Исследование структуры и архитектуры корпоративной сети ООО "Авангард"
Анализ структуры и архитектуры корпоративной сети предприятия. Обеспечения защищенности информации от внешних и внутренних воздействий. Сетевые атаки: flooding, phishing, scam, spyware, троянский конь. Совершенствование системы защиты корпоративной сети.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 02.06.2015 |
| Размер файла | 39,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
МОСКОВСКИЙ АВИАЦИОННЫЙ ИНСТИТУТ
(национальный исследовательский университет) «МАИ»
Кафедра «Информатики и информационных технологий» № 409Б
Специальность: 090915 «Безопасность информационных технологий в правоохранительной сфере»
Курсовая работа
по дисциплине: «Защита информационных процессов в телекоммуникациях»
Тема: Исследование структуры и архитектуры корпоративной сети ООО «Авангард»
Выполнил:
студент УЦ МАИ «Интеграция» Партала О. О.
Группа: № 4О-308Сцк
Проверил: Мартынов А. А.
Серпухов 2014
Содержание
- Введение
- 1. Анализ структуры и архитектуры корпоративной сети ООО «Авангард»
- 1.1 Описание объекта защиты
- 1.2 Анализ существующей локальной сети предприятия
- 2. Анализ обеспечения защищенности информации от внешних и внутренних воздействий в корпоративной сети ООО «Авангард»
- 2.1 Анализ существующих сетевых атак
- 2.1.1 DoS-атаки
- 2.1.2 MAC-flooding
- 2.1.3 USB-флэш атака
- 2.1.4 Phishing
- 2.1.5 Троянский конь
- 2.1.6 Scam
- 2.1.7 Path Traversal (slash-атаки)
- 2.1.8 Spyware
- 2.2 Анализ внутренних угроз информации циркулирующей в корпоративной сети
- 2.3 Анализ внешних и внутренних воздействий возможных в корпоративной сети ООО «Авангард»
- 3. Предложения по совершенствованию системы защиты корпоративной сети ООО «Авангард»
- 3.1 Обеспечение защищенности информации при сбоях и отказах отдельных компьютеров и их компонентов
- 3.1.1 Источники бесперебойного питания
- 3.1.2 Надежность сервера. Рекомендации по выбору сервера
- 3.2 Организационная защита
- 3.2.1 Ограничение доступа на территорию и здания
- 3.2.2 Ограничение свободного доступа к серверам и коммутационному оборудованию
- 3.2.3 Защита от кражи и подмены оборудования
- 3.2.4 Защита от несанкционированного съема информации с экрана дисплея
- 3.2.5 Резервное копирование
- 3.3 Защита кабельных соединений
- Заключение
- Список использованных источников
Введение
Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой - необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.
Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка (АСОИБ). Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена большая часть дипломной работы.
Целью данной работы является анализ и разработка предложений по улучшению системы защиты корпоративной сети ООО «Авангард».
Актуальность работы заключается в том, что сформированные предложения будут реально использованы в ООО «Авангард».
1. Анализ структуры и архитектуры корпоративной сети ООО «Авангард»
защищенность информация сетевой flooding
1.1 Описание объекта защиты
Банк Авангард был основан в 1994 году. Его основателем и руководителем является Кирилл Миновалов. Банк входит в холдинг «Авангард» вместе с компанией «Русский солод» и страховой компанией «Авангард-Гарант».
Адрес: 115035, г. Москва, ул. Садовническая, д.12, стр. 1.
Основное назначение ООО «Авангард» - открытие банковских вкладов в рублях, долларах США и евро, оформление расчетных и кредитных карт, автокредитов, проведение операций с ценными бумагами и драгметаллами, а также оказание услуг денежных переводов.
В банке ООО «Авангард» используется система ASoft CRM Bank. ASoft - это система управления банковской деятельностью, ориентированная на поддержку кредитно-финансовой деятельности банка и затрагивающая три основных направления деятельности:
1) кредитование клиентов;
2) кредитный маркетинг;
3) сервисное обслуживание.
ASoft CRM Bank обеспечивает работу с контрагентами по кредитам на всех этапах процесса кредитования:
1) привлечение клиентов;
2) согласование и выдача кредитов;
3) сопровождение кредитов (финансовый мониторинг, залоговый мониторинг);
4) работа с проблемными и потенциально проблемными кредитами.
ASoft CRM Bank позволяет организовать системное управление процессом кредитования:
1) распределение потенциальных клиентов;
2) оценку финансовых рисков кредитных сделок;
3) подготовку и согласование решений по кредитным сделкам;
4) контроль информационных и финансовых потоков внутри организации;
5) управление деятельностью сотрудников.
У каждого сотрудника банка свое автоматизированное рабочее место с персональным компьютером. Все компьютеры объединены в локальную сеть. Локальная вычислительная сеть (ЛВС) представляет собой систему распределенной обработки информации, охватывающей территорию предприятия. При помощи общего канала связи локальная вычислительная сеть объединяет все абонентские узлы предприятия, включающие персональные компьютеры, внешние запоминающие устройства, дисплеи, печатающие и копирующие устройства, сканеры.
1.2 Анализ существующей локальной сети предприятия
В локальную сеть ООО «Авангард» входят 77 машин (74 стационарных персональных компьютера, 3 сервера).
Пропускная способность локальной сети - 100 Мбит/с.
Локальная вычислительная сеть построена по топологии «звезда», так как именно при этой топологии невозможны конфликты в сети, обеспечена высокая надежность и производительность ЛВС.
Активное оборудование:
1) сервера (БД, файловый, почтовый, интернет, сервер резервного копирования данных);
2) Swich (коммутатор);
3) Hub (концентратор);
4) рабочие станции типа IBM PC совместимые;
5) сетевые адаптеры Fast Ethernet;
6) модемы.
Пассивное оборудование:
1) кабель UTP кат. 5;
2) розетки UTP кат. 5;
3) короба для кабеля.
Защита от вирусов и несанкционированного доступа обеспечивается Kaspersky Total Security.
Вывод: объектом защиты является локальная вычислительная сеть ООО «Авангард». Локальная сеть состоит из: 74 стационарных компьютеров, 3-х серверов и вспомогательного оборудования. Программное обеспечение защищено с помощью антивирусной защиты Kaspersky Total Security. Организационные и технические меры не применены.
2. Анализ обеспечения защищенности информации от внешних и внутренних воздействий в корпоративной сети ООО «Авангард»
2.1 Анализ существующих сетевых атак
2.1.1 DoS-атаки
DoS -- хакерская атака на вычислительную систему (обычно совершенная хакерами) с целью довести её до отказа, то есть создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию -- например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.
2.1.2 MAC-flooding
Атака MAC-flooding относится к классу разведывательных атак. Этот вид атаки может использоваться также в качестве DoS-атаки. Атакующая машина забивает переключатель (switch) огромным числом кадров с неверными MAC-адресами отправителя. Переключатели имеют ограниченную память для таблицы переадресации (МАС-порт) и при такой атаке таблица будет заполнена некорректными MAC-адресами, пришедшими от машины-атакера. При поступлении легального трафика из-за отсутствия соответствующих записей в таблице переадресации пакеты будут направляться на все выходы переключателя. В результате атакер, взломавший машину, которая реализует данную атаку, получит большое количество ценной для него информации. Кроме того, это может вызвать перегрузку каналов и самого переключателя.
2.1.3 USB-флэш атака
Атакер изготовляет специальные USB-флэши, загружает в них специальное программное обеспечение и разбрасывает такие устройства в местах, где их могут найти сотрудники интересующих его организаций. Найденное устройство будет рано или поздно вставлено в компьютер дома или на службе и станет источником заражения сети, поставляя атакеру ценные сведения. Главная особенность атаки - практически полная безопасность атакера. Ведь даже если жертва отследит адрес, куда отсылаются данные, можно всегда утверждать, что организатора подставили, а доказать обратное будет проблематично.
2.1.4 Phishing
Phishing - получение паролей, PIN-кодов и пр. (последующая кража информации). Впервые этот вид атак зарегистрирован в 1996 году. Этот вид атаки начинается с рассылки почтовых сообщений, содержащих ссылку на известный ресурс (или имитирующий такую ссылку). Дизайн WEB-страницы обычно копируется с воспроизводимого ресурса. На фальсифицируемой странице может быть, например, написано, что банк, где вы имеете счет, проводит акцию по проверке безопасности доступа. Вам предлагается ввести номер вашей кредитной карты и PIN-код. Если вы это сделаете, злоумышленники сообщат, что все в порядке, а с вашего счета через некоторое время пропадут деньги. Но если это не сопряжено с банком, опасность такой атаки нисколько не уменьшается. Получив доступ к вашему аккаунту, злоумышленники получат доступ к конфиденциальной информации и т.д.
2.1.5 Троянский конь
Эта программа, которая на вид имеет безобидное назначения, на самом деле содержит определенные вредоносные функции. Она может фиксировать все нажатия клавиш на терминале или мышке, способна записывать screenshot'ы и передавать эти данные удаленному хозяину. Если на ЭВМ оказался установленным общеизвестный троянский конь, машина становится уязвимой. Именно с этим связано сканирование хакерами номеров портов известных троянских коней. Многие современные вирусы и черви могут загружать в зараженную ЭВМ троянского коня (или программу spyware), целью которого может быть не только получение паролей, но также номера кредитной карты и PIN-кода. В некоторых случаях зараженная машина может стать источником DoS-атаки.
2.1.6 Scam
Scam - мошеннический трюк, заключающийся в том, чтобы, ссылаясь на авторитетных лиц, втереться в доверие и извлечь коммерческую выгоду. Первооткрывателями этого вида мошенничества были адресаты из Нигерии. Начиная с 2008 года стал активно использоваться мошеннический трюк, когда предлагается антивирусное (или любое программное защитное средство), при попытке загрузки которого машина оказывается, заражена вредоносным кодом. Причем доступ к этой программе часто оказывается платным, что внушает дополнительное доверие потенциальной жертвы.
2.1.7 Path Traversal (slash-атаки)
Атаки типа Path Traversal имеют своей целью получение доступа к файлам и каталогам, которые расположены вне пределов, определенных конфигурацией (web root folder). При просмотре приложения атакер ищет абсолютные проходы к файлам, размещенным на машине WEB-сервера. Путем манипулирования переменными, которые указывают на положение файлов, с помощью последовательностей «../» и их вариаций, может быть получен доступ к любым файлам и каталогам, имеющимся в системе, включая исходные коды приложений, конфигурационные и критические системные файлы с ограниченным доступом. Атакер использует в своих запросах последовательности типа «../», чтобы попасть в корневой каталог.
Эта атака может быть предпринята с использованием вредоносного кода, встроенного в строку прохода, как это делается в атаке Resource Injection. Для выполнения атаки необязательно использовать какое-то специальное программное средство; атакеры часто используют поисковые серверы, чтобы детектировать все присутствующие URL.
2.1.8 Spyware
Spyware - это программа, в функции которой входит скрытная передача персональной информации третьей стороне, без ведома пользователя. Впервые spyware была идентифицирована в 2002 году. Первоначально многие антивирусные компании рассматривали ее как новую разновидностью вируса. Надо сразу сказать, что цели создателей вирусов и spyware принципиально различны. Если разработчиками вирусов являются хулиганы, честолюбцы, искатели минутной славы, то создатели spyware практически всегда преследуют корыстные цели, иногда они работают по заказу фирмы-нанимателя или рекламодателя. Да и по поведению вирусы и spyware совершенно различны. Вирусам присущи механизмы самораспространения, а для spyware очень часто требуется некоторая форма сотрудничества со стороны жертвы. Spyware часто является неотделимой частью freeware.
2.2 Анализ внутренних угроз информации циркулирующей в корпоративной сети
По статистике около 80% угроз информационной безопасности предприятия исходит от сотрудников самой организации (как бывших, так и работающих в организации на данный момент).
Злоумышленников, угрожающих безопасности информации внутри организации, можно классифицировать:
1) незлонамеренные нарушители
1.1) неосторожные (проявляющие халатность)
Такие пользователи нарушают правила из лучших побуждений. Чаще всего они выносят информацию для работы с ней дома, в командировке и т.д. Ущерб от таких утечек может быть не меньшим, чем от промышленных шпионов. Против таких нарушителей эффективны простые технические средства - фильтрация контента исходящего трафика и менеджеры устройств ввода-вывода.
1.2) жертвы манипуляции
Все чаще для манипулирования сотрудниками используется «социальная инженерия». Например, добросовестный сотрудник по просьбе злоумышленника может «для надежности» продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик.
Другим примером манипуляции может служить сотрудник, начальник которого злоумышленник, отдавший этому сотруднику преступный приказ.
2) злонамеренные сотрудники
Отдельной группой являются злонамеренные сотрудники, осознающие, что они наносят вред компании, в которой работают. По мотивам действий их можно разделить на:
2.1) саботажники (обиженные сотрудники)
Саботажники чаще всего стремятся нанести вред компании в силу личных мотивов. Чаще всего таким мотивом является недооценка их роли в компании. Ключевым в поведении таких нарушителей является то, что, во-первых, такие сотрудники не собираются покидать компанию, а во-вторых, целью саботажника является нанесение вреда, а не похищение информации. То есть такие люди стремятся к тому, чтобы руководство не узнало, что утечка произошла по их вине и, столкнувшись с технической невозможностью нанести вред, они направят свои усилия на уничтожение или фальсификацию иной информации.
2.2) нелояльные сотрудники
Чаще всего нелояльные сотрудники стараются унести максимально возможное количество информации, зачастую даже не подозревая о ее истинной ценности.
Сюда же можно отнести и тех сотрудников, которые, решив сменить место работы, еще не сообщили об этом начальству. Чаще всего нелояльные сотрудники не скрывают факта хищения.
Однако максимальную опасность представляют не эти два типа нарушителей, а мотивированные извне. Ведь если потенциальный злоумышленник может заранее найти покупателя на информацию и тогда его дальнейшая работа, благосостояние, а иногда и жизнь напрямую зависят от полноты и актуальности похищенной информации.
2.3) нарушители, мотивированные извне
Мотивированные извне - это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети «работодатели» могут снабдить их соответствующими устройствами или программами для обхода защиты.
2.4) другие типы нарушителей
В эту классификацию не включены сотрудники, передающие с целью выгоды внутреннюю корпоративную информацию, которая может повлиять на стоимость акций компании. В нашей стране этот вид нарушений пока не приобрел актуальность. Но только пока. Пресечь утечку такой информации техническими средствами невозможно.
2.3 Анализ внешних и внутренних воздействий возможных в корпоративной сети ООО «Авангард»
Из описанных выше угроз безопасности информации и установленных средств защиты наиболее вероятны угрозы:
1) USB-флэш атака;
2) Scam.
Наиболее вероятны внутренние угрозы, приводимые в пункте 2.2.
Вывод по разделу 2: нейтрализовать приведенные в разделе 2 угрозы можно установив дополнительные аппаратные и программные средства защиты информации, принятие жестких организационных мер.
3. Предложения по совершенствованию системы защиты корпоративной сети ООО «Авангард»
3.1 Обеспечение защищенности информации при сбоях и отказах отдельных компьютеров и их компонентов
3.1.1 Источники бесперебойного питания
Потери информации в результате отказов компьютеров и их компонентов происходят довольно часто. Однако почему многие организации не обращают на это должного внимания, не предпринимая никаких усилий для предотвращения потерь в результате, например, скачков и отключений электроэнергии, пожаров и т.д.
Если условия подачи электричества нестабильны - например, если оборудование подвергается постоянным отключениям (12 и более раз в год) или ему больше 10 лет - сеть оказывается сильно уязвимой со стороны электропитания. В такой ситуации следует подумать о повышении степени защиты (количество и тип защищаемых компонентов сети), а также о типе развертываемых ИБП. Более высокий уровень защиты необходим также в случае, когда повседневная жизнь организации зависит в значительной степени от работы сети.
Как только было определено, какие компоненты следует защищать, нужно также принять решение о типах развертываемых ИБП. Для выбора имеются три типа устройств: автономные, интерактивные или линейно-интерактивные. Все типы ИБП обеспечивают базовые функции защиты, однако более изощренные интерактивные и линейно-интерактивные системы предоставляют средства для компенсации отклонений напряжения. Повторимся, тип выбираемого ИБП зависит от электропитания конкретной среды и чувствительности компонентов сети и циркулирующей в ней информации.
Автономные ИБП обеспечивают минимальную защиту сетевых устройств только на случай отключения питания. Исчезновение напряжения приводит к активизации батарей автономного ИБП, тем самым обеспечивая работу оборудования до исчерпания заряда аккумуляторов. Являясь, по сути дела, только резервным источником питания, эти устройства дешевле двух других типов ИБП. Если электропитание оборудования хорошего качества, то автономные ИБП способны предоставить необходимый уровень защиты.
Автономный ИБП защищает аппаратные компоненты только от исчезновения напряжения, при этом питание осуществляется от батарей ИБП. Продолжительность времени, в течение которого ИБП может обеспечивать работу защищаемого оборудования, зависит от емкости батареи. Интерактивные ИБП - наиболее дорогие устройства бесперебойного питания - защищают критически важное оборудование посредством непрерывной регенерации синусоидальной волны источника питания. Эта операция аналогична функции, выполняемой повторителем, получающим и регенерирующим цифровые сигналы перед дальнейшей их отправкой по каналу связи. По существу, эти устройства «очищают» напряжение, подаваемое компонентам сети. Интерактивные ИБП обеспечивают питание защищаемых ими устройств при любых условиях и непрерывно перезаряжают свои батареи; они всегда готовы среагировать на проблемы, связанные с подачей питания. Интерактивные ИБП также улучшают качество источника питания за счет регулировки напряжения, что необходимо в случае, если планируется использовать резервные генераторы.
Интерактивные ИБП, наилучшим образом приспособленные для поддержки особо важных компонентов сети, подают энергию защищаемым устройствам при всех условиях и «очищают» электрический ток путем постоянной регенерации синусоидальной волны источника питания.
Линейно-интерактивный ИБП представляет собою гибрид интерактивных и автономных ИБП. При нормальной работе инвертор фильтрует ток в цепи, подаваемый на вход защищаемого устройства, и поддерживает батареи в полностью заряженном состоянии. Если напряжение пропадает, инвертор выполняет обратную операцию, преобразовывая постоянный ток батареи в переменный. Линейно-интерактивные модели ИБП лучше всего приспособлены для поддержки не особенно важных элементов сети, например файловых и принт-серверов.
Линейно-интерактивные ИБП сохраняют свои батареи в заряженном состоянии посредством фильтрации тока в цепи защищаемых устройств. Когда напряжение пропадает, инвертор ИБП преобразует постоянный ток в переменный, обеспечивая подачу резервного напряжения к защищаемым компонентам.
Если ИБП больше десятка, то необходим эффективный способ их контроля. К счастью, большинство производителей ИБП предоставляет вместе со своими системами управляющее ПО. Управляемые источники бесперебойного питания обычно называются интеллектуальными (smart). Подобные устройства могут регистрировать события, непрерывно контролировать качество энергоснабжения, сообщать о состоянии батарей и выполнять другую диагностику. Они также автоматически выгружают с сервера операционную систему в случае, когда продолжительность отсутствия напряжения превышает время автономной работы ИБП. С помощью управляющего ПО при отключении питания работу сети можно автоматически свертывать. При продолжительных перерывах в питании программное обеспечение должно автоматически оповещать пользователей и технический персонал, сохранять открытые файлы и закрывать приложения до остановки пострадавшего сервера.
Для обеспечения стабильной и надежной работы серверов и компьютеров сотрудников организации в случае скачков напряжения или отключения питания, будет использован ИБП N-Power MegaVision - 3000. Этот ИБП предназначен специально для защиты персональных компьютеров, рабочих станций, файловых серверов, вычислительных залов, серверных помещений, телекоммуникационных устройств, офисной техники, и имеет широкий диапазон стабилизации входного напряжения без перехода на аккумуляторные батареи (118 … 300 В), жк-монитор на передней панели UPS, который позволит контролировать основные параметры электросети и нагрузки. Выбор обусловлен тем, что данный ИБП эффективно защищает от актуальных на данный момент угроз, и имеет низкую себестоимость (4800 рублей за единицу). К каждому ИБП можно подключить 7 устройств, следовательно, понадобиться закупить 8 таких ИБП.
3.1.2 Надежность сервера. Рекомендации по выбору сервера
Надежность является одним из самых важных критериев выбора сервера. В серверах, по сравнению с обычными ПК, надежности аппаратных компонентов уделяется значительно большее внимание. Они проходят более тщательный отбор и тестирование, ведь выход из строя сервера приведет к прекращению работы десятков пользователей. Сейчас для серверов нередко используют технологии, которые ранее были привилегией корпоративных машин.
По данным статистики, наиболее часто выходят из строя механические детали, в первую очередь дисководы и вентиляторы. Блоки питания, микросхемы оперативной памяти, контроллеров и сетевых плат ломаются реже. Поломки центральных процессоров (если это не связано с проблемами охлаждения) случаются редко.
Следовательно, меры по повышению надежности должны быть сконцентрированы на самых уязвимых компонентах.
Как правило, выбор серверов для организации - непростая задача. Выбор зависит от функций сервера, от требуемого уровня его надежности, от финансовых возможностей организации и т.п. Тем не менее, существует несколько общих моментов с точки зрения защищенности информации, хранимой на сервере и его надежного функционирования.
1) следует рассмотреть возможность покупки «фирменных» серверов таких производителей, как Compaq, Dell, IBM и т.п. Если клиентские машины могут быть дешевыми, неизвестно какой сборки, то к выбору сервера следует подойти более ответственно. Даже если сервер будет стоить в несколько десятков раз дороже типичной клиентской машины, это окупится его более высокой надежностью и производительностью. В том случае, если покупка дорогой машины невозможна, следует выбирать компоненты с повышенной надежностью, в первую очередь - жесткие диски, материнские платы, устройства бесперебойного питания;
2) для файловых серверов и серверов баз данных просто необходимы устройства резервного копирования. Здесь трудно дать какие-либо конкретные рекомендации, так выбор средств резервного копирования зависит от объемов хранимых данных. Обычно резервное копирование осуществляют на магнитные ленты или МО-диски;
3) для серверов желательны схемы с избыточностью компонентов. Рекомендуется применять схемы с зеркалированием или дублированием дисков, тем более что Windows NT позволяет реализовать некоторые уровни RAID программно. Для повышенных требований к скорости дублирования можно рассмотреть возможность применения аппаратных контролеров RAID. Кроме того, если в качестве сервера организация использует не обычный компьютер, то рекомендуются схемы с несколькими вентиляторами и двумя блоками питания;
4) следует по возможности применять диски SCSI;
5) источник бесперебойного питания для сервера просто необходим. Рекомендации по его выбору приведены выше;
6) в случае, если предъявляются специальные требования, рассмотрите сервера с возможностью «горячей» замены компонентов, памятью ECC и т.п. К сожалению, Windows NT 4.0 очень слабо поддерживает возможность «горячей» замены.
В ООО «Авангард» будут использованы 3 сервера модели Compaq ProLiant ML570. Этот тип сервера применяется в области непрерывных вычислений, электронной коммерции, и предназначен для ресурсоемких корпоративных приложений. Сервер имеет максимальную для четырехпроцессорного сервера производительность, максимальные возможности для наращивания мощности, улучшенную отказоустойчивость, удобные средства управления.
3.2 Организационная защита
3.2.1 Ограничение доступа на территорию и здания
Территория банка представляет собой комплекс зданий, часть из которых предназначена для работы с клиентами, а часть для служебных целей. Для достижения задачи по ограничению доступа на территорию и здания, необходимо установить пропускной режим в здания служебного характера. Для прохода сотрудников использовать бесконтактные смарт-карты типа Mifare 1 S50. Также необходимо установить на территории посты охраны и системы охранного телевидения (VideoNet).
3.2.2 Ограничение свободного доступа к серверам и коммутационному оборудованию
Эта задача решается установкой на входе помещения, где расположено данное оборудование дверей с кодовыми замками , код к которым знают только администраторы этого оборудования. Возможно применение биометрических систем, но из-за их дороговизны лучше будет использовать именно кодовые замки. В организации будут использоваться замки Samsung EZON SHS-2920. Дополнительно эти замки имеют функцию считывания смарт-карт.
3.2.3 Защита от кражи и подмены оборудования
В тех случаях, где эта проблема актуальна, лучше использовать для компьютеров специальные корпуса. Если это невозможно, корпус компьютера должен быть опечатан. Рекомендуется также проверять целостность оборудования при сдаче рабочего места.
Обычно такая проблема возникает при необходимости предоставлять доступ к компьютерам внештатных сотрудников, гостей, командированных и т.д. Здесь крайне важно отсутствие так называемой «обезлички», т.е. должно быть известно, кто последний работал на данном компьютере. Обычно это достигается применением специальных программ либо записью в журнале.
Периодически необходимо проверять соответствие комплектующих, серийные номера.
3.2.4 Защита от несанкционированного съема информации с экрана дисплея
Этот пункт обеспечивается также использованием организационных мер. Необходимо правильное планирование размещения компьютерной техники. Мониторы, по возможности, разворачиваются от окон, дверей.
Также используются программные средства. Основная проблема безопасности заключается в том, что человек отходя от своего рабочего места оставляет компьютер не заблокированным. Для снижения вероятности получения информации таким методом необходимо использование заставок «save-screen» с паролем. Т.е. после включения заставки получить доступ к компьютеру можно только введя пароль. Данная операция не требует от пользователя сложных действий.
3.2.5 Резервное копирование
Данная операция также должна быть отнесена к организационной защите.
Для ее проведения необходим план резервного копирования. Наиболее распространенным является полное резервное копирование раз в неделю и инкрементирующее каждый день. Носители, на которые производится полное резервное копирование, следует чередовать в течение некоторого времени, обычно месяца. Для применения инкрементирующего копирования в течение недели применяют разные носители на каждый день недели.
Хранить носители резервного копирования следует в несгораемых сейфах. Рекомендуется хранить их в другом здании.
Обычно в такой небольшой сети операцию резервного копирования производит администратор. Однако при большом объеме работы или его сильной загруженности этим может заниматься и оператор резервного копирования. В любом случае ситуация с резервным копированием должна быть под контролем сетевого администратора.
В банке будет использована система резервного копирования на внешний носитель Bacula. Выбор обусловлен тем, что при низкой стоимости данного ПО, эта система выполняет все необходимые функции по резервному копированию и восстановлению данных.
3.3 Защита кабельных соединений
Для обеспечения большей защиты, необходимо заменить все кабельные соединения типа «витая пара» на волоконно - оптические кабели. Стоимость таких кабелей по сравнению с «витой парой» больше, но такой тип соединения имеет ряд достоинств:
1) электромагнитное поле направляемой волны локализовано вблизи сердцевины волокна на масштабах десятков микрометров, что затрудняет доступ к информации по сравнению с СВЧ волноводами и тем более радиосигналами;
2) повреждение волновода в большинстве случаев приводит обрыву соединения и мгновенному обнаружению несанкционированного доступа;
3) компании, занимающиеся волоконно-оптическими линиями передачи, обеспечивают высокую физическую защищенность кабелей;
4) оптические каналы связи характеризуются высокой скоростью передачи информации (сотни Гбит/c), что достигается использованием коротких световых импульсов (десятки и сотни пикосекунд). В связи с этим для перехвата информации требуются высокочувствительные и быстрые детекторы, что делает несанкционированный доступ чрезвычайно дорогим;
5) в кабеле линии связи обычно находится значительное число отдельных волокон, что приводит к тому, что доступ к каждому из волноводов в отдельности сильно затруднён;
6) ВОЛП защищены от помех, создаваемых источниками электромагнитного излучения, стойки к колебаниям температуры и влажности.
Заключение
В данной работе был проведен анализ системы защиты корпоративной сети ООО «Авангард», выявлены уязвимости работы этой системы и предложены методики по улучшению ее защищённости.
В результате анализа было сформировано предложение по улучшению защищенности ЛВС:
1) использовать ИБП модели N-Power MegaVision - 3000 (8 штук);
2) использовать сервера модели Compaq ProLiant ML570 (3 штуки);
3) ограничить забором территорию организации, организовать пропускной режим по смарт-картам Mifare 1 (только в здания служебного характера), во всех зданиях установить систему охранного ТВ VideoNet, на территории организовать посты охраны;
4) в зданиях для служебных целей для доступа к серверному и коммутационному оборудованию использовать цифровые кодовые замки Samsung EZON SHS-2920;
5) опечатать корпуса всех компьютеров для защиты от кражи и подмены их частей;
6) размещать компьютеры так, чтобы был невозможен съем информации с монитора, использовать программу «save-screen»;
7) использовать программу резервного копирования Bacula;
8) заменить все кабельные соединения на волоконно - оптические линии.
Таким образом, были сформированы предложения по совершенствованию системы защиты корпоративной сети ООО «Авангард». Следовательно, поставленная задача выполнена.
Список использованных источников
1) Сбиба В. Ю, Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности. - СПб: Питер, 2008. - 358 с.
2) Костров Д. В. Информационная безопасность в рекомендациях, требованиях, стандартах. 2008. - 274 с.
3) Доля А. В. Внутренние угрозы ИБ в телекоммуникациях. 2007. - 482 с.
4) Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ.
5) Биячуев, Т.А. Безопасность корпоративных сетей. - СПб: ГУ ИТМО, 2004. - 199 с.
6) С. Вихорев, Р. Кобцев Как определить источники угроз. - Открытые системы. 2002. - 443 с.
7) В. Гайкович, А. Першин, Безопасность электронных банковских систем. - Москва, «Единая Европа», 2004. - 652 с.
8) В. Левин, Защита информации в информационно-вычислительных системах и сетях. - «Программирование», 2004. - 220 с.
9) Л. Хофман, «Современные методы защиты информации», - Москва, 2005. - 349 с.
10) П. Зегжда, «Теория и практика. Обеспечение информационной безопасности». - Москва, 2006. - 551 с.
11) Гостехкомиссия России. «Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения», - Москва, 1992.
Размещено на Allbest.ru
...Подобные документы
Проектирование логической и физической структуры корпоративной сети из территориально разнесенных сайтов. Распределение внутренних и внешних IP-адресов. Подбор сетевого оборудования и расчет его стоимости. Проработка структуры беспроводной сети.
курсовая работа [490,4 K], добавлен 12.01.2014Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.
дипломная работа [746,7 K], добавлен 09.11.2016Аналитический обзор корпоративной сети. Анализ существующей сети, информационных потоков. Требования к системе администрирования и маркировке элементов ЛВС. Разработка системной защиты от несанкционированного доступа. Инструкция системному администратору.
дипломная работа [765,0 K], добавлен 19.01.2017Подбор и описание компонентов, обеспечивающих защиту информации, активов компании, для дальнейшего построения на их основании надежной и защищенной корпоративной сети на примере сети "JDSONS". Аудит и контроль изменений конфигурации информационных систем.
курсовая работа [49,6 K], добавлен 11.09.2012Цели разработки корпоративной сети на уровне предприятия. Проектирование доменной структуры. Развертывание служб терминалов. Организация доступа в сеть Internet на базе сервисного оборудования. Разработка стратегии виртуализации операционных систем.
курсовая работа [1,6 M], добавлен 07.06.2014Реализация телекоммуникационных услуг на предприятии для внутренних потребностей (интранет) и информационного взаимодействия с внешней средой (экстранет). Создание корпоративной сети передачи данных. Деление на подсети, оборудование, архитектура сервера.
курсовая работа [850,4 K], добавлен 25.05.2015Результаты исследования корпоративной сети предприятия "Строй-СИБ". Логическая организация сетевой инфраструктуры. Физическая структура сети и схема IP-адресации. Доступ к файловым серверам внутренних клиентов организации. Система электронной почты.
курсовая работа [1,6 M], добавлен 13.09.2012Функциональная схема локальной вычислительной сети, анализ информационных потребностей и потоков предприятия. Планирование структуры сети, сетевая архитектура и топология. Структура корпоративной компьютерной сети, устройства и средства коммуникаций.
курсовая работа [315,5 K], добавлен 26.08.2010Разработка высокоскоростной корпоративной информационной сети на основе линий Ethernet c сегментом мобильной торговли для предприятия ООО "Монарх". Мероприятия по монтажу и эксплуатации оборудования. Расчет технико-экономических показателей проекта.
курсовая работа [417,5 K], добавлен 11.10.2011Характеристика общества с ограниченной ответственностью "Авангард авто". Организационно-управленческая структура предприятия. Технические и программные средства ЭИВТ предприятия. Схема информационных потоков предприятия. Разработка аппаратной части сети.
дипломная работа [1,4 M], добавлен 24.06.2011Анализ модели информационно-телекоммуникационной системы предприятия. Виды угроз информационной безопасности. Цели и задачи защиты информации на предприятии. Разработка процедур контроля системы управления защитой информации в корпоративной сети.
дипломная работа [3,6 M], добавлен 30.06.2011Основные сведения о корпоративных сетях. Организация VPN. Внедрение технологий VPN в корпоративную сеть и их сравнительная оценка. Создание комплекса мониторинга корпоративной сети. Слежение за состоянием серверов и сетевого оборудования. Учет трафика.
дипломная работа [4,2 M], добавлен 26.06.2013Организационно-управленческая структура ЗАО "Карачаево-ЧеркесскГаз". Назначение и цели создания корпоративной сети. Организация доступа к мировым информационным сетям. Обеспечение информационной безопасности. Разработка проекта аппаратной части сети.
дипломная работа [1,2 M], добавлен 24.06.2011Схема информационных потоков с учетом серверов. Выбор топологии и метода доступа корпоративной сети. Выбор коммутаторов, IP-телефонов и видеофонов, рабочих станций, вспомогательного серверного ПО, сетевых протоколов. Моделирование системы в GPSS.
курсовая работа [2,7 M], добавлен 24.05.2013Оборудование и программное обеспечение сети и способы управления системой. Специализированные сетевые технологии передачи и распределения цифровых и аналоговых аудиосигналов. Построение технической модели сети. Опасные и вредные факторы в работе с ПЭВМ.
дипломная работа [888,0 K], добавлен 03.03.2009Основные характеристики и алгоритмы настройки виртуальной локальной вычислительной сети VLAN, протоколов маршрутизации, системы доменных имен и трансляции сетевых адресов с целью разработки корпоративной сети в среде имитационного моделирования.
курсовая работа [556,1 K], добавлен 23.04.2011Проблема автоматизации нахождения ошибок подключения к корпоративной сети клиентских рабочих мест в ОАО "Сбербанк России". Требования к структуре и функционированию системы. Описание информационной модели. Выбор программного обеспечения для реализации.
дипломная работа [3,6 M], добавлен 25.07.2015- Процесс разработки и создания корпоративной информационной сети на базе Филиала АО "Корпорация KUAT"
Физическая среда передачи данных в локальных сетях. Корпоративная информационная сеть. Телекоммуникационное оборудование и компьютеры предприятия. Разработка корпоративной информационной сети на основе анализа современных информационных технологий.
дипломная работа [3,9 M], добавлен 07.06.2015 Логическое проектирование сети. Размещение серверов DNS. Разработка структуры Active Directory. Организация беспроводного доступа к сети WLAN. Подключение филиалов и удаленных пользователей. Обеспечение возможности проведения аудио и видео конференций.
курсовая работа [607,0 K], добавлен 22.02.2011Проблема построения локальной вычислительной сети организации под управлением операционной системы Windows 2000 Server. Проектирование корпоративной сети на базе Ethernet. Расчет усеченной двоичной экспоненциальной отсрочки. Обеспечение защиты данных.
контрольная работа [140,7 K], добавлен 30.10.2012
