Организация комплексной защиты информации в корпоративной сети

Однако следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.

Таким образом, современный межсетевой экран - это комплекс программных и аппаратных решений, выполняющий функции распределённого межсетевого экранирования и построения виртуальных частных сетей, обладающий необходимой гибкостью и масштабируемостью, простой в настройке и обслуживании.

2.6 VPN

Нередко возникают ситуации, когда нужно объединить сразу несколько локальных сетей, которые находятся на очень удаленном расстоянии друг от друга (например, в разных концах города), а также обеспечение подключения отдельных пользователей и обеспечения их соответствующими мерами безопасности от взлома. Именно для решения этой проблемы и была создана «технология виртуальных сетей» («Virtual Private Network» или VPN) [1]. Таким образом, эта технология сегодня является ключевым звеном в организации различных сетей. Её уникальность заключается в том, что она формирует специальный канал в уже доступной сети. Этот канал называется тоннелем, и он позволяет обеспечить высокий уровень защиты передаваемой через него информации при помощи протокола PPTP. Информация передаётся от абонента к провайдеру и имеет почти стопроцентный уровень защиты от несанкционированного доступа к лицевому счету абонента. Данный канал носит название «защищенный канал». Этот термин широко употребляется при использовании технологии виртуальных сетей. Защищенный канал получил своё название не случайно - его назначение заключается в обеспечении максимальной конфиденциальности сведений, которые по нему передаются, а также ограничении доступа к ним. Сетевой протокол виртуальной сети служит лишь базой, на основе которой создаётся специальное соединение.

Для создания протокола виртуальной частной сети используется механизм туннелирования, который позволяет осуществлять безопасный обмен информацией во время использования крупных локальных сетей. Туннелирование происходит между двумя специальными устройствами на точках входа в локальную сеть.

Эта технология сегодня является одной из самых надежных и безопасных возможностей организации защищенного подключения пользователя. При использовании этой технологии, для повышения уровня защиты, также используется шифрование информации. Таким образом, информация шифруется при отправлении, а достигнув конечной точки назначения - происходит процесс дешифрации. Подобные меры защиты позволяют обеспечить безопасность особо важных данных.

Говоря о протоколах, используемых для передачи информации по сетям VPN, следует отметить, что основными в этих случаях являются четыре протокола: Layer 2 Forwarding Protocol (протокол трансляции канального уровня), Layer 2 Tunneling Protocol (протокол туннелирования канального уровня), Point-to-Point Tunneling Protocol (протокол туннелирования точка точка), а также протокол IP Security (IPSec). В последнее время растет популярность технологии SSL VPN, на базе протокола SSL\TLS, который используется для защиты соединений в WEB-браузерах [9].

Первые три спецификации известны под общим названием протоколов трансляции канального уровня, поскольку в соответствии с ними пакеты протоколов сетевого уровня (AppleTalk, IP и IPX) сначала инкапсулируются в другие пакеты протокола канального уровня (РРР), а уже затем передаются адресату по IP-сети [1]. Хотя эти спецификации и претендуют на решение проблемы безопасности в сетях VPN, они не обеспечивают шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами. На сегодняшний день наиболее современным решением защиты сетей VPN является спецификация IPSec. Поэтому в случае использования первых трех спецификаций для обеспечения безопасности информации при передаче в рамках VPN необходимо применение дополнительных средств ее защиты.

Виртуальные частные сети на основе протокола SSL (Secure Sockets Layer) предназначены для безопасного предоставления корпоративных сетевых услуг любому авторизованному пользователю, который получает возможность удаленного доступа к корпоративным ресурсам из любой точки мира, где имеется Интернет и стандартный веб-браузер. Использование веб-браузера и встроенных систем шифрования SSL обеспечивает доступ к корпоративной сети с любых удаленных устройств, например, через домашние ПК, интернет-киоски или беспроводные устройства Wi-Fi, то есть из любой точки, включая и те, где установка клиентского программного обеспечения VPN и создание соединений VPN с протоколом IPSec сопряжены с большими трудностями. Администраторы могут настраивать параметры доступа к веб-сайтам и корпоративным приложениям индивидуально для каждого пользователя. Кроме того, поскольку корпоративные межсетевые экраны, поддерживают соединения по протоколу SSL, дополнительная настройка сети не требуется. В результате технология SSL VPN позволяет легко обходить межсетевой экран и обеспечивать доступ из любой точки.

Все продукты для создания VPN можно условно разделить на две категории: программные и аппаратные. Программное решение для VPN - это готовое приложение, которое устанавливается на подключенном к сети отдельном компьютере. Ряд производителей поставляют VPN-пакеты, которые легко интегрируются с программными межсетевыми экранами и работают на различных операционных системах. Поскольку для построения VPN на базе специализированного программного обеспечения требуется создание отдельной компьютерной системы, такие решения обычно сложнее для развертывания, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. Такая работа, в ряде случаев, может оказаться затруднительной даже для опытных специалистов. С другой стороны, программные решения для VPN стоят относительно недорого. В отличие от них аппаратные VPN-решения включают в себя все, что необходимо для соединения - компьютер, частную операционную систему и специальное программное обеспечение. Развертывать аппаратные решения проще. Они включают в себя все, что необходимо для конкретных условий, поэтому время, за которое их можно запустить, исчисляется минутами или часами. Еще одним серьезным преимуществом аппаратных VPN решений является гораздо более высокая производительность. К минусам аппаратных VPN решений можно отнести их высокую стоимость. Еще один недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что усложняет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации.

Существуют также интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основное преимущество такого решения - централизованное управление всеми компонентами с единой консоли. Выбор VPN решения определяется тремя факторами: размер сети, технические навыки, которыми обладают сотрудники организации, и объем трафика, который планируется обрабатывать.

Средства VPN позволяют осуществлять безопасную передачу данных по открытым каналам связи, при этом обеспечивая надежную криптографическую защиту данных от всевозможных угроз. При этом уровень защищенности при использовании VPN средств зависит от правильности их настройки, что требует определенного квалификационного уровня системного администратора и знание технологии VPN и используемых протоколов.

3. ОРГАНИЗАЦИЯ КОМПЛЕСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ

3.1 Описание защищаемой корпоративной системы

Корпоративная система состоит из следующих элементов (рисунок 1):

- контроллер домена Windows;

- точка доступа VPN для удаленного офиса;

- маршрутизаторы;

- сервер антивирусной защиты и файл-сервер;

- почтовый корпоративный сервер smtp и pop3;

- основная локальная сеть с рабочими станциями сотрудников отделов;

- удаленный офис.

Рисунок 1 - Схема корпоративной сети ОАО “Машзавод Труд”

На рабочих компьютерах сотрудников установлена операционная система Windows XP SP3 и Windows 7, со стандартным набором программного обеспечения и последним набором обновлений. На контроллере домена установлена операционная система Windows 2008 Server.

Защищаемая информация, в данной сети, хранится как на файл-сервере, так и на локальных компьютерах пользователей. Причем, пользователи имеют возможность работать с данными как в локальной сети, так из другого филиала предприятия.

Корпоративная сеть подвержена следующим угрозам и недостатками: DoS, DDoS атаки, вирусы, трояны, фильтрации веб-контента, неконтролируемое использование ресурсов, неэффективный мониторинг контроля доступа, перехват сетевых подключений, злоупотребление авторизацией пользователей, сканирование сети, уязвимости протоколов, потеря конфиденциальности, не возможен подсчет статистики.

Средства и методы обеспечения информационной безопасности корпоративной сети ОАО “Машзавод Труд”:

- антивирусное ПО;

- контентная фильтрация веб-трафика;

- безопасное подключение удаленного офиса к основной сети по VPN;

- прокси-сервер;

- межсетевой экран;

- оптимизация и балансировка загрузки каналов;

- контроль и управление доступом в интернет;

- учет трафика и планирование.

Для защиты информационной сети был выбран комплексный интернет-шлюз Ideco ICS.

3.2 Обоснования и внедрение интернет-шлюза Ideco ICS

Интернет-шлюз Ideco ICS cодержит встроенные модули: файерволл, межсетевой экран, антивирусное ПО и прокси сервер. Также имеет средства по распределению, учёту и контролю доступа в Интернет. Управление интернет-шлюзом осуществляется через графический интерфейс, из-под любой распространенной операционной системы (Windows, Linux, Mac OS). Устанавливается на границе между локальной сетью предприятия и Интернетом, а дальнейшее взаимодействие пользователей, с глобальной сетью, осуществляется только через Ideco ICS.

Сервер имеет три сетевых интерфейса: один интерфейс подключен к сети Интернет, второй - к локальной сети предприятия, а третий - к удаленному офису компании. Это позволяет полностью управлять Интернет-трафиком и обеспечивать защиту локальной сети от внешних угроз.

Минимальные требования, предъявляемые производителем интернет-шлюза Ideco ICS к оборудованию, рассчитаны на 100 рабочих станций [2]:

- процессор Intel i3, i5, Xeon от 3 ГГц или совместимый;

- объем оперативной памяти от 8 Гб;

- дисковая подсистема, жесткий диск объемом 500 ГБ или больше с интерфейсом SATA, SAS либо совместимый аппаратный RAID;

- сетевые адаптеры, два или более.

Начало установки

Выбрав режим установки в текстовой консоли загрузчика системы, наблюдаем на экране процесс запуска мастера установки Ideco ICS (рисунок 2).

Рисунок 2- Начало установки

Лицензионное соглашение на использование программного продукта Ideco ICS. Нажатие кнопки "Согласен" будет свидетельствовать о согласие со всеми его положениями. Лицензионное соглашение представлено на следующем снимке экрана (рисунок 3).



Рисунок 3 - Лицензионное соглашение

Выберем пункт "Установка Ideco ICS" и нажмем кнопку "OK". Система предупреждает о том, что при установке будут уничтожены все данные, которые хранятся на жестком диске.

Система произведет необходимые для установки тесты дисковой подсистемы. Создание таблицы разделов и их форматирование будет осуществлено в автоматическом режиме. Процесс создания файловой системы представлен на очередном снимке экрана. Всё свободное пространство, которое останется после установки системы, сформирует самостоятельный раздел. Он может использоваться в будущем для подключения дополнительных компонентов интернет-шлюза.

После завершения создания разделов начнется копирование системных файлов на диск. Этот процесс обычно занимает 10 - 15 минут. Копирование проходит в автоматическом режиме. После его завершения мастер установки автоматически настроит основные параметры системы, в соответствии с конфигурацией компьютера. Если всё прошло успешно, то система предложит настроить локальный сетевой интерфейс. Локальным считается интерфейс, к которому будет подключена локальная сеть предприятия. Для настройки локального интерфейса потребуется выбрать сетевой адаптер, к которому планируется подключить локальную сеть. Второй свободный адаптер будет, соответственно, использован для подключения к сети интернет-провайдера (рисунок 4). При определении локального интерфейса можно столкнуться со сложностями идентификации сетевой карты. Иногда у нескольких адаптеров может быть один и тот же производитель. В этом случае, для правильного выбора, необходимо будет идентифицировать устройство по его MAC-адресу. В дальнейшем, если понадобится, можно изменить эти настройки.

Рисунок 4 - Настройка сетевых карт

После завершения настройки локального сетевого интерфейса нажимаем кнопку "Далее". Установка завершена (рисунок 5).

Рисунок 5 - Завершение установки

Настройка Ideco ICS

После загрузки интернет-шлюза, запускаем на любом компьютере локальной сети интернет-браузер, например Internet Explorer, и переходим по тому локальному IP-адресу, который вы указали при установке в настройках локального сетевого интерфейса, в окне интернет-браузера видим приглашение для входа в панель управления интернет-шлюзом Ideco ICS (рисунок 6).

Рисунок 6 - Вход в панель управления

При первоначальном входе в панель управления будет запущен мастер настройки сервера, о чем будет свидетельствовать соответствующее приветствие. Первый шаг мастера настройки интернет-шлюза показан ниже. Первоначальная настройка включает в себя следующие этапы: базовая настройка; настройка подключения к интернет-провайдеру; подключение администратора; настройка режима безопасности; поиск и подключение компьютеров; дополнительные настройки.

Базовая настройка

На этом этапе указываем доменное имя сервера, временную зону, IP адрес и маску под сети (рисунок 7).

Рисунок 7 - Базовые настройки

Подключения к интернет-провайдеру. На данном этапе предстоит определить сетевые реквизиты сетевого адаптера, используемого для подключения к сети интернет-провайдера (рисунок 8).

Рисунок 8 - Подключение к сети интернет

Подключение администратора

Администратор системы имеет полный набор прав доступа, необходимый для успешного управления интернет-шлюзом. Этим обусловлено повышенное внимание к его авторизации. Следует указать Email для получения системных сообщений, IP-адрес компьютера, с которого может осуществляться подключение к панели управления и пароль (рисунок 9).

Рисунок 9 - Подключение администратора

Настройка режима безопасности

На этом этапе осуществляется первичная настройка спам-фильтра и антивируса, а также определяются параметры сетевой безопасности

(рисунок 10).

Рисунок 10 - Антивирус и спам фильтр

Включить проверку web-трафика Антивирусом Касперского - включает возможность антивирусной проверки web-трафика и приведет к автоматическому запуску прокси-сервера с прозрачным кэшированием трафика. Включить спам-фильтр Касперского - включает возможность фильтрации спама.

Безопасность сети

Разрешить VPN-соединения из интернет - глобальный параметр, разрешающий подключение удаленных пользователей и подразделений по VPN. Блокировать сканеры портов - в случае обнаружения попыток сканирования сетевых портов, интернет-шлюз заблокирует IP-адрес сканирующего компьютера на несколько минут. Это позволяет блокировать попытки поиска уязвимостей в локальной сети. Ограничить количество TCP и UDP сессий, с одного адреса устанавливается не более 150 одновременных соединений. Если происходит превышение этого значения, вероятно, что произошло заражение компьютера пользователя вирусами или adware программами. Включение данной опции заблокирует интенсивный трафик, вызванный вирусной эпидемией. Опция также ограничивает использование пиринговых сетей, так как поведение клиентов этих сетей не отличается от вирусных эпидемий. Кроме того, опция выполняет такую важную функцию как защита от атак типа DDoS. Максимальное количество сессий из интернет - максимальное количество соединений, которое может быть установлено с одного IP-адреса сети Интернет. Максимальное количество сессий из локальной сети - максимальное количество соединений, которое можно будет произвести с одного IP-адреса локальной сети от одного пользователя (рисунок 11). корпоративный вредоносный программа детектирование

Рисунок 11 - Безопасность сети

Настройка через веб-интерфейс

Пользователи в интерфейсе управления Ideco ICS отображаются в виде дерева и могут быть организованы в группы, что облегчает управление большим количеством пользователей. Добавить группу или пользователя можно с помощью специальных иконок (рисунок 12).

Рисунок 12 - Добавления пользователей

Форма создания учетной записи пользователя показана на рисунке 13.



Рисунок 13 - Форма создания учетной записи

Чтобы определить параметры учетной записи пользователя, выберите её в дереве пользователей нажатием мышью. В правой части экрана появятся параметры выделенной учетной записи параметры, приведенные в таблице 1.

Таблица 1 - Параметры учетной записи пользователя

Пользователь	Имя пользователя, для которого создается учетная запись.
Логин	Логин, который будет применяться пользователем для прохождения процедуры авторизации в различных службах Ideco ICS.
Пароль	Функция изменения пароля для учетной записи пользователя.
В группе	Группа, в которую входит данный пользователь.
IP-адрес	IP-адрес, который закреплен за данной учетной записью.
MAC-адрес	MAC-адрес сетевого адаптера, которому назначен IP-адрес, закрепленный за учетной записью.
Авторизация	Тип авторизации.
Профиль	Профиль для учета стоимости трафика пользователя.
NAT	Использование технологии NAT для предоставления пользователю доступа в сеть Интернет.
Пул	Пул IP-адресов, из которого учетной записи будет присваиваться IP-адрес.

Форма базовых параметров показана на рисунке 14.

Рисунок 14 - Параметры пользователя

Вкладка “ограничения” включает в себя различные наборы правил, ограничивающих доступ пользователя в сеть интернет, такие как: ограничения по времени подключения, запрет доступа к определенным категориям web-ресурсов с помощью контент-фильтра. Процесс управления правилами пользовательского сетевого фильтра подробно будет описан в следующих разделах. Также на странице пользователей есть вкладки статистика и финансы. Задача вкладки “статистика” - предоставление статистики потребления трафика по конкретной учетной записи пользователя или по группе. Задача вкладки финансы заключается в управление персональными и групповыми квотами на потребляемый трафик.

Вкладка основного меню “монитор” содержит: монитор подключений и служб, процессы, графики загруженности, системные ресурсы, что позволяет контролировать состояние интернет-шлюза (рисунки 15,16,17).

Рисунок 15 - Системные ресурсы

Рисунок 16 - Графики загруженности системы



Рисунок 17 - График загруженности сети

На вкладке “сервер” находится контент-фильтр. Контент-фильтр реализован, на основе данных о веб-трафике, получаемых от модуля проксирования веб-трафика (прокси-сервера) пользователей. Таким образом, контент-фильтр позволяет эффективно блокировать доступ к различным интернет ресурсам. Сам механизм контентной фильтрации заключается в проверке принадлежности адреса запрашиваемого пользователем сайта или отдельной страницы сайта на наличие его в списках запрещенных ресурсов. Списки в свою очередь поделены на категории для удобства администрирования. Таким образом, вся мощь контент-фильтра Ideco ICS заключается в полноте списков и гибкости политик, применяемых к пользователям [2].

Поскольку контент-фильтр работает с веб-трафиком, нужно, что бы модуль прокси-сервера обязательно был включен. Так же, для того чтобы веб-трафик всех пользователей проходил через прокси-сервер нужно включить прозрачную работу прокси для всех пользователей (рисунок 18).

Рисунок 18 - Подключения прокси-сервера

Категории контент-фильтра Ideco ICS: пользовательские, стандартные и расширенные. В сети используются все три категории.

Стандартные категории это неизменяемые, категоризированные списки интернет-ресурсов. Посмотреть содержимое этих списков, дополнить или изменить их невозможно. Эти списки присутствуют на сервере с момента установки Ideco ICS и доступны к назначению пользователям (рисунок 19).

Рисунок 19 - Категории контент-фильтра

Категория пользовательские, здесь есть возможность перечислять домены или URL сайтов и отдельные страницы в сети Интернет. Все списки пользовательских категорий можно просматривать, дополнять и вносить изменения в любой момент времени (рисунок 20).

Рисунок 20 - Категория контент-фильтра (пользовательские)

Вкладка безопасность содержит в себе антивирусную проверку веб трафика, антиспам, пользовательский и системный фаервол.

Встроенные модули на основе технологий «Лаборатории Касперского» выполняют комплексную проверку веб-трафика на предмет обнаружения вредоносных кодов и осуществлять фильтрацию спама, и полностью управляются через единый web-интерфейс. Что позволяет блокировать внешние угрозы (зараженные файлы, вирусы, вредоносные скрипты) и значительно повысить общий уровень защищенности локальной сети. Администратор будет уведомлен о заблокированных объектах, ведется статистика инцидентов. Поддерживается проверка упакованных и архивированных объектов. Предусмотрено ведение собственных белых списков по источникам и типам внешнего трафика. Для еще большей безопасности имеется возможность последовательной проверки трафика двумя антивирусами: антивирусом Касперского и антивирусом ClamAV (рисунок 21).

Рисунок 21 - Настройка антивируса

Антиспамовый модуль также реализован на базе «Лаборатории Касперского»: Kaspersky Security for Linux Mail Server. Это решение характеризуется очень высоким уровнем детектирования спама при низких значениях ложных срабатываний (0,003 - 0,005% от общего количества сообщений) [2]. Для защиты пользователей используется большой набор технологий распознавания спама с использованием внешних сервисов (DNSBL, SPF и SURBL) и собственных алгоритмов: сигнатурный анализ текста и графики, лингвистический эвристик, использование UDS-запросов в режиме реального времени. Антиспамовый модуль работает в автоматическом режиме, таким образам спам сообщения автоматически удаляться.

Фаервол (брандмауэр) один из основных средств управления трафиком на сервере. С его помощью можно ограничивать трафик пользователей, проходящий через сервер из локальной сети, а также исходящий и входящий трафик на сам сервер. Принцип работы брандмауэра заключается в анализе заголовков пакетов, проходящих через сервер. Эта низкоуровневая задача решается шлюзом на основе стека протоколов TCP/IP. Поэтому брандмауэр хорошо подходит для определения глобальных правил управления трафиком по сетевым протоколам, портам, принадлежности к определенным IP-сетям и другим критериям, основанным на значениях полей в заголовках сетевых пакетов. Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети Интернет исходя из адреса URL, доменного имени или ключевых слов, встречающихся на страницах ресурса. Эти задачи более высокого уровня, как правило, касающиеся web-трафика, решаются с помощью модуля контентной фильтрации в компоненте прокси-сервера (рисунок 22).

Рисунок 22 - Фаервол

Для обеспечения высокой эффективности процесса управления трафиком брандмауэр разделен на два глобальных контейнера правил:

а) системный фаервол - содержит список глобальных правил, применяемых ко всей сетевой подсистеме шлюза. Весь трафик, проходящий через шлюз, проверяется на соответствие этим правилам. Таким образом, правила, созданные в системном брандмауэре, распространяются как на служебный трафик шлюза, так и на трафик, генерируемый самими клиентами сети;

б) пользовательский фаервол - содержит правила, касающиеся только трафика клиентских устройств в сети и не влияющие на глобальные правила брандмауэра. Эти правила действуют только в том случае, если они зафиксированы во вкладке Ограничения в настройках конкретного пользователя или группы пользователей. Запрещающие правила пользовательского брандмауэра приоритетнее правил системного. Например, в системном фильтре разрешена работа с ICQ (TCP порты 5190 и 4000). Вместе с тем в пользовательском брандмауэре существует правило, запрещающее соединения с использованием этих портов. Таким образом, ICQ не будет работать у пользователя, которому назначено это правило.

Сам процесс создания правил и групп правил для обоих брандмауэров одинаков. Все правила объединяются в группы. Обработка сетевых пакетов с помощью правил также работает одинаково: сверху вниз от первого правила в первой группе к последнему правилу в последней группе.

Для того чтобы создать правила в группе, нужно выделить ее и нажмите на кнопку “добавить правило на панели инструментов”. Далее необходимо ввести критерии правила брандмауэра, представленные в таблице 2.

Таблица 2 - Критерии правила брандмауэра

Источник	Адрес источник трафика, проходящего через шлюз. В этом поле может быть указан IP-адрес и маска сети, диапазон адрес или домен.
SRC Port, порт источника	Порт источника. Имеет смысл только для TCP и UDP.
Назначение	Адрес назначения трафика, проходящего через шлюз. В этом поле может быть указан IP-адрес и маска сети, диапазон адрес или домен.
DST Port, порт назначения	Порт назначения. Имеет смысл только для TCP и UDP.
Протокол	Протокол передачи данных.
Путь	Направление прохождения трафика. Различают входящий, исходящий, транзитный. Весь пользовательский трафик является транзитным.
Действие	Действие, выполняемое над трафиком после срабатывания правила.

Критерий позволяет определить, какое направление прохождения трафиком будет проверяться. Для этого необходимо выбрать из списка Путь одно из следующих значений:

- FORWARD (пакеты, проходящие через сервер. Это основной трафик пользователей);

- INPUT (входящие пакеты, предназначенные для самого сервера);

- OUTPUT (пакеты, исходящие от самого сервера).

Для блокировки серверов "спамеров", используйте пути INPUT и OUTPUT. Для ограничения доступа пользователя или нескольких пользователей к сайту, используйте путь FORWARD.

Значения параметра “действие” описаны в таблице 3 [2].

Таблица 3 - Значение параметра действие

Запретить	Запрещает трафик. При этом ICMP-уведомлений осуществляться не будет.
Разрешить	Разрешает трафик.
Шейпер	Ограничивает скорость трафика. С помощью этого правила можно ограничить скорость трафика пользователей, серверов или протоколов. При выборе этого действия появится параметр "Макс. скорость". Скорость указывается в Кбит/сек. Например, максимальной скорости в 10 Кбайт/сек соответствует скорость примерно 80 Кбит/сек.
QOS	Назначает приоритет трафика. Всего есть 8 приоритетов, которые можно назначить трафику, отобранному по критериям, указанным в общих правилах брандмауэра. При выборе этого действия появится поле для ввода приоритета. В первую очередь будет обрабатываться (передаваться) трафик с приоритетом 1, а в последнюю очередь - трафик с приоритетом 8.
Portmapper (DNAT)	Транслирует адреса назначения, тем самым позволяет перенаправить входящий трафик. При выборе этого действия, появятся поля: "Переадресовать на адрес" и "Порт". Здесь необходимо указать адрес и, опционально, порт назначения на целевом устройстве. Порт имеет смысл указывать, если правило описывает протокол подключения TCP или UDP. С помощью этой возможности можно прозрачно переадресовать входящий трафик на другой адрес или порт. Для примера представим, что перед вами стоит задача предоставить доступ из сети Интернет к службе удаленного рабочего стола и web-серверу, которые находятся в локальной сети предприятия и не имеют публичного IP-адреса. Публичный IP-адрес, по которому возможно осуществить подключение, назначен на внешний интерфейс Ideco ICS. Таким образом, для решения это задачи вам потребуется настроить фаервол так, чтобы он обеспечивал прозрачное перенаправление входящего трафика в локальную сеть к соответствующим службам. То же самое потребуется сделать в том случае, если вам потребуется перенаправить все HTTP-запросы, идущие из локальной сети к внешним IP-адресам, на внутренний web-сервер.
SNAT	Транслирует адреса источника. Аналогично действию "NAT" в профиле (переопределяет NAT в профиле).
Продолжение таблицы 3
Разрешить и выйти из Firewall	Разрешает прохождение трафика и прекращает дальнейшую проверку. Таким образом, те правила, которые находятся после правила с данным действием не будут применены.
Запретить и разорвать подключение	Запрещает соединение, не устанавливать TCP-сессию.
Логировать	Все пакеты, попадающее под данное правило, будут записываться в /var/log/kern.log.
Не SNAT	Отменяет действите "SNAT" (либо в firewall выше по списку, либо в профиле) для трафика, удовлетворяющего критериям правила.
Не DNAT	Отменяет действите "DNAT" (либо в firewall выше по списку, либо в профиле) для трафика, удовлетворяющего критериям правила.
Разрешить без авторизации	Разрешает доступ к ресурсу без авторизации на сервере.
MASQUERADE	Аналогично действию "SNAT". Применяется, когда адрес у интерфейса, на который делается переадресация, динамический. Необходимо указать имя интерфейса в соответствующей графе.

Добавляем в список фаервола домен vk.com. Блокировка должна распространяться на всех пользователей, поэтому пишем правило в системном фаерволе без указания адреса источника. Для этого сначала создаем группу правил в фаерволе (рисунок 23).



Рисунок 23 - Создания правила в Фаерволе

Заполняем форму “правило” (рисунок 24).

Рисунок 24 - Правило в фаерволе

Поле чего нажимаем сохранить, после перезагрузки фаервола правило начнет работать.

Последняя вкладка, в основном меню, интернет шлюза это “отчеты”. С помощью отчетов точно знаем, что происходит с пользователями в сети и можем быстро устранять возникшие проблемы, изменять политики для пользователей, тем самым поддерживать безопасность и повышать производительность сети. Отчеты по веб-активности тесно интегрированы с модулем контентной фильтрации Ideco Cloud Web Filter, так и со стандартным контентным фильтром. Все посещаемые ресурсы определяются в соответствии с категориями контентного фильтра (500 миллионов URL, 141 категория). Сохраняется информация как о ресурсах, доступ к которым открыт, так и по заблокированным ресурсам. Помимо объема трафика и количества посещений также анализируется время пользовательской активности на этих ресурсах. Просматривая отчеты о пользовательской активности, администратор может принимать взвешенные управленческие решения, направленные на повышение эффективности работы сотрудников. Прямо из отчетов можно переходить к управлению политиками доступа. И при необходимости менять права доступа для пользователей, отделов или для всей сети в целом. Контентный фильтр блокирует доступ к вредоносным и фишинговым ресурсам. Это существенно повышает безопасность компьютеров и устройств конечных пользователей, обеспечивая превентивную защиту от зараженных сайтов и сайтов распространяющих вирусы. Отчеты по заблокированным ресурсам позволяют своевременно обнаружить и устранить угрозы безопасности.

На главной странице представлена вся основная информация по веб-активности всей компании (рисунок 25).

Рисунок 25 - Отчеты (главная страница)

На странице “сайты” система показывает самые популярные сайты у сотрудников компании. Доступны фильтры: по количеству запросов, по времени, по входящему и исходящему трафику. Кроме того, выводится информация по заблокированным ресурсам. При необходимости можно посмотреть веб-активность сотрудников по отдельно выбранному сайту (рисунок 26).



Рисунок 26 - Отчеты (сайты)

Администратор в любой момент времени имеет возможность посмотреть отчет в интерфейсе администрирования Ideco ICS. Кроме того, большинство отчетов может быть в таком же наглядном виде с графиками и таблицами сохранено в pdf файлах и отправлено на печать.

Стоит заметить, что доступ к личной информации сотрудников регулируется на законодательном уровне. С отчетами и статистикой по веб-активности работают администратор и руководители, не уполномоченные получать доступ к личной информации сотрудников. Как в общих, так и в детализированных отчетах по отдельным пользователям, не отображается частная информация сотрудников, касающаяся передаваемых запросов к поисковым системам или содержания сообщений мессенджеров.

Выделим преимущества принятого решения по внедрению Ideco ICS:

- Ideco ICS построен на базе ядра Linux с применением уникальных технологий. Поэтому имеет беспрецедентную надежность и защищенность, сравнимую с аппаратными маршрутизаторами;

- встроенные средства безопасности обеспечивают эффективную защиту от широкого спектра интернет-угроз, сеть защищена от вирусов, спама, хакерских атак, утечек информации и несанкционированного доступа;

- управление группами пользователей и политиками доступа осуществляется через удобный и многофункциональный веб-интерфейс который позволяет контролировать систему из любой точки администрирования, в любое время;

- фильтрация спама и веб-контента позволяет значительно снижать непродуктивные временные затраты пользователей и экономить ресурсы;

- надежность системы подтверждается примерами внедрения Ideco ICS в корпоративных сетях с числом пользователей 3000 и более;

- учитывая экономию расходов, низкие эксплуатационные издержки и высвобождение времени специалистов - Ideco ICS окупается за несколько месяцев.

4. ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРОВЕДЕНИЯ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИХ РАБОТ ПО ВНЕДРЕНИЮ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

4.1 Характеристика программного продукта с экономической точки зрения

Данная дипломная работа относится к работам научно-исследовательского характера. Она проводится с целью создания более надежной информационной системы на предприятии.

Внедрение на рынок, возможно, осуществлять с помощью глобальной сети интернет, через e-mail, а также рассылками демонстрационной версии продукта.

В таблице 4 представлены область применения и технические характеристики исследовательско-аналитического материала.

Таблица 5 - Необходимые технические средства и программное обеспечение внедрения продукта

Наименование технического средства, прог-раммного обес-печения	Тип или модель	Поставщик	Количество, шт.	Цена за единицу, руб.	Стоимость, руб.
Интернет шлюз Ideco ICS	Ideco ICS Standard Edition - 100 Users	Юнит	1	64500,00	64500,00
Процессор	Intel Core i5	Юнит	1	6850,00	6850,00
Оперативная память	KVR1333D3D4R9S/4G	Юнит	2	1810,00	3620,00
Жесткие диски	WD1000DHTZ	Юнит	1	7120,00	7120,00
Сетевые адаптеры	Intel /1000 MBps	Юнит	3	490,00	1470,00
Итого:	83560,00

В таблице 6 приведена возможная схема продвижения готового продукта на рынок. В комплект поставки входит техническая характеристика аппаратно - программного комплекса защиты информации, общие требования к минимальному аппаратному оснащению предприятия, схема внедрения. Перечень технических средств. Калькуляция сроков внедрения. Примерная стоимость комплекса с учётом уровня предприятия.

Таблица 6 - Стратегия продвижения программного продукта на рынок

Пути продвижения	Характеристика потребителей	Периодичность	Стоимость, руб.
Продажа через интернет	Организации РФ	Регулярные продажи	500 руб. в месяц за услуги провайдера
Прямые продажи	Организации РФ	1 раз	Бесплатно

Таким образом, были рассмотрены технические характеристики аналитического продукта, его область применения, а также проведён анализ предприятий-конкурентов. Необходимые технические средства и программное обеспечение для разработки и внедрения продукта.

4.2 Определение трудоемкости и плановой себестоимости выполнения НИР

Предлагаемая дипломная работа относится к работам научно-исследовательского характера. Для определения трудоемкости выполнения научно-исследовательской работы необходимо составить перечень всех основных этапов и видов работ, которые должны быть выполнены. При этом

особое внимание уделяется логическому упорядочению последовательности выполнения отдельных видов работ. В основе такого упорядочения последовательности лежит анализ смыслового содержания каждого вида работ и установление взаимосвязи между отдельными видами работ, выполняемых при проведении НИР в соответствии с ГОСТ 15.101-80 «Порядок проведения НИР». Цели работы: исследование современных программных и аппаратных средств виртуализации. По каждому виду работ определяется квалифицированный уровень исполнителей. Распределение работ по этапам, видам и должностям исполнителей представлено в таблице 7.

Таблица 7 - Распределение работ по этапам, видам и должностям исполнителей

Этапы проведения НИР	Виды работ	Должность исполнителей
1	2	3
Подготовка к проведению	Выбор предметной области	Ведущий инженер
НИР	Постановка целей и задач
	Сбор и изучение научно - технической литературы, нормативно-технической документации и других материалов, относящихся к теме исследований	Системный администратор
	Составление аналитического обзора состояния вопросов по теме	Системный администратор
	Формулирование возможных направлений решения задач, поставленных в техническом задании и их сравнительная оценка	Руководитель отдела информационных технологий
	Выбор и обоснование принятого направления проведения исследований и способов решения поставленных задач	Руководитель отдела информационных технологий
	Разработка общей методики проведения исследований	Руководитель отдела информационных технологий
Программные и аппаратные исследования	Настройка программного обеспечения для выполнения исследовательских работ	Системный администратор
	Обработка полученных данных	Системный администратор
Обобщение и оценка результатов исследования	Сопоставление результатов экспериментов с теоретическими исследованиями, и корректировка теоретических моделей исследования	Системный администратор
	Составление и оформление отчёта, с подведением итогов выполненных работ и сделанных выводах	Руководитель отдела информационных технологий

Целью планирования себестоимости проведения НИР является экономически обоснованное определение величины затрат на её выполнение.

В плановую себестоимость разработки включаются все затраты, связанные с её выполнением, независимо от источника их финансирования.

На статью «Основная заработная плата» относится основная заработная плата старшего и младшего системного администратора, непосредственно участвующих в выполнении данной НИР. Размер основной заработной платы устанавливается исходя из численности различных категорий исполнителей, трудоемкости, затрачиваемой ими на выполнение отдельных видов работ, и их средней заработной платы (ставки) за один рабочий день. Средняя заработная плата за один рабочий день определяется для каждой категории работающих исходя из месячного должностного оклада и количества рабочих дней в месяце. Средняя заработная плата за один рабочий день для рабочих определяется исходя из условий повременной системы оплаты труда. Для данной дипломной работы: основная заработная плата Руководителя отдела информационных технологий: 30000 руб.; основная заработная плата системного администратора: 15000 руб.; Трудоемкость выполнения НИР определяется по сумме трудоемкости этапов и видов работ, оцениваемых экспертным путем в человеко-днях.

Расчет величины трудоемкости НИР приведен в таблице 8.

Таблица 8 - Расчёт основной заработной платы

Виды работ	Трудоёмкость	Дневная ставка, руб.	Сумма основной заработной платы, руб.
	Исполнители	Исполнители	Исполнители
	Руководитель отдела информационных технологий	Системный администратор	Руководитель отдела информационных технологий	Системный администратор	Руководитель отдела информационных технологий	Системный администратор
1	2	3	4	5	6	7
Выбор предметной области Постановка целей и задач Составление технического задания	4		1500,00		6000,00
Сбор и изучение научно-технической литературы, нормативно-технической документации и материалов, относящихся к теме исследований		20		750,00		15000,00

При планировании проведения НИР необходимо определить плановую себестоимость проведения НИР, т.е. экономически обоснованно определить.

На статью «Дополнительная заработная плата» относятся выплаты, предусмотренные законодательством за непроработанное время: оплата очередных и дополнительных отпусков, выплаты вознаграждении за выслугу лет и др. Размер дополнительной заработной платы работников, выполняющих НИР, определяется в процентах от их основной заработной платы. В данном случае дополнительная заработная плата составила 10% от основной.

Расходы на статью «Единый социальный налог» составляют 30% от суммы расходов по статьям «Основная заработная плата» и «Дополнительная заработная плата».

На статью «Прочие прямые расходы» относятся расходы на приобретение и подготовку материалов специальной научно-технической информации, за использование средств телефонной и радиосвязи, и другие расходы, необходимые при проведении НИР. Величина расходов по данной статье может быть от 10 до 100% от суммы расходов по статьям «Основная заработная плата» и «Дополнительная заработная плата», в данном случае прочие прямые расходы составили 10% - 10340 руб.

В статью «Накладные расходы» включаются расходы на управление и хозяйственное обслуживание. Величина накладных расходов на конкретную НИР определяется в процентах от основной заработной платы работников, участвующих в ее выполнении. В данной организации накладные расходы составляют 50% от основной и дополнительной заработной платы [6].

На основании полученных данных по отдельным статьям затрат составляется калькуляция плановой себестоимости в целом по НИР по форме, приведенной в таблице 9.

Таблица 9 - Калькуляция плановой себестоимости проведения НИР

Статья затрат	Сумма, руб.
Технические средства и ПО	83560
Основная заработная плата	72750
Дополнительная заработная плата	7275
Единый социальный взнос	21825
Прочие прямые расходы	10340
Плановая себестоимость	195750

Таким образом, плановая себестоимость проведения НИР по созданию учебно-методического комплекса составила 195750 рублей.

4.3 Оценка научно-технической и социальной эффективности НИР

Результатом НИР является достижение экономического эффекта и социального эффекта.

Экономический эффект характеризуется выраженной в стоимостных показателях экономией живого и овеществленного труда общественном производстве, полученной при использовании результатов прикладных НИР. Социальный эффект проявляется в улучшении условий труда, повышении экологических характеристик, развитии здравоохранения, культуры, науки, образования и т.д.

Оценка научной, научно-технической результативности для данной НИР производится с помощью коэффициентов, рассчитываемых по формулам (1) и (2) [6]:

где , - соответственно коэффициенты научно-технической и социальной эффективности;

- коэффициент значимости i - го фактора, используемого для оценки;

- коэффициент достигнутого уровня i - го фактора;

n, m - соответственно количество факторов научно-технической и социальной эффективности.

Характеристика факторов и признаков научно-технической и социальной эффективности, данной НИР представлена в таблицах 10 и 11.

Таблица 10 - Характеристика научно-технической результативности НИР

Фактор научной результативности	Коэффициент значимости фактора	Качество фактора	Характеристика фактора	Коэффициент достигнутого уровня
1	2	3	4	5
Новизна полученных или предполагаемых результатов	0,5	Средняя	УМК разработан для изучения материала и эффективной проверки знаний для студентов по дисциплине «ИБиЗИ»	0,1
Глубина научной проработки	0,35	Низкая	Теоретические расчеты просты, экспериментальная проверка не проводилась	0,8
Степень вероятности успеха	0,15	Высокая	УМК с успехом может быть использован в СГУГиТ по дисциплине «ИБиЗИ»	0,6
Коэффициент научной результативности НИР	0,42

Таблица 11 - Характеристика социальной эффективности результативности НИР

Фактор научно-технической результативности	Коэффициент значимости фактора	Качество фактора	Характеристика фактора	Коэффициент достигнутого уровня
1	2	3	4	5
Перспективность использования результатов	0,5	Важная	Данный комплекс предназначен для комплексной защиты информационной	0,8

Подводя итог можно сказать следующее:

Данный проект целесообразно использовать с научно-технической точки зрения, так как он проливает свет на многие проблемы и вопросы в области защиты информационных систем. Показывает возможности современных технологий, а также позволяет самостоятельно анализировать плюсы и минусы защиты информации, что, несомненно, при правильном подходе позволит избежать финансовых и экономических затрат. А так же строить, разрабатывать и внедрять эффективные информационные системы.

5. ВОПРОСЫ БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ

5.1 Обучение безопасности труда и виды инструктажа

Обучение безопасным приёмам труда для работников проводится на основании государственного стандарта - «ГОСТ 12.0.004-90 ССБТ. Организация обучения по безопасности труда. Общие положения». Обязательность обучения и инструктирования работников по охране труда отражены в Трудовом кодексе Российской Федерации.

Порядок обучения по охране труда и проверки знаний требований охраны труда работников организаций утверждён совместным постановлением Минтруда России и Минобразования России от 13 января 2003 года № 1/29.

Работодатель обязан организовать проведение инструктажей, обучение и стажировку по безопасным методам выполнения работ, оказанию первой доврачебной помощи пострадавшим.

Законодательно же закрепляется обязательность подготовки по охране труда при изучении программ начального, среднего и высшего профессионального образования.

В соответствии c ГОСТ 12.0.004-90 инструктажи по охране труда подразделяют на следующие виды:

Вводный инструктаж - проводится со всеми вновь принимаемыми на работу; с временными работниками; командированными; студентами на производственной практике. Вводный инструктаж проводит инженер по охране труда или лицо, на которое приказом возложены эти обязанности. Инструктаж проводится по программе, утверждённой руководителем организации в кабинете охраны труда.

О проведении вводного инструктажа делают запись в журнале регистрации вводного инструктажа с обязательной подписью инструктируемого и инструктирующего. Дополнительно может быть использована личная карточка прохождения обучения.

Первичный инструктаж на рабочем месте - проводится со всеми вновь принятыми на предприятие; с работниками, выполняющими новую для них работу; временными работниками; командированными; студентами на производственной практике.

Инструктаж проводиться непосредственно на рабочем месте по программам, утверждённым руководителями подразделений.

От данного инструктажа освобождаются лица, которые не связаны с обслуживанием и ремонтом оборудования, использованием инструмента, хранением и применением сырья и материалов. Перечень профессий и должностей работников, освобождённых от первичного инструктажа на рабочем месте, согласовывается с профсоюзной организацией и утверждается работодателем.

Повторный инструктаж - проходят все работники, за исключением лиц, освобождённых от первичного инструктажа на рабочем месте, не реже одного раза в полугодие. Для некоторых категорий работников может быть установлен более продолжительный (до 1 года) срок проведения повторного инструктажа при согласовании с профсоюзной организацией и соответствующими органами надзора и контроля.

Внеплановый инструктаж проводится:

- при изменении вида работ;

- при введении в действие новых или переработанных стандартов или инструкций по охране труда;

- при несчастном случае на производстве;

- при нарушении требований безопасности труда;

- по требованию органов надзора и контроля;

- при перерывах в работе - 60 дней, а для работ, к которым предъявляют повышенные требования безопасности труда - более 30 дней.

Целевой инструктаж проводится:

- при производстве работ, на которые оформляется наряд-допуск;

- при выполнении разовых работ, не связанных с прямыми обязанностями по специальности (погрузка и разгрузка, уборка территории);

- при ликвидации последствий аварий, стихийных бедствий и катастроф;

- при выполнении работ вне территории предприятия;

- при проведении экскурсии на предприятии, организации массовых мероприятий и т.п.

Первичный инструктаж на рабочем месте, повторный, внеплановый и целевой проводит непосредственный руководитель работ (мастер, преподаватель). О проведении инструктажа лицо, проводившее инструктаж, делает запись в журнале регистрации инструктажа.

Целевой инструктаж фиксируется в наряде-допуске или оформляется актом. Обучение по безопасности труда носит непрерывный и многоуровненный характер, и проводиться как в образовательных учебных заведениях, так и на предприятиях, в учреждениях и организациях. Вопросы безопасности труда должны включаться в дипломные проекты (работы), контролем изучения данного курса является экзамен [7].

При подготовке к рабочей профессии изучение безопасности труда может быть как отдельной дисциплиной (повышенные требования безопасности), так и путём включения соответствующих вопросов в программы других дисциплин. Безопасность труда изучается при получении второй профессии.

Проверке знаний охраны труда в рамках должностных обязанностей также подлежат:

- работодатели и руководители предприятий, учреждений и организаций;

- специалисты организаций, контролирующие работу оборудования (производственный процесс) или имеющие в подчинении работников;

- лица, занимающиеся предпринимательской деятельностью, осуществляющих руководство, организацию, надзор и контроль работ, выполняемых подчинёнными им работниками;

- инженерные и педагогические работники профессиональных образовательных учреждений, использующие в учебном процессе оборудование, руководящие практикой студентов и др.;

- руководители и специалисты при всех формах повышения квалификации по специальности (профессии);

- и другие категории.

Проверка знаний по охране труда, поступивших на работу руководителей и специалистов, проводиться не позднее одного месяца после назначения на должность, а для работающих - периодически, но не реже одного раза в три года.

Внеочередная проверка знаний по охране труда руководителей и специалистов организаций проводится:

- при введении новых или переработанных (дополненных) законодательных и иных нормативных актов по охране труда;

- при изменениях технологических процессов, переводе на другую работу, если это предусматривает изучение новых правил по охране труда;

- после аварий и несчастных случаев;

- при нарушениях законодательства по охране труда;

- по требованию органов надзора и контроля;

- при перерыве в работе более одного года.

Проверка знаний осуществляется комиссией в составе не менее чем из трёх человек. Оформляется протокол. При успешной сдаче экзамена выдаётся удостоверение, утверждённого Министерством труда и социального развития Российской Федерации образца.

...