Система информационной безопасности локальной административной сети

Размещено на http://www.allbest.ru/

Система информационной безопасности локальной административной сети



Содержание

Введение

1. Анализ локальной сети администрации Красноармейского района

1.1 Общие технические характеристики

1.2 Техническое обеспечение

1.3 Сетевое программное обеспечение

1.4 Сетевая технология

1.5 Расчет основных характеристик существующей сети

Выводы по главе

2. Система информационной безопасности

2.1 Основные требования заказчика

2.2 Выбор технических сетевых средств

2.3 Выбор сетевой операционной среды

2.4 Выбор сетевой технологии

2.4.1 Обзор сетевых технологий

2.4.2 Обоснование выбора сетевой технологии

2.5 Разработка структурной схемы сети

3. Сравнительный анализ и выбор системы защиты информации в лвс

3.1 Система защиты информации от несанкционированного доступа

3.2 Защита каналов связи

Выводы по главе

Заключение

Библиографический список

Приложение



Введение

В дипломном проекте представлена разработка система информационной безопасности локальной информационной сети администрации Красноармейского района Самарской области.

Объединение компьютеров в локальную информационную сеть (ЛИС) привносит определённые трудности в работу сотрудников предприятия. Так как компания ведет работу с закрытой информацией, доступ к которой посторонним лицам строго запрещен, то возникает проблема защиты информации в локальной информационной сети.

Реализация решений проекта позволит повысить информационную безопасность локальной сети предприятия в соответствии с требованиями заказчика. Как следствие, появляется уверенность ведущих работников администрации Красноармейского района в том, что конфиденциальные сведения предприятия не станут известны конкурирующим предприятиям с различными формами собственности.

ЛИС спроектирована так, чтобы обеспечить надлежащую степень защищенности данных. Надо помнить, что от этого не должно страдать удобство пользователей и администраторов сети.

Целью проекта является разработка системы информационной безопасности локальной информационной сети администрации Красноармейского района на основе современных технологий защиты информации с применением новейшего оборудования ведущих фирм.

Для реализации поставленной цели в дипломном проекте решены следующие основные задачи:

- выполнена системотехническая разработка сети;

- проведён анализ локальной сети администрации Красноармейского района;

- выполнено обоснование выбора сетевого программного обеспечениия;

- разработана система информационной безопасности;

- обоснован выбор средств защиты от НСД;

- обоснован выбор средств защиты каналов связи.

На основе выполненных задач сформулировать вывод о правильности проектных решений.



1. Анализ локальной сети администрации Красноармейского района

1.1 Общие технические характеристики

Администрация Красноармейского района находиться, для которого модернизируется ЛИС и разрабатывается система информационной защиты, расположено на первом этаже административного офиса и состоит из следующих отделов:

- Отдел архитектуры;

- Отдел по мобилизационной работе;

- Отдел по ГО и ЧС;

- Комитет по экономическому развитию, инвестициям и торговле;

- Отдел бухгалтерии;

- Управление сельского хозяйства;

- Организационно-правовой отдел;

- Архивный отдел;

- Отдел по экологии;

- Технический отдел.

Структура существующей локальной сети администрации, приведена на рисунке 1.1, Это одноранговая сеть на рабочих группах (топология сети - звезда). При этом физическая скорость передачи данных в локальной сети рассчитана на 100 Мбайт/c

В сеть включено 38 локальных машин, которые используют ресурсоемкие сетевые служебные и прикладные программы. Данная ЛИС была смонтирована в 2002 году, и в соответствии с требованиями заказчика уже исчерпала свои ресурсы. Интернет, пропускной способностью рассчитанной на 512 кбит/с, имеется только в двух отделах (отделе архитектуры и отделе по ГО и ЧС ), безопасность данных отделов от внешних угроз обеспечивает межсетевой экран Agnitium Outpost Firewall 1.0, что отбивает значительную долю Интернет атак. Межсетевой экран установлен на каждой рабочей станции подключенной к сети Интернет.

Расположение ПК приведены в приложении А на рисунках А.1. - А.3.

Рис. 1.1 - Структурная схема существующей ЛИС

1.2 Техническое обеспечение

В качестве сетевого оборудования в существующей сети применяется оборудование фирмы D-Link.

В сети применяются коммутаторы семейства DES-1016D.

Рис. 1.3 - Коммутатор DES-1016D

Основные характеристики этого семейства следующие:

· 16 портов 10/100 Мбит/с с автоопределением MDI|MDX

· Все порты поддерживают полу/полнодуплексный режим

· Управление потоком для предотвращения потерь данных (полный дуплекс)

· Динамический буфер данных для каждого порта

· Автообучение конфигурации сети

· Схема коммутации "store-and-forward"

· Авто коррекция обратной полярности, витой пары

Стандарты:

· IEEE 802.3 10Base-T

· IEEE 802.3u 100Base-TX

· ANSI/IEEE 802.3 автоопределения NWay

· 100 Ом Категории 3,4,5 (для 10Base-T) и Кат 5 (для 100Base-TX) кабеля неэкранированной витой пары

· EIA/TIA-568 100 Ом кабеля экранированной витой пары

Протоколы:

· IEEE 802.3 Ethernet CSMA/CD

· IEEE 802.3u Fast Ethernet CSMA/CD

· IEEE 802.3x Flow Control\

· Производительность (скорость фильтрации пакетов в секунду по порту):

· 10Base-T, полный дуплекс = 14,880

· 100Base-TX, полный дуплекс = 148,800

· 10Base-T, полудуплекс = 14,880

· 100Base-TX, полудуплекс = 148,800

· Пропускная способность внутренней магистрали: 3,2 Гбит/с

· Метод коммутации: Store-and-Forward

· Размер таблицы МАС-адресов: 8K

· Размер буфера данных: 512kB, динамическое выделение буфера для каждого порта

D-Link DES-1016D является неуправляемым коммутатором 10/100 Мбит/с 2 уровня, предназначенным для повышения производительности работы небольшой группы пользователей, обеспечивая при этом высокую пропускную способность. Мощный и одновременно с этим простой в использовании, DES-1016D, позволяет пользователям не задумываясь подключать в любой порт сетевое оборудование, работающее на скоростях 10 Мбит/с или 100 Мбит/с, понизить время отклика и удовлетворить потребности в большой пропускной способности сети.

Коммутатор снабжен 16 портами 10/100 Мбит/с, позволяющими небольшой рабочей группе гибко подключаться сетям к Ethernet и Fast Ethernet, а также интегрировать их. Это достигается благодаря свойству портов автоматически определять сетевую скорость, согласовывать стандарты 10Base-T и 100Base-TX, а также режим передачи полу/полный дуплекс.

1.3 Сетевое программное обеспечение

Существующая сеть построена на основе сетевой операционной системы (ОС) Microsoft Windows XP Pro.

ОС появилась в 2001 году. Это полностью 32 разрядная ОС с приоритетной многозадачностью. В её основе лежат те же принципы, на которых базировались все NT. Система может иметь привычный интерфейс ОС семейства Windows, с некоторыми добавлениями и расширениями, поддержку файловых систем NTFS5, NTFS4, FAT16 и FAT32. Большинство приложений, написанных под MSDOS, W9x, NT4, а также некоторые программы под OS/2 и POSIX запускаются и функционируют без проблем. При проектировании NT учитывалась возможность работы системы в различных сетевых средах, поэтому в поставку входят средства для работы в Unix- и Novell-сетях. Система работает на различных процессорах семейства x86 производства Intel и AMD.

Windows XP характеризуется :

- возможностью оптимальной настройки сервера Windows XP как файлового сервера, сервера печати, или сервера приложений;

- симметричной поддержкой до 4 процессоров;

- программной поддержкой RAID-технологий;

- возможностью функционирования в качестве информационного сервера Internet, поддерживающего HTTP, FTP и Gopher серверы,

- обеспечение целого ряда дополнительных сетевых сервисов, таких как многопротокольная маршрутизация, DNS, DHCP и др.;

- поддержкой единой базы данных сетевого администрирования NT Directory Services (NTDS).

К основным свойствам Windows NT Workstation 4.0 относятся:

- вытесняющая многозадачность;

- возможность использования 2-го процессора;

- наличие файловой системы NTFS, поддерживающей локальную безопасность, то есть разграничение прав пользователя на собственной рабочей станции; NTFS поддерживает избирательные права доступа и привилегии владельца, гарантирующие целостность хранящихся данных;

- возможность запуска приложений в отдельной области памяти, что существенно повышает стабильность работы операционной системы;

- интеграция с продуктами семейства Microsoft BackOffice, в состав которого входит Microsoft SQL Server;

- более высокие по сравнению с Windows NT и 2000 характеристики для приложений, интенсивно использующих процессор.

Реализована привычная для NT система безопасности на уровне пользователей. К стандартным пользователям относятся Administrator (администратор) и Guest (гость). Данного пользователя нельзя удалить из системы, но можно переименовать.

Administrator обладает полным контролем над системой и может выполнять следующие действия:

- управлять доступом пользователей к ресурсам сети;

- изменять конфигурацию сетевой операционной системы;

- создавать и иметь полный доступ к общим сетевым директориям;

- инсталлировать принтеры;

- создавать разделы на жестком диске и форматировать его.

Пользователь Guest имеет ограниченный администратором доступ к объектам файловой системы. Может быть использован для организации доступа относительно большого количества пользователей к некоторым файлам и директориям компьютера под управлением Windows XP как локально, так и удаленно.

Для Windows XP определены такие понятия как права (rights) и допуски (permissions). Права определены для действий, а допуски - для объектов файловой системы.

Приведем перечень прав, как правило, присваиваемых пользователям:

- доступ к данной рабочей станции по сети;

- включение рабочей станции в домен;

- резервное копирование файлов и директорий;

- изменение системного времени;

- удаленное выключение рабочих станций;

- загрузка и выгрузка драйверов устройств;

- локальная регистрация на рабочих станциях;

- управление аудитом;

- восстановление файлов и директорий;

- выключение системы;

- взятие файлов во владение, то есть возможность управлять доступом к этим файлам.

Windows XP имеет встроенные в систему сетевые возможности, что обеспечивает возможность связи с различными типами компьютеров-хостов благодаря наличию разнообразных транспортных протоколов и технологии "клиент-сервер".

Архитектура ОС защищает приложения от повреждения друг другом и самой операционной системой. При этом используется отказоустойчивая структурированная обработка особых ситуаций на всех архитектурных уровнях, которая включает восстанавливаемую файловую систему NTFS и обеспечивает защиту с помощью встроенной системы безопасности и усовершенствованных методов управления памятью.

1.4 Сетевая технология

В существующей сети реализована технология Ethernet 100BaseTX.

Ethernet - это самый распространенный на сегодняшний день стандарт локальных сетей. Общее количество сетей, использующих в настоящее время Ethernet, оценивается в 5 миллионов, а количество компьютеров, работающих с установленными сетевыми адаптерами Ethernet - в 50 миллионов.Технология Ethernet была разработана в исследовательском центре компании Xerox в 70-х годах и достигла своего нынешнего лидирующего положения в 80-х . Впервые термин Ethernet был использован Робертом Меткалфом в заметке, написанной им в этом исследовательском центре в мае 1973 года.

Ethernet 100BaseTX получила наибольшее распространение для сравнительно небольших сетей (примерно до 100 рабочих станций). Буква Т в названии означает, что средой передачи является неэкранированная витая пара (Unshielded Twisted Pair, UTP). Применение дешевых кабелей UTP является одним из основных преимуществ l00BaseT по сравнению со спецификациями 10Base2 и 10Base5. Подключение узлов к сети осуществляется с помощью телефонных гнезд RJ-45 и RJ-11 и четырехпарного телефонного кабеля UTP. Вилка RJ-45 вставляется напрямую в сетевую плату. Протяженность отрезка кабеля от коммутатора до станции не превышает 100 м.



1.5 Расчет основных характеристик существующей сети

Исходные данные:

- максимальное расстояние между двумя станциями 150 м;

- скорость модуляции 100 Мбит/с;

- число станций 38;

- скорость распространения сигнала по кабелю связи 2,310⁵ км/с;

- максимальное число коммутаторов между двумя станциями 3;

- средняя длина информационной части кадра L_H = 1600 бит;

- средняя длина служебной части кадра 320 бит;

- среднее значение интенсивности сообщений, поступающих от каждой станции 2,104 (1/с);

- закон распределения длин информационной части кадра (обычно экспоненциальный) ;

- закон распределения длин служебной части кадра (обычно детерминированный) ;

Обычно сеть принимается однородной.

На основании указанных исходных данных произведем расчет времени задержки в сети и определим ее пропускную способность.

1. Время распространения сигнала по кабелю между двумя наиболее удаленными станциями рассчитаем по формуле:

(1.2)

где S - протяженность сети;

V - скорость распространения сигнала по кабелю связи.

2. Время передачи информационной части кадра описывается следующей зависимостью:

(1.2)

где L_И - длина информационной части кадра;

В - скорость передачи данных в моноканале.

3. Время передачи служебной части кадра определим по формуле:

(1.3)

где L_N - длина служебной части кадра;

B - скорость передачи данных в моноканале.

4. Суммарное время передачи кадра

(1.4)

5. Степень детерминированности процесса можно охарактеризовать коэффициентом вариации.

Коэффициент вариации указывает насколько случайная величина интервала _СР отклоняется от своего среднего значения _СР, и определяется по формуле:

, (1.5)

где _cp - среднеквадратическое отклонение.

_cp = . (1.6)

В нашем случае:

_cp = . (1.7)

Так как время передачи информационного поля является случайной величиной со средним значением _и. А закон распределения - экспоненциальный, то его среднеквадратическое отклонение

(_и) = _и.

Время передачи служебной части кадра носит детерминированный характер (остается постоянным), при этом среднеквадратическое отклонение будет равно (_и) = 0.

Учитывая все выше изложенное, получим:

6. Суммарное значение интенсивности поступления сообщений

(1.8)

где М - число станций;

_CP - среднее значение интенсивности сообщений, поступающих от каждой станции

(_CP = 2,104 1/с).

7. Суммарный коэффициент загрузки

(1.9)

8. Коэффициент дальнодействия, с учетом времени задержки

(1.10)

9. Относительное время задержки доставки сообщения, определенное по соотношению

(1.11)

10. Время задержки доставки

(1.12)

11. Пропускная способность канала

(1.13)

12. Предельно допустимое значение суммарной интенсивности, при котором загрузка достигает пропускной способности канала.

(1.14)

13. Минимальное время задержки доставки (при R = 0)

(1.15)



Выводы по главе

Приведенные данные о программном и сетевом оборудовании показывают, что ЛИС работает без нагрузок, но при этом увеличение рабочих станции приведёт к нестабильной работе сети. Исходя из требований заказчика, данная локально-информационная сеть должна быть модернизирована, для увеличения рабочих станции, установки сервера и более надёжного программного обеспечения

Выполненные расчеты вероятностно-временных характеристик, подтверждают надежность работы данной ЛИС, в её настоящем состоянии, но также результаты расчетов позволяют сделать вывод, что дальнейшее увеличение числа рабочих станций (требования заказчика) практически приведет к недопустимо большим задержкам при передаче сообщений по сети, что, в конечном счёте приведёт к увеличению времени передачи информации по существующей сети.



2. Система информационной безопасности

2.1 Основные требования заказчика

Увеличить число пользователей сети до 70, а в перспективе на пять лет до 100, связать сетью соседнее здание (расстояние 150 метров), установить выделенный канала Интернет.

Обосновать выбор:

- технического обеспечения;

- программного обеспечения;

Разработать структурную схему ЛИС администрации на основе современного сетевого оборудования.

Выполнить расчёты:

- вероятностно-временных характеристик.

На основании анализа расчетных данных сформулировать вывод о правильности проектных решений.

2.2 Выбор технических сетевых средств

В качестве сетевого оборудования предлагается использовать уже установленное оборудование фирмы D-Link, за время службы оно зарекомендовали себя с самой лучшей стороны и, ещё не исчерпала свои ресурсы и не устарело.

Коммутация зарекомендовала себя как наиболее экономичная и гибкая технология, обеспечивающая увеличение полосы пропускания и повышение управляемости сети на всех уровнях.

Для увеличения рабочих станций в сети, было принято решение об замене 16-портовых коммутаторов DES-1016D на 24-портовые управляемые стекируемые коммутаторы Fast/Gigabit Ethernet уровня 3

Для обеспечения разрабатываемой сети требуется 5 коммутаторов DES-3326S

Рис 2.1 - Коммутатор DES-3326S

и 1 мультисерверный маршрутизатор DI-3660

Рис. 2.2 - Маршрутизатор DL3660

2.3 Выбор сетевой операционной среды

На рабочих станциях в сети решено было применить операционную систему Microsoft Windows 8, однако для правильной и безопасной работы сервера было принято решения об установки серверной операционной системы

Практически все современные ОС поддерживают работу в сети. Однако в качестве ОС для сервера в настоящее время чаще всего используются Unix, Linux и Windows 2007 Server.

Однако, по причине пользования сервером не только сетевым администратором, но и другими доверенными лицами, было принято решения об установки операционной системы семейства Microsoft Windows, - как наиболее быстро осваиваемой системы. Эта версия ОС поддерживает работу с большим объемом оперативной памяти и большим количеством процессоров. Она включает в себя средства организации кластеров и механизмы распределения нагрузки. Улучшенная производительность. Добавлена поддержка большего объема оперативной памяти, большего количества процессоров. Новая система более эффективно использует аппаратные ресурсы компьютера, а также позволяет следить за расходованием процессорного времени и управлять этим расходованием

По сравнению с Windows 2003 версия Windows 7 Server обладает следующими новыми возможностями:

· Active Directory. Новая служба каталога, основанная на спецификациях Х.500 и заменяющая собой домены Windows NT 4.0. Служба Active Directory интегрирована с DNS, использует аутентификацию Kerberos, поддерживает наследуемые доверительные отношения и репликацию с несколькими главными контроллерами домена;

· Улучшенная управляемость. Новая система включает в себя продуманный и последовательный интерфейс управления системой (Microsoft Management Console, MMC), поддержку групповой политики (Group Policy), средство автоматической установки Microsoft Installer, средства синхронизации папок в отключенном от сети состоянии, а также службы Telnet и Terminal Services (службы терминалов) для обеспечения удаленного администрирования;

· Улучшенная поддержка сети. Среди нововведений, связанных с работой в сети, следует упомянуть улучшенные службы DNS, WINS и DHCP, поддержку технологии Quality of Service (QoS), сжатие http, защиту данных IP Security (IPSec), поддержку Asynchronous Transfer Mode (ATM), совместное использование канала связи с Интернетом (Internet Connection Sharing), поддержку Virtual Private Network (VPN), а также службу маршрутизации и удаленного доступа Routing and Remote Access Service (RRAS);

· Улучшенная поддержка аппаратных устройств. Новая система включает в себя улучшенные драйверы существующего аппаратного обеспечения, а также цифровых видеодисков DVD (Digital Video Disks), устройств USB (Universal Serial Bus), новых сетевых адаптеров, сканеров, принтеров, модемов и других аппаратных устройств. В подавляющем большинстве случаев установка новых драйверов не требует перезагрузки системы. Если ранее перезагрузка системы требовалась приблизительно в пятидесяти случаях из ста, то теперь этот параметр снижен всего до семи случаев из ста; сетевой программный обеспечение администрация

· Управление системой долговременного хранения данных. Новая система включает в себя улучшенные механизмы хранения файлов, а также управления данными, хранящимися на дисках и других устройствах долговременного хранения информации. Среди новых механизмов -- квотирование дискового пространства, шифрование данных, управление сменными носителями информации, контекстное индексирование и распределенная файловая система DPS (Distributed File System);

2.4 Выбор сетевой технологии

2.4.1 Обзор сетевых технологий

На рубеже 2000 года началась очередная смена поколений кабельных систем локальных сетей. Действующие стандарты морально устарели, приняты новые категории, требующие частичной замены установленных линий, разрабатываются новые стандарты. В таких условиях выбор систем на длительный срок эксплуатации, оказывается непростой задачей. Для ее решения нужна многоплановая информация, в том числе, о тенденциях развития кабельных систем. Именно она позволяет находить оригинальные решения и создавать открытые системы с реальными гарантиями будущего.

Принятие в 1991 году стандарта категории 3 имело далеко идущие последствия. Шестнадцатикратное расширение частотного диапазона витой пары по сравнению с категорией 2 (1 МГц) явилось впечатляющим шагом вперед. В результате изменились представления о витой паре, как о среде передачи только для речевых приложений. Была опубликована первая версия стандартов СКС. Витая пара начала вытеснять коаксиальный кабель.

В 1997 года в организациях стандартизации разного уровня была начата работа по спецификации параметров категорий 6 и 7, вновь расширяющих диапазон витой пары в два и шесть раз соответственно. В июне 1999 году Ассоциация стандартов Института инженеров электроники и электротехники приняла стандарт протокола витой пары Gigabit Ethernet IEEE Std 802.3a. В конце того же года Ассоциация телекоммуникационной промышленности совместно с Ассоциацией электронной промышленности утвердили Приложение ANSI/TIA-568-A-5 "Спецификации параметров передачи 4-парных 100-омных кабельных систем категории 5е". В сентябре 2000 года вступили в действие стандарты класса D (аналогичные категории 5е), принятые международной и европейской организациями стандартизации. В 2002 году принята вторая редакция стандарта ISO/IEC 11801, включающая спецификацию параметров кабелей и разъемов категорий 1 - 7 и линий каналов классов C, D, E и F.

Таблица 2.1 - Хронологическая таблица принятия категорий СКС

Категория СКС	Диапазон частот	Приложения, под которые разрабатывались категории	Год принятия стандарта
Категория 3	16 МГц	Ethernet, 10Base-T	1991
Категория 4	20 МГц	Token Ring 16Мбит/с	1993
Категория 5	100 МГц	100Base-TX (Fast Ethernet) АТМ 155	1995
Категория 5E	100 МГц	100Base-TX (Fast Ethernet) 1000Base-T (Gigabit Ethernet)	1999
Категория 6 Категория 7	200 МГц 600 МГц	Gigabit Ethernet 1000Base-TX Gigabit Ethernet 2,5 Гб/с Предложений нет	2002 Не ранее 2004

Как видно из приведенной таблицы, выбор категории СКС под текущие приложения обеспечивает срок службы не более двух - трех лет. Исключение составляет категория 5, которая продержалась без изменений четыре года.

Следует отметить, что за десять лет меняется не менее семи поколений компьютеров и три поколения сетевых устройств. Тенденция развития информационных технологий на рубеже 2000 годов показывает, что темпы увеличения объема передаваемых данных в локальных сетях не уменьшаются, а возрастают. СКС призвана обеспечить десятилетний срок службы без замены кабелей горизонтальной подсистемы.

Практика показывает, что срок появления систем, расширяющих частотный диапазон, не превышает пяти лет. Скорости передачи данных возрастают на порядок каждые четыре года. Сегодня мы стоим на границе третьего качественно нового шага вперед в смене поколений среды передачи.

Замена кабелей локальных сетей в здании требует значительных инвестиций и приводит к нарушению производственного ритма предприятия. Особенно сложно проводить модификации в горизонтальной подсистеме СКС, поскольку она включает более 90% всех кабелей, которые в наибольшей степени, по сравнению с магистральной подсистемой, интегрированы в конструкцию здания. Их прокладывают в стенах, полах и потолках. Даже при наличии лотков, коробов и фальш-панелей не избежать многочисленных проходов сквозь стены и перекрытия и сложных маршрутов прокладки кабелей, требующих больших трудозатрат. Поэтому долговечность горизонтальной подсистемы является важнейшим требованием.

Горизонтальная подсистема СКС в подавляющем большинстве случаев состоит из электропроводных кабелей. Именно этим объясняется такое внимание разработке новых категорий и выбору систем с резервом на несколько поколений сетевых устройств.

Выбор зависит в первую очередь от оценки того, какие приложения появятся и потребуются в течение этого срока.

Шина используется для обмена данными оперативной памяти центрального процессора и всех периферийных устройств, включая сетевые карты и дисководы.

По текущим оценкам стоимость решений Gigabit Ethernet на абонентских каналах в 2 -3 раза превышает стоимость Fast Ethernet. Это уже неплохо, учитывая десятикратное увеличение производительности. В ближайшее время цена обоих решений и разница в цене будут уменьшаться. Наряду с ростом потребностей в скорости передачи и повышением эффективности использования протокола переход на Gigabit Ethernet в горизонтальных подсистемах СКС станет экономически целесообразным.

Следовательно, проблема выбора сводится к тому, считают ли заказчики скорость на абонентских каналах в один гигабит в секунду достаточной для обозримого будущего, и не предусматривают ли они роста потребностей сверх этого предела через пять лет и более. Однако не все производители гарантируют совместимость категорий и элементов. Эту проблему следует рассмотреть особо.

Важнейший принцип построения СКС - открытость. СКС любого производителя должна обеспечить работу активного оборудования любого производителя. Кроме того, от СКС требуется поддержка приложений более низких классов. Таким образом, следует обеспечить три типа совместимости:

· совместимость разъемов (механическое соответствие разъемов различных производителей);

· совместимость категорий (возможность создания канала из кабелей разных категорий / классов);

совместимость элементов (электрическое соответствие разъемов различных).

В настоящее время гигабитные приложения используют в магистральных каналах и для подключения серверов. Через несколько лет эти приложения станут абонентскими. Следовательно, гигабитная среда передачи будет использована для приложений класса D - Fast Ethernet, ATM 155 и др. Для снижения расходов эксплуатации системы заказчики выберут дешевые соединительные кабели категории 5 / 5e. Они вправе ожидать, что такие каналы будут иметь параметры, приемлемые для работы сети.

Однако проект стандарта в редакции предложений, принятых Международной организацией стандартизации, не обеспечивает совместимости категорий. Более того, не все производители гарантируют совместимость категорий собственных систем. Это значит, что базовая линия шестой категории плюс соединительные кабели пятой категории не обеспечат функциональных параметров канала категории 5.

Данная проблема имеет частные решения. Это значит, что отдельные компании предлагают системы категории 6, которые обеспечивают совместимость категорий, составленных их элементов одного производителя.

2.4.2 Обоснование выбора сетевой технологии

Важнейший фактор выбора - это текущие и перспективные потребности заказчика. Прогноз степени загрузки сетей - это задача, которую администраторы сетей и проектировщики телекоммуникационной инфраструктуры зданий должны решать для каждого конкретного случая. Выбор зависит от учета внешних и внутренних факторов. В каждой ситуации требуется анализ предшествующего развития и оценка перспектив. Основными факторами, влияющими на выбор топологии для построения сети, являются:

среда передачи информации (тип кабеля);

метод доступа к среде;

максимальная протяженность сети;

пропускная способность сети;

метод передачи и др.

Рассмотрим вариант построения сети: на основе технологии Fast Ethernet.

Данный стандарт предусматривает скорость передачи данных 100 Мбит/сек и поддерживает два вида передающей среды - неэкранированная витая пара и волоконно-оптический кабель. Для описания типа передающей среды используются следующие аббревиатуры (см. таблица 2.2).



Таблица 2.2 - Стандарт Fast Ethernet

Название	Тип передающей среды
100Base-T	Основное название для стандарта Fast Ethernet (включает все типы передающих сред)
100Base-TX	Экранированная или неэкранированная витая пара категории 5 и выше
100Base-FX	Многомодовый двухволоконный оптический кабель
100Base-T4	Витая пара. 4 пары категории 3, 4 или 5

100Base-TX.

Правило 1: Сетевая топология должна быть физической топологией типа "звезда" без ответвлений или зацикливаний.

Правило 2: Должен использоваться кабель категории 5 или 5е.

Правило 3: Класс используемых повторителей определяет количество концентраторов, которые можно каскадировать.

· Класс 1. Можно каскадировать (стэковать) до 5 включительно концентраторов, используя специальный каскадирующий кабель.

· Класс 2. Можно каскадировать (стэковать) только 2 концентратора, используя витую пару для соединения средозависимых портов MDI обоих концентраторов.

Правило 4: Длина сегмента ограничена 100 метрами.

Правило 5: Диаметр сети не должен превышать 205 метров.

Правило 6: Метод доступа CSMA/CD.

Существует несколько факторов, которые необходимо учитывать при выборе наиболее подходящей к данной ситуации топологии (см. таблицу 2.3).

Исходя из всего вышеперечисленного, оптимальным видом топологии для проекта является звездная топология стандарта 100Base-TX с методом доступа CSMA/CD, так как она имеет широкое применение в наши дни, её легко модифицировать и у нее имеется высокая отказоустойчивость.

Структура стандартов ЛВС

802.1



Канальный

уровень

802.2

LLC

802.3 802.5

Физический

уровень

"Толстый"

коаксиал

"Тонкий"

коаксиал

Неэкранированная

витая пара (UTP)

Оптоволокно

Витая пара,

Оптоволокно

Рис. 2.3 - Структура стандартов ЛВС

Таблица 2.3 - Преимущества и недостатки топологий

Топология	Преимущества	Недостатки
Шина	Экономный расход кабеля. Сравнительно недорогая и несложная в использовании среда передачи. Простота, надежность. Легко расширяется	При значительных объемах трафика уменьшается пропускная способность сети. Трудно локализовать проблемы. Выход из строя кабеля останавливает работу многих пользователей
Кольцо	Все компьютеры имеют равный доступ. Количество пользователей не оказывает сколько-нибудь значительного влияния на производительность	Выход из строя одного компьютера может вывести из строя всю сеть. Трудно локализовать проблемы. Изменение конфигурации сети требует остановки работы всей сети
Звезда	Легко модифицировать сеть, добавляя новые компьютеры. Централизованный контроль и управление. Выход из строя одного компьютера не влияет на работоспособность сети	Выход из строя центрального узла выводит из строя всю сеть

2.5 Разработка структурной схемы сети

На рисунке 2.3 приведена разработанная структурная схема сети. Основные характеристики сети:

- количество рабочих станций 70;

- все 16-портовые коммутаторы (Switch) DES-1016D заменены на 24-портовые коммутаторы DES-3326S;

- Установлен маршрутизатор DI-3660;

- Проведен выделенный канал Internet, 2 мб/c

Рисунок 2.3 - Структурная схема разработанной ЛИС



3. Сравнительный анализ и выбор системы защиты информации в лвс

3.1 Система защиты информации от несанкционированного доступа

Необходимой, а точнее центральной частью мероприятий по защите информации в вычислительных системах и сетях являются внутренние эффективные системы защиты как отдельных ПВЭМ, так и локальных вычислительных сетей (ЛВС) от несанкционированного доступа (НСД) /3/.

Общими направлениями защиты от НСД являются:

идентификация и аутентификация пользователей ВТ;

регистрация действий пользователей и их процессов;

предоставление возможностей по изменению конфигурации системы защиты от НСД: введение новых пользователей, изменение их полномочий и т.д.;

реакция на попытки НСД;

очистка оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователей с защищаемыми данными;

учет выходных печатных и графических форм и твердых копий;

контроль целостности программной и информационной части как системы разграничения доступа, так и обеспечивающих ее средств.

При сравнении средств защиты от НСД следует учитывать следующие факторы:

наличие в них тех или иных функций защиты и удобство реализации этих функций для пользователей;

имеющиеся сведения о механизмах реализации функций защиты и возможности их взлома потенциальными нарушителями;

наличие сертификата Гостехкомиссии при Президенте РФ или ФАПСИ, что является главным и определяющим фактором на приобретение и эксплуатацию изделия, реализующего систему защиты от НСД.

Полноту функций систем защиты можно задавать с учетом требований Руководящего Документа (РД) Гостехкомиссии РФ, которые классифицируются по семи классам защищенности средств ВТ. Наиболее незащищенным является 7-й класс, а 1-й класс характеризуется максимальными требованиями по защите.

Из каталога сертифицированных средств защиты информации от НСД выделим наиболее популярные изделия и представим в виде таблицы 2.4.

Таблица 2.4

Шифр изделия	ОС	Лицензия	Класс	Цена, у.е.
СИЗАМ Secret Net 4.0 СПЕКТР-Z МАРС САТУРН КРИПТОН-ВЕТО	MS DOS Win 9x/NT Win 95/98 Win 3.1 Win 95 Win 3.1/95	ГТК ГТК ГТК ГТК ГТК ФАПСИ	6 3 3 3 3 1	250 115 120 180 160 555

Таким образом, приведенный сравнительный обзор отечественных систем защиты от НСД позволяет сделать однозначный выбор в широком диапазоне функций защиты, стоимости и области применения.

Класс защищенности системы защиты информации должен соответствовать 3 классу защищенности в соответствии с требованиями РД Гостехкомиссии России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации".

Исходя их вышеперечисленных требований для защиты ПЭВМ от НСД выбираем СЗИ Secret Net 4.0.

Система защиты информации Secret Net является программно-аппаратным комплексом, предназначенным для обеспечения информационной безопасности в локальной вычислительной сети, рабочие станции и серверы которой работают под управлением следующих операционных систем: Windows 95; Windows 98; Windows NT версии 4.0, Windows 2000.

Безопасность рабочих станций и серверов сети обеспечивается с помощью различных механизмов защиты:

- усиленная идентификация и аутентификация;

- полномочное и избирательное разграничение доступа;

- замкнутая программная среда;

- криптографическая защита данных.

Сетевой вариант Secret Net предоставляет администратору безопасности возможность централизованного управления защитными механизмами клиентов Secret Net, мониторинга состояния безопасности информационной системы, оперативного управления рабочими станциями в случае попыток НСД, централизованной обработки журналов регистрации и генерации отчетов.

Система Secret Net состоит из трех компонент:

- Клиентская часть.

- Сервер безопасности.

- Подсистема управления.

Особенностью системы Secret Net является клиент-серверная архитектура, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.

Система защиты информации Secret Net выпускается в автономном и сетевом вариантах.

Автономный вариант - состоит только из клиентской части Secret Net и предназначен для обеспечения защиты автономных компьютеров или рабочих станций и серверов сети, содержащих важную информацию.

Сетевой вариант - состоит из клиентской части, подсистемы управления, сервера безопасности и позволяет реализовать защиту, как всех компьютеров сети, так и только тех рабочих станций и серверов, которые хранят и обрабатывают важную информацию. Причем в сетевом варианте, благодаря наличию сервера безопасности и подсистемы управления, будет обеспечено централизованное управление и контроль работы всех компьютеров, на которых установлены клиенты Secret Net.

Система Secret Net может быть использована для того, чтобы:

- на компьютерах компании была только та информация, и только те программы, которые необходимы сотрудникам для работы;

- неблагонадежные сотрудники компании не смогли передать конфиденциальную информацию конкурентам;

- конфиденциальная информация организации была под постоянным контролем - всегда можно узнать, кто и когда к ней обратился;

- всегда можно было ознакомиться с историей работы сотрудника на компьютере;

- в незащищенных ОС Windows 95, Windows 98 сделать такую же защиту, как в серверной ОС, не повышая требований к аппаратной части компьютера;

- существенно облегчить работу администратора безопасности;

- всегда можно было выяснить - что происходит на компьютерах корпоративной сети.

Семейство средств защиты информации Secret Net имеет все необходимые сертификаты Гостехкомиссии России и Федерального агентства правительственной связи и информации России.

Система Secret Net широко применяется как средство защиты информации в автоматизированной системе, подлежащей аттестации. В таких автоматизированных системах, как правило, обрабатываются сведения, составляющие государственную тайну.

Система защиты информации Secret Net 4.0 сертифицирована Гостехкомиссией России по 3 классу защищенности. Это означает, что Secret Net 4.0 можно применять для защиты информации, содержащей сведения, составляющие государственную тайну.

Система защиты информации поставляется в двух вариантах - автономном и сетевом.

В составе автономной версии системы Secret Net клиентская часть обеспечивает защиту автономных компьютеров, а так же может быть использована для защиты рабочих станций и серверов сети, содержащих важную информацию.

В составе сетевой версии системы Secret Net клиентская часть позволяет реализовать защиту, как всех компьютеров сети, так и только тех рабочих станций и серверов, которые хранят и обрабатывают важную информацию. При этом в сетевом варианте, благодаря наличию сервера безопасности и подсистемы управления, будет обеспечено централизованное управление и контроль работы всех компьютеров, на которых установлены клиенты Secret Net.

В настоящее время система защиты информации Secret Net позволяет обеспечить защиту рабочих станций и серверов сети, работающих под управлением следующих операционных систем:

· ОС семейства Windows'9x (Windows 95, Windows 98 и их модификаций) с файловой системой FAT16 или FAT32;

· ОС Windows NT версии 4.0 с файловой системой NTFS;

· ОС Windows 2000 с файловой системой NTFS5.

Клиент Secret Net имеет весь спектр защитных механизмов, необходимых для обеспечения безопасности рабочих станций и серверов сети.

Идентификация и аутентификация:

· Идентификация и аутентификация пользователей осуществляется при каждом входе пользователя в систему. При загрузке компьютера система Secret Net запрашивает у пользователя его идентификатор и пароль. Если идентификатор и пароль указаны верно, то пользователю разрешается вход в систему. В качестве идентификаторов могут использоваться: уникальные имена (присваивается пользователю при создании в системе Secret Net объекта "пользователь"); уникальные номера аппаратных устройств идентификации (персональных идентификаторов). В Secret Net поддерживается работа с паролями длиной до 16 символов. Если имя или пароль указаны неверно, подается звуковой сигнал и в системном журнале регистрируется попытка НСД. При трехкратном вводе неверного имени или пароля блокируется клавиатура рабочей станции, подается звуковой сигнал, на экран выдается соответствующее сообщение, и, после нажатия любой клавиши, осуществляется перезагрузка рабочей станции. При установленной аппаратной поддержке компьютер перезагружается только после нажатия кнопки "RESET" (или выключения питания). Пароль может быть изменен самим пользователем или администратором безопасности, факт смены пароля пользователя регистрируется в системном журнале. Администратор может назначать пользователям новые пароли, но не имеет возможности узнать значения старых паролей. В Secret Net реализована дополнительная, криптографически усиленная, аутентификация клиента Secret Net на сервере безопасности, при этом доступ к защищаемым ресурсам информационной системы с компьютера невозможен до тех пор, пока клиент Secret Net данного компьютера не произведет аутентификацию на сервере безопасности. Данная функция устанавливается опционально и позволяет предотвратить подключение к сети других компьютеров.

· Средства аппаратной поддержки в системах защиты семейства Secret Net предназначены для выполнения следующих функций: запрет загрузки операционной системы с отчуждаемых носителей (гибких дисков, CD-ROM и т.д.); идентификация пользователей системы защиты до загрузки операционной системы; поддержка различных аппаратных идентификаторов, заменяющих ввод идентифицирующей информации с клавиатуры. Виды аппаратной поддержки: Электронный замок "Соболь" (стандарт ISA); Электронный замок "Соболь-PCI"; Secret Net PCI Touch Memory Card.

Электронный замок "Соболь" - плата с разъемом для подключения считывателя Touch Memory, аппаратным датчиком случайных чисел, 2-мя (4-мя) каналами физической блокировки устройств и внутренней энергонезависимой памятью. Устанавливается внутри компьютера в разъем ISA или PCI. В системе Secret Net используется для идентификации пользователей по электронным идентификаторам Touch Memory, а также для генерации криптографических ключей.

Secret Net PCI Touch Memory Card - плата с разъемом для подключения считывателя Touch Memory. Устанавливается внутри компьютера в разъем PCI. Обеспечивает идентификацию пользователей по электронным идентификаторам Touch Memory до загрузки операционной системы.

Механизмы разграничения доступа:

· Избирательное управление доступом - один из основных механизмов для разграничения доступа пользователей к информационным ресурсам. Система защиты информации Secret Net добавляет механизм избирательного управления доступом к возможностям таких слабо защищенных операционных системах как Windows 95, Windows 98.

· Система защиты информации Secret Net позволяет организовать порядок доступа пользователей к информации в соответствии с важностью информации и статусом пользователя. Такое управление доступом называется полномочным (мандатным) и состоит в следующем: для каждого пользователя устанавливается некоторый уровень допуска к конфиденциальной информации; каталогам или файлам назначается категория конфиденциальности, например, "конфиденциальная информация", "строго конфиденциальная информация". При этом доступ к файлу пользователь получит только в том случае, если его уровень допуска не ниже чем уровень конфиденциальности файла. В Secret Net используются три категории конфиденциальности информации: "Открытая информация", "Конфиденциальная", "Строго конфиденциальная". Названия категорий конфиденциальности могут быть изменены, например: "Секретная информация", "Совершенно секретная". При работе системы Secret Net в режиме полномочного управления доступом контролируется перемещение документа: используется контроль потоков, при котором, например, "конфиденциальный" документ нельзя переместить в "не конфиденциальную" директорию; контролируется буфер обмена операционной системы, т.е. невозможно, используя буфер обмена, сделать копию всего документа или его части. В системе защиты существует возможность регистрировать изменения меток конфиденциальности информационных ресурсов, при этом указывается: дата и время изменения; имя пользователя, сделавшего изменения; АРМ, с которого были произведены изменения; логическое имя ресурса, который подвергся изменениям, и полный путь к нему. При печати конфиденциальной информации, ведется автоматическая маркировка каждой страницы учетными реквизитами: грифом конфиденциальности; порядковым номером в формате "текущий номер страницы из общего числа листов"; указывается имя пользователя, производившего печать. Формат маркировки документа может быть изменен в соответствии с требованиями внутренних инструкций организации к маркировке конфиденциальных документов, по умолчанию маркировка документа выполняется в соответствии с требованиями руководящих документов Гостехкомиссии России. Факт печати пользователем конфиденциального документа регистрируется в журнале регистрации Secret Net, при этом указывается: дата и время печати; имя распечатанного файла и гриф конфиденциальности; имя пользователя, распечатывавшего документ; количество распечатанных копий документа. Secret Net предоставляет администратору безопасности возможность запретить пользователю вывод конфиденциальной информации на дискеты. Если вывод конфиденциальной информации на дискеты разрешен, то осуществляется регистрация данных событий.

· Для того чтобы пользователь на рабочем месте занимался выполнением своих служебных обязанностей, администратор может использовать механизм замкнутой программной среды. Данный механизм позволяет администратору составить список программ, которые действительно необходимы сотруднику для выполнения своих служебных обязанностей, и запретить использовать те приложения, которых нет в этом списке. Некоторые возможности механизма замкнутой программной среды: реализована политика "запрещено все, что явно не разрешено"; используется указание полных путей к файлам (позволяет предотвратить запуск одноименных программ с ГМД, CD-ROM или сетевого диска); запрет модификации (злоумышленник не сможет изменить существующую программу или подменить ее); автоматизированная процедура построения списка разрешенных для запуска программ (наличие "мягкого режима" замкнутой программной среды). Механизм замкнутой программной среды на этапе ввода в эксплуатацию может применяться в "мягком" режиме работы. Данный режим позволяет автоматизировать процедуру построения списка разрешенных для запуска программ. При использовании "мягкого" режима пользователю разрешен запуск программ, не входящих в список замкнутой программной среды. При этом в системном журнале запуск программ, не входящих в список замкнутой программной среды, регистрируется как событие НСД. Система Secret Net анализирует записи журнала регистрации и автоматически составляет список всех программ, которые использовал пользователь.

Механизмы контроля работы системы защиты:

· В процессе работы системы Secret Net все события, происходящие на компьютере и связанные с безопасностью системы, регистрируются в системном журнале механизмом регистрации событий. Для каждого события указывается следующая информация: дата и время события; идентификатор пользователя, действия которого привели к появлению события; краткая характеристика события; имя программы, работа которой привела к появлению события; ресурс, при работе с которым произошло событие. Более 100 видов событий могут фиксироваться в системном журнале, например: вход и выход пользователей из системы, запуск ОС, события НСД, запуск программ и другие события. Реализовано гибкое управление данным механизмом. Существует возможность определить индивидуальный режим регистрации для каждого пользователя, предельный срок хранения регистрационных записей в системном журнале. Если на файл установлены дополнительные атрибуты "Аудит чтения" или "Аудит записи", то любое соответствующее обращение пользователей к этому файлу будет фиксироваться в системном журнале независимо от установленных для них режимов регистрации событий. Настройку режимов регистрации событий может осуществлять только тот пользователь, который наделен соответствующими привилегиями на администрирование системы защиты.

· Механизм контроля целостности используется в системе Secret Net для повышения надежности работы системы защиты. Он осуществляет проверку целостности следующих объектов: системных программ - ядра и исполняемых файлов системы; программ замкнутой программной среды; ключей системного реестра; любых других файлов, определенных администратором. Для всех проверяемых объектов составляются пакеты контроля целостности. В пакетах содержатся контрольные суммы проверяемых объектов и полный путь к каждому из них. Контрольные суммы рассчитываются с использованием хеш-функций (в соответствии с ГОСТ Р 34.11-94) или по оригинальному (быстрому) алгоритму собственной разработки. Проверка целостности системных и разрешенных для запуска программ осуществляется при загрузке компьютера. Проверка файлов из списка, составленного администратором, может осуществляться при загрузке компьютера или по установленному администратором расписанию (например, один раз каждые два часа). Реакция системы Secret Net на нарушение целостности объектов определяется настройками механизма контроля целостности. Эти настройки могут быть индивидуальными для каждого пользователя компьютера.

Другие возможности и отличительные особенности клиента Secret Net:

· Для дополнительной защиты важной информации в Secret Net и в СКЗИ М-506A существует возможность шифрования файлов на сетевых и локальных дисках. Пользователь имеет возможность зашифровывать логические диски, каталоги и файлы, находящиеся на его компьютере. Если используется шифрование сетевых ресурсов, то круг пользователей, имеющих доступ к сетевому ресурсу, определяет администратор безопасности. При этом реализовано т.н. "прозрачное шифрование": пользователь, которому предоставлено право работать с зашифрованным сетевым ресурсом, может обратиться к нему по сети как к обычному не зашифрованному сетевому ресурсу. Файл пересылается по сети в зашифрованном виде и, лишь затем, на рабочей станции обратившегося пользователя, расшифровывается. Шифрование осуществляется методом, определенным в ГОСТ 28147-89, в режиме гаммирования.

...