Система защиты информации в локальной сети предприятия

Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений - главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).

Итак, управляющие решения требуют чтобы firewall имел доступ, возможность анализа и использования следующих вещей:

1. Информация о соединениях - информация от всех семи уровней в пакете.

2. История соединений - информация, полученная от предыдущих соединений. Например, исходящая команда PORT сессии FTP должна быть сохранена для того, чтобы в дальнейшем с его помощью можно было проверить входящее соединение FTP data.

3. Состояния уровня приложения - информация о состоянии, полученная из других приложений. Например, аутентифицированному до настоящего момента пользователю можно предоставить доступ через firewall только для авторизованных видов сервиса.

4. Манипулирование информацией - вычисление разнообразных выражений, основанных на всех вышеперечисленных факторах.

Наиболее распространенным решением для управления межсетевого экрана (брандмауэра) netfilter для ядер Linux версий 2.4 и 2.6 является утилита Iptables. Вопреки очень распространённому мнению, ни iptables, ни netfilter не производят маршрутизацию пакетов и никак ей не управляют. Netfilter только фильтрует и модифицирует (в том числе, для NAT) пакеты по правилам, заданным администратором через утилиту iptables. Для использования утилиты iptables требуются привилегии суперпользователя (root). Иногда под словом iptables имеется в виду и сам межсетевой экран netfilter.

2.3 Организация защищенных каналов связи

2.3.1 Настройка Firewall

Данная настройка Iptables рассчитана на схему с использованием 2 сетевых интерфейсов.



Рис 5 брэндмауэр.

Программа позволяет задать правила, которым должны соответствовать проходящие через брандмауэр IP-пакеты. Эти правила, как и все настройки Linux, записываются в текстовый файл, находящийся в папке /etc. Последовательность правил называется цепочкой (CHAIN). Для одного и того же сетевого интерфейса используются несколько цепочек. Если проходящий пакет не соответствует ни одному из правил, то выполняется действие по умолчанию.

Для определений правил используются несколько таблиц:

MANGLE

Используется для изменения заголовка пакета. Допускается выполнять только нижеперечисленные действия:

· TOS

· TTL

· MARK

Действие TOS выполняет установку битов поля Type of Service в пакете. Это поле используется для назначения сетевой политики обслуживания пакета, т.е. задает желаемый вариант маршрутизации. Однако, следует заметить, что данное свойство в действительности используется на незначительном количестве маршрутизаторов в Интернете. Другими словами, не следует изменять состояние этого поля для пакетов, уходящих в Интернет, потому что на роутерах, которые таки обслуживают это поле, может быть принято неправильное решение при выборе маршрута.

Действие TTL используется для установки значения поля TTL (Time To Live) пакета. Есть одно неплохое применение этому действию. Мы можем присваивать определенное значение этому полю, чтобы скрыть наш брандмауэр от чересчур любопытных провайдеров (Internet Service Providers). Дело в том, что отдельные провайдеры очень не любят когда одно подключение разделяется несколькими компьютерами. и тогда они начинают проверять значение TTL приходящих пакетов и используют его как один из критериев определения того, один компьютер "сидит" на подключении или несколько.

Действие MARK устанавливает специальную метку на пакет, которая затем может быть проверена другими правилами в iptables или другими программами, например iproute2. С помощью "меток" можно управлять маршрутизацией пакетов, ограничивать траффик и т.п.

NAT

Используется для выполнения преобразований сетевых адресов NAT (Network Address Translation). Только первый пакет из потока проходит через цепочки этой таблицы, трансляция адресов или маскировка применяются ко всем последующим пакетам в потоке автоматически. Для этой таблицы характерны действия:

· DNAT

· SNAT

· MASQUERADE

Действие DNAT (Destination Network Address Translation) производит преобразование адресов назначения в заголовках пакетов. Другими словами, этим действием производится перенаправление пакетов на другие адреса, отличные от указанных в заголовках пакетов.

SNAT (Source Network Address Translation) используется для изменения исходных адресов пакетов. С помощью этого действия можно скрыть структуру локальной сети, а заодно и разделить единственный внешний IP адрес между компьютерами локальной сети для выхода в Интернет. В этом случае брандмауэр, с помощью SNAT, автоматически производит прямое и обратное преобразование адресов, тем самым давая возможность выполнять подключение к серверам в Интернете с компьютеров в локальной сети.

Маскировка (MASQUERADE) применяется в тех же целях, что и SNAT, но в отличие от последней, MASQUERADE дает более сильную нагрузку на систему. Происходит это потому, что каждый раз, когда требуется выполнение этого действия - производится запрос IP адреса для указанного в действии сетевого интерфейса, в то время как для SNAT IP адрес указывается непосредственно. Однако, благодаря такому отличию, MASQUERADE может работать в случаях с динамическим IP адресом, т.е. когда вы подключаетесь к Интернет, скажем через PPP, SLIP или DHCP.

FILTER

В этой таблице должны содержаться наборы правил для выполнения фильтрации пакетов. Пакеты могут пропускаться далее, либо отвергаться (действия ACCEPT и DROP соответственно), в зависимости от их содержимого. Конечно же, мы можем отфильтровывать пакеты и в других таблицах, но эта таблица существует именно для нужд фильтрации. В этой таблице допускается использование большинства из существующих действий, однако ряд действий, которые мы рассмотрели выше в этой главе, должны выполняться только в присущих им таблицах.

Так же можно осуществлять фильтрацию по состоянию соединения. Допустимыми являются состояния NEW, ESTABLISHED, RELATED и INVALID. В таблице, приводимой ниже, рассматриваются каждое из возможных состояний.

Состояние	Описание
NEW	Признак NEW сообщает о том, что пакет является первым для данного соединения. Это означает, что это первый пакет в данном соединении, который увидел модуль трассировщика. Например если получен SYN пакет являющийся первым пакетом для данного соединения, то он получит статус NEW. Однако, пакет может и не быть SYN пакетом и тем не менее получить статус NEW. Это может породить определенные проблемы в отдельных случаях, но может оказаться и весьма полезным, например когда желательно "подхватить" соединения, "потерянные" другими брандмауэрами или в случаях, когда таймаут соединения уже истек, но само соединение не было закрыто.
RELATED	Состояние RELATED одно из самых "хитрых". Соединение получает статус RELATED если оно связано с другим соединением, имеющим признак ESTABLISHED. Это означает, что соединение получает признак RELATED тогда, когда оно инициировано из уже установленного соединения, имеющего признак ESTABLISHED. Хорошим примером соединения, которое может рассматриваться как RELATED, является соединение FTP-data, которое является связанным с портом FTP control, а так же DCC соединение, запущенное из IRC. Обратите внимание на то, что большинство протоколов TCP и некоторые из протоколов UDP весьма сложны и передают информацию о соединении через область данных TCP или UDP пакетов и поэтому требуют наличия специальных вспомогательных модулей для корректной работы.
ESTABLISHED	Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. Схема установки состояния ESTABLISHED достаточна проста для понимания. Единственное требование, предъявляемое к соединению, заключается в том, что для перехода в состояние ESTABLISHED необходимо чтобы узел сети передал пакет и получил на него ответ от другого узла (хоста). После получения ответа состояние соединения NEW или RELATED будет заменено на ESTABLISHED.
INVALID	Признак INVALID говорит о том, что пакет не может быть идентифицирован и поэтому не может иметь определенного статуса. Это может происходить по разным причинам, например при нехватке памяти или при получении ICMP-сообщения об ошибке, которое не соответствует какому либо известному соединению. Наверное наилучшим вариантом было бы применение действия DROP к таким пакетам.

2.3.2 Настройка VPN туннеля на основе протокола IPsec

Рис 6 каналы связи.

Основными конфигурационными файлами FreeS/WAN являются файлы:

* /etc/ipsec.conf;* /etc/ ipsec.secrets.

Для конфигурирования шлюзов виртуальной частной сети, организуемой с помощью FreeS/WAN, на обоих шлюзах необходимо выполнить следующие настройки.

Отредактируем в соответствии с нашими потребностями файл /etc/ipsec.conf.

В рассматриваемом примере:

# /etc/ipsec.conf - конфигурационный файл FreeS/WAN

# Примеры конфигурационных файлов находятся в каталоге

# doc/examples исходных кодов.

config setup

# Сетевой интерфейс, используемый IPSec

interfaces="IPSEC0=eth0"

# Запрет на выдачу отладочных сообщений

# all - включение выдачи отладочных сообщений

klipsdebug=none

plutodebug=none

# Автоматическая установка соединений и аутентификация

# при запуске IPSec

plutoload=%search

plutostart=%search

# Параметры соединения между локальными сетями

# Название соединения (произвольная строка)

conn Moscow_Fil

# Исходные данные для шлюза в Москвe

# IP адрес

left=212.45.28.123

# Описание локальной сети

leftsubnet=192.168.150.0/24

# IP ближайшего к шлюзу в Москве роутера

# (может быть определен с помощью traceroute)

leftnexthop=62.117.82.145

# Исходные данные для шлюза в филиале

# IP адрес

right=212.111.80.21

# Описание локальной сети

rightsubnet=192.168.1.0/24

# IP ближайшего к шлюзу в филиале роутера

rightnexthop=212.111.78.1

# Количество попыток проверки ключей

# 0 - до достижения положительного результата

keyingtries=0

# Тип аутентификации(AH или ESP)

auth=ah

#Опции устанавливаемые для использования RSA-ключей

authby=rsasig

leftrsasigkey=

rightrsasigkey=

# Устанавливать соединение при запуске IPSec

auto=start

ЗАМЕЧАНИЕ Файлы на обоих шлюзах должны быть идентичны с точностью до значения параметра interfaces, которое должно соответствовать имени внешнего интерфейса шлюза.

В рассматриваемом примере файл /etc/ipsec.conf состоит из двух разделов.

Первый раздел - config setup - содержит общие опции конфигурации, используемые всеми соединениями.

Опция interfaces="IPSEC0=eth0" определяет сетевое устройство для интерфейса IPSec. В данном случае это первая сетевая карта. При использовании значения по умолчанию, т.е. interfaces=%defaultroute, в качестве сетевого интерфейса будет выбрано устройство, используемое для соединения с Интернет или локальной сетью.

Опция plutoload=%search определяет соединения, автоматически загружаемые в память при старте демона pluto. Значение опции по умолчанию none запрещает загрузку всех соединений, %search - загружает все соединения с установленным значением опции auto=start или auto=add. В качестве значения опции может использоваться имя соединения, например, plutoload=" Moscow-Fil" или список имен соединений, разделенных пробелами.

Опция plutostart=%search определяет соединения, автоматически устанавливаемые при старте демона pluto. Значение опции по умолчанию none запрещает установку всех соединений, %search - устанавливает все соединения с установленным значением опции auto=start. В качестве значения опции может использоваться имя соединения, например, plutoload="Moscow-Fil" или список имен соединений, разделенных пробелами.

Во втором разделе - conn Moscow-Fil - устанавливаются опции, имеющие отношение только к определенному соединению, в нашем примере, соединению с именем Moscow-Fil.

Опции left=212.45.28.123 и right=212.111.80.21 определяют, соответственно, IP-адрес шлюза в г. Москве и филиале.

Опция leftsubnet=192.168.1.0/24 определяет параметры локальных сетей в г. Москве и филиале.

Опция leftnexthop=62.117.82.145 и rightnexthop=212.111.78.1, соответственно, IP-адреса ближайших к шлюзам в г. Москве и в филиале роутеров.

Опция keyingtries=0 определяет максимальное количество попыток обмена ключами при установке соединения. Значение опции равное 0, устанавливаемое по умолчанию, предполагает неограниченное (до получения положительного результата) количество попыток.

Опция auth=ah определяет протокол аутентификации данных (AH или ESP).

Опция authby=rsasig используется для включения поддержки проверки подлинности соединения с использованием RSA-ключей.

Опция auto=start определяет операции, которые должны быть выполнены при запуске IPSec. При установке значения start - соединение должно быть установлено автоматически, add параметры соединения должны быть загружены в память.

FreeS/WAN поддерживает два формата ключей, используемых демоном pluto для проверки подлинности соединений длиной до 256 бит. Каждый из этих форматов требует определенных операций по созданию ключей и изменению конфигурационного файлов FreeS/WAN.

В случае использования RSA-ключей, необходимо выполнить следующие операции для файлов ipsec.conf и ipsec.secrets.

На шлюзе 212.45.28.123 в главном офисе:

ipsec rsasigkey --verbose 1024 > /root/moscow-key

На шлюзе 212.111.80.21 в филиале:

ipsec rsasigkey --verbose 1024 > /root/fil-key

Затем редактируем строчку leftrsasigkey= в файле ipsec.conf дописывая туда полученным нами publickey из файла /root/moscow-key, в строчку rightrsasigkey= вписываем полученным нами publickey из файла /root/fil-key.

Для нормальной работы IPSec на обоих шлюзах должна быть выключена подсистема rp_filter, используемая для защиты от подмены IP-адреса. Для этого на каждом из шлюзов выполните:

echo 0 > /proc/sys/net/ipv4/conf/IPSEC0/rp_filter

echo 0 > /proС/sys/net/ipv4/conf/eth0/rp_filter

2.4 Организация защиты информационной системы предприятия

2.4.1 Политики безопасности

Управление групповой политикой в организациях, работающих со справочником AD компании Microsoft, на первый взгляд вещь совершенно несложная. Оно позволяет администраторам контролировать с центральной консоли изменения и разнообразные установки для всех пользователей и компьютеров в пространстве AD. Хотя функциональность Group Policy являлась неизменной составной частью ОС Windows, начиная с версии Windows 2000, она до сих пор имеет недостатки, способные серьезно испортить жизнь системному администратору. Например, в крупных доменах, управляемых несколькими администраторами, последним приходится соблюдать особую осторожность, ведь средства групповой политики AD весьма мощные и в режиме реального времени меняют установки, влияющие на каждый компьютер и на каждого пользователя в домене в режиме реального времени.

Основой групповой политики является использование ограничений прав доступа для пользователей. Что позволяет:

· Обезопасить ОС компьютера от действий пользователя

· Обезопасить ОС компьютера от вирусов, так как в основном вирусы используют права пользователя для поражения файлов системы.

· Ограничить доступ на ресурсы сети.

· Закрепить пользователя за определенным компьютером.

2.4.2 Использование Proxy

Прокси-сервер (от англ. proxy -- «представитель, уполномоченный») -- служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кеша (в случаях, если прокси имеет свой кеш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак.

Прокси-серверы применяются для следующих целей:

· Обеспечение доступа с компьютеров локальной сети в Интернет.

· Кэширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.

· Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего трафика.

· Защита локальной сети от внешнего доступа: например, можно настроить прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам только через него, а внешние компьютеры не смогут обращаться к локальным вообще (они «видят» только прокси-сервер).

· Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.

· Анонимизация доступа к различным ресурсам. Прокси-сервер может скрывать сведения об источнике запроса или пользователе. В таком случае целевой сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе.

В качестве прокси используется Trend Micro InterScan Web Security Suite. Для управления используется WEB интерфейс, который имеет большой набор инструментов по управлению доступом пользователей по протоколам HTTP и FTP. Так же есть возможность посмотреть статистические данные, такие как часто посещаемые сайты, количество «пойманных» вирусов и т.д.



Рис. 7 WEB консоль proxy сервера.

Вкладка HTTP отвечает за создание правил доступа к сайтам, фильтрацию, а так же выбора способа авторизации пользователя.

В вкладке FTP создаются правила сканирования файлов передающихся по FTP протоколу, а так же ограничения доступа к FTP ресурсам.

Вкладки Reports и Logs несут только информационных характер, но содержат некоторые настройки, например создание отчетов по дням недели и отправку их на почту администратора.

2.4.3 Использование антивирусов

Одной из идей при реализации антивирусной защиты было использование «региональных» антивирусов, т.е. использование продуктов разных стран, т.к. по логике вирус развивается на территории страны гораздо быстрее чем на территории мира. Соответственно «лекарство» найдется быстрее.

Для локальных машин используется Symantec AntiVirus Corporate Edition.

Рис. 8 Клиентская часть антивируса

Этот продукт для защиты рабочих станций и сетевых серверов от вирусов и программ-шпионов, обеспечивающий максимальную безопасность системы в рамках всей компании.



Рис. 9 Серверная часть антивируса

Работая по схеме клиент - сервер он обеспечивает централизованную настройку конфигурации, развертывание, предупреждение и регистрацию вирусов и программ-шпионов в журнале, что позволяет администраторам управлять безопасностью сети и выявлять узлы, уязвимые для вирусных атак. Усовершенствованная функция блокировки поведения защищает клиентов от использования их систем с целью отправки по электронной почте вредоносных программ, например червей. Администратор может обеспечить соответствие способов подключения мобильных и удаленных систем к корпоративным ресурсам, доступным в виртуальных частных сетях, политикам безопасности. Усовершенствованные средства защиты от изменений предотвращают несанкционированный доступ и атаки, обеспечивают защиту от вирусов, которые пытаются отключить используемые функции обеспечения безопасности, и доступны с единой консоли управления. Этот продукт обеспечивает усовершенствованную защиту клиентов от программ-шпионов и рекламных программ, в том числе: защиту в режиме реального времени по снижению риска того, что программа-шпион проникнет в систему, автоматическое удаление для простого устранения рисков, которым подвергается система безопасности, с возможностью восстановления и очистки записей реестра, файлов и настроек обозревателя после атаки шпионского программного обеспечения. Технология LiveUpdate от Symantec Security Response позволяет одним действием обновить защиту предприятия от вирусов, вредоносных программ и программ-шпионов, а потенциальные вирусные угрозы автоматически передаются для анализа в службу Symantec Security Response, которая предоставляет содержимое для исправления и реагирования.

Прокси сервер на базе Trend Micro InterScan Web Security Suite, представляя собой «первую линию обороны». обеспечивает защиту от вирусов, «шпионских» и Grayware-программ, фишинга, а также позволяет подключать дополнительные модули для борьбы со злонамеренным мобильным кодом и управлять работой сотрудников в Интернете. Блокирует не только входящие угрозы, но и передачу исходящих данных на адреса сайтов, связанных с фишингом, которая может привести к хищению конфиденциальных сведений. Дополнительный модуль безопасности апплетов и элементов управления ActiveX сканирует веб-страницы на наличие злонамеренного мобильного кода, проверяя Java-код, сигнатуры и сертификаты элементов ActiveX и Java-апплетов. Анализируя апплеты, он защищает от атак zero day, основанных на неизвестных уязвимостях системы.

На почтовых серверах используется Российская версия антивируса для почтовых систем, Антивирус Касперского. Обеспечивающий:

· защиту от вредоносных и потенциально опасных программ ;

· фильтрация спама;

· проверка входящих и исходящих почтовых сообщений и вложений;

· антивирусная проверка всех сообщений на сервере Microsoft Exchange, включая общие папки;

· фильтрация сообщений по типам вложений;

· изоляция зараженных и подозрительных объектов;

· мониторинг состояния системы защиты с помощью уведомлений;

· система отчетов о работе приложения;

2.4.4 Применение терминал - сервера

Для взаимодействия филиала с московским офисом по VPN каналу используется терминал сервер. Терминальный клиент после установления связи с терминальным сервером пересылает на последний вводимые данные (нажатия клавиш, перемещения мыши) и, возможно, предоставляет доступ к локальный ресурсам (например, принтер, дисковые ресурсы, устройство чтения смарт-карт, локальные порты (COM/LPT)). Терминальный сервер предоставляет среду для работы (терминальная сессия), в которой исполняются приложения пользователя. Результат работы сервера передается на клиента, как правило, это изображение для монитора и звук (при его наличии).Преимущества схемы с использованием терминального сервера в полнее очевидны.

· Снижение нагрузки на канал связи

· Повышение безопасности

· По VPN каналу передаются менее опасные данные.

3. Экологическая часть и безопасность жизнедеятельности

3.1 Исследование возможных опасных и вредоносных факторов при работе с ЭВМ и их влияние на пользователей

3.1.1 Исследование опасных и вредных факторов при работе с ЭВМ

При выполнении дипломной работы используются следующие элементы вычислительной техники:

персональный компьютер IBM PC Intel CoreDuo- 2800MHz, 1024Ram, 120Gb HDD, FDD, монитор Panasonic PF70 с максимальным напряжением на аноде 27кВ лазерный принтер Hewlett Packard Laser Jet 1100.

1. Опасный фактор - поражение электрическим током - появляется в следствиие того, что персональный компьютер питается от сети переменного тока напряжением 220Ви частотой 50Гц,а это превышает безопасный для человека уровень 40 В. Поэтому появляется опасный фактор - поражение электрическим током.

2. Возникновение рентгеновского излучения обусловлено наличием на аноде электронно-лучевой трубки дисплея напряжения до ЗОкВ (а при напряжении 3-500кВ присутствует рентгеновское излучение различной "жесткости"). Пользователь попадает в зону "мягкого" рентгеновского излучения. Появляется вредный фактор - рентгеновское излучение.

3. При работе за экраном дисплея пользователь попадает под воздействие ультрафиолетового излучения (УФИ) с длинами волн < 320 нм и излучения электромагнитных полей частотой до 400 кГц. УФИ, испускаемое монитором, соединяясь с УФИ, излучаемым люминесцентными лампами и УФИ, проникающим сквозь оконные проемы, может повысить нормируемую плотность УФИ (10 Вт/м2). Возникает вредный фактор - ультрафиолетовое излучение.

4. При работе на персональном компьютере (а также принтере и других периферийных устройствах) и при передвижении людей возникает статическое электричество, которое при превышении нормированного значения 15 кВ/м становится вредным фактором.

5. При работе за экраном монитора человек попадает под воздействие электромагнитных полей кадровой и строчной разверток с частотами соответственно: fкадр= 65 Гц; fстр= 10 кГц. Появляется вредный фактор - излучение электромагнитных полей низкой частоты.

При работе на компьютере для вывода информации на бумагу используется принтер, следствием чего является шумовое воздействие на пользователя. С прогрессом данный вредный фактор становится все более незначительным вследствие более тихих технологий и уменьшения времени, необходимого для печати. При его работе не превышается нормировочное значение по шумовому воздействию в 45 дБ за смену, и вредное шумовое воздействие на человека он не оказывает.

3.1.2 Влияние, оказываемое на организм пользователя опасными и вредными факторами.

Пользователь, работающий с персональным компьютером, подвергается воздействию следующих опасных и вредных факторов:

· Поражение электрическим током;

· Рентгеновского излучения;

· Ультрафиолетовое излучение;

· Излучение электромагнитных полей низких частот;

· Статическое электричество.

3.1.2.1 Электрический ток

Воздействие на человека электрического тока носит термический,электролитный, биологический характер, что может привести к общим травмам (электроудары) и местным (ожоги, металлизация кожи, электрические знаки, электроофтальмия, механические повреждения).

Различают электроудары четырех степеней сложности:

Электроудары I степени - сопровождаются судорожным болезненным сокращении мышц без потери сознания;

Электроудары II степени - сопровождаются судорожным болезненным сокращении мышц с потерей сознания, но с сохранением дыхания и сердцебиения;

Электроудары III степени - сопровождаются судорожным сокращением мышц, потерей сознания, нарушением работы сердца или дыхания (либо того и другого вместе);

Электроудары IV степени- наступает клиническая смерть, т.е. прекращается дыхание и кровообращение.

3.1.2.2 Рентгеновское излучение

При воздействии рентгеновского излучения на организм человека происходит:

образование чужеродных соединений молекул белка, обладающих даже токсичными свойствами;

изменение внутренней структуры веществ в организме, приводящее к развитию малокровия, образованию злокачественных опухолей, катаракты глаз.

3.1.2.3 Ультрафиолетовое излучение

Это может являться причиной возникновения следующих заболеваний:

обострение некоторых заболеваний кожи (угревая сыпь, себорроидная экзема, розовый лишай, рак кожи и др.);

нарушение репродуктивной функции и возникновение рака;

нарушение режима терморегуляции организма;

изменения в нервной системе (потеря порога чувствительности);

понижение/повышение артериального давления.

3.1.2.4 Излучение электромагнитных полей низких частот

Воздействие этого фактора может привести к следующим последствиям:

возможному обострению некоторых кожных заболеваний - угревой сыпи, себорроидной экземы, розового лишая, рака кожи и др.;

могут воздействовать на метаболизм, вызвать изменение биохимической реакции крови на клеточном уровне, что ведет стрессу;

могут вызвать нарушения в протекании беременности;

способствуют увеличению возможности выкидыша у беременных в два раза;

нарушению репродуктивной функции и возникновению злокачественных образований (в случае воздействия низкочастотных полей);

нарушению терморегуляции организма;

изменениям в нервной системе (потере порога чувствительности);

гипертонии/гипотонии.

3.1.2.5 Статическое электричество

Под действием статических электрических полей дисплея пыль в помещении электризуется и переносится на лицо пользователя (так как тело человека имеет отрицательный потенциал, а частички пыли заряжены положительно). При подвижности воздуха в помещении вычислительного центра выше 0,2 м/с пыль, скопившаяся на поверхности экрана, сдувается с нее и также переносится на лицо пользователя и разработчика, что приводит к заболеваниям (раздражению) кожи (дерматит, угри).

С точки зрения технического влияния следует отметить следующее: электронные компоненты персонального компьютера работают при низких значениях напряжения (5-12 В). При большом значении напряженности электростатического поля возможно замыкание клавиатуры, реле и потеря информации на экране. Нормируемая величина напряженности электростатического поля - Е=15 кВ/м.

Еще один вредный фактор при работе на компьютере - видимое излучение, блики и мерцание экрана. Экспериментальные данные свидетельствуют о том, что вышеуказанные факторы способствуют возникновению:

близорукости и переутомления глаз;

мигрени и головной боли;

раздражительности, нервному напряжению и стрессу.

Вывод: Из анализа опасных и вредных факторов видно, что пользователь персонального компьютера нуждается в защите от них.

3.2 Методы защиты от опасных и вредных факторов пользователей

3.2.1 Защита от поражения электрическим током

В электроустановках переменного и постоянного тока защитное заземление и зануление обеспечивают защиту людей от поражения электрическим током при прикосновении к металлическим нетоковедущим частям, могут оказаться под напряжением в результате повреждения изоляции

Зануление - это преднамеренное электрическое соединение с нулевым защитным проводником металлических нетоковедущих частей, которые могут оказаться под напряжением.

Занулению подлежат металлические части электроустановок, доступные для прикосновения человека и не имеющие других видов защиты.

Зануление выполняется соединением металлических частей ЭУ с заземленной точкой источника питания при помощи нулевого защитного проводника, при этом в цепи нулевого проводника не допускается установка выключателей, рубильников, т.е. должна быть обеспечена непрерывность цепи от каждого корпуса электрооборудования до заземленной нейтрали источника питания

Защита человека от поражения электротоком в сетях с Заземлением осуществляется тем, что при замыкании одной из фаз на зануленный элемент машины в цепи этой фазы возникает ток короткого замыкания, который воздействует на токовую защиту (плавкий предохранитель, автомат), в результате чего происходит отключение аварийного участка от сети.

Делая вывод из всего выше изложенного, определяем значение Iкз и рассчитываем все остальные параметры для организации заземления для безопасной работы пользователя с ЭВМ.

На рисунке представлена схема организации безопасного включения ЭВМ, при применении зануления.

Рисунок. 10 Схема включения ЭВМ для безопасной работы.

Определим ток короткого замыканияIкз через НЗП и по его величине - Iном ток срабатывания предохранителя или автомата

, где

Iкз - ток короткого замыкания;

Uф - фазное напряжение:Uф = 220В;

rТ - паспортная величина сопротивления обмотки трансформатора:
rТ = 0,412 Ом;

p -удельное сопротивление проводника:

;

информационный безопасность защищенный виртуальный

;

L - длина проводника (L1 = 600м, L2 = 100м, Lнзп = 50м);

S - площадь поперечного сечения проводника (S1 = 2мм2, S2 = 1мм2, Sнзп = 1мм2).

Устройство защиты от которого замыкание срабатывает при выполнении следующего условия:

, где

k - коэффициент, учитывающий тип защитного устройства: k = 3 для автомата с электромагнитным распределителем

Iном - номинальный ток срабатывания защитного устройства

Произведем расчёт номинального тока срабатывания защитного устройства:

Вывод. Во избежание поражения электрическим током и выхода из строя ЭВМ и периферийного оборудования, в случае возникновения короткого замыкания или других причин появления напряжения прикосновения Uпр , в цепь питания ЭВМ необходимо включить устройство защитного отключения с Iном = 7A и I Д = 30мА.

3.2.2 Защита от рентгеновского излучения

Защиту от рентгеновского излучения можно обеспечить: выбором длительности работы с компьютером, расстояния до экрана монитора, а также экранированием.

Время работы на персональном компьютере по санитарным нормам не должно превышать четырех часов в сутки. Все компьютеры, не соответствующие шведскому стандарту MPRII, на расстоянии 5 см. от экрана имеют мощность дозы рентгеновского излучения 50-100 мкР/час. Рассчитаем дозу, которую можно получить на различном расстоянии от экрана монитора, и сведем полученные данные в таблицу.

Для этого необходимо определить мощность дозы облученности Pri на расстоянии г от экрана, которая рассчитывается по формуле:

где:

Р0- начальная мощность дозы на расстоянии 5 см. от экрана, Р() = 100 мкР/ч;

r- расстояние от экрана, см.;

м- линейный коэффициент ослабления рентгеновского излучения воздухом, см-1.

Поскольку неизвестен энергетический уровень рентгеновского излучения, возьмем длярасчета м = З,14*10-2см-1

Таблица 3. Мощность дозы излучения на различных расстояниях от экрана.

r. см	5	10	20	30	40	50	60	то	80	90	100
P. мкР/час	100	73.1	53.4	39.0	28,5	20.8	15.2	11.1	8.1	5.9	4.3

После заполнения таблицы построен график:

Рисунок 11 График зависимости мощности дозы излучения от расстояния до экрана.

Среднестатистический пользователь располагается на расстоянии 60см от экрана дисплея. Рассчитаем дозу облучения, которую получит пользователь за смену, за неделю, за год.

За смену	4 часа	4x21	84 мкР
За неделю	5 дней	5x84	420 мкР
За год	44 раб. недели	44x420	18480 мкР

Годовая норма дозы облучения -- 0.1 Р/год. Из расчета получено, что:

Dгод =18480мкР/год (0,018480Р/год)<0,1 Р/год

То есть мы выполнили условие безопасности при защите от радиации:

Dполу ч. за год ? Dнорм. за год

Пользователи, использующие мониторы, не соответствующие стандарту MPRII, нуждаются в дополнительной защите от воздействия рентгеновского излучения. Такая защита обеспечивается экранированием. Экранирование - это использование специальных экранов для монитора. Лучшим из них считаются экраны: "Ergostar", дающий ослабление 0.03 мкР/ч. на 5 см., а также "Global Shield", соответствующий стандарту MPRII. Характеристики его подтверждаются Ассоциацией Прикладной Эргономики Средств Отображения и Шведским Институтом Защиты от Излучений.

Вывод. Все мониторы, работающие на предприятии, должны соответствовать стандарту MPRII, в противном случае обязательна установка защитных экранов.

3.2.3 Защита от статического электричества

Для защиты от статического электричества необходимо выполнять следующиетребования:

– обеспечить подвижность воздуха в помещении не выше 0.2 м/сек;

– при проветривании помещения пользователи в нем должны отсутствовать;

– обеспечить регулярное проведение влажной уборки;

– покрытие полов должно быть антистатичным;

– должны быть в наличии нейтрализаторы статического электричества.

Наиболее эффективным способом нейтрализации статического электричества является применение нейтрализаторов, создающих вблизи наэлектризованного диэлектрического объекта положительные и отрицательные ионы. Различают несколько типов нейтрализаторов:

– коронного разряда (индуктивные и высоковольтные);

– радиоизотопные;

– комбинированные;

– аэродинамические.

Нейтрализаторы радиоизотопного и аэродинамического типов используют во взрывоопасных производствах. Индукционные нейтрализаторы применимы в случаях, когда их можно расположить очень близко к наэлектризованному материалу (20 мм. и менее). Кроме того, они не ликвидируют заряд полностью; остаточная плотность зарядана материале может достигать 5х10-6 Кл/м2. Высоковольтные нейтрализаторы высокоэффективны, и их работа не зависит от величины заряда на материале.

3.2.4 Защита от ультрафиолетового излучения

Дляослабленияультрафиолетовогоизлучениянеобходимоиспользоватьвпомещении, где установлена вычислительная техника, люминесцентные лампы мощностью не более 40 Вт; стены в вычислительном центре должны быть побелены обычной побелкой, или побелкой с добавлением гипса; одежда персонала - фланель, поплин; должны использоваться очки "Стинглас" из стекла толщиной 2 мм с добавлением свинца.

3.2.5 Защита от излучения электромагнитных полей низких частот

Защита от излучения электромагнитных полей низкой частоты осуществляетсявыбором расстояния от экрана монитора, длительности работы с компьютером и экранированием. Суточная продолжительность работы с компьютером не должна превышать 4 часа. Запрещается работать при снятых внешних кожухах (корпусах) персональных компьютеров. Запрещается располагаться от экрана на расстоянии, меньшем длины вытянутой руки.

3.2.6 Требования к освещенности рабочих мест

Помещения должны иметь естественное и искусственное освещение. Оконные проемыдолжны иметь регулируемые жалюзи или занавеси, позволяющие полностью закрывать оконные проемы. Занавеси следует выбирать одноцветные, гармонирующие с цветом стен, выполненные из плотной ткани и шириной в два раза больше ширины оконного проема. Для дополнительного звукопоглощения занавеси следует подвешивать в складку на расстоянии 15-20 см от стены с оконными проемами.

Рабочие места по отношению к световым проемам должны располагаться так, чтобы естественный свет падал сбоку, преимущественно - слева.

Норма освещенности 400 Лк для общего освещения в помещении обеспечена. Для исключения возникновения бликов экран монитора должен быть покрыт антибликовым покрытием. При его отсутствии необходимо использовать экраны и фильтры, обеспечивающие устранение бликов и повышение контрастности изображения. Наилучшими характеристиками обладают фильтры "полной защиты", состоящие из 3-5 антибликовых слоев, поглощающего слоя и проводящего металлизированного слоя.

Однаконаиболеераспространеннымиявляютсяболеепростыефильтры,которые делятся на несколько типов:

– из нейлоновой сетки (повышают контрастность при уменьшении общей яркости изображения);

– стеклянные с заземлением (предположительно снимают электростатику, повышают контрастность изображения и уменьшают фронтальное электромагнитное излучение);

– из нейлоновой сетки с графическим покрытием и заземлением (повышают контрастность и снимают электростатику).

3.3 Эргономические требования

3.3.1 Эргономические требования при организации рабочих мест

Помимо выполнения рассмотренных методов защиты от воздействия опасных и вредных факторов при работе за компьютером важным является соблюдение эргономических требований при организации рабочих мест.

Визуальные эргономические параметры дисплеев являются важнейшими параметрами безопасности, и их неправильный выбор однозначно влияет на зрительный дискомфорт и утомление человека-пользователя.

Выполнение эргономических рекомендаций по эксплуатации компьютеров позволяет значительно снизить вредные воздействия находящихся в эксплуатации ЭВМ. В первую очередь безопасность при работе с ЭВМ может быть обеспечена за счет правильного выбора визуальных параметров дисплея, рационального размещения компьютеров в помещениях, оптимальной с точки зрения эргономики организации рабочего дня пользователей, а также за счет применения средств повышения контраста и защиты от бликов на экране, электромагнитных излучений и электростатического поля.

Рекомендации охватывают следующий круг вопросов:

1. Требования к визуальным эргономическим параметрам дисплеев с учетом их эксплуатации.

2. Требования к помещениям и оборудованию рабочих мест.

3. Требования к режиму работы и отдыха.

4. Рекомендации по защите пользователей от излучений ЭВМ:

· рациональным размещением;

· применением индивидуальных средств защиты.

Для надежного считывания информации, при соответствующей степени комфортности ее восприятия, выбор параметров монитора должен обеспечивать работу оператора в оптимальных и допустимых диапазонах значений соответствующих параметров. Оптимальные и допустимые значения визуальных эргономических параметров должны быть указаны в технической документации на монитор для режимов работы различных категорий пользователей (детей, студентов, профессиональных специалистов и т.п.).

Конструкция рабочего стола должна обеспечивать оптимальное размещение на рабочей поверхности используемого оборудования (монитора, системного блока, клавиатуры, принтера и т.д.) с учетом его количества и конструктивных особенностей, характера выполняемой работы, а также возможности выполнения трудовых операций в пределах досягаемости. Поверхность стола должна быть ровной, без углублений. Высота рабочей поверхности стола должна регулироваться в пределах 680-800 мм.; при отсутствии такой возможности высота рабочей поверхности- 725 мм. Рабочий стол должен иметь пространство для ног высотой не менее 620 мм., шириной - не менее 550 мм., глубиной на уровне колен - не менее 450 мм., и на уровне вытянутых ног - не менее 650 мм.

Конструкция рабочего стула (кресла) должна обеспечивать поддержание рациональной рабочей позы при работе, позволять изменять позу с целью снятия статического напряжения мышц шейно-плечевой области и спины для предупреждения развития утомления. Рабочий стул (кресло) должен быть подъемно-поворотным и регулируемым по высоте и наклона сиденья и спинки, а также расстоянию спинки от переднего края сиденья; при этом регулировка каждого параметра должна осуществляться независимо от других, легко, и иметь надежную фиксацию. Поверхность сиденья должна быть полумягкой, с неэлектризуемым, воздухопроницаемым покрытием, а также легко чистящейся. Ширина и глубина поверхности сиденья - не менее 400 мм.; регулировка высоты - в пределах 400-500 мм. и углам наклона вперед - до 15°, назад - до 5°; высота опорной поверхности спинки стула (кресла) 300 мм (+/-)20 мм.; ширина - не менее 380 мм.; угол наклона спинки в вертикальной плоскости от 0°до 30°.

Экран монитора должен находиться на расстоянии 500-700 мм. от глаз пользователя.

Панель клавиатуры должна быть установлена в удобной для рук зоне так, чтобы предплечье находилось в горизонтальном положении, а плечо - примерно вертикально. Желательно избегать установки клавиатуры внутрь стола для освобождения рабочего места.

Линия взгляда должна быть в пределах от 0° до 60° вниз от горизонтали.

Подставка для бумаг должна находиться не под экраном, а возле него на той же высоте, что и экран, и на расстоянии, обеспечивающем хорошую считываемость символов. Подставка для книг должна иметь следующие характеристики:

· минимальная ширина опорной поверхности - 400 мм.;

· минимальная глубина опорной поверхности - 300 мм.;

· наклон опорной поверхности к горизонтали - 10°, или регулируемый: 0°-5°.

Край опорной поверхности должен быть регулируемым по высоте в пределах40-150 мм. от пола. Если регулировка не произвольная, то она должна иметь три положения. Опорная поверхность должна быть скользкой, и подставка должна плотно прилегать к полу. Общие рекомендации для пользователей при работе с компьютером заключаются в следующем:

· оборудовать рабочее место так, чтобы избежать длительных статических напряжений мышц и неудобных поз;

· при длительной и напряженной работе рекомендуется менять тип работы каждые пятнадцать минут, а также выполнять серии упражнений для снятия статического напряжения;

· не делать больше 10-12 тысяч нажатий на клавиши в час (примерно 1700 слов в час).

3.3.2 Требования к режиму труда и отдыха

Режимы труда и отдыха при работе с ЭВМ зависят от категории трудовой деятельности. Все работы с ПК делятся на три категории:

I. Эпизодическое считывание и ввод информации в ЭВМ или работа в режиме диалога (не более 2-х часов за 8-часовую рабочую смену).

II. Считывание информации с предварительным запросом не более 40 тыс. знаков или ввод информации не более 30 тыс. знаков или творческая работа в режиме диалога не более 4-х часов за 8-часовую смену.

III. Считывание информации с предварительным запросом более 40 тыс. знаков или ввод информации более 30 тыс. знаков или творческая работа в режиме диалога более 4-х часов за 8-часовую рабочую смену.

Время регламентированных перерывов за рабочую смену следует принимать в зависимости от категории трудовой деятельности с ЭВМ, а также продолжительности смены.

Продолжительность непрерывной работы с ЭВМ без регламентированного перерыва не должна превышать 2 часов.

Продолжительность обеденного перерыва определяется действующим законодательством о труде и Правилами внутреннего трудового распорядка предприятия (организации, учреждения).

При 8-часовои рабочей смене регламентированные перерывы целесообразно устанавливать:

· для I категории работ с ПК через 2 часа от начала смены и через 2 часа после обеденного перерыва продолжительностью 15 минут каждый;

· для II категории работ через 2 часа от начала смены и через 2 часа после обеденного перерыва продолжительностью 15 минут каждый или продолжительностью 10 минут через каждый час работы;

· для III категории работ с ПК через 2 часа от начала смены, через 1,5 и 2,5 часа после обеденного перерыва продолжительностью 5-15 минут и через каждый час работы.

При 12-часовой рабочей смене регламентированные перерывы устанавливаются в первые 8 часов работы аналогично перерывам при 8-часовой рабочей смене, а в течение последних 4 часов работы, независимо от категории и вида работ, через каждый час продолжительностью 5-10 минут.

При работе с ПК в ночную смену, независимо от вида и категории работ, продолжительность регламентированных перерывов увеличивается на 60 минут.

С целью уменьшения отрицательного влияния монотонии целесообразно применять чередование операций ввода осмысленного текста и числовых данных (изменение содержания работ), чередование редактирования текстов и ввода данных (изменение содержания и темпа работы) и т.п.

В случаях возникновения у работающих с ЭВМ зрительного дискомфорта и других неблагоприятных субъективных ощущений, несмотря на соблюдение санитарно-гигиенических, эргономических требований, режимов труда и отдыха следует применять индивидуальный подход в ограничении времени работ с ЭВМ и коррекцию длительности перерывов для отдыха или проводить смену деятельности на другую, не связанную с использованием ЭВМ.

3.3.3 Рекомендации по выбору ПЭВМ

При подборе вычислительной техники следует отдавать предпочтение мониторам с низкими уровнями излучений, отвечающим стандартам ТСО 95, ТСО 99, ТСО 2001, MPR II и повышенными визуальными характеристиками.

На мониторы рекомендуется устанавливать защитные фильтры класса полной защиты (Total shield), обеспечивающие практически полную защиту от всех вредных воздействий монитора в электромагнитном спектре и позволяющие уменьшить блик от электронно-лучевой трубки, а также повысить читаемость символов.

Вывод: Используемые методы и способы по защите от воздействия опасных и вредных факторов и соблюдение эргономических требований обеспечивают безопасность разработчика и пользователей.

4. Заключение

В дипломном проекте рассмотрены вопросы организации системы защиты информации в локальной сети предприятии.

Данная тема имеет большое значение для развития предприятия. На сегодняшний день разработка и внедрение сетевых информационных систем является одной из самых интересных и важных задач в области информационных технологий. В процессе дипломного проектирования была изучена структура локально-вычислительной сети предприятия, проанализированы потоки информации циркулирующие во внутренней сети предприятия, а так же потоки информации циркулирующие между филиалами. Также была представлена электронная модель обращения и хранения информации и хранения документации.

В дипломном проекте были предложены дополнительные меры защиты информации, разработана архитектура системы защиты безопасности и ограничения доступа в ЛВС предприятия.

В качестве базисного решения для охраны конфиденциальной информации передаваемой между филиалами использована технология виртуальной корпоративной сети предприятия, позволяющая реализовать защиту канала передачи данных от перехвата и подмены информации. Для защиты внутренней информационной структуры предприятия использованы Антивирусные решения.

В разделе охраны труда проведена оценка возможных опасных и вредных факторов при разработке программного продукта и их влияние на разработчика, а также предложены меры по защите от них воздействия.

Приложение 1

Защита информации в IP сетях

Конфигурация брандмауэра

Конфигурация iptables

Любое правило iptables записывается в виде:

iptables [-t таблица] команда [критерий] [действие \ переход в другую цепочку]

Использованные команды

Команда	Описание
-A, --append	Добавляет новое правило в конец заданной цепочки.
-D, --delete	Удаление правила из цепочки.
-L, --list	Вывод списка правил в заданной цепочке
-F, --flush	Сброс (удаление) всех правил из заданной цепочки
-N, --new-chain	Создание новой цепочки с заданным именем
-X, --delete-chain	Удаление заданной цепочки из заданной таблицы
-P, --policy	Задает политику по-умолчанию для заданной цепочки В качестве политики по умолчанию допускается использовать DROP и ACCEPT.

Общие критерии

Критерий	Описание
-p, --protocol	Этот критерий используется для указания типа протокола
-s, --src, --source	IP-адрес(а) источника пакета.
-d, --dst, --destination	IP-адрес(а) получателя.
-i, --in-interface	Интерфейс, с которого был получен пакет.
-o, --out-interface	Задает имя выходного интерфейса.
-j -jump	Переход на другую цепочку

Действие	Описание
ACCEPT	Данное действие прекращает движение пакета по цепочке
DROP	Данное действие просто "сбрасывает" пакет и iptables "забывает" о его существовании.
LOG	Данное действие, служит для журналирования отдельных пакетов и событий.
-j -jump	Переход на другую цепочку

Для удобства используются элементы программирования bash.

#!/bin/sh

start_fw()

{

Задаем статическую информацию, такую как используемые интерфейсы и IP адреса:

# IPTables Configuration.

#

IPTABLES="usr/sbin/iptables"

INET_IFACE="eth0"

LAN_IFACE="eth1"

LAN_VIFACE="eth2"

LAN_IP_RANGE ="192.168.100.0"

LAN_IP="192.168.100.254"

LAN_PROXY_IP="192.168.100.250"

LAN_TERM_IP="192.168.150.100"

LAN_VIP="192.168.150.1"

IP_FIL = "212.111.80.21"

BASE_IP= ="192.168.100.3"

DOMEN_IP = "192.168.100.2"

LO_IP="127.0.0.1"

LO_IFACE="lo"

Активируем необходимые нам модули:

#

# Module loading.

# Needed to initially load modules

#

/sbin/depmod -a

#

# Required modules

#

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

#

#Required proc configuration

#

echo "1" > /proc/sys/net/ipv4/ip_forward

Задаем политики на сброс всех пакетов: