Защита информации в локально-вычислительных сетях

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

ДОКЛАД

"ЗАЩИТА ИНФОРМАЦИИ В ЛОКАЛЬНОЙ СЕТИ ОТДЕЛА АСУ ЗАО "ЗАВОД ЛИТ"

Введение

Цель работы заключается в разработке общих рекомендаций для данного учреждения, по обеспечению защиты информации в системах обработки данных и разработке типового пакета документов по недопущению несанкционированного доступа к служебной и секретной информации.

Задачи:

n рассмотреть существующие каналы утечки информации и способы их закрытия;

n выработать методику создания политики безопасности;

n создать пакет руководящих документов по обеспечению безопасности информации.

Пути утечки информации

n Электромагнитный канал

n Акустический канал

n Канал несанкционированного копирования

n Канал несанкционированного доступа и др.

Современные программные угрозы безопасности информации

Основными сервисами безопасности являются

n идентификация и аутентификация,

n управление доступом,

n протоколирование и аудит,

n криптография,

n экранирование.

Основные направления защиты информации в ЛВС. Меры непосредственной защиты ПЭВМ:

n Меры защиты от стихийных бедствий

n Меры защиты от злоумышленников

Анализ и классификация удаленных атак на ЛВС

1. По характеру воздействия:

n активные,

n пассивные.

2. По цели воздействия:

n перехват информации,

n искажение информации

3. По условию начала осуществления воздействия.

Можно выделить четыре вида охранных мер

n охрана границ территории (некоторой зоны, окружающей завод);

n охрана самого здания или некоторого пространства вокруг него (создание контролируемой зоны вокруг подразделения АСУ);

n охрана входов в отделение АСУ;

n охрана критических зон.

Отдел АСУ. Описание.

Отдел АСУ (Автоматизированные системы управления) является самостоятельным структурным подразделением ЗАО завода ЛИТ

Задачами данного отдела являются

n Выполнение работ по разработке, подготовке и отладке компьютерных программ для решения экономических и других задач;

n Обеспечение бесперебойного функционирования компьютерной техники;

n Поддержка функционирования IT - структуры предприятия;

n Ремонт и обслуживание компьютерной техники и периферийного оборудования.

Сотрудниками данного отдела являются 6 человек

n Начальник бюро АСУ;

n Системный администратор;

n 2 Инженера - электронщика;

n Администратор БД;

n Программист.

Защита информации в ЛВС отдела АСУ программными средствами

n Программы Firewall

n Антивирусные средства (Антивирус Касперского (6.0.4.1212), Dr. Web)

n Программы антиспама

Компьютерная телекоммуникационная сеть отдела

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Выявление компьютеров, подключенных к Internet

Одним из основных этапов в определении структуры сети является ее автоматизированное прослушивание с помощью утилиты ping по диапазону IP-адресов или адресам подсетей.

Цель такого прослушивания - определить, имеется ли у отдельных компьютеров подключение к Internet.

Утилита ping отправляет пакеты ICMP ECHO указанному компьютеру и ожидает ответного пакета ICMP ECHO_REPLY. Получение такого ответа говорит о том, что компьютер в данный момент подключен к Internet.

Защита от прослушивания сети

Для выполнения ping-прослушивания можно воспользоваться любым из многочисленных средств. В мире UNIX одним из самых надежных и проверенных средств такого прослушивания является утилита fping. В отличие от других подобных утилит, которые перед переходом к тестированию следующего компьютера ожидают ответа на ранее посланный запрос, утилита fping рассылает все запросы одновременно, а затем ожидает ответа сразу от всех узлов. Именно поэтому утилита fping обеспечивает гораздо более высокую скорость прослушивания большого диапазона IP-адресов, чем обычная утилита ping. Утилиту fping можно использовать двумя способами: передав в стандартный входной поток перечень IP-адресов, либо считав эти адреса из предварительно созданного текстового файла. В таком файле каждый IP-адрес помещается в отдельную строку.

192.168.1.1

192.168.1.2

192.168.1.3

192.168.1.253

192.168.1.254

n Утилиты UNIX, позволяют выявлять и регистрировать попытки прослушивания.

n На такие факты необходимо обращать самое пристальное внимание, так как после изучения сети обычно предпринимается реальная попытка проникновения.

Предотвращение прослушивания

Если обнаружение факта прослушивания имеет столь большое значение, то что тогда говорить о предупреждении таких попыток! Мы рекомендуем очень внимательно оценить, насколько важен для вашей организации обмен данными по протоколу ICMP между узлами вашей сети и Internet. Имеется много разнообразных типов сообщений ICMP, ECHO и ECHO_REPLY - лишь два из них. В большинстве случаев нет никакой необходимости разрешать обмен данными между узлами сети и Internet с использованием всех имеющихся типов сообщений. Практически все современные брандмауэры обладают возможностью отфильтровывать пакеты ICMP, поэтому единственная причина, по которой они могут проходить во внутреннюю сеть, - та или иная производственная необходимость. Даже если вы твердо убеждены в том, что нельзя полностью заблокировать протокол ICMP, обязательно заблокируйте те типы сообщений, которые вам не нужны для работы. Как правило, вполне достаточно, чтобы с зоной DMZ можно было взаимодействовать посредством сообщений ECHO_REPLY, HOSTJJNREACHABLE И TIME_EXCEEDED. Кроме того, с помощью списка управления доступом (ACL - Access Control List) можно разрешить обмен сообщениями по протоколу ICMP только с несколькими IP-адресами, например, принадлежащими вашему провайдеру Internet.

Это позволит провайдеру, при необходимости, проверить качество связи, но при этом проникновение посторонних извне в компьютеры, подключенные к Internet, будет значительно затруднено.

Необходимо всегда помнить, что несмотря на удобство и мощь протокола ICMP с точки зрения диагностирования сетевых проблем, он с успехом может использоваться и для создания таких проблем. Разрешив неограниченный доступ по протоколу ICMP во внутреннюю сеть, вы тем самым предоставляете взломщикам возможность реализовать нападение типа DoS (например, с помощью Smurf-метода). Более того, если взломщику удастся проникнуть в один из ваших компьютеров, он может через «потайной ход» в операционной системе с помощью таких программ, как loki, организовать скрытое тунеллирование данных, передаваемых по протоколу ICMP.

Другая интересная концепция, предложенная Томом Пташеком (Tom Ptacek) и перенесенная в среду Linux Майком Шиффманом (Mike Schiffman) заключается в использовании процесса pingd. Демон pingd, запущенный на компьютере пользователя, обрабатывает все поступающие на данный компьютер запросы ECHO и ECHO_REPLAY. Для реализации такого подхода нужно отказаться от поддержки обработки запроса ICMP ECHO на уровне ядра и реализовать ее на уровне пользователя с помощью служебного процесса, обеспечивающего работу сокета 1СМР.

Таким образом, появляется возможность создания механизма управления доступом на уровне отдельного компьютера.

Выявление запущенных служб с помощью сканирования портов

Сканирование портов (port scanning) - это процесс пробного подключения к портам TCP и UDP исследуемого компьютера с целью определения, какие службы на нем запущены и обслуживаются ли ими соответствующие порты.

Типы сканирования

Прежде чем перейти к описанию конкретных средств, используемых для сканирования портов, необходимо уделить немного времени обзору методов сканирования, известных в настоящее время. Одним из пионеров реализации различных методов сканирования является ранее упоминавшийся Федор (Fyodor). Многочисленные приемы сканирования были реализованы им в утилите nmap. Многие из описанных в данной книге методов сканирования были предложены самим Федором.

TCP-сканирование подключением (TCP connect scan). При таком типе сканирования осуществляется попытка подключения по протоколу TCP к интересующему нас порту с прохождением полной процедуры согласования параметров (handshake), состоящей в обмене сообщениями SYN, SYN/ACK и АСК. Попытки такого сканирования очень легко выявляются. На рис. 2.2 показана диаграмма обмена сообщениями в процессе согласования параметров.

TCP-сканирование с помощью сообщений SYN (TCP SYN scan). Этот метод называется также сканированием с незавершенным открытием сеанса (half-open scanning), так как при его использовании полное TCP-соединение не устанавливается. Вместо этого на исследуемый порт отправляется сообщение SYN. Если в ответ поступает сообщение SYN/ACK, это означает, что данный порт находится в состоянии LISTENING. Если же ответ приходит в виде сообщения RST/ACK, то, как правило, это говорит о том, что исследуемый порт отключен. Получив ответ, компьютер, выполняющий сканирование, отправляет исследуемому узлу сообщение RST/ACK, поэтому полное соединение не устанавливается. Этот метод обеспечивает более высокую скрытность по сравнению с полным подключением. Многие системы не регистрируют такие попытки, поэтому они довольно часто могут оставаться незамеченными.

TCP-сканирование с помощью сообщений FIN (TCP FIN scan). В этом случае исследуемой системе отправляется пакет FIN.

TCP-сканирование по методу «рождественской елки» (TCP Xmax Tree scan). При использовании данного метода на исследуемый порт отправляются пакеты FIN, URG и PUSH. Согласно документу RFC 793, исследуемый узел в ответ должен отправить сообщения RST для всех закрытых портов.

TCP нуль-сканирование (TCP Null scan). Этот метод состоит в отправке пакетов с отключенными флагами. Согласно RFC 793, исследуемый узел должен ответить отправкой сообщения RST для всех закрытых портов.

TCP-сканирование с помощью сообщений АСК (TCP ACK scan). Этот метод позволяет получить набор правил, используемых брандмауэром. Такое сканирование поможет определить, выполняет ли брандмауэр простую фильтрацию пакетов лишь определенных соединений (пакетов с установленным флагом АСК) или обеспечивает расширенную фильтрацию поступающих пакетов.

TCP-сканирование размера окна (TCP Windows scan). Такой метод позволяет выявить открытые, а также фильтруемые / нефильтруемые порты некоторых систем (например, AIX и FreeBSD), в зависимости от полученного размера окна протокола TCP.

TCP-сканирование портов RPC (TCP RPC scan). Этот метод применим только для систем UNIX и используется для выявления портов RPC (Remote Procedure Call - удаленный вызов процедур), связанных с ними программ и их версий.

UDP-сканирование (UDP scan). Данный метод заключается в отправке на исследуемый узел пакетов по протоколу UDP. Если в ответ поступает сообщение о том, что порт ICMP недоступен (ICMP port unreachable), это означает, что соответствующий порт закрыт. Однако если такого сообщения нет, можно предположить, что данный порт открыт. В связи с тем что протокол UDP не гарантирует доставки, точность данного метода очень сильно зависит от множества факторов, влияющих на использование системных и сетевых ресурсов. Кроме того, UDP-сканирование - очень медленный процесс, что особенно сказывается при попытках сканирования устройств, в которых реализован мощный алгоритм фильтрации пакетов. Поэтому, планируя использовать UDP сканирование, приготовьтесь к тому, что результаты могут оказаться ненадежными.

Некоторые реализации IP-протокола обладают одним неприятным свойством: пакеты RST отправляются обратно для всех сканируемых портов независимо от того, находятся ли соответствующие порты в режиме ожидания запросов. Учитывайте этот факт при использовании описанных методов. Однако в то же время сканирование подключением и сканирование с использованием сообщений SYN могут применяться для всех узлов.



Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Управление доступом к информации в локальной сети

Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и их доступность путем запрещения обслуживания неавторизованных пользователей.

Концепция безопасности ЛВС ЗАО завода ЛИТ

Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям разделять программы и данные, что увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более сильной защите.

На заводе должна быть разработана инструкция по обеспечению безопасности информации преследующая две главные цели:

· продемонстрировать сотрудникам важность защиты сетевой среды, описать их роль в обеспечении безопасности,

· распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как и самой сети.

В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть завода. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Целью ЗАО завода ЛИТ является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности.

Частными целями являются:

· Обеспечение уровня безопасности, соответствующего нормативным документам.

· Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности).

· Обеспечение безопасности в каждой функциональной области локальной сети.

· Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.

· Обеспечение анализа регистрационной информации.

· Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.

· Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.

· Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Перечисленные группы людей отвечают за реализацию сформулированных ранее целей.

· Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

· Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

· Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Обеспечение безопасности при групповой обработке информации в подразделениях и отделах ЗАО завода ЛИТ.

Для обеспечения защиты информации в институте должны быть разработаны и введены в действие инструкции для всех категории персонала, в которых должны найти отражение следующие задачи для каждой категории:

Руководители подразделений обязаны:

· Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.

· Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.

· Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем.

· Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.).

· Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и имеющего достаточную квалификацию для выполнения этой роли.

Администраторы локальной сети обязаны:

· Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.

· Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.

· Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты.

· Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.

· Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

· Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.

· Следить за новинками в области информационной безопасности, сообщать о них пользователям и руководству.

· Не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну.

· Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения.

· Оказывать помощь в обнаружении и ликвидации зловредного кода.

· Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.

· Выполнять все изменения сетевой аппаратно-программной конфигурации.

· Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.

· Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

· Периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов обязаны:

· Управлять правами доступа пользователей к обслуживаемым объектам. Оперативно и эффективно реагировать на события, таящие угрозу.

· Информировать администраторов локальной сети о попытках нарушения защиты.

· Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.

· Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.

· Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

· Ежедневно анализировать регистрационную информацию, относящуюся к сервису.

· Регулярно контролировать сервис на предмет зловредного программного обеспечения.

· Периодически производить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.

Пользователи обязаны:

· Знать и соблюдать законы, правила, принятые в организации, политику безопасности, процедуры безопасности.

· Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.

· Использовать механизм защиты файлов и должным образом задавать права доступа.

· Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.

· Помогать другим пользователям соблюдать меры безопасности. Указывать им на проявленные упущения.

· Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.

· Не использовать слабости в защите сервисов и локальной сети в целом.

· Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.

· Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.

· Обеспечивать резервное копирование информации с жесткого диска своего компьютера.

· Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут использоваться.

· Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.

· Знать слабости, которые используются для неавторизованного доступа.

· Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.

· Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

Реакция на нарушения режима безопасности

Программа безопасности, принятая заводом, должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию вторжений хакеров и зловредного кода. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные. Реакция на нарушения режима безопасности преследует две главные цели:

· блокирование нарушителя и уменьшение наносимого вреда;

· недопущение повторных нарушений.

На заводе должен быть человек, доступный 24 часа в сутки (лично, по телефону или электронной почте), отвечающий за реакцию на нарушения. Все должны знать координаты этого человека и обращаться к нему при первых признаках опасности.

Для недопущения повторных нарушений необходимо анализировать каждый инцидент, выявлять причины, накапливать статистику. Каковы источники зловредного кода? Какие пользователи имеют обыкновение выбирать слабые пароли? На подобные вопросы и должны дать ответ результаты анализа.

Очень важными являются программно-технические меры, которые образуют последний и самый важный рубеж информационной защиты. Основную часть ущерба наносят действия легальных пользователей, по отношению к которым операционные регуляторы не могут дать решающего эффекта. Главные враги - некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

Физическую защиту, целесообразно необходимости, поручить интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по пространству предприятия, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.

Расчет затрат на обслуживание локальной сети

Таблица 3.1. Расчет затрат на обслуживание локальной сети и плановый ремонт рабочих станций

Наименование оргтехники	Количество	Цена за ед.руб.	Сумма руб.
Обеспечение антивирусными программами	1	1200	1 200
Плановый ремонт рабочей станции (за 1 месяц)	4	250	1 000
Сопровождение кабельных линий связи	3500 м	2	7 000
Сопровождение сети (за 1 месяц) рабочей станции	36	120	4 320
Сопровождение сети (за 1 месяц) сервера	2	450	900
ИТОГО:			14 420

Определение среднечасовой оплаты труда разработчика

где:

ОК - оклад разработчика (8 500 руб.),

Др - среднемесячное число рабочих дней (21 день),

Дпр - продолжительность рабочего дня (8 час).

ЗПсрч = 8500 / 21 * 8 ? 50,60 (руб./час)

Общие затраты определяются как сумма общих затрат (Змаш) на приобретение недостающего для организации локальной информационной сети оборудования и программного обеспечения и затрат (Зпр) на установку, настройку и обслуживание сети.

Зобщ = 14 420 + 2 538,91 ? 16 959 (руб.)

Заключение

В ближайшее время прогресс в области развития средств вычислительной техники, программного обеспечения и сетевых технологий даст толчок к развитию средств обеспечения безопасности, что потребует во многом пересмотреть существующую научную парадигму информационной безопасности. Основными положениями нового взгляда на безопасность должны являться:

исследование и анализ причин нарушения безопасности компьютерных систем;

разработка эффективных моделей безопасности, адекватных современной степени развития программных и аппаратных средств, а также возможностям злоумышленников и разрушающих программных средств;

создание методов и средств корректного внедрения моделей безопасности в существующие вычислительные системы, с возможностью гибкого управления, безопасностью в зависимости от выдвигаемых требований, допустимого риска и расхода ресурсов;

необходимость разработки средств анализа безопасности компьютерных систем с помощью осуществления тестовых воздействий (атак).

В условиях современной суверенизации государств и субъектов Российской Федерации, продолжающихся военных конфликтов, попыток территориальных, экономических и др. притязаний государств друг к другу, растущей угрозы терроризма в отношении отдельных граждан и государственных структур особенно остро встали проблемы надежной защиты информации в особые периоды управления важными государственными объектами, включая вычислительные системы. Это требует дальнейшего развития теории и практики обеспечения информационной безопасности в локальных сетях предприятий, повышения надежности применения современных систем обработки конфиденциальной информации в условиях обострения информационной войны (борьбы).

Широкая информатизация обществ, внедрение компьютерной технологии в сферу управления объектами государственного значения, стремительный рост темпов научно-технического прогресса наряду с положительными достижениями в информационных технологиях, создают реальные предпосылки для утечки конфиденциальной информации.

В дипломной работе, основной целью которой являлось разработка общих рекомендаций по защите информации в локальной сети отдела АСУ ЗАО завода ЛИТ и разработка пакета руководящих документов по обеспечению безопасности информации, получены следующие результаты:

Рассмотрены основные пути защиты от несанкционированного доступа к информации циркулирующей в системах обработки данных.

Произведена классификация способов и средств защиты информации.

Детально осуществлен анализ методов защиты информации в локальных вычислительных сетях.

Рассмотрены основные направления защиты информации в ЛВС.

Разработаны концепция безопасности локальных вычислительных сетей ЗАО завода ЛИТ и вопросы обеспечения безопасности при групповой обработке данных в службах и подразделениях завода.

Осуществлена выработка политики безопасности ЗАО завода ЛИТ.

Рассмотрен порядок управления доступом к информации в локальной сети с способы повышения безопасности и защиты данных в ЛВС.

В перспективе рассматривается возможность разработки общих рекомендаций по защите информации локальных сетей для подобных организаций, заводов, учреждений, и создание типовой инструкции по обеспечению безопасности информации в системах обработки данных.

Размещено на Allbest.ru