Анализ операционной системы МСВС на предмет наличия уязвимостей

Отключите любые tty, которые вам не нужны. С остальных терминалов вы сможете переключаться на root, используя команду su.

Специальные пользователи

Выключите все ненужные специальные бюджеты пользователей, которые созданы по умолчанию в вашей системе (Это необходимо проделывать после каждого обновления). Чем больше у вас заведено пользователей, тем легче проникнуть в систему.

Бит постоянства может быть использован для предотвращения случайного удаления или переписывания файлов, которые должны быть защищены. Они также могут быть защищены от создания символических ссылок, которые могут быть использованы для атак на файлы /etc/passwd, /etc/shadow, /etc/group или /etc/gshadow.

Для установки бита постоянства на эти файлы выполните следующие команды:

chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow

Замечание. Если в будущем вам надо будет добавить новых пользователей или изменить пароли, то снимите бит постоянства с этих файлов. Также снять этот атрибут может потребоваться при инсталляции новых RPM пакетов, которые автоматически добавляют новых пользователей или новые группы.

Блокирование выполнения команды su

Для того, чтобы ограничить пользователей, которые могут выполнять команду su root, нужно добавить следующие две строки в начало файла конфигурации su root, расположенного в каталоге /etc/pam.d/.

auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel

После изменения файла /etc/pam.d/su нужно определить пользователей, которые могут выполнять su root. Для этого введите следующую команду:

usermod -G UserName

где опцией G определяется список цифровых значений групп в которые входит пользователь UserName.

Ограничение ресурсов

Файл limits.conf, находящийся в каталоге /etc/securitty, используется для ограничения ресурсов потребляемых пользователями вашей системы. Эти ограничения будут накладываться на пользователей как только они будут входить в систему.Символ “*” означает всех пользователей имеющих доступ на данный сервер.

Отредактируйте файл /etc/pam.d/login и добавить в него следующее:

session required /lib/security/pam_limits.so

Файл /etc/lilo.conf

LILO это универсальный загрузчик для ОС МСВС. Он не зависит от файловой системы и может загружать ядро МСВС как с гибкого диска, так и с жесткого диска. Кроме того, LILO может служить загрузчиком других операционных систем.

Наиболее важным конфигурационным файлом является /etc/lilo.conf. Следующие три опции чрезвычайно важны для улучшения безопасности.

timeout=00

Эта опция контролирует как долго (в десятых долях секунды) LILO ждет ввода информации от пользователя перед тем как продолжит загрузку “по умолчанию”. Одним из требований безопасности является возможность установки интервала равного 0.

restricted

Эта опция ослабляет парольную защиту, так как она требует введение пароля только если были определены параметры загрузки (например, linux single). Она может использоваться только совместно с опцией “password”. Убедитесь, что вы используете эту опцию с каждым образом.

password=<password>

Это опция требует запроса пароля у пользователя если он загружает ОС МСВС в однопользовательском режиме. Пароль является зависимым от регистра.

Обязательно проверьте, чтобы файл /etc/lilo.conf мог читать только пользователь root, так как, пароль хранится в файле в незашифрованном виде. Защитите файл от изменения и удаления командой:

chattr +i /etc/lilo.conf

Настройка shell

Bash shell может запоминать до 500 команд в файле ~/.bash_history (где ~/ - домашний каталог пользователя). Каждый пользователь, который имеет shell-доступ в систему, имеет такой .bash_history файл в своем домашнем каталоге. Уменьшая количество команд запоминаемых в этом файле, вы защищаете систему. Когда пользователь случайно ввел в командной строке свой пароль, то он еще долгое время будет хранится в файле .bash_history.

Строки histfilesize и histsize в файле /etc/profile определяют количество старых команд запоминаемых в .bash_history.

Также нужно добавить в файл /etc/skel/.bash_logout строку

rm -f $HOME/.bash_history

В результате, каждый раз, когда пользователь выходит из системы, его файл .bash_history будет удаляться. Поэтому хакер не сможет получить к нему доступ, когда пользователь не подключен к серверу.

Файл /etc/rc.d/rc.local

Данная возможность позволяет исключить утечки информацию о сервере и ОС злоумышленнику

При подключении к системе МСВС, вам выдается сообщение об имени дистрибутива, его версии, версии ядра и имени сервера. Это совершенно не нужно, так как дает много информации злоумышленнику. Вы должны оставить только запрос login:.

Чтобы сделать это, закомментируйте следующие строки в файле /etc/rc.d/rc.local:

# Эти строки будут заменять содержимое файла /etc/issue

# при каждой перезагрузке.

#echo "" > /etc/issue

#echo "$R" >> /etc/issue

#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue

#cp -f /etc/issue /etc/issue.net

#echo >> /etc/issue

Удалите файлы issue.net и issue в каталоге /etc:

rm -f /etc/issue rm -f /etc/issue.net

Замечание. Файл /etc/issue.net содержит информации, которая выдается всякий раз, когда осуществляется сетевое подключение к серверу (например, через telnet). Данные файлы содержится в каталоге /etc. Это простые текстовые файлы и вы можете их легко настраивать под свои нужды, но при этом необходимо изменить скрипт /etc/rc.d/rc.local, так как он при каждой перезагрузке пересоздает эти файлы.

Запрещение перезагрузки системы по Ctrl-Alt- Del

Запрещение перезагрузки системы по Ctrl-Alt- Del становится возможным при закомментаривании строки, описанной ниже, в файле /etc/inittab.

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Копии всех важных файлов регистрации

Один из важнейших аспектов защиты - это целостность лог файлов, расположенных в /var/log. Если взломщик преодолел вашу оборону, то вся ваша надежда остается на них. Если на вашем сервере установлен сервер печати или подобный сервер есть в сети, то можно создавать твердые копии всех, важных логов. Это легко осуществить, имея принтер с непрерывной подачей бумаги и перенаправляя все сообщения syslog в /dev/lp0. Если вы не имеете принтера в вашей сети, то можно перенаправлять все syslogd- сообщения на удаленный сервер.

Перемещение программы RPM

После того, как вы проинсталлировали все программы, которые нужны на сервере, хорошей идеей будет переместить программу RPM в безопасное место. Если кто-то получит доступ к вашему серверу и решит установить враждебное программное обеспечение, то это у него не получится. Конечно, если в будущем захотите проинсталлировать что-то новое, то вам потребуется вернуть RPM на место.

Также можно изменить права доступа к RPM c 755 до 700. В этом случае никто кроме пользователя root не сможет использовать эту программу:

Биты программ подчиненных пользователю root

Все программы и файлы в вашем компьютере с символом s в поле режима доступа имеют включенным бит SUID (-rwsr-xr-x) или SGID (-r-xr-sr-x). Так как эти программы дают особые привилегии пользователям которые их выполняют, то важно удалить бит s с программ владельцем которых является root и которым не нужны подобные возможности. Это осуществляется выполнением команды 'chmod a-s' с именем файла(ов) в качестве аргумента.

К таким программам относятся:

Программы, которые никогда не используются.

Программы, которые должен запускать только root.

Программы, используемые редко и которые могут использоваться через механизм su root

Знак * рядом с программами означает, что бит s для них должен быть снят. Помните, что для корректной работы системы необходимы некоторые suid-ные программы.

Для нахождения всех файлов имеющих бит s и владельцами которых является root используйте команду:

find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;

Для отключения бита s введите команду:

chmod a-s <путь>

Странные или скрытые файлы

Необходимо устранить из системы странные или скрытых файлов, т.е. файлов которые запускаются периодически и не показываются командой ls. Данные файлы могут использоваться для скрытия утилит и информации (программы взлома паролей, парольные файлы из других систем и др.). Обычной методикой на UNIX - системах является расположение скрытых каталогов с необычными именами в пользовательских бюджетах, например, “…”, “.. “ (точка точка пробел) или “..^G” (точка точка ctrl-G). Программа find может быть использована для поиска таких программ. Например:

find / -name ".. " -print -xdev

find / -name ".*" -print -xdev | cat -v

Поиск всех файлов с включенными битами SUID/SGID

SUID и SGID файлы являются потенциальными источниками нарушения безопасности, потому что дают особые привилегии пользователям, которые их выполняют и поэтому должны быть внимательно проверены и по возможности отключены.

Используйте следующую команду для поиска всех SUID/SGID программ:

find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;

Поиск программ и каталогов, в которые разрешена запись для группы и всех остальных пользователей

Некоторые системные файлы могут стать дырой в безопасности, если злоумышленник получит доступ к системе и сможет модифицировать их. Кроме того, дополнительную опасность представляют каталоги полностью открытые для записи. В них нарушитель легко может записывать и удалять файлы. В нормальном состоянии системы существует несколько файлов открытых для записи, включая несколько в каталоге /dev.

Для нахождения файлов и каталогов, полностью открытых для записи используйте следующие команды:

find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \;

find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \;

Замечание. Для облегчения регулярного поиска и проверки подобных файлов и каталогов можно использовать специализированное программное обеспечение, например, AIDE (Tripwire).

Файлы не имеющие владельцев

Наличие файлов, не имеющих владельцев может указывать на вторжение в систему. Никогда не принимайте подобные файлы. Если вы нашли файлы и каталоги не имеющие владельцев на вашей системе, то внимательно проверьте их и если с ними все в порядке - определите владельца. Для поиска файлов и каталогов не имеющих владельца используйте команду:

find / -nouser -o -nogroup

Замечание. Файлы найденные в каталоге /dev не считаются неправильными.

Контроль над монтируемыми файловыми системами

Вы можете получить больший контроль над смонтированными файловыми системами, например, /home и /tmp, используя опции noexec, nodev и nosuid. Они могут быть определены в файле /etc/fstab , который содержит описания каждой монтируемой файловой системой.

Опции, связанные с безопасностью, используемы в /etc/fstab:

defaults - позволяет все (quota, read-write и suid) на этом разделе;

noquota - не использовать квот пользователей на этом разделе;

nosuid - не использовать suid/sgid доступ на этом разделе;

nodev - нет символьный и специальных устройств на этом разделе;

noexec - нет исполняемых программ на этом разделе;

quota - пользовательские квоты действуют на этом разделе;

ro - позволять доступ только для чтения к этому разделу;

rw - позволять доступ на чтение/запись к этому разделу;

suid - позволять suid/sgid доступ на этом разделе.

Редактируйте файл fstab /etc/fstab и измените то, что вам нужно.

6.3 Сетевая безопасность

Политика безопасности сетевого брандмауэра

Политика безопасности сетевого брандмауэра определяет те сервисы, которые будут явно разрешены или запрещены, как они будут использоваться, и какие исключения будут из этих правил. Полная политика защиты должна быть определена согласно анализу безопасности и необходимости. Брандмауэр имеет небольшое значение, если полная политика защиты не определена должным образом. Каждое правило определенное в политика безопасности сетевого брандмауэра должно быть реализовано на брандмауэре. В общем, все брандмауэры используют следующие методы:

Все, что специально не разрешено - запрещено.

Этот метод блокирует весь трафик между двумя сетями, за исключением тех сервисов и приложений которым выдано разрешение. Поэтому каждую необходимую службу и приложение нужно разрешать. Никогда нельзя разрешать работу тем службам и приложениям, которые могут быть использованы для атаки на вашу систему. Это наиболее безопасный метод - отвергать все, что явно не разрешено. С другой стороны, со стороны пользователя, этот метод более ограничительный и менее удобный. Именно его мы будем использовать для построения брандмауэра в этой книге.

Все, что не запрещено, то разрешено.

Этот метод позволяет весь трафик между сетями, за исключением определенных сервисов и приложений. Поэтому каждую ненужную службу надо явно запрещать. Это очень удобный и гибкий метод для пользователей, но несущий в себе серьезные потенциальные проблемы в безопасности.

Рекомендации связанные с сетью

В ОС МСВС поддерживается большое количество сетевых функций. Настройка сетевого оборудования и всех файлов, связанных с сетью очень важно для общей системной безопасности.

Управление сетью охватывает обширный ряд тем. В общем, они включают сбор статистических данных о состоянии частей вашей сети и принятие мер в случае необходимости при возникновении сбоев или других причин.

Файл /etc/inetd.conf

Inetd называется супер сервером, который запускает другие демоны по запросам из сети. В файле конфигурации inetd.conf описано какие порты слушать и какие сервисы запускать для каждого порта. Как только вы подключаете вашу систему к сети, подумайте, какие сервисы вам нужны.

Ненужные сервисы надо отключить, а лучше деинсталлировать. Просмотрите файл /etc/inetd.conf и вы увидите, какие сервисы он предлагает. Закомментируйте строки с ненужными сервисами, а затем пошлите процессу inetd сигнал sighup.

Редактируя файл inetd.conf, вы можете отключить следующие сервисы: ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth и т.д. пока вы не планируете их использовать. Чем меньше сервисов включено, тем меньше риск для системы.

Telnet

Получение доступа к серверу дистанционно критично для большинства администраторов, но в любом случае удаленный доступ очень удобен.

Telnet был одной из первых сетевых услуг. Он позволяет регистрироваться на удаленной машине в интерактивном режиме и выполнять некоторые команды. Это все еще основное инструментальное средство для удаленного администрирования в большинстве сред, и оно имеет почти универсальную поддержку.

Это также один из наиболее опасных протоколов, восприимчивых ко всему. Если система имеете пользователей использующих telnet для доступа к серверу Вы должны определенно выполнить chroot для их логинов, если возможно, также как ограничить доступ telnet на используемые ими хосты с помощью TCP_WRAPPERS. Самое лучшее решение для обеспечения безопасности telnet состоит в том, чтобы его отключить.

Проблемы с telnet:

username и пароли открытым текстом.

Все команды открытым текстом.

Атаки на подбор паролей (правда, остаются следы в файлах протоколов).

Tcp_Wrappers

Используя Tcp_Wrappers, вы легко сможете оградить ваш сервер от внешних вторжений, когда это нужно. Запретите все хосты, добавив ALL: ALL@ALL, PARANOID в /etc/hosts.deny, и определите список тех, кому доступ разрешен в файле /etc/host.allow - это самая безопасная конфигурация.

Tcp_Wrappers контролируется двумя файлами. Поиск завершается при первом совпадении.

Доступ будет разрешен если пара (клиент, демон) найдена в файле /etc/host.allow.

Доступ будет запрещен если пара (клиент, демон) найдена в файле /etc/host.deny.

Если пары (клиент, демон) не найдена ни в одном из файлов, то доступ будет разрешен.

Ipchains

В ОС МСВС присутствует такое программное средство, как утилита ipchains используемая для администрирования firewall-а, IP маскарадинга и т.д.

Все IP пакеты содержат в своих заголовках IP адреса источника и получателя и тип IP протокола помещенного в пакет (TCP, UDP, ICMP). Единственным средством идентификации согласно протоколу IP является адрес источника сообщений. Это приводит к возможности подмены адреса (spoofing), когда злоумышленник заменят адрес источника на несуществующий адрес или на адрес другого сервера.

# Отбрасывание spoof-пакетов, с адресом источника

# совпадающим с вашим внешним адресом.

ipchains -A input -i $EXTERNAL_INTERFACE -s $IPADDR -l -j DENY

Существует, по крайней мере, семь адресов на внешнем интерфейсе, от которых необходимо отказаться. К ним относятся:

от вашего внешнего IP адреса

от приватных IP адресов класса A

от приватных IP адресов класса B

от приватных IP адресов класса C

от широковещательного адреса класса D

от зарезервированных адресов класса E

от loopback интерфейса

Блокировка исходящих пакетов, содержащих подобные исходные адреса, за исключением вашего IP адреса, защищает от ошибок конфигурации с вашей стороны.

Другие правила используемые в скрипте брандмауэра описывают:

доступ к сервисам из внешнего мира

доступ к сервисам во внешнем мире

маскарадинг внутренних машин

Конфигурирование ОС МСВС на маскарадинг и форвардинг трафика из внутренней локальной сети требует специальных настроек ядра и вашего конфигурационного скрипта брандмауэра. Этот вид установок известен как шлюз.

Маскарадинг необходим, если один из компьютеров вашей локальной сети, для которой МСВС машина является брандмауэром, пытается послать пакеты “наружу” и шлюз “притворяется” этим компьютером. Другими словами, при пересылке всех пакетов из внутренней сети во внешнюю, шлюз делает вид, что все пакеты идут от него. Это работает в обе стороны, если внешний хост отвечает, то шлюз будет пересылать все пакеты во внутреннюю сеть нужному компьютеру. В результате все внутренние компьютеры полностью не видимы для внешнего мира, но при этом имеют туда доступ и могут получать оттуда ответы.

Основной код маскарадинга, включаемый опцией IP: masquerading, обрабатывает только TCP или UDP пакеты (и ICMP ошибки для существующих соединений). Опция IP:ICMP Masquerading включает дополнительную поддержку для маскарадинга ICMP пакетов, таких как ping или исследований проводимых программой tracer из Windows 95.

Запрещение доступа с некоторых адресов

Для того, чтобы закрыть весь доступ на ваш сервер с определённого адреса, нужно:

создать файл rc.firewall.blocked в каталоге /etc/rc.d/ и раскомментировать следующие строки в скрипте firewall:

if [ -f /etc/rc.d/rc.firewall.blocked ]; then.

/etc/rc.d/rc.firewall.blocked

fi

В файл rc.firewall.blocked добавьте все IP адреса, доступ с которых вы хотите заблокировать.

Поиск .rhosts файлов

Файлы .rhosts являются частью постоянной работы системного администратора, так как этим файлам не должно найтись места на вашей системе. Помните, что нарушителю нужен только один небезопасный бюджет пользователя, чтобы в будущем получить доступ в вашу сеть. Вы можете найти файлы .rhosts используя команду:

find /home -name .rhosts

Настройка NFS

Если вы экспортируете свои файловые системы с использованием NFS, то необходимо сконфигурировать файл /etc/exports с максимально возможными ограничениями. В нем не следует использовать групповые символы (?, *), нельзя позволять доступ для записи пользователю root и следует монтировать только для чтения все, что только возможно.

/dir/to/export host1.mydomain.com (ro,root_squash)

/dir/to/export host2.mydomain.com (ro,root_squash)

Где dir/to/export - каталог для экспортирования, host1.mydomain.com - имя машины с которой разрешается доступ, <ro> - монтирование только для чтения, <root_squash> - не позволять пользователю root доступа с правом на запись.

DNS и BIND сервер

Безопасность любого сервера зависит от программного обеспечение предназначенного, для защиты сервера. DNS наиболее важный сервис для IP сетей, и поэтому, все МСВС машины - клиенты DNS, должны быть, как минимум, настроены на функцию кэширования. Такая настройка на клиентской машине уменьшит загрузку сервера. Кэширующий сервер ищет ответы на DNS запросы и сохраняет их до следующего раза. В результате время ответа на тот же запрос сильно сокращается.

Из соображений безопасности, важно, чтобы между внутренними компьютерами корпоративной сети и внешними компьютерами не существовало DNS, гораздо безопаснее использовать просто IP адреса для соединения с внешними машинами и наоборот.

Для улучшения безопасности BIND/DNS сервера, можно запретить вашему серверу, контактировать со сторонними серверами, если свои сервера не работают или не отвечают.

FTP сервер

Несмотря на прошедшие годы, использование File Transfer Protocol (FTP) является одним из самых популярных способов пересылки файлов с одной машины на другую через сеть. Клиенты и сервера написаны для каждой из популярных платформ присутствующих на рынке, делая таким образом FTP наиболее удобным способом пересылки файлов.

Существует много различных путей настройки вашего FTP сервера. Один из них приватный, только для пользователей системы, который является конфигурацией по умолчанию FTP сервера; приватный FTP сервер позволяет пользователям МСВС системы соединиться с сервером по протоколу FTP и получить доступ к их файлам.

Конфигурация, охватываемая здесь, предоставляет FTP полубезопасную область файловой системы (chroot гостевой FTP доступ). Она позволит пользователю получить доступ к каталогу FTP сервера, при этом он не сможет перейти на более высокий уровень. Это наиболее безопасная конфигурация для FTP сервера.

Чрезвычайно важно, чтобы ваши пользователи FTP не имели реального командного процессора. В этом случае, если они по каким-либо причинам смогут покинуть chroot окружение FTP, то не смогут выполнить никаких задач, так как не имеют командного процессора. (есть специальное устройство (/dev/null) существующее для подобных целей).

Редактируя файл passwd, добавьте/измените строку для пользователя ftpadmin:

ftpadmin:x:502:502::/home/ftp/./ftpadmin/:/dev/null

Обратите внимание, что путь к домашнему каталогу пользователя ftpadmin нечеткий. Первая часть /home/ftp/ показывает файловую систему, которая должна стать новый корневым каталогом. Разделяющая точка . говорит, что из текущего каталога необходимо автоматически переходить в /ftpadmin/.

7. Экономическая часть

7.1 Расчет трудоемкости

При проведении НИР по теме “Анализ механизмов защиты информации в ОС МСВС” выделяются следующие этапы:

Подготовительный этап. На этом этапе производится анализ существующей литературы по темам, касающимся проводимых исследований, разрабатывается технико-экономическое обоснование темы, выполняются необходимые расчеты, разрабатывается методика исследований и методика проведения экспериментов.

Разработка теоретической части НИР. На этом этапе выполняется научная проработка с целью обоснования параметров и характеристик разрабатываемой системы, определяется концепция построения системы, выбираются и обосновываются принципы организации и функционирования системы.

Определение перечня уязвимостей ОС МСВС. Определяется список компонентов ОС, создающих уязвимости, и способы устранения выявленных уязвимостей ОС

Разработка технических решений по устранению уязвимостей ОС.

Подготовка экспериментов. Выполняется подготовка исходных данных для проведения экспериментов по оценке качества устранения уязвимостей.

Эксперимент. Проводится серия экспериментов с целью проверки достижимости параметров и характеристик системы, определенных на этапе 2.

Корректировка теоретической части НИР. Уточняются вопросы организации и функционирования системы, вносятся изменения, обусловленные проводимыми экспериментами.

Выводы и предложения по НИР.

Оформление отчета по НИР.

Трудоемкости выполнения отдельных видов работ оцениваются экспертным путем и носят вероятностный характер, так как зависят от множества трудно учитываемых факторов. Состав исполнителей и длительность каждого этапа представлены в таблице 7.1.

Таблица 7.1 - Трудоемкости этапов НИР

Этап	Длительность в днях	Исполнители
		Инженер	Руководитель
Получение и согласование задания	2	+	+
Подбор и изучение документации	10	+
Разработка теоретической части	8	+	+
Определения перечня уязвимостей ОС МСВС	11	+
Определение способов устранения уязвимостей	4	+	+
Разработка технических решений по устранению уязвимостей ОС	10	+
Подготовка экспериментов	3	+
Эксперименты	8	+
Корректировка теоретическойчасти	4	+	+
Выводы и предложения по НИР	3	+
Оформление отчета	20	+
Всего	83	83	18

Общая продолжительность работ на всех стадиях НИР составляет 83 дня при пятидневной рабочей неделе с продолжительностью рабочего дня 8 часов.

На основе данных таблицы 7.1 строится ленточный график выполнения стадий НИР, представленный на рисунке 7.1.



Рис. 7.1 - Ленточный график

Расчет сметы затрат

Смета затрат представляет собой стоимостную оценку используемых в процессе производства продукции природных ресурсов, сырья, материалов, топлива, энергии, основных фондов, трудовых ресурсов, а также других затрат на ее производство и реализацию. Перечень затрат, включаемых в себестоимость продукции, определяется Положением о составе затрат по производству и реализации продукции (работ, услуг), включаемых в себестоимость продукции, и о порядке формирования финансовых результатов, учитываемых при налогообложении.

Затраты группируются в соответствии с их экономическим содержанием по следующим элементам:

материальные затраты;

затраты на оплату труда;

отчисления на социальные нужды;

амортизация основных фондов;

прочие затраты.

Далее рассмотрим затраты на проведение НИР по статьям калькуляции.

Расходные материалы. Сумма расходов определяется по формуле:

,	(7.2.1)

где ki - количество единиц i-ого материала,

Ci - стоимость единицы i-ого материала (руб.),

N - число материалов.

Таблица 7.2 - Затраты на приобретение материалов

Вид материалов	Количество	Цена за ед., руб.	Сумма расходов, руб.
Дискеты	3	12.00	36.00
Бумага	1 пачка	87.00	87.00
Картридж для принтера	1	650.00	650.00
Итого:	773.00

Основная заработная плата. В разработках принимало участие два исполнителя: руководитель темы (оклад 1660 руб.) и инженер-программист XI категории (оклад 595 руб.). Руководителем затрачено на разработку 18 дней, а инженером-программистом - 83 дня при месячном фонде времени одного разработчика 22 дня. Основная заработная плата определяется по формуле:

,	(7.2.2)

где Oi - оклад i-ого исполнителя (руб.),

Ti - время, затраченное i-ым исполнителем (дни),

Fi - месячный фонд времени i-ого исполнителя (дни),

N - число исполнителей.

С учетом вышесказанного, основная заработная плата составляет:



Отчисления на социальные нужды. Составляют 35.8 % от основной заработной платы:

	(7.2.3)

В данном случае отчисления на социальные нужды составляют:

Расходы на эксплуатацию оборудования и лицензированное программное обеспечение.

	(7.2.4)

Амортизационные отчисления. Рассчитываются по формуле:

,	(7.2.5)

где Фn - первоначальная стоимость оборудования;

Тn - время использования оборудования для проведения НИР;

a - норма амортизации;

Fq - годовой действительный фонд времени работы оборудования.

Таблица 7.3 - Стоимость оборудования и суммы амортизационных отчислений

Наименование	Стоимость, руб.	Длительность использования, лет	Норма амортизации, %	Сумма амортизации, руб./год	Сумма расходов, руб.
ПЭВМ на базе процессора AMD К7-700	15000	0.227	11.5	1725.00	391.58
Принтер Canon BJC_2000	2160	0.054	11.5	248.40	13.42
Итого:	404.9

Электроэнергия. Расход электроэнергии определяется исходя из установленной мощности оборудования, времени его работы и стоимости киловатт-часа электроэнергии. Стоимость одного киловатт-часа электроэнергии составляет 60 коп.

,	(7.2.6)

где С - стоимость киловатт-часа электроэнергии (руб.);

Pi - мощность, потребляемая i-ым оборудованием (кВт/час);

Ti - время использования i-ого оборудования (час).

Таблица 7.4 - Отчисления на оплату потребленной электроэнергии

Оборудование	Потребляемая мощность, кВт/час	Время использования, ч.	Расходы на электроэнергию, руб.
Персональный компьютер	0.5	664	199.20
Принтер	0.1	160	9.60
Итого:	208.80

Затраты на обслуживание оборудования. Составляют 20 % от первых двух статей:

	(7.2.7)

В данном случае затраты на обслуживание составляют:

руб

В итоге, затраты на эксплуатацию оборудования и лицензируемое программное обеспечение составили:

руб

Накладные расходы. Составляют 10 % от суммы всех статей затрат, рассмотренных выше. В итоге получим результирующую смету затрат:

Таблица 7.5 - Смета затрат на проведение НИР

Статья затрат	Сумма, руб.
Материальные затраты	773.00
Основная заработная плата	3602.95
Отчисления на социальные нужды	1289.86
Амортизационные отчисления	598.86
Электроэнергия	208.80
Затраты на обслуживание оборудования	122.74
Всего	6635.00
Накладные расходы	663.50
Итого	13894.71

Нормативная прибыль (Пн), включаемая в цену продукции, определяется исходя из норматива рентабельности. Норматив рентабельности равен 20 %, тогда нормативная прибыль:

,	(7.2.8)

где С - себестоимость изделия, руб.;

р - норматив рентабельности, %.

В итоге цена, складывающаяся из себестоимости разработки и прибыли, составляет 13894.71 + 2778.94 = 16673.65 (руб.).

Выводы по эффективности предложений

В данной дипломной работе был проведен анализ операционной системы ОС МСВС на предмет наличия уязвимостей, представляющих угрозу для обрабатываемой информации. Были разработаны технические решения, направленные на повышение степени защищенности операционной системы.

Указанная операционная система в настоящее время используется в вычислительных сетях предприятий, организаций и коммерческих фирм. В связи с этим, от степени защищенности операционной системы во многом зависит сохранность конфиденциальных данных, коммерческой тайны и других сведений, разглашение или искажение которых может нанести существенный ущерб.

Экономический эффект от проведенного исследования состоит в предотвращении или существенном затруднении несанкционированного доступа к защищаемой информации. Ликвидация последствий несанкционированного доступа всегда обходится гораздо дороже затрат на проведение исследования в области защиты информации и принятие мер по улучшению защищенности объекта. Во многих случаях ценность хранимых данных столь велика, что ее вообще невозможно оценить количественно (например, если это сведения, составляющие государственную тайну), поэтому проведение НИР в области защиты информации является экономически обоснованным, особенно в наше время, когда количество компьютерных правонарушений неуклонно растет.

Безопасность и экологичность работы

Важнейшим направлением научно-технического прогресса является развитие электронной вычислительной техники и ее широкое применение в производстве, научно-исследовательских и проектно-конструкторских работах, плановых расчетах, сфере управления и в обучении.

При обработке на ЭВМ информации, составляющей коммерческую или государственную тайну, остро встает вопрос о необходимости защиты секретных данных от попыток несанкционированного доступа к ним. Данная дипломная работа посвящена анализу средств, систем и комплексов защиты информации от НСД, функционирующих на ПЭВМ класса IBM PC.

Однако, как при анализе работы программ на персональном компьютере, так и при использовании их в дальнейшем в производственном процессе на ПЭВМ различного типа, оператор ПЭВМ сталкиваются с различного рода воздействиями вредных и опасных факторов, неизбежно сопутствующих работе на ПЭВМ. Поэтому анализ условий труда на ПЭВМ в вычислительных центрах, воздействия вредных и опасных факторов на оператора, а также рассмотрение мер, устраняющих или уменьшающих воздействие на работающих этих факторов окружающей среды, предупреждающих несчастные случаи, создающих высокопроизводительные, здоровые и безопасные условия труда в вычислительных центрах, являются частью данной дипломной работы.

Данный раздел освещает проблемы безопасности труда проектировщика как пользователя системы и намечает пути преодоления трудностей и дискомфорта при работе.

Анализ условий труда в вычислительном центре

Рассматриваемый ВЦ предназначен для проведения научно-исследовательских работ студентов кафедры ЭВМ. Он представляет собой небольшое помещение размером 663 м с двумя окнами, выходящими на северо-восток. Помещение оснащено кондиционером, установлена охранная сигнализация, используется электрическая сеть переменного тока 220 В, проведено отопление.

ВЦ оборудован одноместными столами с периметральной расстановкой рабочих мест с ПЭВМ вдоль двух стен, являющейся наиболее предпочтительней с точки зрения безопасности и оптимизации условий зрительной работы. При этом соблюдаются следующие расстояния:

а) по ширине ВЦ:

расстояние между стеной с оконными проемами и столами с ПЭВМ более 1 м;

расстояние между стеной, противоположной оконным проемам, и столами с ПЭВМ составляет 0,5 м;

б) по длине ВЦ:

столы с ПЭВМ установлены с разрывом, обеспечивающим расстояние 1 м между боковыми поверхностями мониторов.

В нашем случае, при периметральной расстановке рабочих мест с ПЭВМ, ВЦ оборудован также двухместными столами [ГОСТ 11015-86] со стульями [ГОСТ 11016-86] для работы без ПЭВМ в количестве 6 штук. Учебные столы необходимы для теоретических занятий, составления программ. Столы расставлены в два ряда с расстоянием между рядами 1 м. Стены до потолка окрашены светло-зеленым цветом, потолок побелен, поверхности рабочих столов с ПЭВМ окрашены в цвет натуральной древесины, поверхность пола ровная, без выбоин, удобная для уборки, обладающая антистатическими свойствами.

Окна закрыты плотными шторами, шириной в 2 раза больше ширины оконного проема, светло-зеленого цвета. Схематично план помещения представлен на рис. 7.2.

Рис. 7.2 - План-схема помещения ВЦ

Основным оборудованием рабочего места для оператора ВЦ является экран дисплея, клавиатура, манипулятор типа “мышь”, рабочий стол, стул (кресло). Несмотря на разработанные организационные и технические мероприятия, операторы ПЭВМ подвергаются воздействию следующих опасных и вредных производственных факторов:

физических:

повышенный уровень шума;

неудовлетворительные метеорологические условия;

недостаточная освещенность;

опасность поражения электрическим током;

воздействие электромагнитных полей;

повышенный уровень рентгеновского излучения;

пожарная опасность;

психофизиологических:

перенапряжение зрительных и слуховых органов;

умственное перенапряжение;

монотонность труда;

гиподинамия;

эмоциональные перегрузки;

взаимоотношения в коллективе;

химических;

биологических.

Воздействие указанных неблагоприятных факторов приводит к снижению работоспособности, вызываемому утомлением. Длительное нахождение оператора в зоне комбинированного воздействия различных неблагоприятных факторов может привести к профессиональному заболеванию.

Повышенный шум вызывает трудности в распознавании цветовых сигналов, снижает быстроту восприятия цвета, остроту зрения, ухудшает способность быстро и точно выполнять координированные движения, уменьшает на 512 % производительность труда. Причинами возникновения шума в ВЦ являются:

механический шум (движение и удары головки принтера, механизмы подачи бумаги и красящей ленты, работа вентиляторов охлаждения системного блока);

громко говорящие люди;

шум, возникающий при образовании потоков воздуха кондиционером;

колебания, возникающие под действием электромагнитного поля в устройствах преобразования и стабилизации напряжения, а также люминесцентные лампы.

Требования к уровню шума определяются стандартными нормами. В помещениях для операторов ПЭВМ уровень звука не должен превышать 50 дБА. Мерами защиты от шума являются: акустические защитные перегородки, звукопоглощающее покрытие.

Неудовлетворительные метеорологические условия в рабочей зоне (высокая или низкая влажность либо температура) могут привести к плохому самочувствию человека и снижению его работоспособности, снижению безопасности работы, что может привести к травматизму. Как правило, все ВЦ имеют повышенную температуру помещений. Это связано с выделением тепла непосредственно от ПЭВМ, от вспомогательного оборудования, приборов освещения, присутствующих в помещении людей, а также с поступлением тепловой энергии извне. В производственных помещения, где выполняются работы с вычислительной техникой, величины температуры, относительной влажности и скорости движения воздуха в рабочей зоне должны соответствовать оптимальным значениям: в холодный период года 2224C, в теплый период 2325C; относительная влажность 4060 %; скорость движения воздуха не более 0.1 м/с. Повышенная температура воздуха на рабочем месте оператора снижает производительность труда, вызывает преждевременное утомление, притупляет внимание, ухудшает качественные показатели и может оказаться причиной заболевания. Помещения должны иметь централизованную приточно-вытяжную вентиляцию и оконные кондиционеры. Нормирование температуры в рабочем помещении устанавливает ГОСТ 12.1.005-88.

Важную роль в работе операторов ПЭВМ играет освещение. Недостаточное освещение вызывает преждевременное утомление, притупляет внимание, приводит к ошибкам в работе, ухудшает нормальную производственную деятельность пользователя, снижает остроту зрения и может оказаться причиной несчастного случая. Каждое помещение с дисплеями должно иметь естественное и искусственное освещение. Естественное освещение должно осуществляться через боковые светопроемы, ориентированные преимущественно на северную сторону. Помимо естественного освещения, в помещения обязательно присутствует искусственное, как правило, комбинированное. Рекомендуется система с использованием люминесцентных ламп типа ЛБ и светильников отраженного или рассеянного светораспределения, расположенных в равномерном прямоугольном порядке. Одним из мероприятий по устранению зрительного дискомфорта из-за недостаточного освещения является измерение освещенности. Системы освещения должны удовлетворять требованиям СН и П 23-05-95. Освещенность помещения ВЦ должна быть не менее 250 лк на рабочей поверхности стола. Недостаточная освещенность рабочего места оператора может привести к перенапряжению зрительных органов, а в дальнейшем - к возможному ухудшению зрения.

Электрические установки, к которым относится практически все оборудование ВЦ, представляют для человека большую потенциальную опасность. Токоведущие проводники, корпуса ПЭВМ и прочего оборудования могут оказаться под напряжением в результате повреждения или пробоя изоляции, короткого замыкания, искрения, перегрузки проводников, плохих контактов. Проходя через тело человека, электрический ток оказывает термическое, электролитическое, механическое и биологическое воздействие на человека, вызывая ожоги, электротравмы. К общим мерам защиты от статического электричества в ВЦ можно отнести общее и местное увлажнение воздуха. Нормой относительной влажности воздуха, обеспечивающей защиту от статической электризации, считается величина, не превышающая 60 %.

В залах с ПЭВМ на оператора могут воздействовать также электромагнитные поля (ГОСТ 12.1.006-84) в виде широкополосного спектра электромагнитных излучений: рентгеновского, ультрафиолетового (УФ), инфракрасного излучения, электромагнитных излучений промышленной частоты. В реальных условиях уровни УФ излучения, исходящего от терминала (320400 мкм) в десятки раз ниже допустимого уровня 10 Вт/см. Слабые электромагнитные поля вызывают аллергию, тошноту, усталость, головные боли. Для снижения уровня электромагнитного излучения необходимо располагать мониторы так, чтобы расстояние до них составляло величину, равную длине вытянутой руки. Пользователи должны находиться не ближе, чем на 1.2 м от задних и боковых поверхностей соседних терминалов, так как источник высокого напряжения компьютера - строчный трансформатор - помещается в задней или боковой части терминала, причем стенка корпуса не экранирует излучения. Для уменьшения интенсивности излучения рекомендуется устанавливать на экран монитора специальные экранирующие фильтры и экраны. Но так как некоторые фильтры предназначены только для снижения яркости и не создают никакой защиты от излучений, рекомендуется ставить либо экран типа “полароид” СП_90 (США), либо австрийские стеклянные экраны. Последние изготовлены из специальных затемненных сортов стекла. Эти фильтры выполнены из четырехслойного кристаллического стекла с двусторонним отражающим износостойким покрытием. Они полностью снимают электростатическое поле и на 90 % гасят воздействие электромагнитных полей. К сожалению, все фильтры стоят дорого и не всегда имеются в продаже. В качестве разумной альтернативы западным образцам может быть порекомендован приэкранный оптический фильтр, производимый фирмой “Русский щит”. Фильтр обеспечивает тотальную защиту, конструктивно выполнен на стеклянной подложке, имеет защитное и антибликовое покрытие, снабжен заземляющим проводником.

Для контроля излучения дисплеев необходимо проводить измерения по электрической и электромагнитной составляющим электромагнитного поля.

В помещениях, в которых эксплуатируются ПЭВМ, всегда существует опасность возгорания из-за неисправности, например, некоторых частей ПЭВМ, из-за искр при коротком замыкании, плохого контакта в неисправных электросетях, неосторожного обращения людей с огнем и т.п.

По пожарной опасности помещения вычислительных центров относятся к категории “В”. Пожарную нагрузку ВЦ составляют горючие материалы: изоляционные материалы проводов и кабелей, шкафы, стеллажи, материалы, используемые для эстетической отделки, горючие строительные конструкции, а также различная мебель. Электрические контакты в ПЭВМ и периферийном оборудовании являются их неотъемлемой частью, от правильной работы которой зависит не только нормальное функционирование сетей, устройств и аппаратов, но и состояние пожарной безопасности. Нагрев электрических контактов, который может быть причиной пожара, обусловливается существованием переходного сопротивления между контактирующими элементами.

При предъявлении требований к эксплуатации помещений следует руководствоваться “Инструкцией по проектированию зданий и помещений для ЭВМ” СНиП-512-78, утвержденной Госстроем 22.12.78 и ГОСТ 12.1.004-91. Сети аварийного освещения и сигнализации проложены отдельно от других силовых и контрольных кабелей. В связи с тем, что каждая ПЭВМ имеет собственную систему охлаждения, нет необходимости в системе воздуховодов. ПЭВМ имеют блокировку, обеспечивающую отключение при остановке систем охлаждения. Работы по ремонту узлов (блоков) ПЭВМ непосредственно в машинном зале, как правило, не допускаются. Профилактическая прочистка ПЭВМ и контрольно-измерительных приборов в каждом случае должна проводиться с письменного разрешения начальника ВЦ и после согласования с пожарной охраной. Один раз в квартал должна проводиться очистка от пыли всех агрегатов машин и их узлов, кабельных каналов.

Рекомендуется осуществлять расстановку ПЭВМ по периметру помещения в целях более быстрой эвакуации людей в случае возгорания.

В помещении ВЦ запрещается следующее:

групповые розетки на сгораемой основе,

панели, ковры и дорожки из синтетических материалов;

горючий материал для акустической отделки стен и потолков;

загромождать пути эвакуации.

После окончания работы, перед закрытием помещения все электрические сети должны быть обесточены. При возникновении пожара в помещении ВЦ применяются ручные огнетушители. С их помощью можно быстро ликвидировать очаг загорания или локализовать огонь до прибытия пожарной команды. Применяются средства, предназначенные для работы в помещениях с электрооборудованием:

ручные углекислотные огнетушители типа ОУ-2,ОУ-5,ОУ-8;

углекислотно-бромэтиловые огнетушители типа ОУБ-7;

порошковые огнетушители типа ОПС-10,ОХП-10;

ручные воздушно-пенные огнетушители типа ОВП-5, ОВП-10.

Психофизиологические факторы, воздействующие на оператора, приводят к его физическим (статическим, динамическим) и нервно-психическим перегрузкам (умственное перенапряжение, перенапряжение анализаторов, монотонность труда, эмоциональные и информационные перегрузки). Характерной при работе с ПЭВМ является такая физическая перегрузка, как длительное статическое напряжение мышц пользователя. Оно обусловлено вынужденным продолжительным сидением в одной и той же рабочей позе, часто неудобной, необходимостью постоянного наблюдения за экраном (напрягаются мышцы шеи, ухудшается мозговое кровообращение), набором большого количества знаков за рабочую смену (это приводит к статическому перенапряжению мышц плечевого пояса и рук). При этом возникает также локальная динамическая перегрузка пальцев и кистей рук.

Нервно-психические перегрузки являются следствием информационного взаимодействия человека с ЭВМ. Они обусловлены неудовлетворительными условиями зрительного восприятия информации (изображения), несогласованностью параметров информационных технологий с психофизиологическими возможностями человека, необходимостью постоянного наблюдения за информационными символами, быстрого анализа динамично меняющейся информации, принятия адекватных решений и реализации соответствующих корректирующих воздействий. К основным нервно-психическим перегрузкам человека, работающего с ПЭВМ, относятся: повышенные зрительные напряжения, умственные и нервно-эмоциональные перегрузки, длительная концентрация внимания, монотонность труда.

В условиях ВЦ на оператора также воздействуют химические опасные и вредные факторы. К ним относится ряд веществ и соединений, которые могут оказывать разнообразные негативные воздействия на организм человека: токсические, раздражающие, сенсибилизирующие, канцерогенные, мутагенные, а также влияющие на репродуктивную функцию. Наличие химических факторов в помещениях с ПЭВМ в основном обусловлено широким применением полимерных и синтетических материалов для покрытия пола, отделки интерьера, при изготовлении мебели, ковровых изделий, радиоэлектронных устройств и их компонентов, изолирующих элементов систем электропитания и т.д. Кроме того, технология производства средств вычислительной техники предусматривает применение всевозможных покрытий на основе лаков, красок, пластиков, синтетических смол. При работе электронные устройства нагреваются из-за тепловыделения, что способствует увеличению концентрации вредных веществ и соединений в воздухе рабочей зоны. При этом в воздухе может образоваться повышенное содержание формальдегида, фенола, полихлорированных бифенилов, аммиака, двуокиси углерода, озона, хлористого винила и других токсичных соединений.

К группе биологических вредных факторов, которые могут привести к заболеванию или ухудшению состояния здоровья пользователя, относится повышенное содержание в воздухе рабочей зоны патогенных микроорганизмов (бактерий, вирусов и др.). Они могут появиться в помещении с большим количеством работающих при недостаточной вентиляции, например, в период эпидемий.

По результатам проведенного выше анализа можно сделать вывод о том, что при работе в ВЦ на оператора ПЭВМ действует множество опасных и вредных факторов. Часть из них находится в пределах допустимых норм, и их воздействие на организм человека незначительно. Некоторые факторы проявляются достаточно редко и только при определенных условиях (пожар, поражение электрическим током). Однако, остается еще достаточно большая группа неблагоприятных воздействий, которые носят регулярный характер и поэтому существенно влияют на здоровье. Одним из них является воздействие на оператора ПЭВМ электромагнитного поля.

Разработка мероприятий по обеспечению минимального воздействия электромагнитного поля при обработке информации на ПЭВМ

Одним из основных факторов, действующих на пользователя, являются электромагнитные поля. На рабочих местах с ПЭВМ можно выделить два вида пространственных полей: поля, создаваемые собственно ПЭВМ, и поля, порожденные другими окружающими рабочее место источниками.

Современная ПЭВМ является энергонасыщенным аппаратом с потреблением электроэнергии до 200-250 Вт, содержащим несколько электро- и радиоэлектронных устройств с различными физическими принципами действия. Поэтому она создает вокруг себя поля с широким частотным спектром и пространственным распределением, такие как электростатическое поле, переменные низкочастотные электрические поля и переменные низкочастотные магнитные поля.

Электростатическое поле (ЭСП) возникает за счет наличия электростатического потенциала (ускоряющего напряжения) на экране ЭЛТ. При этом появляется разность потенциалов между экраном дисплея и пользователем ПЭВМ. Наличие ЭСП в пространстве вокруг ПЭВМ приводит, в том числе, к тому, что пыль из воздуха оседает на клавиатуре и затем проникает в поры на пальцах, вызывая заболевание кожи рук. ЭСП вокруг пользователя ПЭВМ зависит не только от полей создаваемых дисплеем, но также от разности потенциалов между пользователем и окружающими предметами. Эта разность потенциалов возникает, когда заряженные частицы накапливаются на теле в результате ходьбы по полу с ковровым покрытием, при трении материалов одежды друг о друга и т.п.

В данном вычислительном центре используются мониторы LG Studioworks 575N. Они соответствуют международному стандарту MPR II. В соответствии с ним в этих моделях приняты специальные меры по снижению потенциала экрана, однако они обеспечивают требуемую норму лишь в установившемся режиме работы дисплея. Соответственно, подобный дисплей имеет повышенный уровень электростатического потенциала экрана в течение 20-30 секунд после своего включения и до нескольких минут после выключения, что достаточно для электризации пыли и близлежащих предметов. Это приводит к усилению загрязнения частей ПЭВМ, что отрицательно сказывается на ее работе и ухудшает здоровье оператора. Для предотвращения этого необходимо:

не реже одного раза в неделю осуществлять протирание частей ПЭВМ;

закрывать ПЭВМ в нерабочие время (в ночное время суток и обеденный перерыв);

не реже двух раз в месяц осуществлять влажную уборку помещения.

необходимо на все мониторы установить фильтры с защитой по электростатическому полю, для ослабления влияния на оператора высокоинтенсивных импульсов электростатического поля.

Источниками переменных электрических полей в ПЭВМ являются узлы, в которых присутствует высокое переменное напряжение, и узлы, работающие с большими токами.

По частотному спектру электромагнитные поля разделяют на две группы:

поля в диапазоне частот от 50 Гц до 2 кГц, источниками которых являются блок сетевого питания и блок кадровой развертки дисплея;

поля в диапазоне частот от 15 кГц до 80 кГц, источниками которых являются блок строчной развертки и импульсный блок сетевого питания ЭВМ.

Стандарт MPR II на мониторы определяет, что электромагнитные поля имеют деформированную диаграмму направленности - максимум направлен в сторону задней стенки монитора.

Рис. 7.3 - Монитор с деформированным ЭМП

Расположение ПЭВМ в вычислительном центре таково, что ни один из операторов ПЭВМ не испытывает воздействия ЭМП со стороны задней стенки монитора. Однако, расстояние между боковыми стенками рядом расположенных мониторов следует увеличить до 1.2 м.