Организация использования средств межсетевого экранирования в информационной системе ИББ и анализ их эффективности

В учебном процессе будет рассматривать данная тема, тем самым это будет наглядным примером для студентов. На сервере лаборатории ПАЗИ установлена одна из самых лучших программ резервного копирования - Acronis. Также эта программа будет использоваться для проведения занятий.

Кроме этого решаются смежные проблемы:

· дублирование данных;

· передача данных и работа с общими документами;

В сервер ЛВС установлены 2 сетевые карты, чтобы при помощи встроенного веб-сервера пользователи лаборатории ПАЗИ имели доступ к ресурсам глобальной сети. В первую - будет поступать Интернет по выделенному каналу со статическим IP-адресом, а через вторую распространяться дальше. Веб-сервер -- это сервер, принимающий HTTP-запросы от клиентов, обычно веб-браузеров, и выдающий им HTTP-ответы, обычно вместе с HTML-страницей, изображением, файлом, медиа-потоком или другими данными. Веб-сервером называют как программное обеспечение, выполняющее функции веб-сервера, так и непосредственно компьютер (сервер), на котором это программное обеспечение работает. Клиент, которым обычно является веб-браузер, передаёт веб-серверу запросы на получение ресурсов, обозначенных URL-адресами. Ресурсы это HTML-страницы, изображения, файлы, медиа-потоки или другие данные, которые необходимы клиенту. В ответ веб-сервер передаёт клиенту запрошенные данные. Этот обмен происходит по протоколу HTTP [2]. Но для того, чтобы Интернетом могли пользоваться все юзеры рабочий станций лаборатории, необходимо было создать протокол DHCP. DHCP -- это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер». Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к т. н. серверу DHCP, и получает от него нужные параметры. Сетевой администратор может задать диапазон адресов, распределяемых сервером среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве крупных (и не очень) сетей TCP/IP [2].

Для раздачи Интернета на некоторое количество компьютеров необходим сетевой коммутатор, под которым понимают устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного сегмента.

На сервере ЛВС будет установлена программная система IDS/IPS для защиты самого сервера от несанкционированных атак. Система обнаружения вторжений (Intrusion Detection System (IDS)) -- программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в компьютерную систему или сеть.
IDS всё чаще становятся необходимым дополнением инфраструктуры сетевой безопасности. В дополнение к межсетевым экранам, работа которых происходит на основе политики безопасности, IDS служат механизмами мониторинга и наблюдения подозрительной активности. Они могут обнаружить атакующих, которые обошли МЭ, и выдать отчет об этом администратору, который, в свою очередь, предпримет дальнейшие шаги по предотвращению атаки. Технологии обнаружения проникновений не делают систему абсолютно безопасной.

Использование IDS помогает достичь нескольких задач:

· обнаружить вторжение или сетевую атаку;

· спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития. Атакующий обычно выполняет ряд предварительных действий, таких как, например, сетевое зондирование (сканирование) или другое тестирование для обнаружения уязвимостей целевой системы;

· выполнить документирование существующих угроз;

· обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;

· получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;

· определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

Система предотвращения вторжений (Intrusion Prevention System (IPS)) программное или аппаратное средство, которое осуществляет мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности. В целом IPS по классификации и свои функциям аналогичны IDS. Главное их отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS. Как уже было сказано выше, правильное размещение систем IDS/IPS в сети не оказывает влияния на её топологию, но зато имеет огромное значение для оптимального мониторинга и достижения максимального эффекта от её защиты.

После проверки системы IDS/IPS Интернет трафик из сервера ЛВС поступает на маршрутизатор. Маршрутизатор или роутер - сетевое устройство, на основании информации о топологии сети и определённых правил, принимающее решения о пересылке пакетов сетевого уровня между различными сегментами сети. Обычно маршрутизатор использует адрес получателя, указанный в пакетах данных, и определяет по таблице маршрутизации путь, по которому следует передать данные [2]. В роутере обязательно будет межсетевой экран, который и будет ещё одним и самым главным препятствием несанкционированных атак как извне, так и внутри ИС. Так же МЭ будет защитой от различных вредоносных программ.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - фильтровать (не пропускать) пакеты, не подходящие под критерии, определённые в конфигурации [2]. Более подробное описание МЭ было написано в первой главе, в пункте 1.2.

Так же в маршрутизаторе должен быть встроенный VPN-сервер. VPN (Virtual Private Network - виртуальная частная сеть) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрованию, аутентификация, инфраструктуры публичных ключей, средствам для защиты от повторов и изменения передаваемых по логической сети сообщений).

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети. Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его [2].

Выше указанная сетевая конфигурация позволит провести ряд занятий по защите от вредоносных программ из вне, а так же обеспечит безопасную работу проведения лабораторных работ в лаборатории ПАЗИ.

В нашей системе защиты лаборатории будет использоваться маршрутизатор свыше указанными функциями. Межсетевой экран является надежным решением для обеспечения безопасности, позволяющим защитить офисы от различных сетевых угроз. Межсетевой экран должен поддерживать трансляцию сетевых адресов (NAT), виртуальные частные сети (VPN), активную сетевую безопасность, систему предотвращении вторжений (IPS), фильтрацию Web-содержимого, антивирусную защиту и управление полосой пропускания - и весь этот функционал реализован в едином компактном настольном корпусе. При этом устройство может легко интегрироваться в существующую сеть.

МЭ должен обеспечивать законченное решение для управления, мониторинга и обслуживания безопасной сети. Среди функций управления: удаленное управление, политики управления полосой пропускания, блокировка по URL/ключевым словам, политики доступа. Также поддерживаются такие функции сетевого мониторинга, как уведомление по e-mail, системный журнал, проверка устойчивости и статистика в реальном времени. МЭ должен быть оснащен системой обнаружения и предотвращения вторжений (IDP/IPS), внутренним антивирусом и фильтрацией Web-содержимого для проверки и защиты содержимого на высоком уровне. Используя в устройстве, аппаратный ускоритель увеличивает производительность IPS и антивируса, управляющей базы поиска в Web, содержащей миллионы URL для фильтрации Web-содержимого. Сервисы обновления IPS, антивируса и базы данных URL защищают сеть от вторжений, червей, вредоносных кодов и удовлетворяют потребностям, учёбы по управлению доступом студентов к Интернет. Для обеспечения эффективной защиты от угроз из Интернет необходимо, чтобы все три базы данных, используемых МЭ, поддерживались в актуальном состоянии. В связи с этим должна быть возможность на обновления сигнатур для каждого из сервисов МЭ: IPS, антивирус и фильтрацию Web-содержимого. Это позволяет обеспечить точность и актуальность баз данных МЭ.

Межсетевой экран для защиты сети должен используют уникальную технологию IPS - компонентные сигнатуры, которые позволяют распознавать и обеспечивать защиту, как против известных, так и против новых атак. В результате устройство помогает при атаках (реальных или потенциальных) значительно снизить влияние на такие важные аспекты, как полезная нагрузка, закрытая информация, а также предотвратить распространение инфекций и компьютерные вторжения. База данных IPS включает информацию о глобальных атак и вторжениях, собранную на публичных сайтах. МЭ должен обеспечивать высокую эффективность сигнатур IPS, постоянно создавая и оптимизируя сигнатуры. Эти сигнатуры обеспечивают высокую точность обнаружения при минимальном количестве ошибочных срабатываний.

МЭ должен позволять сканировать файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые «узкие места» в сети. Межсетевой экран должен используть сигнатуры вирусов от известных надежных антивирусных компаний, например, Kaspersky Labs, при этом существует возможность обновления сигнатур. В результате вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они достигнут настольных или мобильных устройств.

Фильтрация Web-содержимого помогает работодателям осуществлять мониторинг, управление и контроль использования сотрудниками предоставленного им доступа к Интернет. МЭ должен поддерживать несколько серверов глобальных индексов с миллионами URL и информацией в реальном времени о Web-сайтах, что позволяет увеличить производительность и обеспечить максимальную доступность сервиса. В межсетевом экране должны используються политики с множеством параметров, а также белые и черные списки, что позволяет запретить или разрешить доступ в заданное время к Web-сайтам для любой комбинации пользователей, интерфейсов и IP-сетей. Эти устройства также позволяют обходить потенциально опасные объекты, включая Java-апплеты, Java-скрипты/VBS-скрипты, объекты ActiveX и cookies, активно обрабатывая содержимое Интернет.

Так же для полной безопасности рабочий станций, на каждом ПК установлен антивирус. Таким образом при правильной настройке и работы всех защитных компонентов, и правильной созданной политики безопасности, мы получим максимально эффективную систему защиты лаборатории ПАЗИ.

При помощи созданной системы защиты можно получить также полезную систему в учебном назначении, т.е создание виртуального сервера, который будет необходим для выполнения различных лабораторных работ, а также обучению студентов программе ПАЗИ. VPS (Virtual Private Server) -- услуга, в рамках которой пользователю предоставляется так называемый Виртуальный выделенный сервер. В плане управления операционной системой по большей части она соответствует физическому выделенному серверу. В частности: admin/root-доступ, собственные IP-адреса, порты, правила фильтрования и таблицы маршрутизации. Внутри виртуального сервера можно создавать собственные версии системных библиотек или изменять существующие, владелец VPS может удалять, добавлять, изменять любые файлы, включая файлы в корневой и других служебных директориях, а также устанавливать собственные приложения или настраивать/изменять любое доступное ему прикладное программное обеспечение. В некоторых системах виртуализации (к примеру -- VMWare и Xen) также доступны для редактирования настройки ядра операционной системы и драйверов устройств. Виртуальный выделенный сервер эмулирует работу отдельного физического сервера. На одной машине может быть запущено множество виртуальных серверов. Помимо некоторых очевидных ограничений, каждый виртуальный сервер предоставляет полный и независимый контроль и управление, как предоставляет его обычный выделенный сервер.

Каждый виртуальный сервер имеет свои процессы, ресурсы, конфигурацию и отдельное администрирование. Обычно, в качестве виртуального сервера используются свободно распространяемые версии операционных систем UNIX и Windows [2].

В учебном процессе лаборатории ПАЗИ будут проводиться занятия (лабораторные работы) на темы:

· уязвимость компьютерных систем;

· политика безопасности в компьютерных системах. Оценка защищенности;

· взаимная проверка подлинности пользователей;

· использование виртуальных машин для изучения операционных систем;

· анализ защищенности компьютерных систем на основе ОС Windows 2003/XP;

· центр обеспечения безопасности (Windows Security Center) в операционной системе Windows;

· защита от вредоносного программного обеспечения на примере Windows Defender;

Будет проводиться занятия на изучение антивирусных программ, практики по биометрии, сканеров безопасности, работы с межсетевым экраном, криптографических средств защиты, защиты электронной почты и входящего трафика, программно-аппартных комплексов, резервного копирования и защиты от сбоев электропитания.

Тем самым все выше перечисленные занятия необходимо будет проводить на виртуальном сервере, чтобы обезопасить ИС и сервер, не причиняя вред ПК. Для большинства занятий потребуется межсетевой экран, который создаёт защиту от вредоносных объектов и выполнение работ в лаборатории ПАЗИ.

На рисунке 7 показана схема защиты периметра лаборатории ПАЗИ при помощи средств межсетевого экранирования:



Рис.7. Схема защиты периметра лаборатории «ПАЗИ»

Выводы по второй главе

Во второй главе данной работы было проведено обоснование требований к системе защиты периметра (лаборатории ПАЗИ) с точки зрения обеспечения безопасности информационной сети и сточки зрения обеспечения безопасности учебного процесса при помощи межсетевого экранирования. Мною был произведён анализ требований к системе защиты информации, была описана модель информационной системы лаборатории, в общем, и самое главное было разработана уникальная система защиты для лаборатории "ПАЗИ". Также были оптимизированы характеристики аппаратного МЭ, применяемого для построения системы защиты периметра.

При анализе требований к защите информации были определены общие требования к системам защиты периметра ИС путем анализа различных подходов к реализации таких систем, в том числе сложности, которые могут возникнуть при организации данной защиты, а так же выбрана комплексная система защиты периметра ИС межсетевой экран.

При рассмотрении модели информационной системы лаборатории были описаны ЛВС самой лаборатории, её структура, технические данные, предоставляемые ИВЦ МЭИ (ТУ) и функционирование Интернета в ИС лаборатории. Так же были рассмотрены описание оборудования ЭВМ лаборатории, их характеристики и программное обеспечение.

Была создана система защиты лаборатории ПАЗИ, в которой подробно описана работа каждого оборудования и программного обеспечения. При разработке системы защиты был задействован межсетевой экран с конкретными характеристиками, который необходим для создания защиты ИС лаборатории при прямом назначении и при учебном процессе студентов. Для обеспечения учебного процесса необходимо создание виртуального сервера, а для безопасности, как внутри ИС, так извне, будет использоваться межсетевой экран, удовлетворяющий конкретным характеристикам, описанным выше.

Глава 3. Организация использования средств межсетевого экранирования в лаборатории

В этом разделе производится сравнительный анализ и выбор средств межсетевого экранирования, с подходящими характеристиками, описанными выше для внедрения в лабораторию ПАЗИ. Также в этой главе будут разработаны рекомендации по использованию средств межсетевого экранирования по прямому назначению и в учебном процессе. В рамках подготовки рекомендаций по использованию средств межсетевого экранирования во второй главе приводились основные сведения о нем, состав аппаратных средств. Все это позволит объяснить, почему имеет смысл рассматривать возможность организации системы защиты. Так же в данном разделе будет проводится оценка затрат на организацию системы защиты лаборатории ПАЗИ.

3.1 Сравнительный анализ и выбор средств межсетевого экранирования

В рамках работы рассматриваются аппаратные средства межсетевого экранирования ведущих компаний производителей. Средства сравниваются по основным показателям и критериям выбора, рассмотренным в второй главе данной работы с использованием метода выбора не худших систем.

Основной идеей метода выбора не худших систем заключается в иерархическом положении критериев выбора начиная от самого важного, заканчивая менее важным. Двигаясь в выборе от важных показателей к менее важным, производится отбор на основе выделения явно не подходящих под критерий показателей и исключение их из дальнейшего сравнения.

В качестве МЭ для лаборатории ПАЗИ будут рассматриваться последние разработки следующих компаний-производителей аппаратных средств защиты периметра:

· IBM;

· D-link;

· Cisco.

В результате выбора среди продуктов от каждой фирмы можно выделить продукты D-link DFL-260, IBM Proventia Network IPS и Cisco 1801/K9. Стоит отметить, что в выборе участвовал показатель «Цена», потому что необходимо экономическое обоснование выбора того или иного продукта. Данное значение этого показателя учитывается в итоговом подсчете преимуществ. С этой целью приводится сравнительная таблица 1 по основным характеристикам 3-х отобранных МЭ.

Как видно из таблицы высокая цена продукта компании IBM обоснована высоким качеством, пропускной способностью, в данном случае рассматривается мало пропускаемая, т.е. самая дешёвая - 10Mbps и функциональной полнотой их продуктов. Однако наилучшим продуктом в соотношении цена/качество является продукт компании D-link, продукт оптимизирован для работы в сетях различной архитектуры, что является положительном фактором в широте использования данного продукта для ХС с классической архитектурой.

Таблица 1 Результаты сравнительного анализа средств межсетевого экранирования

Характеристика	D-link DFL-260	IBM Proventia Network IPS	Cisco 1801/K9
Класс отказоустойчивости	1 класс	нет	1 класс
Контроль на прикладном уровне с учетом состояния	Нет	Да	Да
Контроль прикладного протокола	Да	Да	Да
Прозрачная аутентификация Windows	Да	Да	Да
Пропускная способность	80Mbps	10Mbps	100Mbps
Wi-Fi	Нет	Нет	Да
Интерфейсы	Ethernet 10/100BaseT (WAN) Ethernet 10/100BaseT (DMZ) 4 x Ethernet 10/100BaseT (ЛВС)	2 x Ethernet 10/100BaseT (WAN) Ethernet 10/100BaseT (DMZ) 8 x Ethernet 10/100BaseT (ЛВС)	ADSL (WAN)) 8 x Ethernet 10/100BaseT (LAN) ISDN BRI
Протоколирование всех имен пользователей и приложений Web и Winsock	Да	Да	Нет
Поддержка Exchange	Да	Да	Да
Демилитаризованная зона	Да	Да	Нет
Контроль шлюзового и клиентского трафика VPN на прикладном уровне	Нет	Да	Да
Обнаружение и предотвращение несанкционированного доступа	Да	Да	Да
Сервер удаленного доступа VPN и шлюз VPN	Да	Да	Да
VPN-клиент	Да	Да	Да
100-Мбит/с порты ЛВС	4	8	8
Число одновременных подключений	12000	10000	18000
Передача функций отказавшего МЭ исправному устройству	Нет	Нет	Да
Переключение Интернет-провайдера и объединение полосы пропускания	Нет	Да	Нет
Конфигурирование Web-интерфейс	Да	Да	Да
Web-кэширование и proxy	Да	Нет	Да
Цена	22.000 руб.	150.000 руб.	36.000 руб.
Общее количество недостатков систем	3	4	3

Условные обозначения:

- недостатки

Без выделения - преимущества

Таким образом, для лаборатории «ПАЗИ» наиболее приемлемым средством защиты периметра является МЭ D-link DFL-260, однако, если компания действительно большая и информация, которая в ней циркулирует в защищаемой сети является жизненно важной для самой организации и ее цена достаточно высока можно обратиться к продукту IBM Proventia Network IPS, основываясь на его качестве и защищаемых способностях, но его высокая цена не позволяет рекомендовать его широкому кругу компаний. Подробные технические характеристики и цена МЭ D-link DFL-260 представлены в приложении 2.

3.2 Разработка рекомендаций по использованию средств межсетевого экранирования по прямому назначению и в учебном процессе

Защита лаборатории ПАЗИ является комплексной проблемой и поэтому для оценки эффективности работы МЭ необходимо использовать ряд мер по дополнительной защите, таких, как:

· система обнаружения вторжения;

· система мониторинга информационной безопасности.

Эти меры также помогут в проведении занятий с использование МЭ.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которое может нарушить безопасность компьютерной системы. В моей работе также рассматривается польза данной системы, в том что можно на виртуальной ИС производить мониторинг искусственно созданных атак. К вредоносной активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянских коней и червей)

Обычно архитектура IDS включает:

· подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

· подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе сенсоров атаки;

· хранилище, обеспечивающее накопление первичных событий и результатов анализа;

· консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

В то же время оценку эффективности эксплуатации межсетевого экрана проводят с помощью специализированного программного средства - сканера безопасности, который предназначен для удаленного или локального диагностирования элементов сети на предмет выявления в них уязвимостей. Сканеры безопасности облегчают работу специалистов, автоматизируя процесс такого поиска.

Сканер безопасности позволяет обнаруживать активность программ закладок, слабые пароли пользователей, обнаруживать открытые порты, неверную настройку межсетевых экранов, ошибки в сетевом ПО и опасные настройки сетевых элементов. Сканер безопасности также поможет для проведения занятий в лаборатории. Он наглядно покажет все уязвимые места виртуальной сети, созданной студентами.

Мониторинг информационной безопасности с помощью сканера безопасности, как и межсетевое экранирование, должен носить непрерывный характер и сосредоточиваться на ключевых объектах сети.

Сканером безопасности можно проводить полное сканирование сети по полному диапазону портов, с проведением тестов на проникновение, что позволит наиболее полно провести оценку защищенности сети и качество работы средства межсетевого экранирования.

Поэтому, чрезвычайно важно после внедрения системы защиты корпоративной сети лаборатории ПАЗИ провести полную ее проверку сканером безопасности. Это позволит выявить ошибки в настройках политик безопасности межсетевого экрана и объективно оценить эффективность работы данной системы.

В учебном процессе лаборатория ПАЗИ - это то место, где существуют дополнительные угрозы (эмуляция). Эмуляция - воспроизведение программными или аппаратными средствами либо их комбинацией работы других программ или устройств. При помощи виртуального сервера, чтобы не навредить реальной ИС студенты на своём примере смогут создать (эмулировать) угрозы информационной сети, а при помощи средств межсетевого экранирования - защитить информацию. Данные лабораторные практические работы наглядно покажут, каким образом и где происходит защита сети, а так же увидят уязвимые места. Также в лаборатории ПАЗИ будут проходить лабораторные работы на темы, которые указаны в п.

Политика безопасности МЭ выражается в виде базы правил и свойств. База правил - это упорядоченный набор правил, с помощью которых проверяется каждое соединение. Если источник соединения, назначение и тип сервиса соответствуют правилу, с соединением будет выполнено действие, описанное в правиле. Если соединение не соответствует ни одному из правил, оно блокируется в соответствии с принципом «Что специально не разрешено, всегда запрещено». МЭ позволяет администратору определять политику безопасности для каждого пользователя, где не только источник соединения, назначения и сервис может быть аутентифицирован. Более того, соединения могут быть разрешены или запрещены исходя из их содержания. К примеру, почта для (или от) определенных адресов может быть запрещена или перенаправлена, доступ может быть запрещен к заданным URL's и включена антивирусная проверка над передаваемыми файлами. Антивирусная проверка является составной частью такого свойства МЭ, как проверка содержимого потоков данных, и значительно снижает уязвимость защищенных машин.

Проверка всех передаваемых файлов производится с использованием встроенного антивирусного модуля. Конфигурация этого механизма (какие файлы проверять, что делать с зараженными) полностью интегрирована в политику безопасности (базу правил). Как только соединение установлено, МЭ добавляет его во внутреннюю таблицу соединений. Из соображений эффективности последующие пакеты соединения проверяются по таблице соединений, а не по базе правил. Пакету разрешается быть переданным, только если соединение имеется в таблице соединений.

МЭ выступает сегодня как наиболее действенное средство управления безопасностью. При многократно возросшем трафике данных очень важно, чтобы никакой вредоносный объект не проник в сеть компании под видом корпоративных данных. Безусловно, нельзя уповать только на МЭ, но и строить сетевое решение без межсетевых экранов крайне опасно. Можно без преувеличения сказать, что МЭ сегодня - необходимое средство управления безопасностью.

Необходимо помнить, что данные проверки нужно проводить регулярно для поддержания системы, также необходимо проводить регулярно проверки антивирусами на ПК. Это поможет сохранить данные и ИС систему в безопасности. Работа с антивирусами будет также использована и в учебном процессе для обеспечения защиты операционной системы на виртуальном сервере и мониторинга безопасности сети.

3.3 Структура и оценка затрат на организацию системы защиты лаборатории «ПАЗИ»

Цель системы защиты лаборатории ПАЗИ на основе МЭ, является своевременное реагирование на попытки доступа к ресурсам сети, выявлении попыток НСД и запись в журнал событий о произошедшем инциденте.

Система защиты периметра состоит из следующих основополагающих компонентов:

· персонал (сотрудники, студенты);

· программное обеспечение;

· аппаратное обеспечение;

· технологии взаимодействия.

На персонал (сотрудников) возлагаются задачи планирования при внедрении системы защиты лаборатории, с учетом аппаратно-программных средств, закупка этих средств, внедрение системы, ее эксплуатация и поддержка. Поэтому важно организовать обучение персонала, назначить специалистам высокого уровня достойную зарплату.

Программное обеспечение в системе защиты периметра включает в себя:

· операционную систему ЭВМ администратора безопасности;

· средства его антивирусной защиты;

· средства разграничения доступа к терминалу;

· утилиты для настройки ЭВМ администратора безопасности;

· программные средства межсетевого экранирования.

Аппаратное обеспечение системы защиты лаборатории ПАЗИ представляет собой выделенную ЭВМ (сервер), для использования в качестве терминала, аппаратные средства межсетевого экранирования, а так же необходимые сетевые компоненты для внедрения терминала и МЭ (дополнительные роутеры, маршрутизаторы и т.п.) Компьютерный терминал электронное или электромеханическое устройство, используемое для взаимодействия пользователя с компьютером или компьютерной системой, его основные функции заключаются в отображении и вводе данных [2].

Технологии взаимодействия элементов системы защиты лаборатории это совокупность методов и инструментов для достижения состояния защищенности периметра. Без знания технологии взаимодействия элементов системы невозможно построить правильно работающую систему.

Затраты на организацию системы защиты лаборатории ПАЗИ складываются из:

· стоимости программно-аппаратных частей системы;

· затрат на обучение и выплату зарплат сотрудникам;

· затрат на поддержание системы.

Для расчета затрат на организацию системы защиты лаборатории ПАЗИ на основе использования МЭ необходимо воспользоваться методикой расчета совокупной стоимости владения (TCO, Total Cost of Ownership) т.е. суммы прямых и косвенных затрат, которые несет владелец системы за период ее жизненного цикла. Затраты на содержание системы защиты периметра подразделяются на единовременные и периодические. Единовременными затратами являются затраты на закупку и настройку необходимых программно-аппаратных частей системы. Периодические же затраты это зарплата сотрудников, работающих с системой, а так же затраты на техническую поддержку.

Совокупная стоимость владения в общем виде представляется в виде следующей формулы:

· совокупная стоимость владения системой защиты;

· стоимость программно-аппаратных средств;

· кадровые издержки (оплата труда, плата за обучение, премии, штрафы);

· затраты на техническую поддержку.

В свою очередь каждый элемент, рассмотренный в формуле совокупной стоимости владения так же разделяется на сумму более мелких издержек.

Например, стоимость программно-аппаратных средств выражается как:

- стоимость ЭВМ администратора безопасности;

- стоимость межсетевого экрана;

- стоимость лицензии на МЭ.

Величина кадровых издержек вычисляется как сумма:

- заработная плата сотрудников;

- стоимость обучения сотрудников.

Рассчитаем совокупную стоимость владения за первый год эксплуатации одним МЭ для защиты сегмента сети. Для расчетов возьмем следующие показатели:

1. Стоимость ЭВМ (сервер) администратора безопасности.

Необходимо использовать защищенный компьютер, сертифицированный для работы с информацией ограниченного распространения, например, на базе компьютеров Dell с процессором Intel в соответствии с требованиями производится ЭВМ со встроенными средствами защиты информации. В частности, рабочие станции поставляются с аппаратно-программными системами защиты от несанкционированного доступа (Брандмауэр Windows). В комплект так же входит ОС на выбор заказчика, а так же набор прикладных программ. Сервер оснащён Windows Server 2008, а рабочие станции - Windows XP SP3. Стоимость базовой модели такого защищенного сервера с пакетом основных программ составляет 46.554рублей. А значит = 46.554руб. (сервер уже был закуплен).

2. Стоимость межсетевого экрана.

Выбранный ранее межсетевой экран D-link DFL-260 без учета стоимости лицензии стоит 22.000руб. Значит = 22.000руб

3. Стоимость годовой лицензии.

На свой продукт компания D -link установила годовую лицензию в размере 5.000 руб. на 1 МЭ. Поэтому =5.000руб.

4. Заработная плата сотрудников.

В качестве администратора безопасности необходимо назначить специалиста с высшим технически образованием, опытом работы в области информационной безопасности не менее 5 лет на должности инженера по защите информации. Средняя заработная плата таких специалистов составляет от 23000 до 34000 рублей. Среднее значение =28.500р. В качестве помощника и сотрудника, обеспечивающего техническую поддержку - лаборант. Заработная плата лаборанта составляет 9.000р. Итого:

=37.500р

5. Обучение сотрудников.

Обучение администратора безопасности работе с новым средством защиты периметра по специальности «Безопасность сетей на базе устройств D-link в учебном центре компании «Информзащита»

Стоимость обучения

40.000руб. = 40.000руб

6. Оплата труда службы технической поддержки.

В данном примере обязанности по восстановлению системы лежат на администраторе безопасности, а значит, данный показатель уже учтен.

Таким образом совокупная стоимость владения системой защиты периметра с применением демилитаризованной зоны и защищенной подсетью на основе использования межсетевого экрана D-link DFL-260 используемый по прямому назначению и в учебном процессе:

22.000 + 5.000 + 37.500*12 + 40.000 = 517.000руб. в первый год эксплуатации

Заключение

Защита периметра информационной сети лаборатории ПАЗИ является первоочередной задачей, поскольку наибольшее количество угроз безопасности находится во внешней незащищенной сети. Целью данной работы являлась - организация использования средств межсетевого экранирования в информационной системе ИББ и анализ их эффективности.

Для достижения цели в дипломной работе решались следующие задачи:

· анализ роли и места средств межсетевого экранирования в общей СЗИ;

· провести моделирование информационной системы лаборатории «ПАЗИ»;

· провести анализ, классификацию и выбор МЭ;

· разработать рекомендации по использованию средств межсетевого экранирования в СЗИ лаборатории;

· обосновать затраты на систему защиты лаборатории «ПАЗИ».

В результате выполнения поставленной цели в рамках работы были выполнены следующие задачи.

В первой главе проводился анализ характеристики угроз безопасности информационной системы ВУЗа, в данном случае Института безопасности бизнеса. Были идентифицированы основные типы угроз, факторов, способствующих их проявлению (уязвимостей) на информационные ресурсы сети, как внешние, так и внутренние. Анализ угроз ИБ является одним из ключевых моментов политики безопасности любой ИС. Так же в первой главе были рассмотрены роль и место, выполняемые функции и проанализировано использование средств межсетевого экранирования в СЗИ. Это позволит организовать внутреннюю политику безопасности сети ХС. В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Так же были рассмотрены различные категории, виды МЭ и требования к ним.

Задачи, которые были описаны в первой главе, показывают, что необходимо разработать комплекс мер по защите от проникновения нарушителя извне и по защите от внутренних угроз.

Во второй главе данной работы было проведено обоснование требований к системе защиты периметра (лаборатории ПАЗИ) с точки зрения обеспечения безопасности информационной сети и сточки зрения обеспечения безопасности учебного процесса при помощи межсетевого экранирования. Мною был произведён анализ требований к системе защиты информации, была описана модель информационной системы лаборатории, в общем, и самое главное было разработана уникальная система защиты для лаборатории "ПАЗИ". Также были оптимизированы характеристики аппаратного МЭ, применяемого для построения системы защиты периметра.

В третьей главе проведена классификация МЭ по способу применения, по технологии построения, а так же по методу их реализации. Произведен выбор показателей и критериев сравнения межсетевых экранов. Для сравнения были отобраны межсетевые экраны ведущих фирм-производителей. С помощью метода выбора не худших систем были отобраны продукты, наиболее полно отвечающие требованиям к защите лаборатории ПАЗИ, которые были подвержены сравнительному анализу с целью выявления аппаратного межсетевого экрана, удовлетворяющего наибольшему количеству требований. В результате был выбран межсетевой экран, наиболее полно отвечающий требованиям организации защиты лаборатории - D-link DFL-260. Также были разработаны рекомендации по настройке межсетевого экрана, проведены структура и оценка затрат на организацию защиты лаборатории. Так же приведены рекомендации по оценке эффективности работы системы защиты.

Таким образом, при реализации средств межсетевого экранирования, мы приобретаем универсальную технологию, которая будет обеспечивать функции защиты ресурсов лаборатории от внутренних и внешних угроз, а кроме этого это программно-техническое средство обучения.

Таким образом, рекомендации в данной работе носят практический характер и могут быть использованы сотрудниками ЦП ИББ при выборе и конфигурации системы защиты лаборатории ПАЗИ.

Список используемых источников

1. Руководящий документ Государственной Технической Комиссии «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» от 25 июля 1997 г.;

2. Лунгу М. «Угрозы безопасности для информационной системы Высшего Учебного Заведения»; Молдавская Экономическая Академия, 2003;

3. Невский А.Ю., Баронов О.Р. «Система обеспечения информационной безопасности хозяйствующего субъекта»;

4. Максимов В. «Межсетевые экраны. Способы организации защиты»; М.: Журнал "КомпьютерПресс" №3, 2003;

5. William S. Davis, David C. Yen. The Information System Consultant's Handbook: Systems Analysis and Design;

6. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

7. Глоссарий.ru [Электронный документ] (http://www.glossary.ru/);

8. Яндекс.Словари [Электронный документ], (http://slovari.yandex.ru/);

9. Олгтри Т. «Firewalls. Практическое применение межсетевых экранов»; М.: ДМК пресс, 2001;

10. ИВЦ МЭИ (ТУ), (http://icc.mpei.ru/);

11. NetConfig, «Сетевые технологии», (http://www.netconfig.ru/server/ids-ips/);

12. Официальный сайт D-link, (http://www.dlink.ru/);

13. А.С.Минзов, А.Ю.Невский, Н.В.Унижаев. Методика выполнения дипломных работ: Учебное пособие/под ред. Л.М.Кунбутаева. - М.: Изд-во МЭИ, 2007г.;

14. К. Шварц. Как снизить затраты на поддержку сетей [Электронный документ] (http://www.osp.ru/cio/2008/11/5546245/).

Приложение 1

Описание оборудования персональных компьютеров и сервера лаборатории ПАЗИ ИББ.

Рабочая станция:

Системный блок.

Корпус системного блока:

Формат корпуса: Miditower ATX

Мощность блока питания: 350W

Разъемы на лицевой панели: USB 2.0 - 2шт / Audio out / Mic in

Дисковод: FDD 3,5"

Процессор:

Процессор: Intel® Pentium® Dual Core E2200 2,20 GHz/1MB-800MHz

Набор микросхем: Intel® 945GC + Intel® ICH7

Материнская плата:

Видео: Intel® Graphics Media Accelerator 950

Аудио: 6 -Channel High-Definition Audio кодек

Сетевой адаптер: Интегрирован 10/100

Оперативная память:

2048 (2X1024Mb DDR2, 800Mhz)

Жёсткий диск:

250Gb 7200rpm SATAII

Оптический привод:

DVD±R/RW-CD-R/RW

Монитор

19 TFT Acer V193wbm black (1440*900, 160°/160°, 300кд/м, 2000:1, 5ms, spk) TCO03

Тип монитора: TFT

Диагональ, дюймы: 19"

Размер пикселя, мм: 0,284

Максимальное разрешение: 1440 x 900

Частота горизонтальной развертки: 30 - 80 КГц

Частота вертикальной развертки: 55 - 75 Гц

Соответствие стандартам: TCO03

Колонки: Есть

Контрастность: 2000:1

Яркость, cd/кв.м: 300

Время отклика, мс: 5

Угол обзора: 160° по горизонтали, 160° по вертикали

Интерфейс: 15pin D-Sub

Вес, кг: 4,3

Мышь

Logitech M-SBF96 Black Optical Wheel OEM, PS/2 (953688-0600/1600)

Клавиатура

Mitsumi Сlassic black PS/2

ПО

Программное обеспечение: Без предустановленного ПО

Цена: 19.703р.

Сервер

Общие

Производитель.……Dell

Физические

Тип шасси………..Tower

Габаритные размеры

45,6 х 21,0 х 61,0 см

Вес

25,4 кг

Электротехнические

Тип блока питания

1 блок питания 528 Вт

Резервирование по питанию

До 2-х блоков питания с горячей заменой

Процессор

Тип процессора

Четырехъядерный Intel® Xeon® X3323

Частота процессора………….2,5 ГГц

Количество процессоров, шт. - 1

Чипсет……………Intel® 5100

Внутренняя кэш-память, Мб - 2х3

Системная шина………….1333 МГц

Видеоподсистема

Видео………….ATI ES1000 (32MB)

Оперативная память

Тип памяти

PC2-5300 DDR2 SDRAM FBD ECC (667 МГц)

Количество слотов оперативной памяти, шт. - 6

Макс. размер оперативной памяти, Гб - 24

Объём памяти, Гб - 2x1024MB

Средства защиты памяти

ECC

Внутреннее устройство хранения

FDD……….нет

HDD…………"4x250 (7,2К) 3,5"" SATA "

RAID-контроллер……….SAS 6/iR

Внутренние дисковые отсеки

До 4 дисков 3,5'' SAS/SATA

Оптический привод…………16xDVD-ROM

Сетевой интерфейс

2 встроенных адаптера Broadcom® GbE NIC

Элементы отказоустойчивости

Горячая замена: жесткие диски. Резервирование: блоки питания

Средства управления

"BMC с поддержкой IPMI 2.0; Dell™ OpenManage. Опционально: DRAC 5

Средства индикации

ЖК-экран, светодиоды

Слоты расширения

5 слотов: 2 х PCIe x4, 2 х PCIe x8, 1 х PCI-X (64/133)

Порты ввода-вывода

5 х USB 2.0, 2 х RJ-45, 1 последовательный, 2 видеопорта

Цена: 46.554р.

Приложение 2

Описание маршрутизатора D-Link DFL-260. Характеристика и цена оборудования

Характеристики:

Интерфейсы

· 1 порт 10/100Base-TX WAN

· 1 порт 10/100Base-TX DMZ²

· 4 порта 10/100Base-TX LAN

· Производительность³

· Производительность межсетевого экрана 80 Мбит/с

· Количество параллельных сессий 12 000

· Политики 500

· Функции межсетевого экрана

· Прозрачный режим

· NAT, PAT

· H.323 NAT Traversal

· Политики по расписанию

· Application Layer Gateway (ALG)

· Сетевые функции

· DHCP клиент/север

· DHCP relay

· Маршрутизация на основе политик

· IEEE 802.1Q VLAN: до 8

· IP Multicast: IGMP v1-v3, IGMP Snooping

· Виртуальные частные сети

· Шифрование (DES)

· Сервер PPTP/L2TP

· Hub and Spoke

· IPSec NAT Traversal

· Балансировка нагрузки

· Балансировка исходящего трафика

· Перенаправление трафика при обрыве канала (Fail-over)

· Управление полосой пропускания

· Traffic Shaping на основе политик

· Гарантированная полоса пропускания

· Максимальная полоса пропускания

· Полоса пропускания на основе приоритета

· Динамическое распределение полосы пропускания

· Отказоустойчивость

· Резервирование канала WAN (WAN Fail-over)⁴

· Intrusion Prevention (IPS)

· Автоматическое обновление шаблонов

· Защита от атак DoS, DDoS

· Предупреждение об атаках по электронной почте

· Расширенная подписка IDP/IPS

· Фильтрация содержимого

· Тип HTTP⁶: URL, ключевые слова

· Тип скриптов: Java Cookie, ActiveX, VB

· Тип e-mail⁵: «Черный» список, ключевые слова

· Внешняя база данных фильтрации содержимого

· Антивирусная защита

· Антивирусное сканирование в реальном времени

· Неограниченный размер файла

· Антивирусная защита

· Поддержка сжатых файлов

· Поставщик сигнатур: Kaspersky

· Автоматическое обновление шаблонов

Физические параметры

Питание

· 5В/3А, внешний адаптер питания

· Размеры

· 235 х 162 х 36 мм, настольный размер

· Рабочая температура

· От 0? до 40?С

· Температура хранения

· От -20? до 70? С

· Рабочая влажность

· От 5% до 95% без образования конденсата

· MTBF

· 21 571ч

· Электромагнитная совместимость

· FCC Class A

· CE Class A

· C-Tick

· Сертификаты безопасности

· UL

· LVD (EN60950-1)

^{· 2}DMZ-порт настраивается пользователем.

^{· 3}Максимальная производительность на основе RFC 2544 (для межсетевых экранов). Фактическая производительность зависит от условий в сети и актививрованных сервисов.

^{· 4}Доступно, когда DMZ-порт настроен как WAN-порт.

^{· 5}Доступно только для протокола SMTP.

^{· 6}Доступно только для протокола HTTP.

Цена: Средняя цена: 22 000 руб. от 15 403 до 24 000 руб.

Размещено на Allbest.ru