Размещено на http://www.allbest.ru/

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

"ФИНАНСОВЫЙ УНИВЕРСИТЕТ ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ"

КОЛЛЕДЖ ИНФОРМАТИКИ И ПРОГРАММИРОВАНИЯ

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

к выпускной квалификационной работе на тему

Организация информационной безопасности в локальной вычислительной сети средствами активного сетевого оборудования

Дипломник П.В. Красюк

Руководитель работы, В.С. Кулаков

Москва 2015 г.

Cодержание

• Перечень сокращений
• Введение
• Глава 1. Общая часть
• 1.1 Постановка задачи
• 1.2 Краткое описание предприятия ОАО НПП "Пульсар"
• Глава 2. Теоретическая часть
• 2.1 Основные сведения о локальных вычислительных сетях
• 2.2 Требования к локальным вычислительным сетям
• 2.3 Классификация локальных вычислительных сетей
• 2.4 Политика безопасности локальной вычислительной сети ОАО НПП "Пульсар"
• 2.4.1 Основные узлы ЛВС
• 2.4.2 Общие положения
• 2.4.3 Базовые мероприятия по обеспечению безопасности ЛВС
• 2.4.4 Обеспечение безопасности ЛВС подключенной к сети Интернет для получения данных из внешних источников
• 2.4.5 Обеспечение безопасности ЛВС подключенной к сети Интернет для связи между сегментами ЛВС
• 2.4.6 Обеспечение безопасности внутри ЛВС имеющей общие сервера
• 2.4.7 Ответственность
• 2.5 Изучение существующей локальной вычислительной сети ОАО НПП "Пульсар"
• 2.6 Изучение используемого аппаратного оборудования для локальной вычислительной сети на ОАО НПП "Пульсар"
• Глава 3. Практическая часть
• 3.1 Угрозы и уязвимости в локальной вычислительной сети ОАО НПП "Пульсар"
• 3.2 Защита от угроз и уязвимостей локальной вычислительной сети ОАО НПП "Пульсар" с помощью активного сетевого оборудования
• 3.3 Настройка коммутатора и маршрутизатора в локальной вычислительной сети ОАО НПП "Пульсар"
• 3.3.1 Настройка списка доступа маршрутизатора
• 3.3.2 Настройка VLAN и Port Security коммутатора
• Глава 4. Экономическая часть
• 4.1 Расчёт стоимости разработки
• Заключение
• Список использованной литературы и других источников информации
• Приложение 1
• Приложение 2
• Приложение 3
• Приложение 4
• Приложение 5
• Приложение 6
• Приложение 7

Перечень сокращений

ЛВС - Локальная вычислительная сеть;

СВЧ - Сверхвысокочастотное излучение;

РЛС - Радиолокационная система;

ПЭВМ - Персональная электронно-вычислительная машина

ПК - Персональный компьютер

ОС - Операционная система

UTP - Unshielded Twisted Pair

STP - Shielded Twisted Pair

FTP - Foiled Twisted Pair

FTP - File Transfer Protocol

ОИиАТО - Отдел информационного и аппаратно-технического обеспечения

ПО - Программное обеспечение

ACL - Access Control List

NAT - Network Address Translation

АУП - Административно-управленческий персонал

VLAN - Virtual Local Area Network

ЦП - центральный процессор

ЭВМ - электронно-вычислительная машина

NAC - Network Adapter Card

QoS - Quality of Service

SNMP - Simple Network Management Protocol

ADSL - Asymemetric Digital Subscriber Line

WAN - Wibe Area Network

TCP - Transmission Control Protocol

UDP - User Datagram Protocol

IP - Internet Protocol

OSI - Open Systems Interconnection

CDP - Cisco Discovery Protocol

Введение

Оценивая процесс функционирования современных предприятий, следует отметить возрастающие использование локальных вычислительных сетей в производстве, а также систем управления предприятиями и технологическими процессами. Локальные вычислительные сети нашли свое применение во многих сферах производства, начиная от предприятий, заканчивая различными государственными и военными органами. В зависимости от характера производства, в управлении может участвовать от десятков до тысяч компьютеров, разнесенных в пространстве и соединенных средствами связи в сети. Объединение компьютеров в локальную вычислительную сеть обусловлена рядом причин, таких как ускорение передачи данных, эффективность использования информационных и вычислительных ресурсов для совместной работы над проектами и задачами, требующей тесной координации и взаимодействия.

Но главным требованием является защита данных в локальной вычислительной сети. Обеспечение безопасности информации в локальной вычислительной сети предполагает создание препятствий для любых несанкционированных попыток хищения или модификации, передаваемых в сети данных. При этом весьма важным является сохранение таких свойств информации, как доступность, конфиденциальность и целостность.

Можно выделить угрозы и препятствия, стоящие на пути к безопасности сети. Все их можно разделить на две большие группы:

1. Технические угрозы

· Ошибки в программном обеспечении;

· Различные DDoS-атаки;

· Компьютерные вирусы;

· Технические средства съема информации.

2. Человеческий фактор:

· Уволенные или недовольные сотрудники;

· Промышленный шпионаж;

· Халатность;

· Низкая квалификация.

Также существую нормативные документы в области информационной безопасности, определяющими критерии для оценки защищенности ЛВС, и требования, предъявляемые к механизмам защиты, таковыми являются:

1. Общие критерии оценки безопасности информационных технологий (The Common Criteria for Information Technology Security Evaluation/ISO 15408).

2. Практические правила управления информационной безопасностью (Code of practice for Information Security Management/ISO 17799).

Кроме этого, в нашей стране первостепенное значение имеют Руководящие документы Гостехкомиссии России.

Не смотря на все способы защиты, стандарты и нормативные документы некоторые предприятия не имеют надежной защиты своих информационных ресурсов. Из-за этого они могут потерпеть потерю информационных ресурсов, а это влечет за собой экономические потери, а в худшем случае банкротство.

Основными задачами выпускной квалификационной работы являются:

· Изучение существующей локальной вычислительной сети предприятия;

· Выбор средств активного сетевого оборудования для предотвращения несанкционированного доступа на основе изучения существующей локальной сети предприятия.

При написании данной выпускной квалификационной работы будут освоены следующие профессиональные компетенции:

1. Эксплуатация подсистем безопасности автоматизированных систем;

2. Применение программно-аппаратных средств обеспечения безопасности в автоматизированных системах;

3. Применение инженерно-технических средств обеспечения информационной безопасности.

локальная вычислительная сеть интернет

Глава 1. Общая часть

1.1 Постановка задачи

Научно-производственное предприятие "Пульсар" занимается разработкой электронной компонентной базы на основе прорывных и критических технологий. Создание изделий сверхвысокочастотной и силовой электроники, фото - и микроэлектроники.

Цель выпускной квалификационной работы состоит в необходимости проведения анализа средств и методов обеспечения безопасности локальной вычислительной сети с помощью активных сетевых устройств на предприятии.

Существуют следующие виды активного сетевого оборудования:

1. Сетевой адаптер;

2. Коммутатор (свитч);

3. Маршрутизатор (роутер);

4. Медиаконвертор;

5. Сетевой трансивер.

Мы рассмотрим локальную вычислительную сеть предприятия ОАО НПП "Пульсар”.

В качестве средств обеспечения безопасности локальной вычислительной сети предлагается использовать маршрутизаторы и коммутаторы. Задача обеспечения безопасности может быть разбита на следующие составляющие:

· Изучение активного сетевого оборудования;

· Установка активного сетевого оборудования;

· Настройка активного сетевого оборудования.

1.2 Краткое описание предприятия ОАО НПП "Пульсар"

ОАО НПП "Пульсар" - лидер отечественной полупроводниковой электроники. Основные направления деятельности предприятия - разработка нового поколения электронной компонентной базы: полупроводниковых СВЧ, силовых, фотоэлектронных и микроэлектронных приборов, выпуск радиоэлектронной аппаратуры для информационных систем гражданского назначения.

ОАО НПП "Пульсар" основано Постановлением Совета Министров СССР от 4 июня 1953 как первый в СССР отраслевой НИИ электронной промышленности для комплексного решения вопросов развития полупроводниковой электроники.

На "Пульсаре" разработаны первые отечественные промышленные образцы транзисторов и интегральных схем. Первый супергетеродинный приемник и радиосвязь с первым космическим спутником реализованы на транзисторах разработки и выпуска "Пульсара". "Пульсар" первым взялся за разработку электронных наручных часов. Различные варианты их исполнения с индикацией на жидких кристаллах и светодиодах выпускались на заводе "Пульсар" и в дальнейшем переданы на освоение в городе Минск. В 1973-1975 годах на предприятии начинает развиваться новое направление полупроводниковой электроники - фотоэлектроника на приборах с зарядовой связью.

С 1979 года предприятие занимается созданием твердотельных СВЧ модулей. Среди наиболее успешных проектов - работы по модернизации гражданских аэродромных и трассовых РЛС, входящих в национальную систему управления воздушным движением, в аэропортах Домодедово, Внуково, Пулково, города Джержинска и других.

В НПП "Пульсар" введен в эксплуатацию научно-исследовательский комплекс по созданию СВЧ электроники.

На предприятии действует система менеджмента качества, аккредитованная в системе добровольной сертификации, функционирует испытательный центр изделий твердотельной электроники.

Для разработки нового поколения изделий твердотельной электроники на предприятии в 2007 году был создан Центр проектирования, оснащенный современными лицензионными системами автоматизированного проектирования.

Научная школа "Пульсара" - это 5 "Заслуженных деятелей науки", более 60 докторов и кандидатов наук, сотни разработчиков, конструкторов и технологов высокого уровня.

За большой вклад в развитие отечественной электронной техники предприятие награждено орденом Трудового Красного Знамени (1968) и орденом Ленина (1984). Более 20 сотрудников предприятия удостоены звания Лауреатов Ленинской и Государственных премий СССР и Российской Федерации.

Глава 2. Теоретическая часть

2.1 Основные сведения о локальных вычислительных сетях

Локальная вычислительная сеть - это совокупность компьютеров и других средств вычислительной техники (активное сетевое оборудование, пассивное сетевое оборудование, принтеры, сканеры и другие), объединенные с помощью кабеля и сетевых адаптеров и работающих под управлением сетевой операционной системы.

ЛВС нашли широкое применение в системах автоматизированного проектирования и технологической подготовки производства, системах управления производством и технологическими комплексами и так далее.

Вычислительные сети создаются для того, чтобы группа пользователей могла совместно задействовать одни и те же ресурсы: файлы, принтеры, процессоры и другие. Каждый компьютер в сети оснащен сетевым адаптером, адаптеры соединяются с помощью сетевых кабелей и тем самым связывают компьютер в единую сеть. Компьютер, подключенный к вычислительной сети, называется рабочей станцией или сервером, в зависимости от выполняемых функций.

Основное назначение ЛВС:

· Data Sharing - распределение данных. Данные в сети хранятся на центральном ПК или сервере и могут быть доступны на рабочих станциях. Благодаря этому не надо на каждом рабочем месте иметь накопители для хранения одной и той же информации;

· Resource Sharing - распределение ресурсов. Периферийные устройства могут быть доступны для всех пользователей сети. Такими устройствами могут быть факсы, принтеры и так далее;

· Software Sharing - распределение программ. Все пользователи сети могут совместно иметь доступ к программам, которые были один раз централизованно установлены на сервер. Конечно, при этом должна работать сетевая версия соответствующих программ;

· Electronic Mail - электронная почта. Все пользователи сети могут интерактивно соединиться друг с другом, чтобы передавать или принимать сообщения.

2.2 Требования к локальным вычислительным сетям

Требования к ЛВС опубликованы в 1980 году в виде стандарта IEEE 802. Эти требования сформулированы по пяти различным направлениям:

1. Общие требования;

2. Требования к взаимодействию устройств в сети;

3. Информационные требования;

4. Требования к надежности и достоверности;

5. Специальные требования.

1. Общие требования.

· Выполнение разнообразных функций по передаче данных, включая пересылку файлов, поддержку терминалов (в том числе и скоростных графических), электронную почту, обмен с внешними запоминающими устройствами, обработку сообщений, доступ к файлам и базам данных, передачу речевых сообщений;

· Подключение большого набора "стандартных" и специальных устройств, в том числе больших, малых и ПЭВМ, терминалов, внешних запоминающих устройств, алфавитно-цифровых печатающих устройств, графопостроителей, факсимильных устройств, аппаратуры контроля и управления и другого оборудования.

· Подключение ранее разработанных и перспективных устройств с различными программными средствами, архитектурой, принципами работы;

· Доставка пакетов адресату с высокой достоверностью, с обеспечением виртуальных соединений и поддержкой дейтаграммой службы;

· Обеспечение непосредственной взаимосвязи между подключенными устройствами без промежуточного накопления и хранения информации;

· Простота монтажа, модификации и расширения сети, подключение новых устройств и отключение прежних без нарушения работы сети длительностью более 1 с, информирование всех устройств сети об изменении ее состава;

· Поддержка в рамках одной локальная вычислительная сеть не менее 200 устройств с охватом территории не менее 2 км.

2. Требования к взаимодействию устройств в сети.

· Возможность для каждого устройства связываться и взаимодействовать с другим устройством.

· Обеспечение равноправного доступа к физической среде для всех коллективно использующих ее устройств.

· Возможность адресации пакетов одному устройству, группе устройств, всем подключенным устройствам.

· Обеспечение возможности некоторым пользователям назначать и менять свой адрес в сети (без нарушения целостности сети).

3. Информационные требования.

· Должны быть обеспечены "прозрачный" режим обслуживания, возможность приема, передачи и обработки любых сочетаний битов, слов и символов, в том числе и не кратных восьми.

· Пропускная способность сети не должна существенно снижаться при достижении полной загрузки и даже перегрузки сети во избежание ее блокировки.

· Скорости передачи данных должны быть 1 - 20 Мбит/с.

· Максимальная задержка передачи пакета через локальная вычислительная сеть должна быть небольшой по величине, постоянной и детерминированной (предварительно рассчитанной).

4. Требования к надежности и достоверности.

· Отказ или отключение питания подключенного устройства должны вызывать только переходную ошибку.

· ЛВС не должна находиться в состоянии неработоспособности более 0,02% от полного времени работы (это составляет около 20 минут простоя в год для учрежденческой системы и около 2 часов для непрерывно функционирующей системы).

· Средства обнаружения ошибок должны выявлять все пакеты, содержащие до четырех искажений битов. Если же достоверность передачи достаточно высока, сеть не должна сама исправлять обнаруженные ошибки. Функции анализа, принятия решения и исправления ошибки должны выполняться подключенными устройствами.

· Появление пакета с обнаруженной ошибкой не чаще одного раза в год.

· ЛВС должна обнаруживать и индицировать все случаи совпадения сетевых адресов у двух абонентов.

5. Специальные требования.

· Простота подключения к другому телекоммуникационному оборудованию.

· Простота интерфейсов между ЛВС и абонентами.

· Защита обмена данными по сети от несанкционированного или случайного доступа.

· Наличие средств сопряжения с другими ЛВС.

2.3 Классификация локальных вычислительных сетей

Все локальные вычислительные сети можно классифицировать по следующим признакам:

1. По классу;

2. По топологии сети;

3. По типу физической среды передачи;

4. По скорости передачи информации.

1. По классу, локальные вычислительные сети разделяются на одноранговые и иерархические.

Одноранговая сеть представляет собой сеть равноправных компьютеров - рабочих станций, каждая из которых имеет уникальное имя и адрес. Все рабочие станции объединяются в рабочую группу. В одноранговой сети нет единого центра управления - каждая рабочая станция сети может отвечать на запросы других компьютеров, выступая в роли сервера, и направлять свои запросы в сети, играя роль клиента.

Одноранговые сети являются наиболее простым для монтажа и настройки, а также дешевым типом сетей. Для построения одноранговой сети требуется всего лишь несколько компьютеров с установленными клиентскими ОС, и снабженных сетевыми картами. Все параметры безопасности определяются исключительно настройками каждого из компьютеров.

К основным достоинствам одноранговых сетей можно отнести:

· простоту работы в них;

· низкую стоимость, поскольку все компьютеры являются рабочими станциями;

· относительную простоту администрирования.

Недостатки одноранговой архитектуры таковы:

· эффективность работы зависит от количества компьютеров в сети;

· защита информации и безопасность зависит от настроек каждого компьютера.

В иерархических сетях выделяется один или несколько специальных компьютеров - серверов. Серверы обычно представляют собой высокопроизводительные ПК с серверной операционной системой, отказоустойчивыми дисковыми массивами и системой защиты от сбоев. Как правило, на этих компьютерах локальные пользователи не работают, поэтому принято говорить о выделенном сервере. Серверы управляют сетью и хранят информацию, которую совместно используют остальные компьютеры сети. Компьютеры, с которых осуществляется доступ к информации на сервере, называются клиентами.

По-настоящему иерархической сеть становится тогда, когда в ней задействуются службы Active Directory и создается домен Windows.

В иерархической сети один из компьютеров назначается сервером - контроллером домена. На этом компьютере может работать только серверная ОС. Именно этот сервер хранит все учетные записи пользователей и групп и параметры безопасности. Все остальные компьютеры присоединяются к домену. После присоединения изменяется сам принцип входа пользователей в систему. Теперь при входе пользователей в систему каждый компьютер должен запросить и получить разрешение у контроллера домена.

Иерархические сети обладают рядом преимуществ по сравнению с одноранговыми:

· выход из строя рабочих станций никак не сказывается на работоспособности сети в целом;

· проще организовать локальные сети с большим количеством рабочих станций;

· администрирование сети осуществляется централизованно - с сервера;

· обеспечивается высокий уровень безопасности данных.

Тем не менее, клиент-серверной архитектуре присущ ряд недостатков:

· неисправность или сбой единственного сервера может парализовать всю сеть;

· наличие выделенных серверов повышает общую стоимость сети;

· it-персонал должен обладать достаточными знаниями и навыками администрирования домена.

2. По топологии сети, локальные вычислительные сети разделяются на топологию типа шина, звезда, кольцо.

Топология шина - используется линейный моноканал передачи данных (Рис. 2.1) на концах которого устанавливаются оконечные сопротивления - терминаторы. Каждый компьютер подключается к коаксиальному кабелю. Данные от передающего узла сети передаются по шине в обе стороны, отражаясь от оконечных терминаторов. Терминаторы предотвращают отражение сигналов, то есть используются для гашения сигналов, которые достигают концов канала передачи данных. Таким образом, информация поступает на все узлы, но принимается только тем узлом, которому она предназначается.

Преимущества сетей шинной топологии:

· отказ одного из узлов не влияет на работу сети в целом;

· сеть легко настраивать и конфигурировать;

· сеть устойчива к неисправностям отдельных узлов.

Недостатки сетей шинной топологии:

· разрыв кабеля может повлиять на работу всей сети;

· ограниченная длина кабеля и количество рабочих станций;

· трудно определить дефекты соединений.

Топология звезда - В сети построенной по топологии типа звезда (Рис.2.2) каждая рабочая станция подсоединяется кабелем к сетевому коммутатору. Коммутатор обеспечивает параллельное соединение ПК и, таким образом, все компьютеры, подключенные к сети, могут общаться друг с другом.

Данные от передающей станции сети передаются через коммутатор по всем линиям связи всем ПК. Информация поступает на все рабочие станции, но принимается только теми станциями, которым она предназначается. Так как передача сигналов в топологии физическая, звезда является широковещательной, сигналы от компьютера распространяются одновременно во все направления, то логическая топология данной локальной сети является логической шиной.

Преимущества сетей топологии звезда:

· легко подключить новый ПК;

· имеется возможность централизованного управления;

· сеть устойчива к неисправностям отдельных ПК и к разрывам соединения отдельных ПК.

Недостатки сетей топологии звезда:

· отказ хаба влияет на работу всей сети;

· большой расход кабеля.

Топология кольцо - В сети с топологией кольцо (Рис.2.3) все узлы соединены каналами связи в неразрывное кольцо, по которому передаются данные. Выход одного ПК соединяется со входом другого ПК. Начав движение из одной точки, данные, в конечном счете, попадают на его начало. Данные в кольце всегда движутся в одном и том же направлении.

Принимающая рабочая станция распознает и получает только адресованное ей сообщение. В сети с топологией типа физическое кольцо используется маркерный доступ, который предоставляет станции право на использование кольца в определенном порядке. Логическая топология данной сети - логическое кольцо.

Данную сеть очень легко создавать и настраивать. К основному недостатку сетей топологии кольцо является то, что повреждение линии связи в одном месте или отказ ПК приводит к неработоспособности всей сети.

По типу физической среды передачи локальная вычислительная сеть делится на витую пару, коаксиальный кабель, оптоволоконный кабель.

Витая пара - это кабель в котором изолированная пара проводников скручена с небольшим числом витков на единицу длины. Скручивание проводов уменьшает электрические помехи извне при распространении сигналов по кабелю, а экранированные витые пары еще более увеличивают степень помехозащищенности сигналов.

Кабель типа витая пара (Рис.2.4) используется во многих сетевых технологиях. Кабели на витой паре подразделяются на: неэкранированные UTP и экранированные медные кабели. Последние подразделяются на две разновидности: с экранированием каждой пары и общим экраном STP и с одним только общим экраном FTP.

Наличие или отсутствие экрана у кабеля вовсе не означает наличия или отсутствия защиты передаваемых данных, а говорит лишь о различных подходах к подавлению помех. Отсутствие экрана делает неэкранированные кабели более гибкими и устойчивыми к изломам. Кроме того, они не требуют дорогостоящего контура заземления для эксплуатации в нормальном режиме, как экранированные. Неэкранированные кабели идеально подходят для прокладки в помещениях внутри офисов, а экранированные лучше использовать для установки в местах с особыми условиями эксплуатации, например, рядом с очень сильными источниками электромагнитных излучений, которых в офисах обычно нет.

Коаксиальный кабель - коаксиальные кабели (Рис.2.5) используются в радио и телевизионной аппаратуре. Коаксиальные кабели могут передавать данные со скоростью 10 Мбит/с на максимальное расстояние от 185 до 500 метров. Они разделяются на толстые и тонкие в зависимости от толщины.

Кабель Thinnet, известный как кабель RG-58, является наиболее широко используемым физическим носителем данных. Сети при этом не требуют дополнительного оборудования и являются простыми и недорогими. Хотя тонкий коаксиальный кабель позволяет передачу на меньшее расстояние, чем толстый, но для соединений с тонким кабелем применяются стандартные байонетные разъемы BNC типа СР-50 и ввиду его небольшой стоимости он становится фактически стандартным для офисных ЛВС. Используется в технологии Ethernet 10Base2.

Оптоволоконный кабель - отличительная особенность оптоволоконных систем - высокая стоимость как самого кабеля (Рис.2.6), так и специализированных установочных элементов. Правда, главный вклад в стоимость сети вносит цена активного сетевого оборудования для оптоволоконных сетей.

Оптоволоконные сети применяются для горизонтальных высокоскоростных каналов, а также все чаще стали применяться для вертикальных каналов связи.

Оптоволоконный кабель обеспечивает высокую скорость передачи данных на большом расстоянии. Они также невосприимчивы к интерференции и подслушиванию. В оптоволоконном кабеле для передачи сигналов используется свет. Волокно, применяемое в качестве световода, позволяет передачу сигналов на большие расстояния с огромной скоростью, но оно дорого, и с ним трудно работать.

Для установки разъемов, создания ответвлений, поиска неисправностей в оптоволоконном кабеле необходимы специальные приспособления и высокая квалификация. Оптоволоконный кабель состоит из центральной стеклянной нити толщиной в несколько микрон, покрытой сплошной стеклянной оболочкой. Все это, в свою очередь, спрятано во внешнюю защитную оболочку.

Оптоволоконные линии очень чувствительны к плохим соединениям в разъемах. В качестве источника света в таких кабелях применяются светодиоды, а информация кодируется путем изменения интенсивности света. На приемном конце кабеля детектор преобразует световые импульсы в электрические сигналы.

Существуют два типа оптоволоконных кабелей - одномодовые и многомодовые. Одномодовые кабели имеют меньший диаметр, большую стоимость и позволяют передачу информации на большие расстояния. Поскольку световые импульсы могут двигаться в одном направлении, системы на базе оптоволоконных кабелей должны иметь входящий кабель и исходящий кабель для каждого сегмента. Оптоволоконный кабель требует специальных коннекторов и высококвалифицированной установки.

4. По скорости передачи данных локальные вычислительные сети разделяются на низкоскоростные (скорость передачи до 10 Мбит/с), среднескоростные (скорость передачи до 100 Мбит/с), высокоскоростные (скорость передачи информации свыше 100 Мбит/с).

2.4 Политика безопасности локальной вычислительной сети ОАО НПП "Пульсар"

2.4.1 Основные узлы ЛВС

Локальная вычислительная сеть предприятия называется совокупность рабочих станций, серверов, оргтехники, систем хранения данных, коммуникационного и другого сетевого оборудования, объединенного между собой в специальную инфраструктуру.

Единая информационная среда обеспечивается наличием следующих компонентов:

1. Активное сетевое оборудование;

2. Каналы передачи сигналов от компьютера к активному сетевому оборудованию;

3. Выделенные компьютеры, серверы, выполняющие обработку и предоставление данных другим компьютерам сети;

4. Программное обеспечение, выполняющее аутентификацию пользователя;

5. Политика разграничения прав пользователя внутри сети.

2.4.2 Общие положения

К работе с ЛВС предприятия допускаются лица, назначенные начальниками соответствующих подразделений и ознакомившиеся с данной инструкцией.

Работа с ЛВС предприятия каждому сотруднику разрешена только на определенных компьютерах, в определенное время (в пределах установленного рабочего графика), и только с разрешенными программами и сетевыми ресурсами. В случае необходимости выполнения работ вне указанного времени, на других компьютерах и с другими программами, необходимо получить разрешение (устное) руководителя подразделения.

Пользователь подключенного к ЛВС компьютера - лицо, за которым закреплена ответственность за данный компьютер. Пользователь должен принимать все необходимые меры по защите информации и контролю за соблюдением прав доступа к ней.

Для работы на компьютере других лиц, кроме закрепленного за ним пользователя необходимо получить разрешение (устное) руководителя подразделения.

В случае появления у пользователя компьютера сведений или подозрений о фактах нарушения настоящих правил, а в особенности о фактах несанкционированного удаленного доступа к информации, размещенной на контролируемом им или каком-либо другом компьютере, о фактах использования неразрешенного ПО, пользователь обязан немедленно сообщить об этом в ОИиАТО. При этом ОИиАТО обязан проанализировать поступившую информацию и безотлагательно уведомить руководителя подразделения и заместителя генерального директора по режиму.

2.4.3 Базовые мероприятия по обеспечению безопасности ЛВС

Основными источниками опасности изолированных от сети Интернет ЛВС являются следующие аспекты функционирования:

1. Слабая проработка системы аутентификации пользователей;

2. Недостаточно тщательное распределение прав пользователей;

3. Установка пользователями непроверенного ПО, способного принести вред сети;

4. Сбои оборудования, способные повредить данные;

5. Злонамеренный вход в систему посторонних лиц вследствие компрометации учетной записи пользователя.

Для того, чтобы свести к минимуму риск воздействия вышеперечисленных факторов на работу сети, необходимо провести ряд мероприятий при проектировании и вводе в эксплуатацию ЛВС:

1. Предусмотреть наличие единой системы аутентификации пользователей, на основе дерева каталогов;

2. Обеспечить хранение учетной информации пользователей в зашифрованном виде;

3. Периодическая замена паролей пользователей;

4. Требования к обязательному составу паролей пользователей;

5. Учет входов в сеть пользователей;

6. Предоставление прав использования ресурсов сети пользователями на основе групп безопасности;

7. Предотвращение использование сменных носителей пользователями;

8. Запрет использования пользователями компьютеров с правами администратора;

9. Разработка системы периодического резервного копирования информации серверов на сменные носители;

10. Разработка системы мониторинга состояния ключевых элементов сети и оповещение администратора сети о потенциальных проблемах;

11. Предусмотреть использование терминалов клиент-серверного режима работы пользователей для работы с корпоративными приложения;

12. Отключение функции автоматического просмотра содержимого сменного носителя на всех машинах, входящих в сеть;

13. Проверка нового программного обеспечения для работы ЛВС.

2.4.4 Обеспечение безопасности ЛВС подключенной к сети Интернет для получения данных из внешних источников

1. Сетевое оборудование, выполняющее маршрутизацию трафика сеть интернет должно быть оснащено системой фильтрации трафика с запретительной политикой;

2. Локальная сеть должна иметь минимальное количество глобальных адресов;

3. Весь трафик должен быть получен с использованием кэширования информации посредством прокси-сервера;

4. Прокси-сервер должен иметь настроенных ACL;

5. На прокси-сервер должно быть установлено антивирусное ПО;

6. Прямой доступ к сети интернет с использованием трансляции сетевых адресов должен быть по умолчанию выключен;

7. Все компьютеры в сети должны быть оснащены антивирусным ПО;

8. Компьютеры использующие прямой выход в Интернет необходимо уменьшить до минимума число одновременных подключений;

9. Для всех без исключения пользователей должна быть запрещена установка нового ПО.

2.4.5 Обеспечение безопасности ЛВС подключенной к сети Интернет для связи между сегментами ЛВС

Нередко возникает необходимость связать между собой два или более удаленных сегментов сети, используя быстродействующие выделенные каналы Интернет. При этом возникает опасность перехвата информации, передающейся по данному каналу.

Избежать утечки информации позволит создание защищенных туннелей для передачи информации. Суть данного метода состоит в том, что вся информация между подразделениями передается в зашифрованном виде. Для создания туннеля используется аппаратное обеспечение, производящее инициацию алгоритма несимметричного шифрования и аутентификацию клиента. Суть алгоритма несимметричного шифрования состоит в том, что оба сервера передают друг другу ключи, которыми следует зашифровать все исходящее сообщения. Расшифровать сообщения этим ключами невозможно. Для дешифрования используется второй ключ, так называемый закрытый ключ, который хранится в секрете. Таким образом, по сети передается трафик, расшифровать который может только истинный получатель сообщения.

После успешной аутентификации соединение считается установленным, и автоматически настраивается маршрутизация пакетов из одного сегмента сети в другой.

2.4.6 Обеспечение безопасности внутри ЛВС имеющей общие сервера

К данному случаю относятся ситуации, когда

· В локальной сети расположены web-сервер предприятия;

· В локальной сети расположен сервер электронной почты;

· Локальная сеть имеет точки входа для удаленных пользователей.

Данные ситуации могут возникнуть уже на этапе проектирования сети, поэтому необходимо предоставлять себе угрозы, связанные с возможностью удаленного доступа к локальной сети.

В первую очередь это множество разновидностей вирусов, распространяющихся через сеть Интернет

Также, возможны атаки злоумышленников с целью входа в сеть и хищения конфиденциальных данных или использование ресурсов локальной сети в своих целях.

Общие принципы обеспечения безопасности:

1. Политика фаервола по умолчанию должна быть по умолчанию запретительной;

2. По возможности все сервисы, к которым требуется доступ из сети Интернет необходимо выносить в так называемые демилитаризованные зоны, то есть на компьютеры, не имеющих прямого доступа к ресурсам локальной сети;

3. Если вынесение ресурса в демилитаризованную зону невозможно, то следует отказаться от использования незашифрованных каналов и протоколов;

4. Оборудование, используемое для доступа в интернет должно обеспечивать защиту от DoS - атак;

5. Необходимо своевременно обновлять программное обеспечение аппаратуры;

6. Для удаленного администрирования следует использовать шифрованный доступ с аутентификацией;

7. Все сеансы удаленного администрирования должны фиксироваться в системном журнале, желательно, посредством удаленного журналирования, чтобы злоумышленник не имел возможности удалить следы своего пребывания в системе путем чистки файлов журналов.

2.4.7 Ответственность

Пользователь компьютера отвечает за всю информацию, хранящуюся на нем, технически исправное состояние вверенной ему техники.

Пользователь несет личную ответственность за весь информационный обмен между его компьютером и другими компьютерами в ЛВС и за ее пределами.

В зависимости от последствий невыполнения предписаний, предусмотренных в настоящей Инструкции, а также других обязательных условий работы с компьютерным оборудованием и ЛВС к пользователю могут быть применены соответствующие санкции, определяемые начальником подразделения, либо генеральным директором предприятия.

Нарушение данной Инструкции, повлекшее уничтожение, блокирование, модификацию либо копирование охраняемой законом компьютерной информации, нарушение работы компьютеров пользователей, системы или ЛВС компьютеров, может повлечь административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации, а также возмещение пользователем действительного ущерба, причиненного такими действиями.

Вся полнота ответственности за несанкционированное распространение информации, являющейся интеллектуальной собственностью предприятия, возлагается на пользователя.

2.5 Изучение существующей локальной вычислительной сети ОАО НПП "Пульсар"

ЛВС предприятия (Рис. 2.7) подразделяется на два основных уровня. Первым уровнем являются автономные сегменты ЛВС отделений, построенные на основе гибридной топологии. Вторым уровнем является "главный сегмент", к которому подключены сегменты ЛВС отделений (посредством маршрутизирующего оборудования), а также - напрямую отдельные абоненты и оборудование, доступ к которому должен быть организован для всех абонентов, например, сетевые сервисы, такие как внутрикорпоративное средство обмена сообщениями, система электронного документооборота, общее файловое хранилище и другое.

Таким образом, каждый сегмент ЛВС отделения изолирован от другого сегмента ЛВС отделения, что обеспечивает повышенный уровень информационной безопасности, гибкость регулировки правил доступа, возможность индивидуального управления шириной выделяемого канала, а также снижение риска повреждения информации из-за возможных ошибок пользователей.

Благодаря применению NAT преобразования на маршрутизирующем оборудовании сегментов ЛВС отделений, установление связи между главным сегментом и локальными сегментами возможно только в случае инициирования соединения абонентом из локального сегмента. Таким образом, достигается дополнительная защита пользователей сегментов отделений от нежелательных попыток соединений, инициированных вредоносным программным обеспечением (вирусы) и злоумышленниками.

В целом, сеть можно охарактеризовать как совокупность отдельных, независимых ЛВС, число которых равно числу отделений плюс накладные службы плюс АУП, агрегируемых в дальнейшем в главный сегмент.

Сегмент ЛВС отделения строится на основе управляемых коммутаторов. В тех случаях, когда абонентов одного отделения технически невозможно подключить в один блок коммутаторов (например, расположение сотрудников одного отделения на различных этажах, различных крыльях и в различных корпусах здания), на коммутаторах применяется технология VLAN. Таким образом, физически абоненты из разных отделений могут быть подключены в одно устройство, но по факту сетевой доступ все равно будет разграничен.

2.6 Изучение используемого аппаратного оборудования для локальной вычислительной сети на ОАО НПП "Пульсар"

Аппаратными средствами ЛВС являются серверы различного назначения, активное коммуникационное оборудование, вспомогательное сетевое оборудование и оборудование систем обеспечения нормального функционирования ЛВС.

1. Серверное оборудование представлено в таблице 2.1.

Таблица 2.1 - Серверное оборудование

Наименование	Конфигурация
Сервер хранения данных ЦП	Модель: HP ProLiant ML350; Объем оперативной памяти: 1Gb RAM;

Таблица 2.1 - Серверное оборудование

Наименование	Конфигурация
	Объем жесткого диска: 3Tb HDD; Процессор: CPU - Intel Xeon 5150 - 2,66 GHz
Сервер приложений №1 ЦП	Модель: DL385 G2; Объем оперативной памяти: 4Gb RAM; Объем жесткого диска: 4x146 Gb HDD; Процессор: CPU Opteron 2220 = 2,8GHz
Сервер приложений №2 ЦП	Модель: DL385 G2; Объем оперативной памяти: 4Gb RAM; Объем жесткого диска: 4x146 Gb HDD; Процессор: CPU Opteron 2220 = 2,8GHz
Сервер приложений №3 ЦП	Модель: HP ProLiant DL385 G5; Объем оперативной памяти: 20 Gb RAM; Процессор: CPU = 2xOpteron 2356 - 2,3 GHz; Объем жесткого диска: HDD - 5x147Gb
Сервер хранения данных бухгалтерии	Модель: HP ProLiant DL380G6; Объем оперативной памяти: 4Gb RAM;

Таблица 2.1 - Серверное оборудование

Наименование	Конфигурация
	Объем жесткого диска: HDD - 5x146Gb; Процессор: CPU = Intel Xeon 5520
Сервер широкополосной системы доступа в интернет ОИАТО	Модель: HP ProLiant DL380G6; Объем оперативной памяти: 12Gb RAM; Процессор: CPU = Intel Xeon 5520; Объем жесткого дискаHDD - 4x146Gb
Сервер электронного документооборота ОИАТО	Модель: HP ProLiant DL380G6; Объем оперативной памяти: 6Gb RAM; Процессор: CPU = Intel Xeon 5520; Объем жесткого диска: HDD - 5x146Gb
Сервер антивирусной системы ОИАТО	Модель: HP ProLiant DL145G2; Объем оперативной памяти: 1Gb RAM; Процессор: CPU = AMD opteron 248; Объем жесткого диска: HDD - 1x500Gb
Сервер контроля работы сети\база ГОСТов\инвентаризации	Модель: HP ProLiant DL380G6; Объем оперативной памяти: 2Gb RAM; Процессор: CPU = AMD Athlon; Объем жесткого диска: HDD - 1x250Gb

2. Активное сетевое оборудование представлено в таблице 2.2.

Таблица 2.2 - Активное сетевого оборудование

Наименование	Конфигурация
Сетевые коммутаторы
Cisco Catalyst C2960 24TT-L	Объем оперативной памяти: 64 Мб; Объем флеш-памяти: 32 Мб; Количество портов коммутатора: 24 x Ethernet 10/100 Мбит/сек; Внутренняя пропускная способность: 16 Гбит/сек; Размер таблицы МАС адресов: 8192
Cisco Catalyst C2960 48TT-L	Объем оперативной памяти: 64 Мб; Объем флеш-памяти: 32 Мб; Количество портов коммутатора: 48 x Ethernet 10/100 Мбит/сек; Внутренняя пропускная способность: 16 Гбит/сек; Размер таблицы МАС адресов: 8192
Cisco Catalyst C2960 24TC-L	Объем оперативной памяти: 64 Мб; Объем флеш-памяти: 32 Мб; Количество портов коммутатора: 24 x Ethernet 10/100 Мбит/сек; Внутренняя пропускная способность: 16 Гбит/сек; Размер таблицы МАС адресов: 8192
Cisco Catalyst C2960 24TS-S	Объем оперативной памяти: 64 Мб; Объем флеш-памяти: 32 Мб; Количество портов коммутатора: 24 x Ethernet 10/100 Мбит/сек;

Таблица 2.2 - Активное сетевого оборудование

Наименование	Конфигурация
	Внутренняя пропускная способность: 16Гбит/сек; Размер таблицы МАС адресов: 8192
Сетевые маршрутизаторы
Cisco 851	Объем оперативной памяти: 64 Мб; Объем флеш-памяти: 20 Мб; Количество портов маршрутизатора: 4 x Ethernet 10/100 Мбит/сек
Cisco 871	Объем оперативной памяти: 128 Мб; Объем флеш-памяти: 52 Мб; Количество портов маршрутизатора: 4 x Ethernet 10/100 Мбит/сек

3. Вспомогательное сетевое оборудование представлено в таблице 2.3.

Таблица 2.3 - Вспомогательное сетевое оборудование

Наименование	Конфигурация
Системы хранения данных
Thecus N8800	Процессор: Intel Core 2 Duo 1.66 GHz; Система памяти: 4GB DDR2 SDRAM; Дисковый интерфейс: 3.5" SAS HDD x 8; USB интерфейс: USB 2.0 x 4; LAN интерфейсы: GbE x 2
Thecus N4100+	Процессор: AMD Geode LX800 500MHz;

Таблица 2.3 - Вспомогательное сетевое оборудование

Наименование	Конфигурация
	Система памяти: 256 МB DDR SDRAM; Дисковый интерфейс: SATA-II x 4; USB интерфейс: USB 2.0 x 3; LAN интерфейсы: GbE x 2

Глава 3. Практическая часть

3.1 Угрозы и уязвимости в локальной вычислительной сети ОАО НПП "Пульсар"

Под угрозой понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включаю хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Более значительные долговременные последствия реализации угрозы приводят к потере бизнеса, нарушению тайны, гражданских прав, потере адекватности данных или иным долговременным эффектам.

К основным угрозам безопасности локальной вычислительной сети относятся: неавторизованный доступ к локальной сети, несоответствующий доступ к ресурсам локальной вычислительной сети, раскрытие данных, несанкционированная модификация данных и программ, раскрытие трафика локальной вычислительной сети, подмена трафика локальной вычислительной сети и неработоспособность локальной вычислительной сети.

Неавторизованный доступ к локальной вычислительной сети.

Локальная вычислительная сеть обеспечивает совместное использование файлов, принтеров, файловой памяти. Поскольку ресурсы разделяемы и не используются монопольно одним пользователем, необходимо управление ресурсами и учет использования ресурсов. Неавторизованный доступ к ЛВС имеет место, когда кто-то, не уполномоченный на использование локальной вычислительной сети, получает доступ к ней. Три общих метода используются, чтобы получить неавторизованный доступ: общие пароли, угадывание пароля и перехват пароля. Общие пароли позволяют неавторизованному пользователю получить доступ к ЛВС и привилегии законного пользователя; это делается с одобрения какого-либо законного пользователя, под чьим именем осуществляется доступ. Угадывание пароля является традиционным способом неавторизованного доступа. Перехват пароля является процессом, в ходе которого законный пользователь, не зная того, раскрывает учетный идентификатор пользователя и пароль. Это может быть выполнено с помощью программы троянского коня, которая имеет для пользователя вид нормальной программы входа в ЛВС; однако программа - троянский конь предназначена для перехвата пароля. Другим методом, обычно используемым для перехвата пароля, является перехват пароля и идентификатора пользователя, передаваемых по ЛВС в незашифрованном виде.

1. Несоответствующий доступ к ресурсам локальной вычислительной сети.

Одна из выгод от использования ЛВС состоит в том, что большое количество ресурсов легко доступны большому количеству пользователей, что лучше, чем владение каждым пользователем ограниченных выделенных ему ресурсов. Однако не все ресурсы должны быть доступны каждому пользователю. Чтобы предотвратить компрометацию безопасности ресурса, нужно разрешать использовать этот ресурс только тем, кому требуется использование ресурса. Несоответствующий доступ происходит, когда пользователю, законному или неавторизованному, получает доступ к ресурсу, который пользователю не разрешено использовать. Несоответствующий доступ может происходить просто потому, что права доступа пользователей к ресурсу не назначены должным образом. Однако, несоответствующий доступ может также происходить потому, что механизм управления доступом или механизм назначения привилегий обладают недостаточной степенью детализации.

2. Раскрытие данных.

Так как ЛВС используются повсюду в организациях или отделах, некоторые из хранящихся или обрабатываемых данных в ЛВС могут требовать некоторого уровня конфиденциальности. Раскрытие данных или программного обеспечения ЛВС происходит, когда к данным или программному обеспечению осуществляется доступ, при котором они читаются и, возможно, разглашаются некоторому лицу, которое не имеет доступа к данным. Это может производиться кем-либо путем получения доступа к информации, которая не зашифрована, или путем просмотра экрана монитора или распечаток информации.

3. Неавторизованная модификация данных и программ.

Поскольку пользователи ЛВС разделяют данные и приложения, изменения в этих ресурсах должны быть управляемы. Неавторизованная модификация данных или программного обеспечения происходит, когда в файле или программе производятся неавторизованные изменения.

Когда незаметная модификация данных происходит в течение длительного периода времени, измененные данные могут распространиться по ЛВС, возможно искажая базы данных, электронные таблицы и другие прикладные данные. Это может привести к нарушению целостности почти всей прикладной информации.

Если в программном обеспечении были произведены незаметные изменения, то все программное обеспечение ЭВМ может оказаться под подозрением, что приводит к необходимости детального изучения всего соответствующего программного обеспечения и приложений.

Эти изменения могут привести к передаче информации другим пользователям, искажению данных при обработке или нанесению вреда доступности системы или служб ЛВС.

4. Раскрытие трафика ЛВС.

Раскрытие трафика ЛВС происходит, когда кто-то, кому это не разрешено, читает информацию, или получает к ней доступ другим способом, в то время, когда она передается через ЛВС. Трафик ЛВС может быть скомпрометирован при прослушивании и перехвате трафика, передаваемого по транспортной среде ЛВС. Большое количество пользователей понимают важность конфиденциальной информации, хранимой на их автоматизированных рабочих местах или серверах; однако, также важно поддерживать эту конфиденциальность при передаче информации через ЛВС. Информация, которая может быть скомпрометирована таким образом, включает системные имена и имена пользователей, пароли, сообщения электронной почты, прикладные данные. Например, даже если пароли могут быть зашифрованы при хранении в системе, они могут быть перехвачены в открытом виде в то время, когда их посылают от автоматизированного рабочего места или ПК к файловому серверу. Файлы сообщений электронной почты, к которым обычно имеется очень ограниченный доступ при хранении в ЭВМ, часто посылаются в открытом виде по среде передачи ЛВС, что делает их легкой целью для перехвата.

5. Подмена трафика ЛВС.

Данные, которые переданы по ЛВС, не должны быть изменены неавторизованным способом в результате этой передачи либо самой ЛВС, либо злоумышленником. Пользователи ЛВС должны быть вправе предполагать, что посланное сообщение будет получено неизмененным. Модификация происходит, когда делается намеренное или случайное изменение в любой части сообщения, включая его содержимое и адресную информацию.

Сообщения, передаваемые по ЛВС, должны содержать некоторый вид адресной информации, сообщающей адрес отправителя сообщения и адрес получателя сообщения. Подмена трафика ЛВС включает способность получать сообщение, маскируясь под легитимное место назначения, либо способность маскироваться под машину отправитель и посылать сообщения кому-либо. Чтобы маскироваться под машину получатель, нужно убедить ЛВС в том, что данный адрес машины легитимный адрес машины получателя. Маскировка под машину отправитель для убеждения машины получателя в законности сообщения может быть выполнена заменой своего адреса в сообщении адресом авторизованной машины отправителя или посредством воспроизведения трафика.

6. Разрушение функций ЛВС.

ЛВС - инструмент, используемый организацией для совместного использования информации и передачи ее из одного места в другое. Эта потребность удовлетворяется функциональными возможностями ЛВС. Разрушение функциональных возможностей происходит, когда ЛВС не может своевременно обеспечить необходимые функциональные возможности. Разрушение может охватывать как один тип функциональных возможностей, так и группу возможностей. Разрушение функциональных возможностей ЛВС может происходить при использовании следующих типов уязвимых мест:

· неспособность обнаружить необычный характер трафика (то есть намеренное переполнение траффика);

· неспособность перенаправить трафик, выявить отказы аппаратных средств ЭВМ;

· конфигурация ЛВС, допускающая возможность выхода из строя из-за отказа в одном месте;

· неавторизованные изменения компонентов аппаратных средств ЭВМ (переконфигурирование адресов на автоматизированных рабочих местах, изменение конфигурации маршрутизаторов или хабов);

· неправильное обслуживание аппаратных средств ЛВС;

· недостаточная физическая защита аппаратных средств ЛВС.