Проектирование локальных вычислительных сетей (ЛВС) по технологии Ethernet

Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем допуска лица к информации, а для объекта доступа (собственно данные) - признаками конфиденциальности информации. Признаки конфиденциальности фиксируются в метке объекта.

Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности. Уровень конфиденциальности может принимать одно из строго упорядоченного ряда фиксированных значений, например: конфиденциально, секретно, для служебного пользования, не секретно и т.п.

Существуют требования к мандатному механизму, которые состоят в следующем:

1. Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни. Данные метки должны служить основой мандатного принципа разграничения доступа.

2. Система защиты при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки(субъектов, объектов) должны точно соответствовать внутренним меткам (внутри системы защиты).

3. Система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

- субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта.

- субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации.

4. Реализация мандатных ПРД должна предусматривать возможность сопровождения, изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

Достоинства такого разграничения:

- Существенно упрощается задача администрирования;

- Пользователь не может полностью управлять доступок к ресурсам, которые он создает.

- Пользователь или процесс, не обладающий определенным уровнем доверия, не может получить доступ к информации, процессам или устройствам более защищенного уровня.

Недостатки такого разграничения:

- Отдельно взятые категории одного уровня равнозначны, что приводит в большинстве случаев к избыточности прав доступа для конкретных субъектов в пределах соответствующих уровней.

Основу реализации управления доступом составляют:

1. Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ.

2. Принятие решений о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уровня конфиденциальности защищаемой информации.

Практика показывает, что многоуровневые модели защиты находятся гораздо ближе к потребностям реальной жизни, нежели матричные (дискреционные) модели, и представляют собой хорошую основу для построения автоматизированных систем разграничения доступа.

Для реализации такого метода разграничения доступа необходимо уставить специальное программное обеспечение на рабочие станции и сервер. В качестве программного обеспечения была выбрана последняя версия программного продукта компании «Код безопасности» Secret Net 7.

Подробное описание программного продукта СЗИ Secret Net описано в пункте 3.4.1.

Для нужд нашей ЛВС (92 рабочие станции и сервер) будет приобретен пакет СЗИ Secret Net версия 7. Сервер безопасности класса B.

Сервер класса B - до 250 защищаемых серверов и рабочих станций (от 1 до 249 рабочих станций/серверов). Цена ПО составит 92 000 рублей.

Реализация технической защиты от внешних атак на вскрытие пароля обеспечивается посредством изменения параметров политики паролей. Операционная система Windows server 2012 R2, установленная на сервере, обеспечивает довольно гибкую настройку политик учетных пользователей, в том числе и политик паролей.

Встроенными средствами системы обеспечивается настройка следующих политик:

1. Вести журнал паролей - не позволяет пользователям создавать новый пароль, аналогичный текущему или недавно использовавшемуся.

2. Максимальный срок действия пароля - Устанавливает период времени в днях, в течение которого будет действовать пароль. По истечении этого срока пользователь должен будет изменить пароль.

3. Минимальный срок действия пароля - устанавливает минимальное число дней, которые должны пройти перед тем, как пользователь сможет сменить пароль.

4. Минимальная длина пароля - устанавливает минимальное количество знаков, которые должны содержаться в пароле.

5. Пароль должен отвечать требованиям к сложности. Необходимо, чтобы пароли:

- имели длину не менее шести знаков;

- содержали комбинацию как минимум из трех указанных ниже знаков: прописные буквы, строчные буквы, цифры, знаки препинания.

- не содержали имени пользователя или экранного имени

6. Хранение пароля с использованием обратимого шифрования - хранение пароля без шифрования.

3.5.5 Определение форм проявления уязвимости информации

Формами проявления уязвимости информации, обрабатываемой в проектируемой ЛВС, являются:

- разрушение информации;

- хищение информации;

- потеря информации;

- несанкционированные уничтожение информации;

- несанкционированные искажение (модифицирование) информации;

- несанкционированные блокирование доступа к информации;

- несанкционированные копирование информации;

- несанкционированные предоставление информации;

- несанкционированные распространение информации;

- несанкционированное ознакомление с информацией.

Таблица 3.7 - Формы проявления уязвимости информации

3.5.6 Определение прав доступа субъектов доступа к объектам защиты информации в ЛВС

Таблица 3.8 - Таблица прав доступа

3.5.7 Перечень мероприятий по защите информации в ЛВС

На основе анализа требований по защите информации задания на курсовое проектирование, целей защиты информации, видов и направлений защиты информации, форм проявления уязвимостей информации был составлен перечень мероприятий по защите информации в ЛВС:

а) мероприятия по разграничению прав доступа. Администратор должен реализовать мандатную модель разграничения доступа ддля предотвращения НСД к ресурсам;

б) мероприятия по усилению парольных политик. Администратор должен внести изменения в политику паролей, чтобы обеспечить защиту от внешних атак на вскрытие паролей;

в) администратор должен иметь представление о виртуальных сетях VLAN, чтобы правильно организовать работу имеющихся виртуальных сетей;

г) обучение пользователей - подготовка активных участников информационной среды для работы в условиях соответствия требованиям информационной безопасности.

3.5.8 Выбор методов и способов защиты информации в ЛВС

На основе анализа требований по защите информации задания на курсовое проектирование, целей защиты информации, видов и направлений защиты информации, форм проявления уязвимостей информации был составлен перечень мероприятий по защите информации в разрабатываемой ЛВС:

а) мероприятия по разграничению прав доступа. Для каждого объекта и субъекта информационной системы должны быть проставлены метки конфиденциальности;

б) должна быть четко и правильно организована работа виртуальных подсетей проектируемой ЛВС;

в) должна быть организована настройка политик паролей.

Для проектируемой ЛВС необходимо использовать следующие часто применяемые на практике, а поэтому хорошо изученные и эффективные методы и механизмы защиты информации:

- идентификация - определение (распознавание) каждого участника процесса информационного взаимодействия перед тем, как к нему будут применены иные механизмы обеспечения информационной безопасности;

- аутентификация - обеспечение уверенности в том, что участник процесса информационного взаимодействия идентифицирован верно, то есть действительно является тем, чей идентификатор он предъявил;

- контроль доступа - создание и поддержание набора правил, определяющих каждому участнику процесса информационного обмена разрешение на доступ к ресурсам и вид (уровень) этого доступа. Это основной механизм, который обеспечивает разграничение прав доступа субъекта к объекту;

- авторизация - формирование набора (профиля) прав доступа для конкретного участника процесса информационного обмена из набора правил контроля доступа;

- механизмы аудита и мониторинга - регулярное отслеживание событий, происходящих в процессе обмена информацией с регистрацией и анализом предварительно определенных значимых или подозрительных событий.

В соответствии с заданием в проектируемой ЛВС будут использоваться технические методы защиты информации.

3.5.9 Выбор средств и систем защиты информации в ЛВС

Для проектируемой ЛВС необходимо использовать следующие методы и механизмы защиты информации, такие как организация виртуальной локальной сети VLAN и организация мандатного разграничения доступа для предотвращения YCL к ресурсам.

Организация виртуальной локальной сети - VLAN (Virtual Local Area Network).

Виртуальной локальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от трафиков других узлов сети. Достоинством технологии виртуальных сетей является то, что она позволяет создавать полностью изолированные сегменты сети путем логического конфигурирования коммутаторов, не прибегая к изменению физической структуры.

С помощью технологии VLAN трафик каждой подсети ЛВС будет изолирован, что позволит защитить информацию, циркулирующую в каждой подсети от НСД из другой подсети.

В данной сети организация VLAN будет осуществляться путем логического объединения выбранных физических портов коммутатора. При этом каждый порт приписывается той или иной виртуальной сети. К одному порту коммутатора может быть подключено несколько компьютеров, например, через коммутатор. Все эти компьютеры будут принадлежать к одной VLAN -- к той, к которой приписан обслуживающий их порт коммутатора.

В качестве антивирусного ПО для рабочих станций я выбрала Avira Free Antivirus - бесплатный антивирус, антишпион и антируткит.

Основные возможности Avira Free Antivirus 2014:

1. Антивирус и антишпион

Эффективная защита в режиме реального времени и по запросу от различного рода вредоносных программ: вирусов, троянов, интернет-червей, программ-шпионов и рекламного ПО. Постоянные автоматические обновления и эвристическая технология AHeAD надежно защищают от известных и новых угроз.

2. Облачная защита

Облачная технология защиты Avira Protection Cloud - классификация угроз в реальном времени и быстрое сканирование системы.

3. Защита от руткитов

Анти-руткит Avira защищает от сложных в обнаружении угроз - руткитов.

4. Управлением Брандмауэром Windows

Avira Free Antivirus позволяет редактировать сетевые правила для приложений, изменить профили сети (Частная, Общая) и управлять расширенными параметрами Брандмауэра Windows в режиме повышенной безопасности.

Организация защиты от НСД с помощью мандатного разграничения доступа будет реализована посредством установки на все рабочие станции и сервер пакета программного обеспечения от компании «Код безопасности» Secret Net. Подробнее об этом ПО рассказано в пункте 3.4.1.

4. Мероприятия по подготовке объектов (помещений здания) к вводу локальной вычислительной сети в действие

4.1 Мероприятия по обучению и проверке квалификации персонала ЛВС

Лица, имеющие право доступа к ресурсам ЛВС, делятся на категории:

- системные администраторы (администраторы ресурсов сети);

- операторы баз данных;

- пользователи сети.

Системный администратор -- должностное лицо, обеспечивающее непрерывное функционирование ЛВС и отвечающее за реализацию технических мер по конфигурированию и настройке сетевых системных программных средств на серверах и станциях пользователей; мониторинг сетевой операционной системы; обеспечение доступа пользователей ЛВС к ресурсам сети; ведение эксплуатационной документации по сети.

Оператор базы данных -- должностное лицо, ответственное за ввод, корректность и поддержание актуальности информации в базе данных.

Пользователь сети - лицо, в установленном порядке зарегистрированное в сети и осуществляющее доступ к ресурсам ЛВС.

Пользователями сети в данном случае являются сотрудники и студенты.

Должность системного администратора совмещена с должностью администратора безопасности, что приводит к расширению круга обязанностей.

Системный администратор локальной сети обязан:

- производить работы по генерации, установке и настройке сетевой операционной системы;

- устанавливать новые сетевые программные средства;

- контролировать работу сетевой операционной системы, оперативно устранять неисправности и сбои на серверах и контроллерах ЛВС;

- подключать и своевременно удалять сетевые ресурсы и реквизиты пользователей ЛВС;

- вести документацию по сети;

- оказывать методическую помощь пользователям ЛВС;

- разрабатывать процедуры и инструкции по защите ресурсов локальной сети от нарушения целостности и несанкционированного доступа;

- обеспечивать эффективную защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;

- оперативно реагировать на события, таящие угрозу целостности и нарушения правил доступа к информации в ЛВС, информировать системного администратора и администраторов баз данных о попытках нарушения защиты, оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;

- участвовать во всех изменениях сетевой аппаратно-программной конфигурации;

- периодически производить проверку надежности защиты локальной сети, не допускать получения привилегий неавторизованными пользователями.

Исходя из варианта задания на проектирование данной ЛВС, системный администратор также должен разбить сеть на несколько виртуальных сетей VLAN способом, указанным в разделе 3.1.1. «Разработка физической и логической структуры ЛВС. Выбор сетевых коммуникационных устройств, оконечного оборудования. Разработка схемы комплекса технических средств ЛВС», то есть путем логического объединения выбранных физических портов коммутатора. Также администратор с помощью специализированного программного обеспечения Secret Net версии 7 должен обеспечить защиту от НСД к ресурсам путем реализации мандатной модели разграничения доступа.

Оператор базы данных обязан:

- поддерживать в актуальном состоянии информацию во вверенной ему базе данных;

- в случае обнаружения сбоев или некорректной информации в базе данных оперативно информировать об этом системного администратора для принятия мер по её восстановлению.

Пользователь обязан:

- иметь знания и навыки, достаточные для самостоятельной работы с доступными ему программными и техническими ресурсами;

- использовать доступные защитные механизмы для обеспечения конфиденциальности своей информации.

4.2 Мероприятия по созданию необходимых подразделений и рабочих мест персонала ЛВС

Для организации эксплуатации системы необходимо предварительно выполнить следующие действия:

в структуре образовательного учреждения определить рабочие места системных администраторов;

предусмотреть возможность увеличения количества рабочих мест Системы для проведения экспериментов по оценке её масштабируемости.

4.3 Мероприятия, исходящие из специфических особенностей создаваемой ЛВС

Для организации работы в сети, администратор должен ее предварительно разбить на несколько виртуальных подсетей. Для предотвращения НСД к ресурсам необходимо воспользоваться специализированным программным обеспечением Secret Net версии 7, подробно описанной в пункте 3.4.1. Для защиты от внешних атак на вскрытие пароля необходимо изменить политики паролей встроенными средствами операционной системы.

Заключение

В результате выполнения курсового проекта были разработаны:

- структура ЛВС в соответствии с заданием на курсовое проектирование;

- схема структурная комплекса технических средств ЛВС;

- планы прокладки кабельных трасс;

Были выбраны средства аппаратного и программного обеспечения ЛВС, реализующие возможность организации доступа к сетевому хранилищу через Интернет.

Создание вычислительной сети позволит упростить процессы, связанные с обменом информацией между различными рабочими местами внутри образовательного учреждения и сам учебный процесс.

Список используемой литературы

1. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов.4-е изд. - СПб: Питер, 2010. - 904 с.:ил.

2. Алексеенцев А.И. Сущность и соотношение понятий «защиты информации», «безопасность информации», «информационная безопасность» // Безопасность информационных технологий, 1999, №1, с. 16-20.

3. Таненбаум Э. Компьютерные сети. 4-е изд. -- СПб.: Питер, 2003. -- 947 с: ил.

4. Спортан Марк, Паппас Фрэнк, Компьютерные сети и сетевые технологии: Пер. с англ./Марк Спортак, Френк Паппас и др. - К.: ООО «ТИД «ДС», 2002. - 736 с.

Размещено на Allbest.ru