Файл: Защита сетевой инфраструктуры предприятия (Особенности защиты информации в современных условиях).pdf

Обеспечение информационной безопасности на сегодняшний день является одной из приоритетных задач системного администратора обслуживающего локальную сеть, подключенную, в свою очередь, к глобальной сети. К сожалению, сеть является не только удобным средством коммуникации и обменом информации, но и местом постоянной опасности, в котором можно стать жертвой разнообразных сетевых атак. Большая часть угроз связана с несовершенством стека протоколов TCP/IP. Так как эти протоколы были разработаны в то время, когда проблема обеспечение информационной безопасности не стояла так остро, это привело к ряду уязвимостей, которыми пользуются злоумышленники для проведения сетевых атак.

ЛВС на предприятии занимает ключевую позицию в обеспечении циркуляции информации, коммуникации сотрудников, а также непосредственно в организации рабочего процесса.

Как и любой другой ресурс, информация требует сохранности и защищенности систем и структур, в которых сосредоточена.

На момент проектирования ЛВС на объекте современность средств защиты и мероприятий по предотвращению угроз находится на приемлемом уровне, но с течением времени программные и аппаратные комплексы системы устаревают, а вредоносные факторы и киберпреступность продвигается в развитии семимильными шагами.

Предприятие, на котором не предпринимаются меры по модернизации ЛВС обречено стать мишенью у лиц, занимающихся запрещенной законодательством деятельность. Основываясь на упомянутом выше явлении устаревания средств и мероприятий актуальность модернизации защиты ЛВС предприятия встает на первые позиции в рамках концепции осуществления комплексной защиты объекта информатизации.

В данной работе объектом исследования является ООО «Авангард». Предмет исследования - угрозы информационной безопасности сети данного предприятия и модернизация средств защиты от них.

В ходе исследования была поставлена цель - проведение модернизации защиты сетевой инфраструктуры ООО «Авангард».

Для реализации освещенной выше цели необходимо выполнить следующие задачи:

- изучить актуальные средства защиты ЛВС в предприятиях;

- провести аудит предприятия с целью выявления угроз целостности, доступности и конфиденциальности информации;

- подобрать необходимое для усовершенствования защиты ЛВС программное и аппаратное обеспечения;

- спроектировать структурную и функциональную схемы модернизированной ЛВС.

Структура курсовой работы. Исследование состоит из введения, трех глав, заключения, списка использованных источников, приложения.

1. Общая характеристика защиты сетевой инфраструктуры предприятия

1.1. Особенности защиты информации в современных условиях

В данной курсовой работе рассматриваются особенности защиты сетевой инфраструктуры на примере ООО «Авангард». Следует отметить, что предприятие может представлять собой как маленькое здание в несколько этажей, так и целый комплекс из нескольких многоэтажных корпусов. Уникальность каждого здания под рабочие нужды порождает самый широкий спектр средств защиты информации.

Любое предприятие включает в себя множество отделов, таких как, отдел кадров, экономико-бухгалтерский отдел, ИТ-отдел и тому подобное. Специфика работы каждого из отделов и циркулирующая в них информация накладывает определенные требования на обеспечение безопасности информации, достигаемой достаточно хорошей защитой локальной вычислительной сети.

Защита информации является слабо формализуемой задачей, то есть не имеет формальных методов решения, и характеризуется следующим:

- большое количество факторов, влияющих на построение эффективной защиты;

- отсутствие точных исходных входных данных;

- отсутствие математических методов получения оптимальных результатов по совокупности исходных данных.^[1]

Согласно Конституции Российской Федерации^[2], Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»^[3], Трудовому кодексу РФ^[4], при сборе персональных данных, операторами и третьими лицами, получающими доступ к персональным данным, должны обеспечивать конфиденциальность таких данных и постоянную защиту от несанкционированного хищения, изменения.

Обеспечение защиты информации в рамках предприятия достаточно посильная задача, но при условии грамотных организационных мероприятий, оптимально подобранных программно-технических мер защиты локальной вычислительной сети.

1.2. Обзор программно-технических мер защиты сети

Выделяются основные группы средств защиты информации в зависимости от метода воплощения в реальность, такие как программные, технические и смешанные аппаратно-программные.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию.^[5]

Самой главной задачей ИТ-отдела предприятия является закупка лицензионного антивирусного обеспечения, его установка на машины, грамотное внедрение в систему защиты информации, настройку всех его компонентов под нужны сотрудников.

В последнее время наблюдается тенденция перехода предприятий на продукты отечественных разработчиков, обуславливается такой процесс политикой импортозамещения. Политика насчитывает много плюсов: скидка для предприятий, лояльная русскоговорящая техническая поддержка, адаптация концепции продуктов русскоязычное население и менталитет. Для стимулирования замещения импорта российскими товарами применяется, в частности, таможенно-тарифное (пошлины) и нетарифное (квоты, лицензирование ввоза) регулирования, а также субсидирование и другие виды господдержки производств в России^[6].

Антивирусная защита осуществляет по большей степени превентивный характер воздействия на систему, по необходимо применяются реактивные меры. Эффективное управление защитой от угроз и уязвимостей должно быть не реактивным, а превентивным, не допускающим возникновения проблем, - отметил Стив Робинсон (Steve Robinson), генеральный менеджер подразделения IBM Security Solutions... .^[7] С этим в большей степени все прозрачно и не вызывает нареканий.

Избежать инсайдерского вторжения в систему, не допустить простейшего нарушения конфиденциальности информации, разграничить доступ к ней, а также сформировать целостность информации легко обеспечением санкционированного доступа к ресурсам сети. Каждый сотрудник, каждый пользователь обязан иметь свой логин и пароль для входа в информационную систему предприятия. Казалось бы, ничего удивительного и нового, но именно эти меры защиты информации несут в себе залог стабильного корректного функционирования сети, сохранности информационных ценностей и конфиденциальных данных. Мировой практикой по использованию паролей установлено, что оптимальными требованиями по формированию персональной символьной последовательности являются: длина пароля от 6 до 12 символов; символы разного регистра; использование разной языковой раскладки; включение не менее одной цифры или специального знака; хаотичный набор символов, а не последовательность из слов, легко подбираемых программами по словарю.

Большинство злоумышленников не заморачиваются с изощренными методами кражи паролей. Они берут легко угадываемые комбинации. Около 1% всех существующих на данный момент паролей можно подобрать с 4 попыток.^[8]

В целях защиты пользователей от сайтов, имеющих запрещенный законодательством Российской Федерации контент, стимуляции сотрудников грамотно управлять рабочим временем и выполнять свои обязанности, применяются так называемые «белые списки» подразумевающие под собой концепцию запрета всех адресов сайтов, кроме четко установленных и разрешенных.

В частном случае белый лист может быть реализован в виде плагина для браузера, который довольно легко настраивается и выполняет свои задачи без какой-либо заметной нагрузки на сеть. К примеру, одним из подобных плагинов является продукт компании Google под незамысловатым названием Whitelist for Chrome. Работать с плагином очень просто. После установки расширения, как и положено, в правом верхнем углу окна появится небольшая кнопка. Если кликнуть по ней правой клавишей мыши откроется контекстное меню, содержащее основные опции.^[9]

Иная концепция «белого листа» в рамках использования в предприятиях появилась в России еще в середине 2014 года по предложению главы Ассоциации интернет-издателей Ивана Засурского. В его видении, еще два года назад, «белый лист» был бы неким реестром, включающим сайты с информацией, за использование которой «нельзя было бы наказать». В целом, довольно удобно: никто ничего не нарушает, соблюдается авторское право, но опять же, кто сказал, что разрешенные в том списке сайты будут полезны детям. Таким образом, конкретно на предприятии пользу принесет концепция, с тем же продуктом от поискового гиганта.

С техническими средствами все не так однозначно, ибо их принято разделять на физические и аппаратные. Физические средства защиты ориентированы на затруднение свободного доступа нарушителю к охраняемым зонам. Человек, не имеющим пропуска элементарно не будет пропущен через контролируемые проходные зоны. Следует учесть, что личность данного «персонажа» будет идентифицирована и занесена в базу данных нарушителей СКУД, а сам нарушитель будет объясняться перед сотрудниками полиции. Система контроля и управления доступом (СКУД) - совокупность программно-аппаратных технических средств безопасности, имеющих целью ограничение и регистрацию входа-выхода объектов (людей, транспорта) на заданной территории через «точки прохода»: двери, ворота, КПП.^[10] Не стоит забывать, что эти средства защиты снижают уровень угроз со стороны сотрудников и «сглаживают» некоторые некритичные ошибки в отношении ЛВС.

Контрольные зоны, в которых размещается сетевое и серверное оборудование должны быть хорошо защищены: закрыты на замки (обычные механические или электронные с доступом по карте). Точки доступа к ЛВС обязаны быть опломбированы и располагаться в местах, недоступных для рядового сотрудникам, тем более пользователя. Доступ в серверные в самом оптимальном случае желателен начальнику ИТ-отдела и системному администратору. Руководствуясь принципом: чем меньше человек имеет доступ, тем выше степень безопасности, достигается сбалансированная организация работа персонала, устраняются потенциальные угрозы, снижается процент риска такой ситуации как диверсия.

Реализация блокировки внешних носителей на персональных компьютерах при попытке подключения оных дает ощутимую защиту информационных систем, необходимо отключить оптические приводы и дисководы с переносными дискетами. Для использования режима контроля над использованием внешних носителей администратор должен использовать групповые (локальные) политики. При помощи групповых политик администратор может указать конкретные устройства, использование которых разрешено на данном компьютере.^[11] Кажущиеся на первый взгляд «драконовские меры» препятствуют попаданию вредоносного кода в ЛВС и несанкционированному доступу к базам данных.

Стоит учесть и технические сбои различного рода. Защитить ЛВС позволить внедрение канала второго интернет-провайдера, притом они должны располагаться физически на разных линиях связи. Отключение основного канала без наличия резервного придется определенно к простою в работе многих отделов предприятия, а также застопорит процесс получения знаний у пользователей, что недопустимо в рамках политики предприятия. Внедрение второго канала устранит данную проблему, а также повысит надежность ЛВС.

Не застраховано также ни одно предприятие крупного города и от непредвиденного отключения энергоснабжения: любая авария на подстанции или обрыв линии электропередач и предприятие погрузится «во тьму», что приведет к еще большему коллапсу, нежели потеря связи с сетью Интернет. Текущий вопрос решается установкой дизель-генераторов, но к каким мерам прибегнуть, если проблема не глобальна, а вполне себе местного масштаба - внедрение источников бесперебойного питания. Устройства довольно компактные, не особо прихотливые, но позволяющие добиться одного из важнейших показателей сети: отказоустойчивости и аптайм сервера. ИБП подключаются к ПК, серверным и сетевым устройствам, требующим внешнего питания.