Файл: Защита сетевой инфраструктуры предприятия.pdf

В СЗИ реализовано три иерархических уровня реализации разграничительной политики доступа к ресурсам корпоративной VPN.

Первый уровень - уровень контроля доступа к сетевым ресурсам. Состоит в полном запрете доступа к сетевым ресурсам не идентифицированных субъектов/объектов. Реализуется следующим образом. Вне зависимости от того, как определен субъект/объект доступа, на котором установлена клиентская часть СЗИ, кроме, как к серверу VPN, до осуществления его успешной идентификации на сервере VPN (что подтверждается загрузкой с сервера таблицы сеансовых ключей шифрования), невозможен.

Второй уровень - уровень контроля доступа к корпоративным ресурсам. Состоит в реализации различных возможностей доступа к сетевым ресурсам для корпоративных и доверенных субъектов/объектов. Корпоративным субъектам/объектам разрешается взаимодействие только с корпоративными субъектами/объектами, при этом их трафик шифруется соответствующими сеансовыми ключами (для каждой пары субъект/объект свой сеансовый ключ шифрования). Доверенным субъектам/объектам разрешается взаимодействие, как с корпоративными субъектами/объектами, при этом их трафик шифруется соответствующими сеансовыми ключами (для каждой пары субъект/объект свой сеансовый ключ шифрования), так и с внешними по отношению к корпорации субъектами/объектами, при этом их трафик не шифруется. Это реализуется следующим образом. При сетевом взаимодействии в рамках VPN, взаимодействующие клиентские части взаимно идентифицируют друг друга (обмениваются своими ID). Результатом подобной взаимной идентификации является принятие сторонами решения о возможности взаимодействия, при возможности - выбор способа взаимодействия, при выборе защищенного способа - выбор сеансового ключа шифрования. Так, если к корпоративному субъекту/объекту обращается корпоративный субъект/объект, будет осуществлена взаимная идентификация субъектов/объектов клиентскими частями СЗИ, взаимодействие сторонам будет разрешено, каждой стороной будет однозначно определен сеансовый ключ шифрования (он свой для каждой пары идентифицированных субъектов/объектов). То же произойдет, если к доверенному субъекту/объекту обращается доверенный субъект/объект (их взаимодействие будет разрешено по защищенному сеансовым ключом каналу). В случае если к корпоративному субъекту/объекту обращается некий внешний по отношению к VPN субъект/объект, не будет осуществлена взаимная идентификация субъектов/объектов взаимодействие будет запрещено. В случае если к доверенному субъекту/объекту обращается некий внешний по отношению к VPN субъект/объект, не будет осуществлена взаимная идентификация субъектов/объектов - взаимодействие будет разрешено по открытому каналу связи. То же произойдет и в случае, если доверенный субъект/объект обращается к некому внешнему по отношению к VPN субъекту/объекту.

Третий уровень - уровень разграничения доступа к корпоративным ресурсам в составе VPN. К корпоративным ресурсам VPN имеют доступ корпоративные и доверенные субъекты/объекты (доступ к ним осуществляется по защищенным сеансовыми ключами каналам связи), каждый из которых идентифицируется своим ID. Реализация разграничений доступа состоит в возможности задания администратором безопасности (разграничительная политика реализуется с сервера VPN) разграничений (разрешений или запретов) по взаимодействию корпоративных и доверенных субъектов/объектов между собою - задается какой ID с каким ID может (либо не может) взаимодействовать. При задании разграничительной политики доступа к корпоративным ресурсам на сервере VPN, после успешной идентификации субъекта/объекта на сервере, с сервера ему будет передана таблица сеансовых ключей шифрования (и идентификаторов субъектов/объектов) только тех субъектов/объектов, с которыми разрешено взаимодействие идентифицированному субъекту/объекту в рамках реализации заданной разграничительной политики доступа к ресурсам VPN.

Идентифицировавшийся субъект/объект сможет взаимодействовать только с теми субъектами/объектами VPN, для взаимодействия с которыми им будут получены с сервера VPN сеансовые ключи шифрования.

Таким образом, для внедрения данной системы в ОАО «Марийский машиностроительный завод» необходимо установить сервер VPN, серверную часть системы, а также клиентские части.

Итак, для рассматриваемой локальной вычислительной сети система безопасности будет состоять из следующих элементов:

- Разграничение доступа к ресурсам (парольное, служба AD);

- Разграничение доступа к ресурсам с помощью e-Toking (в составе КСЗИ «Панцирь»);

- Размещение внутренних сегментов сети в демилитаризованной зоне;

- Использование брандмауэров;

- Использование системы резервного копирования и источников бесперебойного питания;

- Использование антивирусного программного обеспечения;

- Шифрование внутрисетевого трафика (КСЗИ (Панцирь»).

Применение данного комплекса мер позволяет надежно обезопасить обрабатываемую в локальной вычислительно сети информацию от атак из сети Интернет и внутренних атак.

4. Экономическая часть. Оценка стоимости предлагаемых мер

4.1 Расчет затрат

Для создания системы защиты информации в рассматриваемой сети необходимы материальные издержки на:

закупку программного обеспечения

закупку персонального компьютера для организации АРМ администратора VPN сервера

Стоимость издержек указана в таблице 4.1:

Таблица 4.1Материальные издержки

4.2 Расчет заработной платы исполнителей

Рассчитаем заработную плату работников непосредственно участвующих в разработке методики оперативного контроля по формуле:

З исп = С о.зп + С доп.з.п.

где С о.зп – основная заработная плата работника,

С доп.з.п. – дополнительная заработная плата работника.

Таблица 4.2 Зарплата исполнителей

С доп.з.п. = С о.зп * 0,12 = 67999 * 0,12 = 8159 руб.

З исп = 67999 + 8159 = 76158 руб.

Таблица 4.3 Расчет договорной цены

Итак, договорная цена системы составляет 617558 руб.

Так как назначение проекта в защите информации от возможных услуг, его эффективность заключается в недопущении утечки информации и следовательно, прибыли компании. Вероятность утечки информации, ее характер, а следовательно и стоимость оценке не поддаются, следовательно количественно оценит эффективность затруднительно.

Заключение

Информация, несомненно, один из наиболее ценных ресурсов предприятия, она необходима на стадии принятия решения, при реализации задач хозяйственной деятельности и управления, именно с помощью использования и анализа нужной информации менеджер готовит соответствующие отчеты, предложения, для конечной выработки и принятия управленческих решений. Очевидно, что перед началом работы с информацией необходимо ее структурировать и подготовить к использованию, потому что на начальном этапе предприятие взаимодействует чаще всего с необработанной информацией. Проблему перевода информации в состояние полезности, решает действующая на предприятии это информационная система.

Наличие большого количества циркулирующих информационных потоков значительно увеличивает вероятность возникновения информационных рисков на предприятии, связанных с нарушением конфиденциальности пользования и целостности информации.

Любой вид деятельности человека можно представить как процесс, в результате которого появляется продукт, материальный или интеллектуальный, имеющий определенную ценность, то есть стоимость. Информация является одной из разновидностей таких ценностей, стоимость ее может оказаться настолько высокой, что ее потеря или утечка, даже частичная, способна поставить под вопрос само существование компании. Поэтому защита информации с каждым днем приобретает все большее значение, практически во всех более или менее крупных организациях существуют свои подразделения, выполняющие задачу по обеспечению информационной безопасности компании.

В различных сферах деятельности человек пользуется различными определениями понятия информации, в сфере информационной безопасности в России на сегодняшний день используется определение данное в Законе РФ "Об информации, информатизации и защите информации".

Одним из наиболее характерных и популярных средств обеспечения информации в настоящее время являются программно-аппаратные комплексы.

В настоящей работе были рассмотрены вопросы, касающиеся защиты информационной системы ОАО «Марийский машиностроительный завод» от внешних угроз, в том числе рассмотрены наиболее распространенные и отвечающие предъявляемым требованиям программно-аппаратные комплексы защиты от несанкционированного доступа.

Таким образом, в рамках первой главы, мною были рассмотрены теоретические вопросы по защите информации, передаваемой по заводским локально – вычислительным сетям. Были рассмотрены вопросы по организации защиты сетей, какие существуют средства защиты информации, основные функции ЛВС, способы их построения, а также их монтаж.

Вторая глава была посвящена аналитическому вопросу исследования защиты ЛВС на ОАО «ММЗ». Была кратко рассмотрена характеристика локальной сети завода, история развития и основания завода, а также какие существуют возможные угрозы для локальной сети завода.

Соответственно в третьей главе мною были рассмотрены вопросы, касающиеся уже разработки и выбора средств, для обеспечения информационной безопасности локальной вычислительной сети на ОАО «ММЗ». Какая существует политика безопасности на предприятии. Каким образом проводится внедрение систем защиты сетей.

Таким образом, в четвертой главе были рассмотрены вопросы, касающиеся экономической части, в частности стоимости предлагаемых мною мер защиты.

Цели работы считаю выполненными.

Список использованной литературы

1. Автоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. - М.: ЮНИТИ, 2005 г.- 399 с.
2. Андрианов В.И. Бородин В.А. Соколов А.В. "Шпионские
3. штучки" и устройства для защиты объектов и информации, Справочное
4. пособие.-Лань,СПБ.,1996
5. Андрианов В.И., Соколов А.В. «Шпионские штучки 2" или как сберечь свои секреты. - СПб.: Полигон, 1997. - 272 с., ил.
6. ГОСТ 12.0.003.-74 ССТБ «Опасные и вредные производственные факторы. Классификация».
7. ГОСТ 12.1.003—83* ССБТ. Шум. Общие требования безопасности.
8. ГОСТ 12.1.005—88 ССБТ. Общие санитарно-гигиенические требования к воздуху рабочей зоны.
9. ГОСТ 12.1.009 - 76 ССБТ. Электробезопасность. Термины и определения.
10. ГОСТ 12.1.029 - 80 ССБТ. Средства и методы защиты от шума. Классификация
11. Малюк А.А., Пазизин СВ., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. -2- еизд.-М.: Горячаялиния-Телеком.-2004.- 147 с.
12. Моисеева Н.К. «Практикум по проведению функционально стоимостного анализа».— М.: МИЭТ, 2006.
13. Моисеева Н.К. «Экономическая отработка технических решений с помощью функционально-стоимостного анализа на этапах создания и освоения новой техники».—М.: МИЭТ, 2007.
14. Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб. пособие. Воронеж: Воронеж. гос. техн. ун-т, 2006.-193 с.
15. Бройдо В. М., Вычислительные системы, сети и телекоммуникации, СПб, Питер, 2010, 702 с.
16. Еордашникова О.Ю. Функционально-стоимостной анализ качества продукции и управления маркетингом на предприятии. - М.: Издательство «Альфа-Пресс». 2010. - 88 с.
17. Бузов Е.А., Калинин СВ., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие.- М.- Еорячая линия- Телеком.-2008.-416 с.
18. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С. А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2006г.-272с.
19. ЕейерДжим, Беспроводные сети, Москва, издательский дом Вильяме, 2005 год,191 с.
20. Домарев В.В. «Безопасность информационных технологий.
21. Системный подход» - К.:000 ТИД «Диасофт», 2004.-992 с.
22. Казарин О.В. Безопасность программного обеспечения компьютерных систем, Москва, МГУЛ, 2003, 212 с.
23. Кульгин М. В.,Технология корпоративных сетей. Энциклопедия. СПб, Питер, 2001, 300 с.
24. Лапонина О. Р., Межсетевое экранирование, Бином, 2007 г.-354с.
25. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. -2004.-280 с.
26. Новиков Ю. С. «Локальные сети: архитектура, алгоритмы, проектирование». Москва, ЭКОМ, 2009, 145 с.
27. http://www.infosecurity.ru/
28. Семенов А. Б. «Волоконная оптика в локальных и корпоративных сетях» Москва, АйТи-Пресс, 2003 год, 230 с.
29. Новиков Ю. С. «Локальные сети: архитектура, алгоритмы, проектирование». Москва, ЭКОМ, 2000, 145 с.
30. Семенов А. Б., Стрижаков С. К., Сунчелей И. Р.. «Структурированные Кабельные Системы АйТи-СКС, издание 3-е». Москва, АйТи-Пресс,2001
31. «Администрирование сети на основе Microsoft Windows 2000. Учебный курс MCSE». Москва, Русская редакция, 2000 год, 250 с.
32. Яковлев В.В., Корниенко А.А. Информационная безопасность и защита информации в корпоративных сетях железнодорожного транспорта, Издательство: Маршрут, 2002 год- 327 с.
33. ГОСТ Р 15971-90. Системы обработки информации. Термины и определения
34. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»
35. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации;
36. ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»
37. ГОСТ Р 51583-00. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
38. ГОСТ Р 51624-00 «Зашита информации. Автоматизированные
39. системы в защищённом исполнении. Общие требования».
40. Положение о государственном лицензировании деятельности в области защиты информации: Утверждено Решением Государственной Технической Комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации № 10 от 27 апреля 1994 г. и № 60 от 24 июня 1997 г.
41. ГОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения