:

o  24 x Ethernet 10/100/1000BaseT • RJ-45 (auto MDI-II/MDI-X port)

o  2 x GBIC • Mini-GBIC

·  Электропитание:

o  внутренний блок питания

o  100 / 240В (перемен. ток)

·  Габариты (ВысотаХ ШиринаХ Глубина), Вес: 43 x 4.5 x 35 см, 3.4 кг

Концентратор Cisco Systems серии FastHub 200 предлагают самое дешевое управляемое решение для концентраторов 100BaseT, предназначенных малым рабочим группам и группам серверов. Эти отдельно стоящие концентраторы сочетают в рамках весьма недорогого решения производительность в 100 Мб/сек и интегрированные возможности управления при помощи технологии Cisco IOSO.

У маршрутизаторов цель подобна коммутаторам и концентраторам, но отличается тем, что коммутаторы и концентраторы – это инструменты локальных сетей, а маршрутизатор – глобальных. Задачей его является направление пакета в определенную подсеть.

Маршрутиза́тор или роутер – сетевое устройство, на основании информации о топологии сети и определённых правил принимающее решения о пересылке пакетов сетевого уровня (уровень 3 модели OSI) между различными сегментами сети. Маршрутизатор использует адрес получателя, указанный в пакетах данных, и определяет по таблице маршрутизации путь, по которому следует передать данные. Если в таблице маршрутизации для адреса нет описанного маршрута, пакет отбрасывается.

Оптоволоконный кабель для передачи в нем двоичных данных применяют световые импульсы. В силу того, что оптоволоконный кабель использует свет (фотоны) вместо электричества, почти все проблемы, присущие медному кабелю, такие как электромагнитные помехи, перекрестные помехи (переходное затухание) и необходимость заземления, полностью устраняются. Вдобавок, чрезвычайно уменьшается погонное затухание, позволяя протягивать оптоволоконные связи без регенерации сигналов на много большие дистанции, достигающие 120 км.

Оптоволоконный кабель идеально подходит для создания сетевых магистралей, и в особенности для соединения между зданиями, так как он нечувствителен к влажности и другим внешним условиям. Также он обеспечивает повышенную по сравнению с медью секретность передаваемых данных, поскольку не испускает электромагнитного излучения, и к нему практически невозможно подключиться без разрушения целостности.

Оптическое волокно — чрезвычайно тонкий стеклянный цилиндр, называемый жилой (core), покрытый слоем стекла, называемого оболочкой, с иным, чем у жилы, коэффициентом преломления. Иногда оптоволокно производят из пластика. Пластик проще в использовании, но он передает световые импульсы на меньшие расстояния по сравнению со стеклянным оптоволокном. Каждое стеклянное оптоволокно передает сигналы только в одном направлении, поэтому кабель состоит из двух волокон с отдельными коннекторами. Одно из них служит для передачи, а другое — для приема. Жесткость волокон увеличена покрытием из пластика, а прочность – волокнами из кевлара.

Вита́я па́ра – вид кабеля связи, представляет собой одну или несколько пар изолированных проводников, скрученных между собой (с небольшим числом витков на единицу длины), покрытых пластиковой оболочкой. Свивание проводников производится с целью повышения степени связи между собой проводников одной пары (электромагнитная помеха одинаково влияет на оба провода пары) и последующего уменьшения электромагнитных помех от внешних источников, а также взаимных наводок при передаче дифференциальных сигналов. Для снижения связи отдельных пар кабеля (периодического сближения проводников различных пар) в кабелях UTP категории 5 и выше провода пары свиваются с различным шагом.

В ЛВС применяется два вида кабеля:

·  незащищенная витая пара (UTP — Unshielded twisted pair) — отсутствует защитный экран вокруг отдельной пары;

·  фольгированная экранированная витая пара (S/FTP — Screened Foiled twisted pair) — внешний экран из медной оплетки и каждая пара в фольгированной оплетке.

2.3.3 Управление доступом к информации в локальной сети

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи, процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами).

Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и их доступность путем запрещения обслуживания неавторизованных пользователей.

Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением и т.д.

При принятии решения о предоставлении доступа обычно анализируется следующая информация:

·  Идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера) – подобные идентификаторы являются основой добровольного управления доступом;

·  Атрибуты субъекта (метка безопасности, группа пользователя); метки безопасности - основа принудительного управления доступом;

·  Место действия (системная консоль, надежный узел сети);

·  Время действия (большинство действий целесообразно разрешать только в рабочее время);

·  Внутренние ограничения сервиса (число пользователей согласно лицензии на программный продукт).

Если есть необходимость предоставить одинаковые права доступа некоторой группе сотрудников, лучше пользоваться не специализированными, а групповыми входами. В этом случае каждый пользователь входа имеет как бы отдельный «подвход» с собственным идентификатором и паролем, однако всем абонентам группового входа предоставляются равные права при работе с сетевой системой.

Каждый сотрудник ЗАО завода ЛИТ, допущенный к ЭВМ имеет свой личный идентификатор (логин) и пароль, который он использует для входа в систему обработки информации и доступа к данным, определенным его служебной деятельностью и функциональными обязанностями. Для повышения безопасности и защиты информации можно дополнительно разграничить доступ к данным в ЛВС по IP-адресам и MAC-адресам.

IP-адрес – сетевой адрес узла в компьютерной сети, построенной по протоколу IP, является уникальным адресом в как в локальной, так и в глобальной сети. MAC-адрес – это уникальный идентификатор, сопоставляемый с различными типами оборудования для компьютерных сетей.

Пользовательские входы и пароли – это первая линия обороны системы защиты. После того как пользователь получил доступ к сети, введя правильный идентификатор (логин) и пароль, он переходит ко второй линии, предлагаемой системой защиты: сеть определяет привилегии, которые имеет данный пользователь. Все пользователи сети были задуманы как равные сотрудники одной системы. Но некоторые из них имеют определенные дополнительные права (привилегии) – они отличают таких пользователей от остальных сотрудников.

Обычно права доступа распространяются на целые каталоги, хотя возможно установить и специальный доступ к некоторым отдельным файлам или группам файлов. При этом используется специализированное имя файла. В большинстве сетей права доступа устанавливаются на весь каталог целиком и распространяются на все подкаталоги. Конечно если только на какие-нибудь из подкаталогов, не наложены специальные права. Не обязательно, чтобы каждый пользователь имел доступ ко всем серверам. В целях безопасности системы лучше, если пользователю будет предоставлен доступ только к тем серверным компьютерам, которые нужны ему непосредственно для работы.

Во многих сетях администраторский вход открывается автоматически при установке системы. Идентификатор пользователя и пароль, используемые в этом входе, должны быть отражены в сетевой документации. Они одинаковы для любой системы данного типа. В целях безопасности и защиты информации от злоумышленников необходимо сменить пароль на таком входе, иначе любой пользователь, знающий стандартные идентификатор и пароль, устанавливаемые системой на администраторском входе, сможет работать в сети с неограниченными возможностями доступа к любым компонентам системы.

Рассмотренные способы защиты, предоставляются сетевым программным обеспечением. Но существует много других возможностей защитить сетевую информацию от постороннего вторжения. Вот несколько вариантов подобной защиты. Все компьютеры сети должны быть расположены в надежных и безопасных местах.

Если в сети установлен модем, позволяющий пользователю получать доступ к системе с удаленного компьютера, то посторонних вторжений можно ожидать и со стороны модема. В данном случае необходимо, чтобы каждый идентификатор пользователя был защищен паролем.

2.4 Политика безопасности ЗАО завода ЛИТ при его информатизации

2.4.1 Концепция безопасности ЛВС ЗАО завода ЛИТ

Рассмотрим локальную сеть, которой владеет ЗАО завод ЛИТ (Приложение 1), и ассоциированную с ней политику безопасности среднего уровня.

Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям разделять программы и данные, что увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более сильной защите.

На заводе должна быть разработана инструкция по обеспечению безопасности информации преследующая две главные цели:

·  продемонстрировать сотрудникам важность защиты сетевой среды, описать их роль в обеспечении безопасности,

·  распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как и самой сети.

В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть завода. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Целью ЗАО завода ЛИТ является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности.

Частными целями являются:

·  Обеспечение уровня безопасности, соответствующего нормативным документам.

·  Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности).

·  Обеспечение безопасности в каждой функциональной области локальной сети.

·  Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.

·  Обеспечение анализа регистрационной информации.

·  Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.

·  Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.

·  Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Перечисленные группы людей отвечают за реализацию сформулированных ранее целей.

·  Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

·  Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

·  Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

·  Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения со стороны персонала должны рассматриваться руководством для принятия мер вплоть до увольнения.

2.4.2 Обеспечение безопасности при групповой обработке информации в подразделениях и отделах ЗАО завода ЛИТ

Для обеспечения защиты информации в институте должны быть разработаны и введены в действие инструкции для всех категории персонала, в которых должны найти отражение следующие задачи для каждой категории:

Руководители подразделений обязаны:

·  Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.

·  Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.

·  Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем.

·  Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.).

·  Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и имеющего достаточную квалификацию для выполнения этой роли.

Администраторы локальной сети обязаны:

·  Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.

·  Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.

·  Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты.

·  Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.

·  Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

·  Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.

·  Следить за новинками в области информационной безопасности, сообщать о них пользователям и руководству.

·  Не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну.

·  Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения.

·  Оказывать помощь в обнаружении и ликвидации зловредного кода.

·  Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.

·  Выполнять все изменения сетевой аппаратно-программной конфигурации.

·  Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.

·  Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

·  Периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов обязаны:

·  Управлять правами доступа пользователей к обслуживаемым объектам. Оперативно и эффективно реагировать на события, таящие угрозу.

·  Информировать администраторов локальной сети о попытках нарушения защиты.

·  Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.

·  Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.

·  Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

·  Ежедневно анализировать регистрационную информацию, относящуюся к сервису.

·  Регулярно контролировать сервис на предмет зловредного программного обеспечения.

·  Периодически производить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.

Пользователи обязаны:

·  Знать и соблюдать законы, правила, принятые в организации, политику безопасности, процедуры безопасности.

·  Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.

·  Использовать механизм защиты файлов и должным образом задавать права доступа.

·  Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.

·  Помогать другим пользователям соблюдать меры безопасности. Указывать им на проявленные упущения.

·  Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.

·  Не использовать слабости в защите сервисов и локальной сети в целом.

·  Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.

·  Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.

·  Обеспечивать резервное копирование информации с жесткого диска своего компьютера.

·  Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут использоваться.

·  Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.

·  Знать слабости, которые используются для неавторизованного доступа.

·  Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.

·  Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

Реакция на нарушения режима безопасности.

Программа безопасности, принятая заводом, должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию вторжений хакеров и зловредного кода. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные. Реакция на нарушения режима безопасности преследует две главные цели:

·  блокирование нарушителя и уменьшение наносимого вреда;

·  недопущение повторных нарушений.

На заводе должен быть человек, доступный 24 часа в сутки (лично, по телефону или электронной почте), отвечающий за реакцию на нарушения. Все должны знать координаты этого человека и обращаться к нему при первых признаках опасности.

Для недопущения повторных нарушений необходимо анализировать каждый инцидент, выявлять причины, накапливать статистику. Каковы источники зловредного кода? Какие пользователи имеют обыкновение выбирать слабые пароли? На подобные вопросы и должны дать ответ результаты анализа.

Страницы: 1, 2, 3, 4, 5