Система защиты данных

Размещено на http://www.allbest.ru/

ВВЕДЕНИЕ

В настоящее время локальные вычислительные сети имеют большое значение на любом предприятии, так как в ней проходят различные конфиденциальные и секретные данные которые не следует знать посторонним лицам. Утеря таких данных может стать катастрофичной для предприятия, поэтому защита локальной вычислительной сети и данных, проходящих в ней, является очень важной задачей.

Одной из наиболее важных проблем является обеспечение качественной защиты данных в локальной вычислительной сети.

Саму же защиту можно реализовать при помощи, межсетевых экранов которые представляет собой блокирование трафика за исключением разрешенных данных.

Угрозой защиты информации является совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации или несанкционированными и непреднамеренными воздействиями на нее.

Целью проекта будет создание надежной системы защиты данных, проходящих в этой локальной вычислительной сети, от различных видов сетевых атак, целью которых будет хищение конфиденциальной информации.

Задачами данного проекта являются:

1) Произведение анализа объекта исследования.

2) Выявление возможных угроз безопасности локальной вычислительной сети.

3) Проектирование схемы внедрения межсетевых экранов.

4) Разработка политики информационной безопасности.



1. ОПИСАНИЕ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ПРЕДПРИЯТИЯ «ТК РЕСУРС»

Предприятие “ТК Ресурс” - это московская строительная. Это компания осуществляет полную комплектацию строительных объектов.

Данное предприятие состоит из центрального офиса, а также из склада, который находится неподалеку.

Данное предприятие занимается:

· добавлением на собственный веб - сайт различных товаров своего ассортимента и ассортимента клиентов;

· организацией хранения товаров на собственных складах, которые находятся в ассортименте;

· реализацией защиты покупателей и гарантий на товар;

· работой с крупными поставщиками различных товаров;

· обслуживанием заказов;

· онлайн поддержкой клиентов;

Предприятие представляет собой здание, в которое входит центральный офиса и склада продукции, центральный офис состоит из таких отделов, как:

· серверная, где находятся сервера предприятия (веб-сервер, файловый сервер, сервер баз данных);

· фото отдел, в котором делаются снимки товара и их редактирование;

· отдел технической поддержки в котором происходит общение с клиентами и решение возникших вопросов.

· отдел снабжения, который отвечает за доставку товаров клиенту

· IT отдел, в котором работают сотрудники предприятия, отвечающие за качественную и стабильную работу сети предприятия;

· отдел приема и подтверждения заказов, он обрабатывает полученную от заказчиков информацию, которая была введена при заказе товара, и оформляет заказ.

В складе хранится вся продукция, которая продается на предприятии, на складе имеются рабочие станции, которые имеют прямую связь с центральным офисом и предоставляют всю информацию о имеющемся на складе товаре.

Информационная система, объединяющая рабочие станции данного предприятия, в основном используется для передачи текстовых документов и изображений больших объемов.

Объединение всех рабочих станций в сети производится с помощью сетевого оборудования. Рабочие станции соединяются с помощью коммутатора, который соединен с маршрутизатором.

Описание взаимодействия отделов системы: Клиент приходит на предприятие, выбирает товар и оформляет свой заказ, указывая в нем свои личные данные и способ оплаты. Эта информация передается на сервер баз-данных, который находится в локальной сети предприятия. Далее эта информация отправляется в отдел приема заказа, где производится подтверждение и прием оплаты этого заказа с электронного счета заказчика. После этого оформленный заказ отправляется в отдел снабжения, где производится сборка заказанного товара и отправление посылки заказчику.



2. АНАЛИЗ УГРОЗ СЕТЕВОЙ БЕЗОПАСНОСТИ

Одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Иначе говоря, если нет уязвимости, то невозможна и атака, её использующая.

Источники возникновения уязвимостей

Часть уязвимостей закладывается ещё на этапе проектирования. В качестве примера можно привести сервис TELNET, в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet - общая среда. передачи.

Другая часть уязвимостей возникает на этапе реализации (программирования). К таким уязвимостям относятся, например, ошибки программирования стека TCP/IP приводящие к отказу в обслуживании. Сюда следует отнести и ошибки при написании приложений, приводящие к переполнению буфера.

Рассмотрим различные варианты классификации уязвимостей:

Вариант классификации - по уровню информационной структуры организации. Это наиболее наглядный вариант классификации, т. к. он показывает, что конкретно уязвимо.

К уровню сети относятся уязвимости сетевых протоколов - стека TCP/IP, протоколов NetBEUI, IPX / SPX.

Уровень операционной системы охватывает уязвимости Windows, UNIX, Novell и т. д., т.е. конкретной ОС.

На уровне баз данных находятся уязвимости конкретных СУБД - Oracle, MSSQL, Sybase. Этот уровень рассматривается отдельно, потому что базы данных, как правило, являются неотъемлемой частью любой компании.

К уровню приложений относятся уязвимости программного обеспечения WEB, SMTP серверов и т. п.

Далее так как Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он:

не защищает узлы сети от проникновения через «люки» (англ. back doors) или уязвимости ПО;

не обеспечивает защиту от многих внутренних угроз, в первую очередь утечки данных;

не защищает от загрузки пользователями вредоносных программ, в том числе вирусов; Исходя из описания предприятия составим перечень всех возможных угроз безопасности сети предприятия:

1. Данная сеть имеет подключение к Internet, а это может повлечь за собой сетевые атаки из данной среды, такие как:

· Перехват сеанса связи

· Сетевая разведка

· Вирусы

2. Сервер, подключенный к сети несет в себе функцию хранилища данных (файлов, конфиденциальной информации), который являются основной целью злоумышленников.

3. Также ещё одной угрозой может быть не санкционированный доступ сети, т. е. лицо, не имеющее никакого отношения к сети может получить доступ обычным использованием ПК уже аутентифицированного пользователя сети.

4. Угроза безопасности сети также может возникнуть и при случайных происшествиях:

· отключение питания

· отказ и сбой аппаратуры

· помехи в линиях связи

· аварийные ситуации при стихийных бедствиях

· ошибки в работе персонала и пользователей

5. Злоумышленники могут непосредственно с помощью специальной техники подключиться к сети и анализируя потоки данных использовать всю полученную информацию в своих корыстных целях.



3. ПОСТАНОВКА ЗАДАЧИ

3.1 Характеристика комплекса задач

Просмотрев бизнес процессы нашего предприятия можно выделить следующие функции нашей системы защиты.

· Ограничение входного трафика со стороны провайдера;

· Запрет доступа сервера к сети провайдера;

· Ограничение доступа к коммутационному оборудованию сети;

· Организация контроля за пользователями системы;

· Шифрование данных на сервере;

· Авторизация сотрудников;

· Разграничение прав доступа;

· Создание журнала событий.

1) Журнал событий - сохраняет совершенные санкционированные и несанкционированные события в сети предприятия в едином журнале событий, например, таких, как: вход или выход с сайта, различные действия авторизованного пользователя, регистрация, регистрация заказов, просмотр заказов, несанкционированный доступ, ввод неправильного пароля, ошибки системы. В задачи журнала событий входят регистрация событий и просмотр событий. Регистрация событий позволяет заносить в журнал событий все действия, производимые в локальной сети. Просмотр событий позволяет просмотреть все события, которые были занесены в журнал событий.

2) Разграничение прав доступа - формирование прав на доступ к ресурсам для каждого пользователя системы. Для каждого пользователя будет создана своя учетная запись, со своим логином и паролем, которым будут присвоенные индивидуальные права на доступ к каким - либо ресурсам.

3) Под функцией авторизации контроля за системой понимается как проверка подлинности данного пользователя. Все действия, совершённые в системе пользователем или иным процессом, будут записаны в журнале контроля.

4) Ограничение входного трафика со стороны провайдера - ограничивая доступ к интернету мы в первую очередь заботятся о том, чтобы работники не тратили оплачиваемое компанией время на свои личные нужды. Второй момент - безопасность важной производственной информации, которая может быть передана через интернет. Более того, контролируя трафик, руководство компании предотвращает внешние хакерские атаки

5) Ограничение доступа к коммутационному оборудованию сети - делается для ограничения доступа к ЛВС. Делается это путем блокирования портов на коммутаторе.

3.2 Входная информация

Входная информация в общем виде предоставляется от пользователей сети в виде логинов и паролей, авторизации, от удаленных пользователей некоторой документации, идентификатор пользователя. Индивидуально каждый раздел принимает следующую информацию.

Раздел авторизации и регистрации:

· Логин и пароль;

Раздел разграничение прав доступа:

· Предъявление учетных аккаунтов на подтверждение привилегии;

Раздел Журнал событий:

· Регистрация новых событий.

3.3 Выходная информация

Информационная система в общем виде организует выходную информацию в виде документов, предоставления доступа к учетной записи пользователя, к учетной записи администратора, к данным хранящемся на сервере. Индивидуально каждый раздел производит вывод следующей информации.

Раздел авторизации и регистрации:

· Подтверждение учетной записи;

· Присвоение IP-адреса.

Раздел разграничение прав доступа:

· Присвоение привилегий.

Раздел Журнал событий:

· Уведомление о входе в систему.



4. ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Информационная безопасность - это меры, предохраняющие информационную сеть от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальные действия или попыток разрушения ее компонентов. Включает защиту оборудования, программного обеспечения, данных.

Сеть предприятия может подвергнуться следующим видам угроз безопасности: парольные атаки, злоупотребление доверием, несанкционированный доступ, вирусы и приложения типа "троянский конь", ошибки пользователей или персонала, проблемы физической безопасности.

Сетевая разведка. Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации.

Злоупотребление доверием. Этот тип действий не является "атакой" или "штурмом". Злоупотребление доверием -- мошеннический способ обогащения; противоправная растрата или хищение временно доверенных предметов или ценностей при намеренном злоупотреблении особыми доверительными отношениями, сложившихся между виновным и пострадавшим. Отличается корыстным характером получения имущественной выгоды или нанесения имущественного ущерба.

Несанкционированный доступ. Несанкционированный доступ не может считаться отдельным типом атаки, это доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

Вирусы и приложения типа "троянский конь". Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. Обиженные или нечестные сотрудники. Такие сотрудники могут предоставить злоумышленникам какую-либо конфиденциальную информацию с целью отомстить работодателям.

Ошибки пользователей или персонала. Зачастую утечка конфиденциальной информации происходит по ошибке сотрудников предприятия, они могут слить информацию злоумышленникам даже не понимая этого.

Проблемы физической безопасности. В этом случае злоумышленник при плохой физической безопасности сможет пробраться на территорию предприятия, подключиться на прямую в сеть и получить доступ к конфиденциальной информации.

Исходя из классификации и основной структуры предприятия можно сделать вывод, что защищаемое предприятие может подвергнуться практически всем всевозможным угрозам безопасности.



5. МОДЕЛЬ НАРУШИТЕЛЯ

Под нарушителем можно предполагать личность или группу лиц, которые в результате преднамеренных или непреднамеренных действий обеспечивают реализацию угроз информационной безопасности.

Некоторые программы которые используются нарушителями:

Бэкдор, backdoor (от англ. back door -- задняя дверь) -- программы, которые устанавливают взломщики на взломанном ими компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор: Microsoft Windows.

Есть 3 вида предоставления shell-доступа:

1) BindShell -- самый распространённый, работает по архитектуре «клиент-сервер», то есть бэкдор ожидает соединение.

2) Back Connect -- применяется для обхода брандмауэров, бэкдор сам пытается соединиться с компьютером хакера.

3) Middle Connect -- бэкдор и компьютер хакера обмениваются данными через дополнительный сервер.

Известные бэкдоры заносятся в базы антивирусных систем. Хакеры высокого класса используют собственноручно написанные либо модифицированные бэкдоры и руткиты, что делает их обнаружение и удаление затруднительным.

Основное назначение Backdoor -- скрытное управление компьютером. Как правило, Backdoor позволяет копировать файлы с поражённого компьютера и наоборот, передавать на поражённый компьютер файлы и программы. Кроме того, обычно Backdoor позволяет получить удалённый доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сетевых ресурсов, модификацию паролей и т. п.). Backdoor по сути открывает атакующему «чёрный ход» на компьютер пользователя. Опасность Backdoor увеличилась в последнее время в связи с тем, что многие современные сетевые черви или содержат в себе Backdoor-компоненту, или устанавливают её после заражения ПК. Второй особенностью многих Backdoor-программ является то, что они позволяют использовать компьютер пользователя для сканирования сети, проведения сетевых атак взлома сетей -- при этом попытки взлома ведутся с компьютера ничего не подозревающего пользователя.

Аппаратная закладка (HT) является вредоносной модификация схемы А. Н. интегральной схемы. Аппаратная закладка полностью характеризуется ее физического представления и его поведения. Полезная нагрузка из ГТ вся деятельность, которая Trojan выполняет при срабатывании. В целом вредоносные Трояны пытаются обойти или отключить забор безопасности системы: Это может привести к утечке конфиденциальной информации радиоизлучения. HTS также может выйти из строя, сводить с ума или уничтожить всю микросхему или ее компонентов.

Наличия права постоянного или разового доступа в контролируемую зону объектов размещения информационной системы персональных данных все физические лица подразделяются на категории:

· Лица, не имеющие права доступа в контролируемую зону информационной системы персональных данных;

· Лица, имеющие право доступа в контролируемую зону

информационной системы персональных данных.

Нарушители подразделяются на:

· Внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы персональных данных;

· Внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы персональных данных.

Внешний нарушитель может осуществлять: Перехват обрабатываемых техническими средствами информационной системы персональных данных за счет их утечки; Несанкционированный доступ к информации с использованием специальных программных воздействий посредством программы, вирусов, вредоносных программ, алгоритмических или программных закладок; Перехват информации, передаваемой по сетям связи общего пользования или каналам связи, не защищенным от несанкционированного доступа к информации организационно-техническими мерами;

Внешним нарушителем могут осуществляться такие виды атак, как:

Ошибки пользователей или персонала. Зачастую утечка конфиденциальной информации происходит по ошибке сотрудников предприятия, они могут слить информацию злоумышленникам даже не понимая этого. Например, таким образом может произойти утечка персональных данных, которые обрабатываются техническими средствами информационной системы;

Сетевая разведка. Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. С помощью сетевой разведки может быть произведен несанкционированный доступ к системе и хищение этой информации;

Вирусы и приложения типа "троянский конь". Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. С помощью вирусов или «троянского коня» может производиться перехват информации, циркулирующей в локальной сети.

Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений: Обслуживающий персонал (системные администраторы, администраторы БД, администраторы приложений и т.п., отвечающие за эксплуатацию и сопровождение технических и программных средств); Программисты, отвечающие за разработку и сопровождение системного и прикладного ПО; Технический персонал (рабочие подсобных помещений, уборщицы и т. п.); Сотрудники бизнес подразделений предприятия, которым предоставлен доступ в помещения, где расположено компьютерное или телекоммуникационное оборудование.

Любой внутренний нарушитель может иметь физический доступ к линиям связи, системам электропитания и заземления.

Внутренним нарушителем могут осуществляться такие виды атак, как:

1) Атака внутреннего нарушителя через захват оборудования. Она подразумевает, что атакующий, получив физический доступ к оборудованию, сможет подключиться в сеть и совершить несанкционированные действия либо парализовать работу всей сети, путем захвата определенного оборудования. Такой вид атаки может производиться обслуживающим персоналом либо техническим персоналом.

2) Атака внутреннего нарушителя через установку дополнительного оборудования на узле. Она подразумевает, что атакующий, который имеет физический доступ к сетевому оборудованию, может добавить к узлу некое дополнительное оборудование, запрограммированное на перехват конфиденциальной информации и передачи ее злоумышленнику. Такой вид атаки производится персоналом, не только имеющим физический доступ к сети, но и персоналом, который хорошо знаком с программной и аппаратной частью локальной сети предприятия, т.е. при такой атаке несколько видов сотрудников работают совместно друг с другом (Например, программисты и технический персонал).

6. ТЕХНОЛОГИИ ОРГАНИЗАЦИИ ЗАЩИЩЕННОГО ОБМЕНА

Обеспечение безопасного обмена информацией в современных электронных системах реализуется разными способами. Наиболее широкое распространение получили системы на основе открытых ключей: PGP и PKI. Подтверждение личности или сообщения - основное предназначение описываемых систем - реализуется с помощью связки цифровых кодов (или сертификатов): ЭЦП, открытого и закрытого ключей. Это общее для обеих систем.

Главной особенностью PKI, является наличие компонентов, известных как центр сертификации (ЦС) и центр регистрации (ЦР). Благодаря им возможно подтверждение подлинности личности сторонними уполномоченными организациями.

Наличие ЦС и ЦР обусловило то, что в системе PKI доминирующим направлением подтверждения подлинности является вертикальная (иерархическая) составляющая, когда сертификат подтверждается кем-то, имеющим более высокий статус.

· В основу PKI положен стандарт Х.509, который содержит:

открытый ключ владельца сертификата;

серийный номер сертификата;

уникальное имя владельца;

период действия сертификата;

уникальное имя издателя;

В системе PGP основной является горизонтальная составляющая или, другими словами, схема "прямого доверия". Хотя и в той, и в другой системе возможно, как вертикальное, так и горизонтальное подтверждение подлинности.

· В основу PGP положен стандарт OpenPGP, который содержит:

сведения о владельце сертификата;

открытый ключ владельца сертификата;

ЭЦП владельца сертификата;

период действия сертификата;

предпочтительный алгоритм шифрования.

ЭЦП издателя и идентификатор алгоритма подписи.

· Несмотря на наличие множества версий формата Х.509, существует ряд фундаментальных различий между форматами сертификатов Х.509 и PGP:

· сертификат PGP создается только лично (само подписанный сертификат), сертификат Х.509 может получаться от центра сертификации, а также быть само подписанным;

· сертификат Х.509 содержит только одно имя владельца сертификата;

· сертификат Х.509 содержит только одну ЭЦП, подтверждающую подлинность сертификата.

Задачи, решаемые PGP и PKI

· Обе эти технологии используются для следующих целей:

· обеспечение механизма строгой аутентификации;

· организация защищенного обмена электронной почтой;

· организация виртуальных частных сетей (VPN) для защищенных соединений удаленных пользователей и филиальных сетей организации;

· организация защищенных порталов (доступ через Интернет), систем разграничения доступа к сайтам, порталам и приложениям.

Рассмотрим работу систем PGP и PKI.

Все версии программы PGP (даже корпоративные, способные обслуживать от 25 до 50 000 пользователей) не рассчитаны на получение сертификатов от сторонних ЦС. Просто потому, что этого не допускает используемый ими протокол OpenPGP. Это не плохо и не хорошо. Дело в том, что система PGP изначально создавалась под потребности в основном частных пользователей и предназначена в основном для работы с электронной почтой. Имея дело с PGP-сертификатом, каждый пользователь может выступать в качестве заверителя содержащихся в нем сведений (за исключением случаев, когда эта возможность намеренно ограничена политикой безопасности). В последующем PGP стали приспосабливать под потребности защиты электронного документооборота. Все бы хорошо, но возникает проблема доверия сторонним корреспондентам.

Система PGP вполне может выступить удачным решением для внутрикорпоративных целей, когда заверителем сертификата является уполномоченное администрацией компании лицо. Но, отправляя документы во внешний мир, вы должны подтверждать свою личность отправителя. Аналогично и в случае с получением корреспонденции: вы должны быть уверены в том, что сообщение отправлено именно тем, кто назвался отправителем.

Для юридически правильного документооборота в этом случае необходимо заверение подлинности сертификата сторонней уполномоченной организацией. Такую возможность может предоставить только протокол Х.509, на основе которого и построена PKI.

Но проблема аутентификации не сводится только к определению авторства послания. С помощью PKI можно организовать систему доступа к данным, например с помощью ключей, размещенных на внешних носителях (ruToken). Правда, надо учесть, что не все стандартные криптопровайдеры операционной системы Windows поддерживают размещение ключей на внешних носителях.

Проблема аутентификации имеет еще один аспект - неотрекаемость. С помощью криптографических средств необходимо обеспечить условия четкой фиксации авторства и времени создания документа. Подтверждение авторства обеспечивается электронной цифровой подписью (ЭЦП), а вот подтверждение времени требует наличия некоторых дополнительных программных возможностей. Проблема фиксирования времени создания документа решается с помощью специального модуля службы штампов времени (TSA). Используя этот сервис, вы можете создать систему, которая обеспечит неотрекаемость не только по имени создателя, но и по времени создания документа.

Задача криптографической защиты электронных почтовых сообщений, файлов и документов сводится к шифрованию данных. И PGP, и российские программные продукты, реализующие логику PKI, позволяют шифровать информацию. Для частной переписки этих мер безопасности может быть вполне достаточно, но для работы государственных и коммерческих организаций этих возможностей недостаточно. Прежде всего потому, что PGP не работает с российскими стандартами, а значит, не отвечает ни необходимому уровню безопасности, ни существующим законодательным нормам РФ. Работу с сертифицированными криптографическими алгоритмами поддерживают такие отечественные программы, как "АРМ ЭЦП"(компания "Информзащита"), "КриптоАРМ" (компания Digt), "Блокпост ЭЦП"(ООО "Газинформсервис"), Message-PRO и File-PRO ("Сигнал-КОМ").

Кроме того, для организаций важен уровень дополнительных возможностей и сервисов. Например, пакетная обработка полученных зашифрованных файлов, которая позволяет ускорить и упростить ежедневные рутинные операции. Другим немаловажным аспектом может оказаться возможность создания дополнительных подписей на файле. Причем сами дополнительные подписи должны быть разными по статусу: равные исходной (собственно дополнительные подписи) и заверяющие. Первые нужны для подписей равных по статусу пользователей (например, членов одного коллектива), вторые - для продвижения сообщения по вертикали принимающих решения лиц. При этом заверяющая подпись должна ставиться как на первичную, так и на любую дополнительную подпись. Это позволяет учесть любую возможную структуру построения организации и порядка принятия решений в ней.

Или другой пример необходимости внимательного подхода к реализации системы документооборота. Некоторые программы шифрования позволяют при создании дополнительных подписей шифровать их (подписи) в единый файл, а не создавать несколько разных файлов ЭЦП. Мелочь, но теперь становится невозможным удаление одной из подписей, только целиком всех, что означает меньший риск фальсификации. Как всегда, дело в нюансах и в способах реализации сервисов в конкретных программных продуктах, делающих аналогичные программы достаточно разными по уровню удобства и полезности для пользователей.

Для организации частных виртуальных сетей обе технологии PGP и PKI подходят в одинаковой степени, так как основное отличие таких сетей от открытых - использование специального протокола IPSec. Однако и здесь надо учитывать преимущественные возможности PKI в плане использования сертификатов, выданных внешними ЦС.

Обе технологии рассчитаны на работу в незащищенных сетях, работающих по протоколу IP. Однако различие в возможностях этой работы очень существенны. Благодаря наличию системы сертификатов PKI может реализовать взаимодействие в сетях по протоколам HTTPS и SSL (в том числе к почтовому серверу Microsoft Exchange Server, веб-сервисам на базе Microsoft IIS), в то время как область применения PGP - это фактически только электронная почта.

Программы шифрования данных особенно полезны именно при работе в незащищенных сетях. Даже в случае использования незащищенного HTTP с помощью программ шифрования можно организовать обмен зашифрованными документами через онлайновые хранилища данных. Пользователь может зашифровать документы любым доступным встроенным криптопровайдером, поместить зашифрованный файл в хранилище и дать ссылку на скачивание своему корреспонденту. В системе PGP в этом варианте обмена не возникает вообще никаких проблем, в системе PKI необходимо, чтобы пользователи пользовались одинаковыми криптопровайдерами. Для официального документооборота необходимо в этом случае еще и использование сертифицированных российских СКЗИ. Ведущими средствами криптографической защиты информации на российском рынке программных средств сегодня являются"КриптоПро CSP" от компании "Крипто-Про", Signal-Com CSP - "Сигнал-КОМ", "Верба-OW" - "МО ПНИЭИ".

PGP и PKI - это две похожие, но все же разные системы. Первая предназначена для неструктурированного (или слабо структурированного) защищенного обмена данными. Даже применение программ, созданных для крупных корпоративных клиентов, не делает систему в целом стройной и понятной. PKI обеспечивает обмен зашифрованными данными как на локальном, так и на межсетевом уровне с достаточной степенью защищенности и достоверности.

В настоящее время технология PGP развивается в сторону совместимости с PKI. Однако действующий опыт показывает, что на рынке отдается большее предпочтение технологии PKI.

На основе всех предоставленных выше данных, более подходящая система это PKI,в следствии чего мы будем использовать ее для организации безопасности интернет-магазина.

7. РЕАЛИЗАЦИЯ ФУНКЦИИ ПОДСИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

защита данные локальный сетевой

Возможности межсетевого экрана. В качестве метода защиты в межсетевых экранах компании Cisco используются разновидность алгоритма контекстной проверки Adaptive Security Algorithm (ASA) и внутренняя операционная система PIX OS, позволяющие обеспечить высокую надежность и безопасность со стороны возможных атак.

Комплект продуктов сетевой безопасности, называемый Check Point FireWall, обеспечивает контроль доступа в сетях Интернет, интранет, экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей. FireWall позволяет транслировать сетевые адреса (NAT) и сканировать потоки данных на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям нашей организации. Набор продуктов, называемых Check Point «Открытой платформой безопасного взаимодействия предприятий» (OPSEC - Open Platform for Secure Enterprise Connectivity) - основывается на концепции объединения технологии зашиты информации вокруг единого средства представления информационной безопасности предприятия в виде единой, комплексной политики безопасности. Такой подход позволяет реализовать более тесную интеграцию продуктов других производителей на базе Fire Wall. Это обеспечивает централизованное слежение за функционированием этих систем, управление ими и конфигурирование.

Fire Wall позволяет организации создать единую, интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и у справлялась бы с любой выбранной для этого точки сети предприятия. Продукт имеет и массу дополнительных возможностей, таких, как управление списками доступа аппаратных маршрутизаторов, балансировка сетевой нагрузки на серверы, а также и элементы для построения систем повышенной надежности, которые также полностью интегрируются в глобальную политику безопасности. Работа Check Point FireWall -1 прозрачна для пользователей и обеспечивает рекордную производительность практически для любого IР протокола и высокоскоростной технологии передачи данных

Для реализации защиты сети предприятия мы воспользуемся аппаратными средствами компании Cisco Systems которая предлагает нам серию межсетевых экранов «Cisco PIX Firewall» которые обеспечивающих высокий уровень безопасности, производительности и надежности. Для нашей сети мы воспользуемся такой моделью как PIX 506E.

Технические характеристики Cisco PIX 506E:

Корпус - монтируемый в шкаф-стойку корпус,синего цвета

встроенные устройства. DHCP сервер

WAN - Тип линии связи: Ethernet

Встроенные службы:

· DHCP сервер

· брандмауэр

LAN - Тип сети: Ethernet, Fast Ethernet

Кол-во базовых портов: 2

Скорость передачи по базовым портам:

· 100 Мбит/сек.

Специальные функции:

· 128-бит. шифрование

· 168-бит. шифрование

· 256-бит. шифрование

· 3DES шифрование

· 56-бит. шифрование

· AES (Расширенная система шифрования)

· DES шифрование

· Протоколы маршрутизации:

· DHCP

· Протоколы удаленного управления:

· RS-232

· Поддерживаемые стандарты:

· IEEE 802.3 (Ethernet)

· IEEE 802.3u (Fast Ethernet)

Процессор - Intel Celeron * 300 МГц

Дополнительные характеристики:

Устройство хранения - SDRAM 32 МБ

флэш 8 МБ

Интерфейсы - последовательный RS-232 -RJ-45(консольный порт)

2 x Ethernet 10/100BaseT * RJ-45

Характеристики:

Электропитаниевнешний адаптер питания

100 / 240 В (перемен. ток)

30 Вт

Размеры, вес21.6 x 4.4 x 30.0 см, 2.71 кг

СертификатыAS/NZS3548 Class A, AS/NZS3548 Class B, CISPR 22 Class A, CISPR 22 Class B, CSA C22.2 No. 950, EN 50082-1, EN 55022 Class A, EN 55024, EN 60825-1, EN 60950, EN 61000-3-2, EN 61000-3-3, FCC Часть 15 Класс А, ICES-003 Class A, IEC 60950, UL-1950, VCCI класс А, VCCI класс B

Данная модель предназначена для использования в корпоративных сетях небольших компаний, а также для обеспечения безопасности удаленных клиентов корпоративных сетей предприятий. Модель 506Е имеет производительность 20 Мбит/с. Шифрование потока данных может осуществляться как с использованием алгоритма DES с 56-битным ключом, так и TripleDES с 168-битным ключом. Пропускная способность Cisco PIX 506E при шифровании DES -- 20 Мбит/с, TripleDES -- 16 Мбит/с. Модель 506E поддерживает до 2 тыс. туннелей VPN.

В качестве метода защиты в межсетевых экранах компании Cisco используются разновидность алгоритм а контекстной проверки Adaptive Security Algorithm (ASA) и внутренняя операционная система PIX OS, позволяющие обеспечить высокую надежность и безопасность со стороны возможных атак.

Программно-аппаратные средства защиты информации, основным из которых является межсетевой экран. Согласно определению межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство, реализующее контроль за информацией, поступающей в АС или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в АС.

Создаваемый комплекс защиты информации будет реализовывать следующие функции:

· Ограничение входного трафика со стороны провайдера

· Запрет доступа сервера к сети провайдера

· Ограничение доступа к коммутационному оборудованию сети

· Организация контроля за пользователями системы

· Шифрование данных на сервере

· Ограничение доступа пользователей (аутентификация и идентификация)

Для этого нам потребуется.

Создать два VLAN, один для клиентов, другой для управления коммутатором и назначить их на порты свитча. 100 мегбитные порты -- клиентские, гигабитные порты -- аплинки.

create vlan USER tag 2 create vlan MANAGEMENT tag 3 config vlan USER add untagged 1-8 config vlan USER add tagged 9-10 config vlan MANAGEMENT add tagged 9-10

Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)

config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout

Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами

· config stp version rstp config stp ports 1-8 fbpdu disable state disable

Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети

enable loopdetect config loopdetect recover_timer 1800 config loopdetect interval 10 config loopdetect ports 1-8 state enable config loopdetect ports 9-10 state disable

Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).

create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1 config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny

Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2 config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny

И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.

config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5

Таким образом, мы решаем многие проблемы, присущие плоской сети -- поддельные DHCP и PPPoE сервера (зачастую многие включают такие вещи ненамеренно, а по не знанию, то есть злого умысла нет, но работать другим клиентам мешают), бродкастовые штормы, глючные сетевые карточки и прочее.



8. ОСНОВНЫЕ ТРЕБОВАНИЯ К КОМПЛЕКСНОЙ СИСТЕМЕ ЗАЩИТЫ ПРЕДПРИЯТИЯ «ТК РЕСУРС»

Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

1) она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;

2) она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;

3) она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;

4) она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т.е. базироваться на принципе гарантированного результата;

5) она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;

6) она должна быть компонентно, логически, технологически и экономически обоснованной;

7) она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;

8) она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;

9) она должна быть непрерывной;

10) она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Все выше перечисленные требования к комплексу системы зашиты информации были выполнены полностью путем внедрения программных и программных средств, а также применения организационно-правовых мер обеспечения защиты.



9. АНАЛИЗ ЭФФЕКТИВНОСТИ РАБОТЫ СПРОЕКТИРОВАННОЙ СИСТЕМЫ

По результатам тестирования подсистемы защиты данная нам сеть выполнила все требования заказчика наилучшим образом за счет внедрения межсетевого экрана, который организован непосредственно на маршрутизаторе, а также нам удалось не только реализовать межсетевой экран, но и увеличить масштабируемость за счет дополнительных портов маршрутизатора. Поэтому компьютеры, которые будет в дальнейшем добавлены в сеть позднее тоже будут защищены межсетевым экраном.



ЗАКЛЮЧЕНИЕ

В итоге после внедрения в сеть были выполнены все требуемые условия, поставленные ранее заказчиком. Спроектированный комплекс выполняет все поставленные задачи:

В системе защиты были реализованы следующие функции:

· Ограничение входного трафика со стороны провайдера;

· Запрет доступа сервера к сети провайдера;

· Ограничение доступа к коммутационному оборудованию сети;

· Организация контроля за пользователями системы;

· Шифрование данных на сервере;

· Ограничение доступа пользователей

Спроектированный комплекс соответствует всем нормам и правилам построения систем защиты информации. Выполняемые функции позволяют организовать хорошую защиту информационной сети от всех видов возможных атак и сделать сеть надежной.



ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

1) Гришина Н.В «Организация комплексной системы защиты информации», М.: Издательский центр «Издание М», 1999. -242c. с ил.

2) Мельников В.В «Зашита информации в компьютерных системах», К. : Издательский центр «Кирилл и Мефодий», 2011. -129c. с ил.

3) Толстой А.И «Управление рисками информационной безопасности.»,М. : Издательский центр «Кириллица», 2004. -331c. с ил.

4) Романец Ю.В «Защита информации в компьютерных системах и сетях», М. : Издательский центр «Фаргус», 1995. -112c. с ил.

5) Аскеров Т.М «Защита информации и информационная безопасность», М. : Издательский центр «СиД», 2012. -361c. с ил.

6) Зегжда П.Д «Теория и практика обеспечения информационной безопасности», Х. : Издательский центр «ДРиН», 2003. -281c. с ил.

7) Зайцев А.П «Технические средства и методы защиты информации», Х. : Издательский центр «Космос», 2009. -412c. с ил.

8) Фленов М.Н «Компьютер глазами хакера»,М. : Издательский центр «Кириллица», 2001. -531c. с ил.

9) Сидоров Н.С «Основы защиты от технических разведок», М.: Издательский центр «Фаргус», 2011. -171c. с ил.

10) Кривошеев Н.Д «Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам», М. : Издательский центр «Кирилл и Мефодий», 2001. -481c. с ил.



ПРИЛОЖЕНИЕ

Структура (карта) объекта исследования в совокупности с системой защиты

Размещено на Allbest.ru