Комплексная система защиты предприятия

Размещено на http://www.allbest.ru/

КОНТРОЛЬНАЯ РАБОТА

По менеджменту

ТЕМА: Комплексная система защиты предприятия



Введение

Безопасность предприятия определяет используемая им технология защиты представляющая информационный процесс на територии предприятия, а также анализ возможных мест утечки информациии создающую возможность для угрозы.

В своей работе я постараюсь подробно исследовать как предприятия защищают себя от угроз ,что представляет из себя комплексная защита ,какие меры предпринимаются для защиты. Задача изучить эти методы борьбы со злоумышленниками пытающие навредить предприятию либо получить определенную информацию которая в последствии может представлять собой угрозу. кабельный информация сигнал защита



Глава 1. Понятие комплексной системы защиты

Главное направление поиска новых путей защиты и заключается не просто в создании соответствующих механизмов, а представляет собой реализацию регулярного процесса, осуществляемого на всех этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для ЗИ, наиболее рациональным образом объединяются в единый целостный механизм -- причем не только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала, а также нештатных ситуаций технического характера.

Основной проблемой реализации систем защиты является:

-- с одной стороны, обеспечение надежной защиты, находящейся в системе информации: исключение случайного и преднамеренного получения информации посторонними лицами, разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и о обслуживающего персонала;

-- с другой стороны, системы защиты не должны создавать заметных неудобств пользователям в ходе их работы с ресурсами системы.

Проблема обеспечения желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических мероприятий и применения комплекса специальных средств и методов по ЗИ.

На основе теоретических исследований и практических работ в области ЗИ сформулирован системно-концептуальный подход к защите информации.

Под системностью как основной частью системно-концептуального похода понимается:

-- системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информации;

-- системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятия;

-- системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам;

-- системность организационная, означающая единство организации всех работ по ЗИ и управления ими.

Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех работ по ЗИ.

Комплексный (системный) подход к построению любой системы включает в себя: прежде всего, изучение объекта внедряемой системы; оценку угроз безопасности объекта; анализ средств, которыми будем оперировать при построении системы; оценку экономической целесообразности; изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности; соотношение всех внутренних и внешних факторов; возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.

Комплексный (системный) подход -- это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является оптимизация всей системы в совокупности, а не улучшение эффективности отдельных частей. Это объясняется тем, что, как показывает практика, улучшение одних параметров часто приводит к ухудшению других, поэтому необходимо стараться обеспечить баланс противоречий требований и характеристик.

Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не определены следующие ее компоненты:

1. Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на данном объекте;

2. Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.). Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса как в процессе создания системы, так и в ходе ее эксплуатации;

3. Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не подчиняющихся руководителю данного предприятия и не входящих в сферу его ответственности.

Характерным примером важности решения этой задачи является распределение функций по защите информации, передаваемой сигналами в кабельной линии, проходящей по территориям различных объектов. Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, ибо в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты;

4. Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой она (система) стремится. Эта цель может быть описана как назначение системы, как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения. Так, например, цель, сформулированная в самом общем виде как обеспечение безопасности объекта, заставит рассматривать варианты создания глобальной системы защиты. Если уточнить ее, определив, например, как обеспечение безопасности информации, передаваемой по каналам связи внутри здания, то круг возможных решений существенно сузится. Следует иметь в виду, что, как правило, глобальная цель достигается через достижение множества менее общих локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешевляет процесс создания системы;

5. Критерий эффективности. Необходимо всегда рассматривать несколько путей, ведущих к цели, в частности нескольких вариантов построения системы, обеспечивающей заданные цели функционирования. Для того чтобы оценить, какой из путей лучше, необходимо иметь инструмент сравнения -- критерий эффективности. Он должен: характеризовать качество реализации заданных функций; учитывать затраты ресурсов, необходимых для выполнения функционального назначения системы; иметь ясный и однозначный физический смысл; быть связанным с основными характеристиками системы и допускать количественную оценку на всех этапах создания систем

Глава 2. Защита локальной сети

Для повышения пропускной способности сети используется физический канал связи - витая пара. Для соединения кабелей будут использоваться коммутаторы.

Разводка кабеля осуществляется так, чтобы с одной стороны линии подходили к каждому рабочему месту, с другой - будет протянут в серверную и подключен к коммутатору. На концах проводов, ведущих к коммутатору, с помощью специального инструмента, монтируется коннектор, устройство которого аналогично разъемам на модемных шнурах или в современных электронных телефонных аппаратах. С другой стороны каждого отрезка кабеля устанавливается специальная сетевая розетка с ответным контактным отверстием. Для всех ПК сети изготавливаются специальные небольшие отрезки кабеля, заканчивающиеся аналогичными пластмассовыми разъемами.

В качестве шлюза используется АПКШ Континент (аппаратно-программный комплекс шифрования «Континент») - аппаратно-программный комплекс, позволяющий обеспечить защиту информационных сетей организации от вторжения со стороны сетей передачи данных (Интернет), конфиденциальность при передаче информации по открытым каналам связи (VPN), организовать безопасный доступ пользователей VPN к ресурсам сетей общего пользования, а также защищенное взаимодействие сетей различных организаций.

В АПКШ "Континент" применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата. Шифрование данных производится в соответствии с ГОСТ 28147-89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147-89 в режиме имитовставки. Применение оптимизированной реализации ГОСТ 28147-89 обеспечивает комплексу высокую пропускную способность. Управление криптографическими ключами ведется централизованно из ЦУС. Помимо обеспечения шифрования данных АПКШ "Континент" выступает в качестве брандмауэра, фильтруя принимаемые и передаваемые пакеты по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.

Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется криптошлюзом "Континент" при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами. Использование технологии NAT позволяет не только сэкономить IP-адреса, но и предотвратить обращение снаружи к хостам находящимся во внутренней сети, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются. С помощью АПКШ «Континент» локальная сеть организации разделяется на:

Внутреннюю сеть (intranet), состоящей из рабочих станций, принтеров, интранет-сервисов и других ресурсов.

Демилитаризованной зоны (DMZ), где расположены публичные сервера, используемые для организации почтового сервера и web-сайта.

Наиболее подверженным угрозам НСД извне будет являться узел сети, на котором расположены службы, доступные из Интернета. Создание локальной сети с использованием технологии DMZ позволяет обеспечить защиту информационного периметра таким образом, что публичные сервера компании находятся в особом сегменте сети (который и называется DMZ), которые ограничены в доступе к основным сегментам внутренней сети с помощью межсетевого экрана, политика безопасности которого должна придерживаться следующих правил:

·блокировать входящие соединения из внешней сети, направленные во внутреннюю.

·блокировать исходящие соединения из DMZ во внутреннюю сеть.

·блокировать входящие соединения из DMZ, направленные во внутреннюю сеть.

На публичном сервере (web, email) в качестве ОС установлен Linux ветки ядра 2.6 с патчем grsecurity, обеспечивающих дополнительный уровень защиты сервера обеспечивающий:

·принудительный контроль доступа

·рандомизацию ключевых локальных и сетевых информативных данных

·ограничения /proc и chroot() jail, контроль сетевых сокетов

·контроль возможностей, и добавочные функции аудита.

Основным компонентом поставляемым в составе grsecurity является PaX, который, среди прочих других возможностей, отмечает области данных в памяти. Например, стек отмечается как неисполняемый, и область кода программы, как не имеющая возможности записи в неё. Целью этой защиты является защита памяти от записи, что предотвращает множество уязвимостей в безопасности, таких как переполнение буфера. PaX-ом также обеспечивается рандомизацию расположения в адресном пространстве (address space layout randomization, ASLR), которая размещает важные адреса памяти в случайном порядке и таким образом не позволяет атакующему заранее полагаться на знание этих адресов.

Эксплуатация брешей в WEB-приложениях способствует несанкционированному хищению данных, раскрытие тайны которых может подорвать репутационную сторону компании или конкретной персоны, разгласить персональные данные, снизить финансовые активы. Согласно статистике компании «Positive Technologies» в 66% процентах случаев динамика действий злоумышленника помимо кражи, модификации или удаления информации в современном мире сводится к организации опорной точки для распространения вредоносного кода с скомпроментированного ресурса с целью проведения масштабного заражения пользователей web-ресурса, имеющих уязвимое клиентское ПО, что может повлечь за собой также и НСД к внутренней сети организации несмотря на организацию локальной сети с использованием технологии DMZ. Создание ПО для web-сайта следует доверить высококвалифицированным специалистам, руководствующихся при разработке общепринятыми методологиями создания безопасных web-приложений (OSSTM, ISAF) и аналитическими сведениями (OWASP Top 10, WASC Threat Classification, SANS Top 20), а также собственными методиками. В целях повышения уровня безопасности web-ресурса используется бесплатный модуль файрвола web-приложений «mod_security» (WAF) к web-серверу Apache, осуществляющий фильтрацию трафика на уровне web-сервера в режиме активного проиводействия сетевым атакам. Данное не только позволяет гибко настрайвать правила фильтрации трафика, но и защищает web-сервисы гораздо лучше обычных межсетевых экранов и множества альтернативных средств обнаружения вторжений (IDS).

Использование управляемых сетевых коммутаторов Multilink ML2400 во внутренней сети позволяет разграничить доступ между пользователями в ее сегментах, а также осуществлять мониторинг и управлять в целом, а также и в частности, всем активным оборудованием ЛВС. Несмотря на невысокую цену данный коммутатор имеет отличное качество и надежный сервис. ML2400 поддерживает до 8 гигабитных, 16 оптических портов типа ST/SC и до 32 портов стандарта RJ45. Multilink ML2400 отвечает всем требованиям стандарта Ethernet IEEE, имеет корпус со степенью защиты IP40 и может эксплуатироваться в условиях повышенной коррозионной опасности для электроники. В отличие от аналогов, этот коммутатор Ethernet отличается самой высокой плотностью портов - до 32 на одно шасси, обеспечивает скорость восстановления трафика в кольцевых сетях менее чем за 5 мс, поддерживает протокол Modbus для работы с системами SCADA и управление многоадресным трафиком и QoS.2400 разработан специально для создания сетей Ethernet в самых суровых условиях эксплуатации, например, на промышленных объектах, электроподстанциях, автомагистралях и т.д. В отличие от многих аналогов, этот коммутатор Ethernet сохраняет работоспособность в диапазоне температур от - 40 до + 85°С без использования вентиляторов, обеспечивает защиту электроники от агрессивных химических сред, коррозии и других внешних факторов. При этом коммутатор ML2400 протестирован и сертифицирован на соответствие экологическим стандартам IEC61850-3, IEEE 1613 Class2, NEBS уровень 3 и IP40, и имеет пожизненную гарантию производителя.

Для контроля качества передачи и управления приоритетом потоков данных ML2400 поддерживает технологию QoS (Quality of Service), которая обеспечивает необходимую пропускную способность Ethernet канала, и регулирует время задержки и приоритет, определяемый по порту, тегам или типу. Благодаря такому решению, коммутатор Ethernet позволяет оптимизировать сетевые ресурсы системы и использовать каналы более эффективно. Это особенно важно для распределенных промышленных сетей Ethernet, по которым передаются различные типы данных, начиная от сетевых приложений, заканчивая видеопотоками.

Предотвратить несанкционированный доступ к информации и изменению настроек коммутатора позволяют различные средства защиты. Multilink ML 2400 ведет постоянную проверку сетевого трафика и разрешенных MAC-адресов, поэтому в случае несанкционированного подключения какого-либо устройства к одному из портов, коммутатор Ethernet выдаст отказ в соединении с ним. Список разрешенных для подключения к Ethernet устройств может составляться системным администратором или же автоматически контролироваться самим ML2400. Кроме того, поддержка протокола SNMP версии 3 обеспечивает авторизацию пользователей и шифрование соединений для большей защищенности.

Внутренний сервер находится под управлением ОС Windows Server 2003 и клиентские системы находятся под управлением ОС Windows XP, в качестве комплексной защиты системы используется Kapersky Internet Security (KIS) 2010.

KIS 2010 представляет собой оптимальное решение для защиты компьютеров. В программном продукте есть все, чтобы обезопасить присутствие в интернете. В одном продукте интегрированы и радикально модернизированы функциональные возможности систем защиты, также применены новейшие технологические разработки «Лаборатории Касперского».

KIS 2010 представляет из себя комплексную защиту от всех типов электронных угроз: вредоносных программ, спам-рассылок, программ-руткитов, хакерских атак, фишинговых писем, навязчивых рекламных окон и т.д. А также:

интуитивно понятный интерфейс;

·персональный сетевой экран;

·минимальное влияние на работу ПК;

·интеллектуальная защита в режиме реального времени;

·режим безопасного запуска программ;

·предотвращение угроз, атак;

·проверка веб-страниц, файлов и сообщений;

·самозащита антивируса от попыток выключения со стороны вредоносного ПО;

·защита конфиденциальных данных;

·защита от кражи паролей, логинов и личных данных;

Задачи сотрудников

Для обеспечения защиты информации должны быть разработаны и введены в действие инструкции для всех категории персонала, в которых должны найти отражение следующие задачи для каждой категории:

Руководители подразделений обязаны:

Постоянно держать в поле зрения вопросы безопасности.

Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.

Организовать обучение персонала мерам безопасности.

Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.).

Обеспечить наличие сотрудника, отвечающего за безопасность конкретного персонального компьютера.

Администраторы локальной сети обязаны:

Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.

Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.

Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты.

Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.

Следить за новинками в области информационной безопасности, сообщать о них пользователям и руководству.

Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения.

Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.

Выполнять все изменения сетевой аппаратно-программной конфигурации.

Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.

Периодически производить проверку надежности защиты локальной сети.

Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов обязаны:

1)Управлять правами доступа пользователей к обслуживаемым объектам.

2)Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов локальной сети о попытках нарушения защиты.

3)Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.

4)Ежедневно анализировать регистрационную информацию, относящуюся к сервису.

5)Регулярно контролировать сервис на предмет зловредного программного обеспечения.

6)Периодически производить проверку надежности защиты сервиса.

7)Не допускать получения привилегий неавторизованными пользователями.

Пользователи обязаны:

Знать и соблюдать законы, правила, принятые в организации, политику безопасности, процедуры безопасности.

Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.

Использовать механизм защиты файлов и должным образом задавать права доступа.

Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.

Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.

Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.

Всегда сообщать корректную идентификационную и аутентификационную информацию.

Обеспечивать резервное копирование информации с жесткого диска своего компьютера.

Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.

Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.

Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

Безопасность компьютерной системы зависит от окружения, в котором она работает. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.

Существуют следующие направления физической защиты:

физическое управление доступом;

противопожарные меры;

защита поддерживающей инфраструктуры;

защита от перехвата данных;

защита мобильных систем.

Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, например те, где расположены серверы, коммуникационная аппаратура и т.п. Средства физического управления доступом известны давно - это охрана, двери с замками, перегородки, телекамеры, датчики движения и многое другое.

В качестве видеокамер наблюдения использются Grandeye Halocam, оснащеные объективом с углом обзора 172 градусов, 3-мегапиксельной матрицей и высокопроизводительным процессором Imtera.

В серверной установлены web-камеры D-link DCS-3220G Securicam Network, приведенную на рисунке 6 и представляющую собой комплексную систему обеспечения безопасности, позволяющую удаленно наблюдать, слушать и вести диалог.

Данная многофункциональная камера подключается к сети Ethernet или беспроводной сети здания или кампуса и к широкополосному соединению Интернет. Оснащенная высококачественным сенсором CCD, функцией цифрового увеличения, возможностью двусторонней передачи звука и дополнительными программным обеспечением для управления и одновременного просмотра изображения с нескольких камер, данная камера представляет собой комплексную систему видеонаблюдения с локального узла или удаленно из любой точки мира.

В качестве противопожарной сигнализации и автоматических средства пожаротушения используется устройство шлейфовое управляющее УШУ-1, отвечающее за формирование сигналов управления пожарной автоматикой, дымоудаление, оповещение по событиям «Пожар», а также пожарные извещатели типа ИП 212-54.

К поддерживающей инфраструктуре можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций. В принципе к ним применимы те же требования целостности и доступности, что и к информационным системам. Для обеспечения целостности нужно защищать оборудование от краж и повреждений.

Для защиты отдельных рабочих станций используется электронный замок «Соболь» - это аппаратно-программное средство защиты компьютера от несанкционированного доступа. Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Документирование - неотъемлемая часть информационной безопасности. В виде документов оформляется почти все - от политики безопасности до журнала учета дискет.



Заключение

Пароделав анализ угорозы предприятия и организации по ее комплексной защитем. Можно с увереностью заявить что данная система организации довольно таки неплохо работает. Стоит подчеркнуть что очень важно постоянно мониторить происходящее в мире так как организованный коплекс защиты постоянно устаревает и создаются все новые и новые угрозы для нанесения угрозы предприятию. Работы по защите информации у нас в стране ведутся достаточно интенсивно и уже продолжительное время. Накоплен существенный опыт. Сейчас уже никто не думает, что достаточно провести на предприятии ряд организационных мероприятий, включить в состав автоматизированных систем некоторые технические и программные средства -- и этого будет достаточно для обеспечения безопасности.



Список используемой литературы

1. В.Левин. Защита информации в информационно-вычислительных системах и сетях. - Программирование, 2005.

2.Л.Хофман. Современные методы защиты информации», - Москва, 2005.

3.В. Олифер, Н. Олифер. Компьютерные сети. Принципы, технологии, протоколы. Учебник для вузов, - Питер, С-Пб., 2007.

4.Э. Таненбаум. Компьютерные сети, - Питер, С-Пб., 2007.

5.Корнеев И.К. Защита информации в офисе: Учебник - М.: Изд-во «Проспект», 2008 - 336 с.

6.Мельников. Информационная безопасность и защита информации, - Academia, М., 2007.

7.П.Зегжда. Теория и практика. Обеспечение информационной безопасности. - Москва, 2002.

8.В.Галатенко. Информационная безопасность, Открытые системы, № 1, 1996.

9.В.Галатенко. Информационная безопасность, Открытые си

Размещено на Allbest.ru

...