Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

АННОТАЦИЯ

В рамках данного курсового разрабатывалась подсистема информационной защиты предприятия ОАО «Кубаньэнерго».

Пояснительная записка к курсовому проекту содержит в себе следующие разделы:

· ведение - в данном разделе описывается тема курсового проекта и его цели;

· описание компьютерной сети предприятия - здесь описывается сеть предприятия, ее схема и конфигурация;

· постановка задачи - в этом разделе ставятся задачи требующие решения в рамках разработки курсового проектирования;

· анализ защищенности сети - в этом разделе описывается защищенность сети на момент разработки подсистемы безопасности;

· возможные угрозы безопасности - здесь описываются все возможные угрозы сети;

· модель нарушителя - в этом разделе с учетом анализа защищенности сети описываются те угрозы безопасности, которые могут быть направлены на сеть;

· анализ методов и средств обеспечения безопасности сети - здесь содержится описание основных механизмов защиты данных;

· реализация функций подсистемы информационной безопасности компьютерной сети - этот раздел содержит описание методов защиты на уровне локальных рабочих станций, локальных рабочих станций и межсетевого взаимодействия;

· реализация механизма криптографической защиты данных - здесь приводится описание выбранного метода решения криптографической защиты данных, алгоритм и процедуры шифрования и дешифрования файлов;

· заключение - здесь подводятся итоги работы, сравниваются поставленные задачи и достигнутые результаты.

СОДЕРЖАНИЕ

Введение

1. Описание компьютерной сети предприятия

1.1 Структура ЛВС ОАО «Кубаньэнерго»

1.2 Конфигурация ПК

1.3 Конфигурация сервера

2. Постановка задачи

3. Анализ защищенности сети

4. Возможные угрозы безопасности ЛВС

5. Модели нарушителя

6. Анализ методов и средств обеспечения безопасности компьютерной сети

6.1 Анализ методов обеспечения безопасности компьютерной сети

6.1.1 Организационные методы

6.1.2 Инженерно-технические методы

6.1.3 Технические методы

6.1.4 Программно-аппаратные методы

6.2. Анализ средств обеспечения безопасности компьютерной сети

6.2.1 Аппаратные средства защиты информации

6.2.2 Программные средства защиты информации

7. Реализация функций подсистемы информационной безопасности компьютерной сети

8. Организация защиты информации криптографическими методами

8.1 Описание метода шифрования

8.2 Описание алгоритма работы криптографического программного модуля

8.3. Программный модуль криптографического преобразования данных

9. Оценка стоимости проекта подсистемы информационной безопасности компьютерной сети

Заключение

Список используемой литературы

Введение

Новые виды атак, компьютерные вирусы появляются ежедневно, этим и обусловлена необходимость защиты информационных ресурсов ЛВС организации, имеющей доступ к сетям общего пользования. Вместе с тем, как правило, большинство используемых программно-аппаратных платформ являются продуктами западных производителей, которые не предоставляют достаточных гарантий формирования доверенной среды для обработки информации, т.е. могут содержать не декларированные возможности или просто ошибки в программном обеспечении.

Обычно те или иные отдельные средства обеспечения информационной безопасности, например, межсетевые экраны, антивирусные средства и т.д., присутствуют в составе системы защиты информации организации. Но разрозненное использование отдельных элементов обеспечения безопасности, даже самых перспективных на сегодняшний день, не может гарантировать полноценной защиты от НСД (например, от атак из сети Интернет). Кроме того, имеющиеся на сегодняшний день предложения различных отечественных и зарубежных разработчиков по построению систем информационной безопасности, часто базируются на недостаточно эффективных, к тому же не сертифицированных решениях. С этих позиций реализация сбалансированной политики информационной безопасности в организации путем применения защищенного к ее ресурсам узла доступа, поддерживающего различные сетевые протоколы и сервисы, приобретает особое значение.

1. Описание компьютерной сети предприятия

Открытое акционерное общество энергетики и электрификации Кубани (ОАО «Кубаньэнерго») -- крупнейшая электросетевая компания на территории Краснодарского края и Республики Адыгея, осуществляющая передачу и распределение электрической энергии по сетям напряжением 110 кВ и ниже.

В состав энергосистемы входят 11 электросетевых предприятий (Краснодарские, Сочинские, Армавирские, Адыгейские, Тимашевские, Тихорецкие, Ленинградские, Славянские, Юго-Западные, Лабинские, Усть-Лабинские). Общая протяженность линий электропередачи достигает 90 тыс. км. Площадь обслуживаемой территории -- 83 тыс. кв. км, численность населения -- более 5, 5 млн. человек.

Основная задача компании -- обеспечивать надежное и стабильное энергоснабжение всех потребителей Краснодарского края и Республики Адыгея, а также растущие потребности экономики регионов в электроэнергии. Кубаньэнерго является крупнейшим налогоплательщиком края. Участие компании в социально-экономической жизни региона не ограничивается только налоговыми отчислениями, оно осуществляется и через обеспечение занятости предприятий смежных отраслей. Так, около 80% подрядных работ для энергетиков выполняют кубанские предприятия.

1.1 Структура ЛВС ОАО «Кубаньэнерго»

Структурная схема сети предприятия представлена на рисунке:

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

1.2 Конфигурация ПК

Процессор: Core 2 Duo E7500,2.93 GHz

Мат. плата: ASUS P5Q-VM (Intel G45); LGA775 <G41> PCI-E + LAN + SVGA SATA mATX 2xDDR-III <PC3-10600> (1510, 1670)

Оперативная память: 2 Гб

Жёсткий диск: 320 ГБ WD 7200.11 SATA, 7200 об/мин.

Корпус: ATX-корпус Inwin, Asus с блоком питания

350-400 Вт

1.3 Конфигурация Сервера

Модель: Hyperion RS230 G3

Набор микросхем: Intel 5520 + ICH10R

Процессоры: 1 или 2 Intel Xeon 56xx (до 12 ядер)

Максимальный объём памяти: 96GB шестиканальной DDR3, 12 слотов

Встроенные контроллеры: Технология дочерних плат расширения

Максимальное количество дисков: 12 SAS/SSD с горячей заменой, 2 SSD внутренних (до 14 SSD дисков)

Слоты расширения: 2x PCI-E 2.0 8x

Сетевые интерфейсы: 2x Intel Gigabit Ethernet 82576EB, VMDq, VMDc, IOAT 3 1x Intel Gigabit Ethernet 82574L

Управление системой: IPMI 2.0 интегрировано, KVM over IP, Virtual Media, ПО управления серверной инфраструктурой ESMS, совмещенный порт Ethernet

Блок питания: 750Вт дублированный с горячей заменой

Размеры (ДxШxВ), мм: 2U 711 x 430 x 88 (глубина стойки не менее 800 мм)

Операционная система: Windows 2003 Server

2. Постановка задачи

По карте сети ОАО «Кубаньэнерго» можно сказать, что сеть этой организации состоит из 5-ти сегментов, каждый из которых нуждается в специализированной защите.

Для определения конкретных целей защиты необходимо определить какая именно защита требуется на каждом уровне локальной сети составим схему задач:

Разделение задач:

1. Защита инф. ресурсов локальной рабочей станции

На данном уровне определяется необходимые меры для обеспечения защиты информации в пределах локальной рабочей станции.

1.1) Аутентификация пользователей

Предназначена для организации конфиденциальности данных в пределах одного ПК. Из требований предприятия некоторым сотрудникам приходиться работать с конфиденциальными данными, благодаря аутентификации можно организовать доступ к информации с ведением журналов и вовсе сделать невозможным некоторым сотрудникам организации доступ к данному ПК.

1.2. Разграничение доступа к информационным ресурсам

Дает возможность только некоторым сотрудникам получать доступ к тем или иным ресурсам в формате «разграничение прав на работу с ресурсами» (то есть только чтение, чтение и изменение, разрешение на копирование и прочее).

1.3. Защита информационных ресурсов ПК

Для подержания работы рабочей станции необходимо позаботиться так же о защите ресурсов самой станции и запретить к ним доступ кроме технического персонала предприятия, а инф. ресурсы персонала фирмы защитить от умышленного изменения или уничтожения

2. Защита локальной сети

На этом уровне определяются задачи которые стоят перед защищённостью всей сети организации.

2.1 Разграничение доступа

Здесь необходимо организовать грамотный доступ к общим сетевым ресурсам, определить политику безопасности, а так же закрыть возможность доступа с одной рабочей станции на другую

3. Защита межсетевого взаимодействия

3.1. Защита от атак, идущих через сеть интернет

Позволяет запретить доступ к ресурсам локальной сети из сети Internet и защитить информацию от грабежа, а также обеспечить защиту от атак из Internet.

3. Анализ защищенности сети

После анализа карты компьютерной сети организации ОАО «Кубаньэнерго» было выявлено, что уровень защиты компьютерной сети организации слабый. Анализ защищенности компьютерной сети проводится с целью определения дыр в сети, которые могут угрожать безопасности данным и производительности работы сети.

В итоге проведенного анализа было выявлено:

1. Отсутствие средств антивирусной защиты на большинстве компьютеров

2. Отсутствие прав разграничения доступа к информационным ресурсам

3. Отсутствие технических и программных средств защиты данных из внешней среды (сети Internet)

4. Отсутствие шифрования данных перед их передачей, а также и отсутствие защищенных каналов и соединений.

5. Отсутствие программных средств ограничивающих доступ сотрудников организации к ресурсам в глобальную сеть.

Все что имеется из средств защиты - это парольная защита учетных записей на каждом компьютере.

По данным проведения анализа, можно сказать, что система безопасности, которая используется сейчас, имеет низкий уровень.

4. Возможные угрозы безопасности ЛВС

Угрозы можно разбить по уровням доступа:

· физический уровень

· сетевой уровень

· уровень приложений

1.Угрозы для физического уровня с точки зрения информационной безопасности являются:

- доступ к накопителям информации электронных - вычислительных машин, реализация данной угрозы может привести:

а) к съему (утечке) информации с данных носителей;

б) к удалению (утрате) информации с данных носителей;

в) установке вредоносного программного обеспечения в обход системы защиты операционной системы

г) повышению привилегий пользователя операционной системы и получению доступа к ранее недоступной информации либо изменению настроек операционной системы.

- получение доступа к внутренним линиям связи организации, реализация данной угрозы может привести:

а) к считыванию информации передаваемой по линиям связи с помощью специальных средств;

б) злонамеренному повреждению линий связи.

- выход из строя по естественным или техническим причинам линий связи, либо серверов на которых размещены информация, реализация данных угроз может привести:

а) к временной потере доступа клиентов организации к информационным службам организации.

б) к временному простою подразделений организации;

2. Угрозы для уровня сетевых приложений и сервисов с точки зрения информационной безопасности являются:

- несанкционированный доступ к ним, реализация данной угрозы может привести:

а) к съему информации;

б) к модификации информации.

- нарушение штатного функционирования сетевого приложения или сервиса, реализация данной угрозы может привести:

а) к возникновению коллизий между различными модулями приложения или сервиса;

б) к отказу в обслуживании клиентам и сотрудникам организации.

3. Угрозы для сетевого уровня с точки зрения информационной безопасности являются:

- получение доступа к настройкам маршрутизаторов, реализация данной угрозы может привести:

а) к доступу к корпоративной сет0и передачи данных (далее - КСПД) организации со стороны сети Интернет;

б) к потере связи между различными сегментами корпоративной сети передачи данных организации.

- совершение «DOS-атак» из интернета, что может впоследствии привести:

а) к перенагрузке сети;

б) к падению работы сети;

4. Угрозы для уровня систем управления базами данных с точки зрения информационной безопасности являются:

- несанкционированный доступ к СУБД, реализация данной угрозы может привести:

а) к съему информации;

б) к модификации информации;

в) к увеличению вероятности повышения привилегий пользователя операционной системы.

5. Угрозы для уровня операционных систем с точки зрения информационной безопасности являются:

- повышение привилегий пользователя операционной системы, реализация данной угрозы может привести:

а) к несанкционированному доступу к ранее недоступной информации;

б) к установке вредоносных приложений;

в) к изменению настроек или модификации операционной системы.

- нарушение штатной работы операционной системы, реализация данной угрозы может привести:

а) к невозможности доступа к информации, размещенной на данной электронной вычислительной машине;

б) к недоступности сетевых приложений либо сервисов выполняемых на данной электронной вычислительной машине.

- несанкционированная установка приложений либо установка приложений, не относящихся к выполнению служебных обязанностей, реализация данной угрозы может привести:

а) к установке вредоносных приложений;

б) к увеличению вероятности нарушения штатной работы операционной системы;

в) к увеличению вероятности повышения привилегий пользователя операционной системы.

5. Модели нарушителя

Действия злоумышленника, которые могут принести вред:

1. Злоумышленник может подключиться к внешним каналам связи (также идущим вне помещения, за которые отвечает провайдер),

2. Злоумышленник может осуществлять фальсификацию адресов, пакетов, всевозможные атаки типа - DoS, DDoS, брутинг, доставку троянов на ресурсы сети, вследствие чего он будет иметь доступ как к отдельным компьютерам и ресурсам сети, так и ко всем компьютерам и всем ресурсам сети.

3. Злоумышленник может повредить те же внешние каналы связи, что сделает сеть недоступной к выходу в Интернет. Это может приостановить как всю работу предприятия в целом, так и отдельного его персонала.

4. Злоумышленник может производить свои действия непосредственно находясь на территории этого предприятия. Здесь ему помогает халатность работников . При таком воздействии злоумышление может получить как доступ к одному компьютеру и определенным ресурсам, так и ко всем компьютерам и ресурсам, это зависит от того к какому компьютеру ему удастся добраться и какими возможностями обладает злоумышленник. То есть он может воспользоваться специализированным программным обеспечением, принесенным с собой и осуществить взлом компьютеров и ресурсов сети, а также кражу технических средств (носителей данных и прочего)

5. Злоумышленник может действовать достаточно быстро всего лишь скинув на компьютер «троянского коня», который в дальнейшем даст управление этим компьютером или доступ к его ресурсам через Интернет.

6. Злоумышленник может получить доступ к физическим портам компьютеров типа USB и осуществить внесение недоброжелательного программного обеспечения на компьютер, если на компьютере не стоит программа проверки допустимых USB-носителей.

7. Злоумышленник может воспользоваться дисководами, проблемой чему смогло бы стать Антивирусное программное обеспечение, но злоумышленник сможет его просто отключить. Как вывод главное не оставлять аутентифицированные рабочие места без внимания и безопаснее хранить логины и пароли.

8. И самая главная модель нарушителя - это та которую можно представить, как нарушитель производящий атаку через Интернет, так как такого нарушителя очень сложно выследить, а порой просто невозможно. Такой злоумышленник способен на совершение различных сетевых атак, проходя через открытые порты, осуществляя подмену доверенных адресов локальной сети, производя атаки типа DoS и DDoS, засылая на компьютеры предприятия «троянских коней» и получая доступ к компьютерам и ресурсам посредством простой быстрой переборки паролей. Этот вид нарушителя является самым распространенным. Он ищет «дыры» в аппаратном и программном обеспечении. Защититься от такого вида злоумышленника полностью почти не представляется возможным, но можно сильно усложнить ему эту задачу, и если злоумышленник не столь опытен - у него ничего не выйдет и ему придется отступиться. Проблему такому виду нарушителя сможет составить только комплекс аппаратных и программных средств, и то если они правильно настроены и работают. Главное иметь опытного и сообразительного сетевого администратора, который сможет заранее продумать обеспечение защиты и препятствовать такому злоумышленнику.

Последствия действий злоумышленников могут привести к следующим последствиям:

1. хищение технических средств, носителей информации, информационных средств доступа;

2. уничтожение носителей информации, программного обеспечения, ключевой информации, технических средств, ОС, СУБД, средств обработки информации;

3. модификация(подмена) ОС, СУБД, прикладных программ, паролей и правил доступа;

4. несанкционированный перехват информации ( с помощью наводок по линиям электропитания, электромагнитного излучения, от средств вывода при подключении и каналам передачи информации);

5. нарушение нормальной работы сети(изменение пропускной способности каналов связи, объема свободной ОЗУ, ПЗУ и т.д.);

6. Анализ методов и средств обеспечения безопасности компьютерной сети

6.1 Анализ методов обеспечения безопасности компьютерной сети

Есть 4 основные группы обеспечения безопасности компьютерной сети:

· Организационные методы

· Инженерно-технические методы

· Технические методы

· Программно-аппаратные методы

6.1.1 Организационные методы

В основном ориентированы на работу с персоналом, выбор местоположения и размещения объектов компьютерной сети, организацию систем физической и противопожарной защиты, организацию контроля выполнения принятых мер, возложение персональной ответственности за выполнение мер защиты. Эти методы применяются не только для защиты информации и, как правило, уже частично реализованы на объектах компьютерной сети. Однако, их применение дает значительный эффект и сокращает общее число угроз.

6.1.2 Инженерно-технические методы

Связаны с построением оптимальных сетей инженерных коммуникаций с учетом требований безопасности информации. Это довольно дорогостоящие методы, но они, как правило, реализуются еще на этапе строительства или реконструкции объекта, способствуют повышению его общей живучести и дают высокий эффект при устранении некоторых угроз безопасности информации. Некоторые источники угроз, например обусловленные стихийными бедствиями или техногенными факторами, вообще не устранимы другими методами.

6.1.3 Технические методы

Основаны на применении специальных технических средств защиты информации и контроля обстановки и дают значительный эффект при устранении угроз безопасности информации, связанных с действиями криминогенных элементов по добыванию информации незаконными техническими средствами. Кроме того, некоторые методы, например резервирование средств и каналов связи, оказывают эффект при некоторых техногенных факторах.

6.1.4 Программно-аппаратные методы

В основном нацелены на устранение угроз, непосредственно связанных с процессом обработки и передачи информации. Без этих методов невозможно построение целостной комплексной системы информационной безопасности.

Сопоставим описанные выше угрозы безопасности информации и группы методов их парирования. Это позволит определить, какими же методами, какие угрозы наиболее целесообразно парировать и определить соотношение в распределении средств, выделенных на обеспечение безопасности информации между группами методов.

Анализ результатов моделирования, с учетом принятых в модели ограничений и допущений, позволяет сказать, что все группы методов парирования угрозам безопасности информации имеют примерно равную долю в организации комплексной защиты информации. Однако необходимо учесть, что некоторые методы могут быть использованы только для решения ограниченного круга задач защиты. Это особенно характерно для устранения угроз техногенного и стихийного характера.

Наибольший эффект достигается при применении совокупности организационных и программно-аппаратных методов парирования. Анализ весовых коэффициентов программно - аппаратных методов позволяет сделать вывод, что гипотетическое средство защиты компьютерной сети, прежде всего, должно обеспечивать разграничение доступа субъектов к объектам (мандатный и дискреционный принципы), управлять внешними потоками информации (фильтрация, ограничение, исключение) и, как минимум, обеспечивать управление внутренними потоками информации с одновременным контролем целостности программного обеспечения, конфигурации сети и возможности атак разрушающих воздействий.

6.2 Анализ средств обеспечения безопасности компьютерной сети

Средств для обеспечения безопасности компьютерной сети существует множество, они могут быть выполнены как в виде устройств (аппаратные средства), так и в форме программных продуктов.

Были выделены следующие цели для защиты рабочей станции: 1) аутентификация пользователей, 2)разграничение доступа, 4)защита инф. ресурсов ПК. Для защиты локальной сети: 5)разграничение доступа, 6)Защита межсетевого взаимодействия.

Далее я приведу несколько продуктов аппаратных и программных средств обеспечения безопасности компьютерной сети.

6.2.1 Аппаратные средства

Для защиты межсетевого взаимодействия используем межсетевой экран.

Межсетевые экраны (firewall, брандмауэр) делают возможной фильтрацию входящего и исходящего трафика, идущего через систему. Межсетевой экран использует один или более наборов "правил" для проверки сетевых пакетов при их входе или выходе через сетевое соединение, он или позволяет прохождение трафика или блокирует его. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая но, не ограничиваясь типом протокола, адресом хоста источника или назначения и портом источника или назначения.

Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети. Они могут быть использованы для выполнения одной или более нижеперечисленных задач:

· для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети Интернет;

· для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети Интернет; для поддержки преобразования сетевых адресов (network address translation, NAT),что позволяет использование во внутренней сети приватных IP адресов (либо через один выделенный IP адрес, либо через адрес из пула автоматически присваиваемых публичных адресов). Брандмауэр может защитить ИС на трех уровнях: сетевом (контроль адресов), транспортном ("машины состояний" основных протоколов) или прикладном (прокси - системы). Он обеспечивает трансляцию адресов по алгоритмам NAT, скрывая внутренние IP-адреса в пакетах, отправляемых в Интернет. Сервис NAT поддерживает два режима трансляции: статический и динамический. При статической трансляции адреса пакетов заменяются в соответствии с задаваемыми правилами. Администратор может создать таблицу трансляции адресов на основе адресов источника, назначения и сервиса (задаваемого, например, номером TCP/UDP порта). При динамической трансляции внутренние адреса автоматически заменяются одним адресом, имеющим глобальное значение в Интернете. Функции NAT позволяют скрыть значения внутренних адресов сети или использовать в качестве внутренних частные адреса, к которым маршрутизация из Интернета не поддерживается, что во многих случаях надежно защищает корпоративную сеть от внешних атак. Не следует переоценивать показатели пропускной способности. В реальных условиях они могут сильно отличаться от того, что сообщают производители. На нее влияют число заданных правил, объем и тип трафика. Например, большинство межсетевых экранов надежно обрабатывают большие пакеты, но при множестве сеансов с короткими пакетами могут вести себя нестабильно. Следует помнить о том. что межсетевой экран -- всегда узкое место в сети. Если ориентироваться. только на скорость, то лучше просто купить маршрутизатор. Правила работы брандмауэра придется уточнять после каждой атаки и инсталляции нового приложения. Растущий бизнес может потребовать пересмотра политики безопасности, и нужен пользовательский интерфейс, который позволит легко это сделать.

· Качество работы брандмауэра непосредственно зависит от того, какие инструкции задаст администратор. Даже самая передовая и совершенная технология будет бессильна, если его конфигурация подобна ситу. Эффективность брандмауэров по-прежнему существенно зависит от правил и политики защиты.

6.2.2 Программные средства защиты информации

Разновидностью программных средств обеспечения безопасности компьютерных сетей является защита от компьютерных вирусов.

Проблема защиты информации от несанкционированного доступа особо обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей.

Существуют следующие службы безопасности:

аутентификация;

обеспечение целостности;

засекречивание данных;

контроль доступа;

защита от отказов.

Сервисные службы безопасности являются ответственными за обеспечение основных требований пользователей, предъявляемых к телекоммуникационным системам (с точки зрения ее надежности). Причем данные службы должны функционировать во всех трех плоскостях: менеджмента, управления и пользовательской.

Количество соединений защиты должно быть равно количеству установленных служб защиты. То есть, если для данного виртуального соединения одновременно требуется аутентификация, конфиденциальность и достоверность данных, то устанавливается три самостоятельных соединения защиты.

Совокупность сервисных служб защиты информации, обеспечивающих требования пользователей, образуют профиль защиты.

За установку и прекращение действия той или иной службы отвечают агенты защиты. Согласование служб защиты между агентами происходит через соединения защиты. По этим соединениям производится обмен информацией защиты.

Агенты защиты для виртуального соединения (канала либо тракта), который установлен между конечными системами пользователей, последовательно выполняют следующие действия:

определяют вид сервисных служб защиты, которые должны быть применены к данному виртуальному соединению;

согласовывают службы защиты между собой;

применяют требуемые службы защиты к данному виртуальному соединению.

7. Реализация функций подсистемы информационной безопасности компьютерной сети

Для решения следующих проблем: защита инф. ресурсов ПК, защита от вредоносного ПО, будет использоваться Антивирус Касперского 6.0 R2 для Windows.

Основные функции:

· Защита от вирусов, троянцев, шпионского ПО и других угроз в режиме реального времени;

· Централизованное управление безопасностью сети;

· Повышение производительности труда за счет ограничения доступа сотрудников к интернету и приложениям;

· Автоматическое резервное копирование по расписанию для надежной защиты конфиденциальных данных;

· Хранение ценных данных в зашифрованных файлах-контейнерах, которые можно пересылать по электронной почте или записывать на USB-устройства;

· Создание и безопасное хранение стойких паролей для вас и ваших сотрудников (обеспечивается работа и с 32-разрядными приложениями и браузерами);

· Постоянная антивирусная защита и регулярные обновления, не замедляющие работу компьютеров;

· Простое управление безопасностью вашей сети без помощи ИТ-специалиста;

· Передовые технологии для защиты от хакерских атак;

· Удобная настройка защиты локальной сети, в т.ч. Wi-Fi соединений;

· Файловый шредер для предотвращения восстановления и кражи удаленных документов;

· Круглосуточная техническая поддержка, предоставляемая «Лабораторией Касперского» и/или ее партнерами;

Для решения проблемы разграничение доступа:

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача -- фильтровать пакеты, не подходящие под критерии, определённые в конфигурации.

При осуществлении взаимодействия сети офиса с сетями других организаций и фирм по Интернет или при удаленном доступе сотрудников к глобальной сети, возможен перехват и несанкционированный доступ к передаваемой конфиденциальной информации. Для защиты локальной сети предприятия от удалённых атак в можно использовать межсетевой экран ZyWALL 2 ЕЕ фирмы ZyXEL. Он ориентирован на защиту Интернет-каналов и локальных сетей предприятий малого бизнеса и региональных филиалов. Встроенный четырехпортовый коммутатор Fast Ethernet позволяет в большинстве случаев обойтись без дополнительного сетевого оборудования. Порт RS-232 может быть использован как для локального управления, так и для резервирования доступа в Интернет, Для подключения к глобальной Сети служит порт 10/100 Мбит/с Ethernet. Все Ethernet-порты - с автоматическим определением скорости и типа используемого соединительного кабеля, что позволяет максимально упростить пользование устройством и модернизацию сети. ZyWALL 2 ЕЕ позволяет организовать два VPN-туннеля.

На сервере установлена ОС Windows 2003 Server, средствами которой и будет обеспечиваться VPN. Следует также подкорректировать настройки ОС сервера для обеспечения лучшего разграничения доступа к ресурсам и работ служб.

Для обеспечения более прочной защиты следует также обеспечить сеть аппаратным межсетевым экраном - DFL-800

Следует проложить новые кабельные каналы, т.к. в текущем состоянии, они не соответствуют нормальным требованиям защищенности.

Также необходимо проводить организационные меры по работе с персоналом: разъяснять их возможности доступа, объяснять и следить за правильностью работы с внешними носителями информации и устанавливаемыми приложениями, контролировать актуальность антивирусных баз на компьютерах пользователей, довести до их сведения как правильно необходимо хранить секретные данные.

Функции безопасности, обеспечиваемые Windows 2003 Server:

Аутентификация (проверка подлинности). Это процесс надежного определения подлинности поддерживающих связь компьютеров. Аутентификация основана на методах криптографии, и это гарантирует, что нападающий или прослушивающий сеть не сможет получить информацию, необходимую для рассекречивания пользователя или другого объекта.

Аутентификация пользователей в сети будет осуществляться посредством аутентификации через Windows Server 2003. Также на Windows Server 2003 будет производится настройка разграничения доступа к информационным ресурсам как локальной рабочей станции, так и при защите ЛВС в целом.

Особое место занимает корректная настройка именно серверной ОС, благодаря которой осуществляется половина защиты и разграничения доступа в сети.

Защита информационных ресурсов локальной рабочей станции будет осуществляться с применением антивируса.

Для проверки качественной защищенности сети существует программное обеспечение. В этих целях можно использовать программу Nsauditor Network Security Auditor, которая используется в области сканирования уязвимости сетей. Данную программу необходимо использовать как при внедрении проекта, так и при дальнейшей работе сети.

8. Организация защиты информации криптографическими методами

8.1 Описание метода шифрования

Для шифрования будет использоваться программный модуль, который использует алгоритм IDEA ( International Data Encryption Algorithm, международный алгоритм шифрования данных) -- симметричный блочный алгоритм шифрования данных, запатентованный швейцарской фирмой Ascom.

8.2 Описание алгоритма работы криптографического программного модуля

Он работает следующим образом, так как IDEA использует 128-битный ключ и 64-битный размер блока, открытый текст разбивается на блоки по 64 бит. Если такое разбиение невозможно, используются различные режимы шифрования. Каждый исходный незашифрованный 64-битный блок делится на четыре подблока по 16 бит каждый, так как все алгебраические операции, использующиеся в процессе шифрования, совершаются над 16-битными числами. Для шифрования и расшифрования IDEA использует один и тот же алгоритм.

Фундаментальным нововведением в алгоритме является использование операций из разных алгебраических групп, а именно:

· сложение по модулю 216

· умножение по модулю 216 + 1

· побитовое исключающее ИЛИ (XOR).

Эти три операции несовместимы в том смысле, что:

· никакие две из них не удовлетворяют дистрибутивному закону, то есть

· никакие две из них не удовлетворяют ассоциативному закону, то есть

Применение этих трех операций затрудняет криптоанализ IDEA по сравнению с DES, который основан исключительно на операции исключающее ИЛИ, а также позволяет отказаться от использования S-блоков и таблиц замены. IDEA является модификацией сети Фейстеля.

Генерация ключей

Из 128-битного ключа для каждого из восьми раундов шифрования генерируется по шесть 16-битных подключей, а для выходного преобразования генерируется четыре 16-битных подключа. Всего потребуется 52 = 8 x 6 + 4 различных подключей по 16 бит каждый. Процесс генерации пятидесяти двух 16-битных ключей заключается в следующем:

· Первым делом, 128-битный ключ разбивается на восемь 16-битных блоков. Это будут первые восемь подключей по 16 бит каждый --

· Затем этот 128-битный ключ циклически сдвигается влево на 25 позиций, после чего новый 128-битный блок снова разбивается на восемь 16-битных блоков. Это уже следующие восемь подключей по 16 бит каждый --

· Процедура циклического сдвига и разбивки на блоки продолжается до тех пор, пока не будут сгенерированы все 52 16-битных подключа.

Таблица подключей для каждого раунда

сеть безопасность криптографический программный



Структура алгоритма IDEA показана на рисунке:



Структура алгоритма IDEA показана на рисунке. Процесс шифрования состоит из восьми одинаковых раундов шифрования и одного выходного преобразования. Исходный незашифрованный текст делится на блоки по 64 бита. Каждый такой блок делится на четыре подблока по 16 бит каждый. На рисунке эти подблоки обозначены D1, D2, D3, D4. В каждом раунде используются свои подключи согласно таблице подключей. Над 16-битными подключами и подблоками незашифрованного текста производятся следующие операции:

· умножение по модулю 216 + 1 = 65537, причем вместо нуля используется 216

· сложение по модулю 216

· побитовое исключающее ИЛИ

В конце каждого раунда шифрования имеется четыре 16-битных подблока, которые затем используются как входные подблоки для следующего раунда шифрования. Выходное преобразование представляет собой укороченный раунд, а именно, четыре 16-битных подблока на выходе восьмого раунда и четыре соответствующих подключа подвергаются операциям:

· умножение по модулю 216 + 1

· сложение по модулю 216

После выполнения выходного преобразования конкатенация подблоков D1', D2', D3' и D4' представляет собой зашифрованный текст. Затем берется следующий 64-битный блок незашифрованного текста и алгоритм шифрования повторяется. Так продолжается до тех пор, пока не зашифруются все 64-битные блоки исходного текста.



Расшифровка

Метод вычисления, использующийся для расшифровки текста по существу такой же, как и при его шифровании. Единственное отличие состоит в том, что для расшифровки используются другие подключи. В процессе расшифровки подключи должны использоваться в обратном порядке. Первый и четвёртый подключи i-го раунда расшифровки получаются из первого и четвёртого подключа (10-i)-го раунда шифрования мультипликативной инверсией. Для 1-го и 9-го раундов второй и третий подключи расшифровки получаются из второго и третьего подключей 9-го и 1-го раундов шифрования аддитивной инверсией. Для раундов со 2-го по 8-й второй и третий подключи расшифровки получаются из третьего и второго подключей с 8-го по 2-й раундов шифрования аддитивной инверсией. Последние два подключа i-го раунда расшифровки равны последним двум подключам (9-i)-го раунда шифрования. Мультипликативная инверсия подключа K обозначается 1/K и . Так как 216 + 1 -- простое число, каждое целое не равное нулю K имеет уникальную мультипликативную инверсию по модулю 216 + 1. Аддитивная инверсия подключа K обозначается -K и .

Режимы шифрования

IDEA является блочным алгоритмом шифрования, работающим с блоками по 64 бита. При несовпадении размера шифруемого текста с этим фиксированным размером, алгоритм используется в одном из следующих режимов шифрования:

· Электронная книга кодов (англ. Electronic Code Book (ECB))

· Блочная передача зашифрованного текста (англ. Cipher Block Chaining (CBC))

· Шифрованная обратная связь (англ. Cipher Feedback (CFB))

· Обратная связь вывода (англ. Output Feedback (OFB))

Алгоритм может также применяться для вычисления

· кода аутентификации сообщения (англ. Message Authentication Code (MAC))

· хеш-значений

· распределения ключей

Криптостойкость

Алгоритм IDEA появился в результате незначительных модификаций алгоритма PES. На рисунке приведены структуры обоих алгоритмов, и видно, что изменений не так уж и много:

· умножение подблока D2 со вторым подключом раунда заменено сложением

· сложение подблока D4 с четвёртым подключом раунда заменено на умножение

· изменен сдвиг подблоков в конце раунда

Один из наиболее известных в мире криптологов Брюс Шнайер в своей книге «Прикладная криптография» заметил: «…удивительно, как такие незначительные изменения могут привести к столь большим различиям».

Структуры алгоритмов PES и IDEA

В той же книге, вышедшей в 1996 году, Брюс Шнайер отозвался об IDEA так: «Мне кажется, это самый лучший и надежный блочный алгоритм, опубликованный до настоящего времени».

В алгоритме IDEA использует 64-битные блоки. Длина блока должна быть достаточной, чтобы скрыть статистические характеристики исходного сообщения. Но с увеличением размера блока экспоненциально возрастает сложность реализации криптографического алгоритма. В алгоритме IDEA используется 128-битный ключ. Длина ключа должна быть достаточно большой, чтобы предотвратить возможность перебора ключа. Для вскрытия 128-битного ключа полным перебором ключей при условии, что известен открытый и соответствующий ему зашифрованный текст, потребуется 2128(порядка 1038) шифрований. При такой длине ключа IDEA считается довольно безопасным. Высокая криптостойкость IDEA обеспечивается также такими характеристиками:

· запутывание -- шифрование зависит от ключа сложным и запутанным образом

· рассеяние -- каждый бит незашифрованного текста влияет на каждый бит зашифрованного текста

Сюэцзя Лай (Xuejia Lai) и Джеймс Мэсси (James Massey) провели тщательный анализ IDEA с целью выяснения его криптостойкости к дифференциальному криптоанализу. Для этого ими было введено понятие марковского шифра и продемонстрировано, что устойчивость к дифференциальному криптоанализу может быть промоделирована и оценена количественно. Линейных или алгебраических слабостей у IDEA выявлено не было. Попытка вскрытия с помощью криптоанализа со связанными ключами, проведенная Бихамом (Biham), также не увенчалась успехом .

Существуют успешные атаки, применимые к IDEA с меньшим числом раундов (полный IDEA имеет 8.5 раундов). Успешной считается атака, если вскрытие шифра с её помощью требует меньшего количества операций, чем при полном переборе ключей. Метод вскрытия Вилли Майера (Willi Meier) оказался эффективнее вскрытия полным перебором ключей только для IDEA с 2 раундами . Методом «встреча посередине» был вскрыт IDEA с 4,5 раундами. Для этого требуется знание всех 264 блоков из словаря кодов и сложность анализа составляет 2112 операций. Лучшая атака на 2007 год применима ко всем ключам и может взломать IDEA с 6-ю раундами.

Слабые ключи

Существуют большие классы слабых ключей. Слабые они в том смысле, что существуют процедуры, позволяющие определить, относится ли ключ к данному классу, а затем и сам ключ. В настоящее время известны следующие:

· 223 + 235 + 251 слабых к дифференциальному криптоанализу ключей. Принадлежность к классу 251 можно вычислить за 212 операций с помощью подобранного открытого текста. Авторы данной атаки предложили модификацию алгоритма IDEA. Данная модификация заключается в замене подключей на соответствующие , где r -- номер раунда шифрования. Точное значение a не критично. Например при (в шестнадцатиричной системе счисления) данные слабые ключи исключаются[.

· 263 слабых к линейному дифференциальному криптоанализу ключей. Принадлежность к данному классу выясняется с помощью теста на связанных ключах.

· 253 + 256 + 264 слабых ключей было найдено с использованием метода бумеранга(англ. boomerang attack), предложенного Дэвидом Вагнером(David Wagner)[стойкость 8]. Тест на принадлежность к данному классу выполняется за 216 операций и потребует 216 ячеек памяти

Существование столь больших классов слабых ключей не влияет на практическую криптостойкость алгоритма IDEA, так как полное число всех возможных ключей равно 2128.

8.3 Программный модуль криптографического преобразования данных

Нижепредставленный модуль полностью реализует в себе метода IDEA шифрования. Главными функциями являются:

function EncryptCopy(DestStream, SourseStream : TStream; Count: Int64;

Key : string): Boolean; // Зашифровать данные из одного потока в другой

function DecryptCopy(DestStream, SourseStream : TStream; Count: Int64;

Key : string): Boolean; // Расшифровать данные из одного потока в другой

function EncryptStream(DataStream: TStream; Count: Int64;

Key : string): Boolean; // Зашифровать содержимое потока

function DecryptStream(DataStream: TStream; Count: Int64;

Key : string): Boolean; // Расшифровать содержимое потока

Модуль:

{ *********************************************************************** }

{ }

{ Delphi Еncryption Library }

{ Еncryption / Decryption stream - IDEA }

{ }

{ Copyright (c) 2004 by Matveev Igor Vladimirovich }

{ With offers and wishes write: teap_leap@mail.ru }

{ }

{ *********************************************************************** }

unit IDEA;

interface

uses

SysUtils, Classes, Math;

const

Rounds = 8;

KeyLength = (Rounds * 6) + 4;

Maxim = 65537;

type

TIDEAKey = array[0..KeyLength-1] of Word;

TIDEABlock = array[1..4] of Word;

var

Z : TIDEAKey;

K : TIDEAKey;

FBlockSize : Integer;

FKey : string;

FBufferSize : Integer;

FKeySize : Integer;

FKeyPtr : PChar;

////////////////////////////////////////////////////////////////////////////////

// Дополнительные функции

procedure Initialize(AKey: string); // Инициализация

procedure CalculateSubKeys; // Подготовка подключей

function EncipherBlock(var Block): Boolean; // Шифрация блока (8 байт)

function DecipherBlock(var Block): Boolean; // Дешифрация блока

////////////////////////////////////////////////////////////////////////////////

// Основные функции

function EncryptCopy(DestStream, SourseStream : TStream; Count: Int64;

Key : string): Boolean; // Зашифровать данные из одного потока в другой

function DecryptCopy(DestStream, SourseStream : TStream; Count: Int64;

Key : string): Boolean; // Расшифровать данные из одного потока в другой

function EncryptStream(DataStream: TStream; Count: Int64;

Key: string): Boolean; // Зашифровать содержимое потока

function DecryptStream(DataStream: TStream; Count: Int64;

Key: string): Boolean; // Расшифровать содержимое потока

implementation

////////////////////////////////////////////////////////////////////////////////

function ROL(a, s: LongWord): LongWord;

asm

mov ecx, s

rol eax, cl

end;

////////////////////////////////////////////////////////////////////////////////

procedure InvolveKey;

var

TempKey : string;

i, j : Integer;

K1, K2 : LongWord;

begin

// Разворачивание ключа до длинны 51 символ

TempKey := FKey;

i := 1;

while ((Length(TempKey) mod FKeySize) <> 0) do

begin

TempKey := TempKey + TempKey[i];

Inc(i);

end;

// Now shorten the key down to one KeySize block by combining the bytes

i := 1;

j := 0;

while (i < Length(TempKey)) do

begin

Move((FKeyPtr+j)^, K1, 4);

Move(TempKey[i], K2, 4);

K1 := ROL(K1, K2) xor K2;

Move(K1, (FKeyPtr+j)^, 4);

j := (j + 4) mod FKeySize;

Inc(i, 4);

end;

end;

////////////////////////////////////////////////////////////////////////////////

{$R-,Q-}

procedure ExpandKeys;

var

i : Integer;

begin

// Копирование ключа в Z

Move(FKeyPtr^, Z, FKeySize);

// Генерация подключа зашифрование

for i := 8 to KeyLength-1 do

begin

if (((i+2) mod 8) = 0) then Z[i] := (Z[i- 7] shl 9) xor (Z[i-14] shr 7)

else if (((i+1) mod 8) = 0) then Z[i] := (Z[i-15] shl 9) xor (Z[i-14] shr 7)

else Z[i] := (Z[i- 7] shl 9) xor (Z[i- 6] shr 7);

end;

end;

////////////////////////////////////////////////////////////////////////////////

procedure InvertKeys;

type

PWord= ^Word;

var

j : Integer;

pz, pp : PWord;

t1, t2, t3 : Word;

////////////////////////////////////////

function Inv(I: Integer): Integer;

var

n1, n2, q, r, b1, b2, t : Integer;

begin

if (I = 0) then

Result := 0 else

begin

n1 := Maxim;

n2 := I;

b2 := 1;

b1 := 0;

repeat

r := (n1 mod n2);

q := (n1-r) div n2;

if (r = 0) then

begin

if (b2 < 0) then b2 := Maxim + b2;

end else

begin

n1 := n2;

n2 := r;

t := b2;

b2 := b1 - q * b2;

b1 := t;

end;

until (r = 0);

Result := b2;

end;

Result := (Result and $ffff);

end;

////////////////////////////////////////

begin

pz := @Z;

pp := @K;

Inc(pp, KeyLength);

// t1 = inv(*Z++);

t1 := Inv(pz^);

Inc(pz);

// t2 = -*Z++;

t2 := -pz^;

Inc(pz);

// t3 = -*Z++;

t3 := -pz^;

Inc(pz);

// *--p = inv(*Z++);

Dec(pp);

pp^ := Inv(pz^);

Inc(pz);

// *--p = t3;

Dec(pp);

pp^ := t3;

// *--p = t2;

Dec(pp);

pp^ := t2;

// *--p = t1;

Dec(pp);

pp^ := t1;

for j := 1 to Rounds-1 do

begin

// t1 = *Z++;

t1 := pz^;

Inc(pz);

// *--p = *Z++;

Dec(pp);

pp^ := pz^;

Inc(pz);

// *--p = t1;

Dec(pp);

pp^ := t1;

// t1 = inv(*Z++);

t1 := Inv(pz^);

Inc(pz);

// t2 = -*Z++;

t2 := -pz^;

Inc(pz);

// t3 = -*Z++;

t3 := -pz^;

Inc(pz);

// *--p = inv(*Z++);

Dec(pp);

pp^ := Inv(pz^);

Inc(pz);

// *--p = t2;

Dec(pp);

pp^ := t2;

// *--p = t3;

Dec(pp);

pp^ := t3;

// *--p = t1;

Dec(pp);

pp^ := t1;

end;

// t1 = *Z++;

t1 := pz^;

Inc(pz);

// *--p = *Z++;

Dec(pp);

pp^ := pz^;

Inc(pz);

// *--p = t1;

Dec(pp);

pp^ := t1;

// t1 = inv(*Z++);

t1 := Inv(pz^);

Inc(pz);

// t2 = -*Z++;

t2 := -pz^;

Inc(pz);

// t3 = -*Z++;

t3 := -pz^;

Inc(pz);

// *--p = inv(*Z++);

Dec(pp);

pp^ := Inv(pz^);

// *--p = t3;

Dec(pp);

pp^ := t3;

// *--p = t2;

Dec(pp);

pp^ := t2;

// *--p = t1;

Dec(pp);

pp^ := t1;

end;

{$R+,Q+}

////////////////////////////////////////////////////////////////////////////////

procedure CalculateSubKeys;

begin

ExpandKeys;

InvertKeys;

end;

////////////////////////////////////////////////////////////////////////////////

procedure Initialize(AKey: string);

begin

FBlockSize := 8;

FBufferSize := 2048;

FKey := AKey;

FKeySize := 32;

FillChar(Z, SizeOf(Z), 0);

FillChar(K, SizeOf(K), 0);

GetMem(FKeyPtr, FKeySize);

FillChar(FKeyPtr^, FKeySize, #0);

InvolveKey;

end;

////////////////////////////////////////////////////////////////////////////////

{$R-,Q-}

procedure Cipher(var Block: TIDEABlock; const Keys: TIDEAKey);

var

x1, x2, x3, x4 : Word;