Методика защиты информации в беспроводных сетях на основе динамической маршрутизации трафика

Максимальное количество зон безопасности

50

Максимальное количество сетей VLAN

512

Производительность межсетевого экрана (большие пакеты / IMIX)

1,6 Гбит/c / 600 Мбит/с

Размер таблицы MAC адресов

16000 записей

Максимальное количество VPN-туннелей

512

Максимальное количество сессий

128000

Наименование

Значение

Скорость создания сессий (в секунду)

10,000

Максимальное количество политик безопасности

5192 (1 ГБ DRAM)

Затем установлены два коммутатора Extreme Summit X450E-24T. С этого оборудования и происходит разделение сети на несколько отдельных виртуальных сетей. Некоторые, из которых имеют открытый доступ для сторонних лиц. Поэтому для защиты основной рабочей среды организации, содержащей наибольшее количество конфиденциальной информации, данные сети отделены межсетевым экраном. Технические характеристики Extreme Summit X450E-24T указаны в таблице 3.

Таблица 3 - Технические характеристики Extreme Summit X450E-24T

Наименование	Значение
Макс. кол-во портов: 10/100 BASE-T / 10/100/1000 BASE-X	24 / 4
Общая коммутационная емкость	128 Гбит/с
Таблица MAC адресов	8000
Протоколы маршрутизации	IGMPv2, IGMPv3, OSPFv2, OSPFv3, BGP, BGP-4, статическая IP маршрутизация, RIP, IGMP, RIP-1, RIP-2, VRRP, PIM-SM, PIM-DM, OSPF.
Протоколы удаленного администрирования	Telnet, RMON 1, RMON 2, RMON 3, RMON 9, SNMP 2, SNMP 1, SNMP 3, HTTP, SNMP 2c.
Алгоритм шифрования	MD5, SSL, TLS.
Метод аутентификации	TACACS+, RADIUS, SSH2.
Отличительные особенности модели	поддержка: IPv6, VLAN, DiffServ, ARP, BOOTP, DHCP, Syslog; предотвращение DoS атак, port mirroring, IGMP snooping, управляемость, поддержка стекирования, trunking, фильтрация MAC адресов.

Рассмотрим основную рабочую среду Государственного Учреждения - Отделение Пенсионного фонда РФ по Республике Марий Эл. Она состоит из рабочих станций, установленных на всех 6 этажах здания, где распологается организация и серверных станций, на которых и хранится весь основной массив конфиденциальной информации. Сервера соеденяются с группой рабочих станций посредством следующего оборудования: Cisco Catalyst 3560E и Extreme Summit X250E-48T. Технические характеристики этого оборудования приведены в таблицах 4 и 5

Таблица 4 - Технические характеристики Cisco Catalyst 3560E

Наименование	Значение
Подключение к сети	48 портов Gigabit Ethernet + 2 порта 10G, Порты POE.
Возможности IP-маршрутизации	да
Списки доступа (ACL-Access Control Lists)	на базе MAC или IP адресов, портов UDP/ TCP
QoS (Quality of Service)	да
Полноценная IP-маршрутизация в режиме Cisco Express Forwarding.	да
Поддержка объединения портов Link Aggregation	да
VLAN	да

Таблица 5 - Технические характеристики Extreme Summit X250E-48T

Наименование	Значение
Макс. кол-во портов: 10/100 BASE-TX / 10/100/1000 BASE-T / гигабитного Ethernet (SFP)	48 / 2 / 2
Общая коммутационная емкость	48,8-97,6 Гбит/с
Маршрутизация IPv4 / IPv6	OSPF,RIP v1/v2, PIM / RIPng
Поддержка технологии Universal Port	да
Аутентификация при подключении к сети	да
Списки контроля доступа (ACLs)	да
CLEAR-Flow	нет
sFlow	да
Усовершенствованный стандарт Spanning Tree (802.1w, 802.1s, PVST+)	да
Агрегация каналов	да

Как видно оборудование рабочей части локально-вычислительной сети Государственного Учреждения - Отделение Пенсионного фонда Российской Федерации по Республике Марий Эл, требуещей наибольшую степень защиты представлено следующими фирмами: Juniper Networks американская компания, производитель телекоммуникационного оборудования, преимущественно для интернет-провайдеров, корпораций и государственного сектора. Основана Pradeep Sindhu в 1996 году. Штаб-квартира -- в Саннивейле (Калифорния, Кремниевая долина)., Extreme

Networks телекоммуникационная компания, основанная в 1996 году для продвижения технологически передовых решений Ethernet и развития стандарта Ethernet. Множество стандартов Ethernet в области масштабирования сети, обеспечения качества обслуживания, быстрого восстановления, являются открытыми патентами Extreme Networks. и Cisco американская транснациональная компания, разрабатывающая и продающая сетевое оборудование. Одна из крупнейших в мире компаний, специализирующихся в области высоких технологий. Изначально занималась только корпоративными маршрутизаторами.. Все эти фирмы производят высококлассное сетевое оборудовании оборудования для тех, кто осознает необходимость обеспечения беспрерывного функционирования и безопасности сети, а также ее построения на высококачественном оборудовании. Для построения сети использована неэкранированная витая пара.

Как уже было сказано остальная (вспомогательная) часть сети отделена от рабочей. Вместе их разделения для допольнительной безопасности установлен межсетевой экран. Для нашего исследования данная часть сети не имеет особого значения. Поэтому мы не будем её подробно рассматривать.

Для реализации дипломного проекта построим гостевую беспроводную сеть на первом этаже Государственного Учреждения - Отделение Пенсионного фонда РФ по Республике Марий Эл (приложение 1). Именно здесь распологаются основные службы по работе с клиентами, что делает решение о организации гостевой сети на базе технолгогии WLAN с динамической маршрутизацией трафика вполне логичной. Реализация данной беспроводной сети позволи улучшить как качество работы с клиентами.

Для построения будем использовать оборудование от фирмы Cisco AIR-SAP1602E. Работать данное оборудование будет в режиме динамической маршрутизации трафика. Насмотря на явные плюсы указанные выше, все таки данный вид маршрутизации имеет большую уязвимость с точки зрения информационной безопасности.Техические характеристики данного оборудования приведены в таблице 6.

Таблица 6 - Технические характеристики Cisco AIR-SAP1602E

Наименование	Значение
Стандарт беспроводной связи	802.11n, частота 2.4 / 5 ГГц
Поддержка MIMO	да
Макс. скорость беспроводного соединения	300 Мбит/с
Защита информации	WPA, WPA2, 802.1x
Мощность передатчика	23 dBM
Количество внешних антенн	3
Коэффициент усиления передающей антенны	6 dBM
Протоколы аутентификации 802.1X	EAP FAST/TLS/TTLS, PEAP GTC/MSCHAP, CISCO LEAP
DHCP-сервер	да

Для нахождения необходимого количества точек раздачи беспроводного сигнала, рассчитаем сначала дальность связи данного оборудования.

Для определения дальности связи необходимо рассчитать суммарное усиление тракта. Усиление тракта в дБ определяется по формуле:

(1)

- мощность передатчика берем из таблицы 6;

- коэффициент усиления передающей антенны берем из таблицы 6;

- коэффициент усиления приемной антенны нам неизвестен, но так как теоретически к данной сети должно подключаться любое оборудование, ты выбираем значение данного параметра равное 0. ;

- реальная чувствительность приемника;

Рассчитываем потери в пространстве:

(2)

Рассчитываем дальность связи:

 (3)

метров

где - центральная частота канала на котором работает система связи (МГц);

- расстояние между двумя точками (км).

В итоге получим формулу дальность связи:

Данное значение является актуальным для открытого пространства. Мы же будем устанавливать точки доступа в помещении. Нужно рассмотреть возможные потери в стенах ГУ Пенсионного фонда России.

На сайте Zyxel Крупная тайваньская компания, известный производитель сетевого оборудования домашнего и промышленного уровня. приведена таблица потери эффективности сигнала Wi-Fi при прохождении через различные среды.

Таблица 7 - Потери эффективности сигнала Wi-Fi при прохождении через различные среды

Препятствие	Эффективное расстояние
Открытое пространство	100%
Окно без тонировки (отсутствует металлизированное покрытие)	70%
Окно с тонировкой (металлизированное покрытие)	50%
Деревянная стена	30%
Межкомнатная стена (15,2 см)	15%
Несущая стена (30,5 см)	10%
Бетонный пол/потолок	10-15%
Монолитное железобетонное перекрытие	10%

По данным приведенным в таблице можно сделать вывод, что при прохождении несущей стены сигнал теряет в эффективности:

=11,6 метров

а при прохождении следов за этим межкомнатной стены:

=1,74 метров

Значит наш сигнал может пройти лишь одну несущую и одну межкомнатную стену, или две межкомнатных. Основываясь на этих данных, при рассмотрении плана первого этажа, можно сделать вывод, что для нормальной передачи сигнала в офисных помещения первого этажа Государственного Учреждения - Отделение Пенсионного фонда РФ по Республике Марий Эл требуется не менее 3 точек раздачи сигнала. Тем не менее, для подтверждения сделанных расчетов и уточнения мест установки точек доступа, дополнительно воспользуемся утилитой от фирмы Dlink - Wi-fi Planer Pro. Задав параметры предполагаемого оборудования получим следующие результаты:

Рисунок 11 - Размещение точек доступа

Любые расчеты, связанные с дальностью сигнала беспроводных сетей, имеют лишь примерную точность, так как существует множество факторов ослабления сигнал и которые не всегда возможно учесть.

На этом этап проектирования беспроводной сети можно считать завершенным. Теперь приступим к созданию методики защиты информации в данной беспроводной сети.

3. Разработка методики защиты информации в беспроводных сетях на основе динамической маршрутизации трафика

3.1 Создание методики защиты информации при передаче в беспроводной распределенной сети на основе динамической маршрутизации.

Сетевым администраторам необходимо обеспечить конечным пользователям свободу и мобильность, при этом, не давая взломщикам доступа ни к самой беспроводной сети, ни к информации, передаваемой по ней. С помощью беспроводной сети данные передаются по воздуху с помощью радиоволн между клиентскими устройствами (или рабочими станциями) и точками доступа - оконечными устройствами беспроводной сети в сети Ethernet, связывающими станции с самой сетью. Таким образом, любое клиентское устройство WLAN в зоне обслуживания точки доступа обменивается данными с точкой доступа.

Поскольку радиоволны проникают сквозь крыши, полы и стены, передаваемые данные могут быть получены не теми, кому они предназначались - на других этажах и даже снаружи здания, обслуживаемого точкой доступа. С появлением WLAN границы у сетей исчезли. Без введения строгой политики безопасности развертывание сети WLAN можно сравнить с повсеместной установкой Ethernet-портов, даже на стоянке автотранспорта.

Сетевым администраторам требуется максимальная уверенность в существовании решений для защиты их сетей WLAN от подобных уязвимостей и в способности сетей WLAN обеспечить уровень безопасности, управляемости и масштабируемости, идентичный предлагаемому проводными локальными сетями.

Как и в случае с проводными сетями, никто не может гарантировать абсолютно безопасного сетевого решения, навсегда и полностью предотвращающего вторжения. Обеспечение безопасности - динамический, постоянно идущий процесс, ни в коем случае не статический. Сетевые администраторы и производители решений WLAN должны на шаг опережать взломщиков.

Эксперты в вопросах безопасности рекомендуют предприятиям развертывать несколько уровней защиты всей сети для смягчения угрозы вторжения. Сетевые администраторы также могут снизить риск за счет продуманного проектирования и развертывания беспроводных сетей - с внедрением проверенных мер безопасности и с применением продуктов и программного обеспечения, разработанного специалистами в области сетевой безопасности.

До недавнего времени, развертывание полноценной беспроводной сети на объектах, требующих высокого уровня безопасности, было под запретом, так как считалось, что беспроводная среда будет слабым местом системы безопасности. Сейчас же, благодаря развитию технологий, можно построить надёжную и производительную беспроводную сеть, которая не будет уступать по степени защищённости сетевой кабельной инфраструктуре. Достигается данная цель путем организации ряда мер по обеспечению безопасности беспроводной сети [16].

Как писалось выше при помощи Extreme Summit X450E-24T происходит разделение сети на несколько виртуальных составляющих. Наша беспроводная сеть будет выведена в отдельную виртуальную сеть и дополнительно отделена межсетевым экраном, дабы злоумышленник не мог получить через неё доступ к основной рабочей сети Государственного Учреждения - Отделение Пенсионного фонда РФ по Республике Марий Эл, поскольку в ней происходит обработка и хранение важной конфиденциальной информации и данное решение является следствием необходимости сохранения её целостности и конфиденциальности.

Теперь, когда наша беспроводная сеть отделена от рабочей приступим к построению гостевой беспроводной сети. Для её реализации будем использовать оборудование от фирмы Cisco Identity Services Engine Appliance ISE-3315-K9 являющейся платформой следующего поколения для управления процессами идентификации и контроля доступа, которая позволяет организациям обеспечить соблюдение нормативных требований, повысить уровень защищенности корпоративной информационной инфраструктуры и упростить управление работой сетевых сервисов. Благодаря уникальной архитектуре решения предприятия могут в режиме реального времени получать из сетей, от пользователей и устройств контекстную информацию, необходимую для принятия упреждающих решений по предоставлению доступа. Все решения принимаются на основании единой политики доступа, распространяющейся на проводные сегменты сети, беспроводные сегменты сети и подключения удаленного доступа.

Cisco Identity Services Engine является неотъемлемым компонентом решения Cisco TrustSec и архитектуры Cisco SecureX. Cisco Identity Services Engine представляет собой высокопроизводительное и гибкое решение для контроля доступа с учетом контекста, которое объединяет сервисы аутентификации, авторизации и учета, оценки состояния, профилирования и управления гостевым доступом в рамках единой платформы. Администраторы получают возможность централизованно создавать согласованные политик контроля доступа и управления ими, а также полную осведомленность обо всех пользователях и устройствах, подключающихся к сети. Решение Cisco Identity Services Engine автоматически выявляет и классифицирует оконечные устройства, обеспечивает нужный уровень доступа, проводя аутентификацию как пользователей, так и устройств, а также обеспечивает соответствие оконечных устройств нормативным требованиям путем оценки их состояния защищенности перед предоставлением доступа к корпоративной ИТ-инфраструктуре. Cisco Identity Services Engine поддерживает гибкие механизмы контроля доступа, включая группы безопасности (SGA), метки групп безопасности (SGT) и списки контроля доступа групп безопасности (SGACL).

Характеристики Cisco Identity Services Engine Appliance указаны в таблице 8

Таблица 8 - Технические характеристики Cisco Identity Services Engine Appliance 3315

Наименование	Значение
Процессор	1 четырехъядерный ЦП Intel Core 2 Q9400, 2,66 ГГ
Память	2 жестких диска SATA емкостью 250 Гбайт каждый
Дисковод соединения	CD/DVD-ROM
Сетевые подключения
Ethernet- адаптеры	4 интегрированных адаптера Gigabit Ethernet
Поддержка кабеля 10BASE-T)	Неэкранированная витая пара (UTP) категории 3, 4 или 5, до 328 футов (100 м)
Поддержка кабеля 10/100/1000BASE-TX	Неэкранированная витая пара (UTP) категории 5, до 328 футов (100 м)
Интерфейсы
Последовательные порты	1
Порты USB 2. 0	4 (два спереди, два сзади)
Внешние порты SCSI	Нет

Платформа Cisco Identity Services Engine характеризуется следующими преимуществами.

- Эта платформа позволяет организациям выполнять согласованное развертывание сложных индивидуализированных бизнес-политик доступа.

- Платформа позволяет снизить операционные расходы за счет обеспечения полного мониторинга, формирования исторических отчетов и расширенных средств поиска и устранения неполадок сетевого доступа.

- Платформа позволяет уменьшить число перебоев в работе сети и сократить время простоя за счет того, что доступ к сети предоставляется только пользователям, соответствующим требованиям политик, а пользователи, которые не соответствуют требованиям политик, изолируются в отдельные области сети с ограниченным доступом к корпоративным ИТ-ресурсам.

- Платформа позволяет организациям обеспечить соответствие нормативным требованиям, поскольку она обеспечивает реализацию необходимых механизмов обеспечения информационной безопасности и их аудит

Являясь неотъемлемым компонентом решения Cisco TrustSec, платформа Cisco Identity Services Engine предоставляет следующие возможности.

- Внедрение в корпоративную ИТ-инфраструктуру средств аутентификации и авторизации пользователей и оконечных устройств, подключенных к проводным сетям, беспроводным сетям и сетям VPN, обеспечение соблюдения согласованной политики в масштабах всего предприятия.

- Предотвращение несанкционированного доступа к сети для защиты корпоративных активов.

- Управление полным жизненным циклом гостевого доступа за счет предоставления приглашающим лицам (спонсорам) средств для разрешения доступа их гостей, что позволяет снизить текущую нагрузку на ИТ- специалистов.

- Поддержка настраиваемых порталов и возможности публикации web-страниц для упрощения работы как новых, так и опытных пользователей в соответствии с принятыми в организации процессами.

- Обеспечение полномасштабного мониторинга путем обнаружения, классификации и управления подключающимися к сети оконечными устройствами для предоставления соответствующих сервисов и уровней доступа.

- Устранение уязвимостей на компьютерах пользователей путем регулярной проверки и корректировки их состояния, что позволяет нейтрализовать такие сетевые угрозы, как вирусы, черви и шпионские программы.

- Обеспечение соблюдения политик безопасности за счет блокировки и изоляции несоответствующих корпоративным стандартам компьютеров в карантинной области, а также их обновления без привлечения администратора.

- Поддержка встроенной консоли мониторинга, отчетности и устранения неполадок для упрощения работы специалистов службы поддержки и администраторов.

- Повышение точности профилирования подключенных к сети устройств за счет методов активного сканирования устройства. Этот механизм позволяет повысить точность профилирования устройств, для которого раньше использовались только средства анализа сетевого трафика, за счет сканирования определенных атрибутов устройства (в соответствии с политикой).

- Управление доступом оконечных устройств к сети с помощью сервиса защиты оконечных устройств (EPS). Сервис EPS позволяет администратору связывать оконечные устройства и действия, которые необходимо выполнить при подключении устройства (перенос в новую VLAN, возврат в исходную VLAN или полная изоляция устройства от сети), с помощью единого интерфейса [18].

Для нашей страны немаловажна и законная сторона вопроса:

- предоставление услуг беспроводного подключения к Интернету в публичных местах без идентификации пользователей будет являться административным правонарушением;

- нарушение Федерального законодательства грозит руководителю предприятия крупным штрафом;

- согласно Постановлениям Правительства Российской Федерации от 31 июля 2014 г. № 758 [1] и от 12 августа 2014 г. № 801[2], необходима обязательная идентификация всех лиц, пользующихся услугами доступа в Интернет в сети Wi-Fi вашего предприятия.

С данной проблемой решение от фирмы Cisco тоже вполне справляется.

Так же плюсом данного решения является то, что при необходимости организовать беспроводную сеть на других этажах Пенсионного фонда РФ по республике Марий-Эл не нужно будет производит каких-либо дополнительных действий. Достаточно будет провести кабель в нужное место и подключить точку доступа.

При появлении нового оборудования в сети, нужно произвести изменения в имеющейся политике информационной безопасности. К примеру нет необходимости работы беспроводной сети в ночное время, поэтому по окончанию рабочего дня можно отключать данное оборудование от сети, что делает её абсолютно безопасной в это время. Или проведение инструктажа персонала по новому оборудованию.

Поскольку в нашей сети реализована динамическая маршрутизация трафика, то стоит особое внимание уделить её настройке, поскольку некорректно настроенное оборудование довольно часто приводит к возникновению проблем в сети.

Существует несколько работ насколько написанных Никоновым В.И.[8] про реализацию системы защиты на основе динамической маршрутизации путем задания алгоритма направления сообщений в сети. Тем не менее данные методы не дают серьезной защиты сети.

Подвоем итоги всего вышесказанного. На основании данного проекта на первом этаже здания Пенсионного фонда РФ по республике Марий-Эл можно развернуть гостевую беспроводную сеть обеспечивающую доступ любому пользователю к интернету. При том, что данная сеть не отделена от основной сети, имеющей большое количество конфиденциальной информации, физически, предлагается отделить данную структуру в отдельную виртуальную сеть и установить в ней сервер безопасности от фирмы Cisco, который является комплексным решением для обеспечения безопасности. Теперь приступим к анализу эффективности данного решения.

3.2 Анализ эффективности разработанной методики защиты

Несмотря на то, что в большинстве организаций уже развернуты те или иные беспроводные сети у специалистов обычно возникает много вопросов по поводу безопасности выбранных решений, а руководители компаний, избегающие внедрения беспроводных технологий, беспокоятся об упущенных возможностях повышения производительности труда, сокращения инфраструктурных расходов, качества работы с клиентами.

Руководители многих организаций понимают, что беспроводные технологии позволяют повысить продуктивность работы и сотрудничества, но не решаются приступить к их внедрению, опасаясь уязвимостей, которые могут появиться в корпоративной сети вследствие использования беспроводных сетей. Разнообразие предлагаемых методов защиты беспроводных коммуникаций и разногласия по поводу их эффективности только усиливают эти сомнения.

Но, несмотря на все преимущества, есть и недостатки, в основном технологические, которые выражаются в уязвимости беспроводной сети через различные атаки со стороны злоумышленников. По этой причине сейчас многие компании по производству сетевого оборудования разрабатывают различные подходы для обеспечения максимальной безопасности сети. В результате ими разработано множество подходов к обеспечению безопасности беспроводных сетей.

На сегодняшний день рынок оборудования беспроводного доступа представлен большим разнообразием производителей. Выбор того или иного производителя должен проводится с учетом множества факторов, основные из них это: годность оборудования для реализации данного проекта, используемая технология, совместимость с другим оборудованием, стоимость оборудования. При сравнении различных систем радио доступа большое преимущество имеет продукция фирмы Cisco. Основные преимущества данной фирмы:

1.Высокая степень безопасность;

2. Поддержка максимального количества сертификатов безопасности;

3. Простота управления;

4. Постоянная техническая поддержка оборудования;

Решение Cisco создает максимально безопасные беспроводные сети, обеспечивая мобильность пользователей и увеличивая их продуктивность.

Затраты по капитальным вложениям на реализацию проекта включают в себя затраты на приобретение основного оборудования, монтаж оборудования, транспортные расходы и проектирование, и рассчитывается по формуле:

(4)

где: - капитальные вложения на приобретение основного оборудования;

- дополнительные расходы(транспортировка, пересылка)

. - расходы по монтажу оборудования;

Общий перечень необходимого основного оборудования и его стоимость приведены в таблице 9

Таблица 9 - Смета затрат на приобретение основного оборудования для реализации проекта

Наименование	Количество	Цена
Cisco AIR-SAP1602E	3	31353 руб.
Cisco Identity Services Engine Appliance 3315	1	476 784 руб.
Неэкранированная витая пара	25	11 руб.
Прочие материалы	1	128 руб.
Итого:	571246 руб.

Дополнительные расходы, составляют 0,4% от стоимости всего оборудования и рассчитываются по формуле: руб.

Монтаж оборудования, пуско-наладка производится инженерами-монтажниками, расходы составляют 1% от стоимости всего оборудования и рассчитываются по формуле: руб.

Общая сумма капитальных вложений по реализации проекта составляет: руб.

В итоге проведения расчетов стоимости реализации данного проекта по обеспечению безопасности гостевой беспроводной сети ГУ Пенсионный фонд РФ по республике Марий-Эл, полные затраты составят 579243 руб.

При реализации любого проекта очень важно оценить его окупаемость. Но оценка экономической эффективности проекта в сфере информационной безопасности представляется довольно сложной по следующим причинам:

1. Информационная безопасность является относительно новой сферой деятельности, и в связи с этим недостаточно проработаны методы оценки информационных рисков и методики оценки информационных ресурсов.

2. Большинство методов оценки экономической эффективности внедрения мер по обеспечению информационной безопасности опираются на использование статистики успешной реализации угроз. Однако доступ к такой статистике ограничен - организации не желают разглашать информацию, которая может повлечь за собой неблагоприятные последствия (ухудшение репутации компании, потерю постоянных и потенциальных клиентов и т. п.).

3. Убытки (прямые и косвенные), наносимые организации вследствие реализации угрозы, достаточно трудно оценить, что связано со сложностью прогнозирования всех возможных последствий реализации угрозы и оценки их значимости для организации.

4. При рассмотрении редких событий, которые происходят один раз в 10, 20 или более лет, также возникают затруднения. Сбор статистических данных в этом случае практически невозможен, поскольку каждое такое событие является по-своему уникальным, а размер ущерба, наносимого организации в результате реализации такого события, как правило, превышает размер ущерба, нанесенного в результате идентичного предыдущего события.

Кроме того, многие аспекты, касающиеся безопасности, могут вообще не подлежать количественному измерению. Они являются сугубо качественными, и предлагать измерять их количественно в большинстве случаев бесперспективно. Кроме того, часто получение от лица, принимающего решение, надежной количественной информации бывает затруднительным. В таких случаях стремятся получить от него в основном только качественную информацию. Например, информацию о том, какой из критериев наиболее или наименее значим, какой из критериев может быть ухудшен, а для каких ухудшение крайне нежелательно и т. д.

Однако ценность информации находящейся в базах данных Пенсионного фонда РФ настолько велика, что в денежном эквивалента сумма потерь при ее уничтожении, или изменения полностью оправдывает любые денежные вложения в проектирование систем безопасности с использованием самых передовых технологий.

Из всего сказанного можно подытожить следующее, что установка оборудования создающего беспроводную сеть и реализация предложенной методики по обеспечению информационной безопасности спроектированной беспроводной сети в здании Пенсионного Фонда РФ, положительно скажется на работе данной организации, так как установка данного оборудования повысит качество работы с клиентами, а защита данных обезопасит систему от возможных потерь или нарушений ее работы.

Заключение

В настоящее время, беспроводные соединения получили широчайшее распространение, в основном, благодаря их способности работать с интернетом в любой точке дома или офиса. Однако если не принять мер к обеспечению информационной безопасности беспроводной сети, то злоумышленник может перехватить передаваемые по ней данные, получить доступ к сети и файлам на компьютере, а также выходить в интернет, используя подключение.

Как показывает мировой опыт, одной из главных проблем современного процесса информатизации является хакерство в информационных системах, что наносит прямые материальные убытки как разработчикам информационных технологий, так и их пользователям. Роль сетевой информации постоянно растет. Поэтому необходимым условием функционирования предприятий является обеспечение их информационной безопасности.

Сфера информационной безопасности - наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т. к., компьютерные и телекоммуникационные технологии, в том числе и беспроводные сети, постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Так же не стоит забывать, что прочность цепи определяется прочностью самого слабого звена. Беспроводная сеть может быть полностью защищена от постороннего доступа, но проводная часть может, сервер и шлюз может быть не подготовлен к атаке злоумышленников.. Сеть может быть полностью защищена, но хакер взломает почтовый ящик. Поэтому при создании безопасности беспроводной сети, стоит учитывать и её локальную часть и политику безопасности. Так же стоит иметь ввиду, что любая защита характеризуется временем вскрытия.

Как уже говорилось, перед внедрением любой новой технологии в конкретной организации нужно оценить потребности компании, ее устойчивость к риску и фактический риск. Беспроводные технологии - не исключение. Беспроводные сети имеют целый ряд преимуществ, но для конкретной организации эти преимущества могут быть не так важны или вообще не иметь значения.

При выборе защищенного беспроводного решения нужно принять во внимание все возможные варианты, в том числе отказ от беспроводных технологий. Если будет сделан вывод, что организация не готова к развертыванию беспроводной сети, это решение следует отразить в действующей корпоративной политике, чтобы предотвратить ослабление защиты корпоративной сетевой среды из-за самовольного создания беспроводных сетей конечными пользователями.

Правильно построенная и соблюдаемая политика безопасности является надежным фундаментом защищенной беспроводной сети. Вследствие этого стоит уделять ей достаточное внимание, как на этапе внедрения сети, так и в ходе ее эксплуатации, отражая в нормативных документах изменения, происходящие в сети.

Неправильная настройка беспроводного оборудования, отсутствие средств контроля и разграничения доступа, отсутствие специализированных средств защиты и мониторинга, все это может привести к тому, что злоумышленник получит доступ к ресурсам корпоративной сети, аналогичный доступу собственника сети. Данные факты позволяют говорить об актуальности вопросов, связанных с оценкой защищенности беспроводных сетей, оценкой возможностей злоумышленника осуществлять несанкционированные действия в беспроводном сегменте и получать доступ к остальным ресурсам сети.

В данной работе была разработана беспроводная сеть в здании Пенсионного фонда РФ и была предложена методика для обеспечения безопасности данной беспроводной сети с динамической маршрутизацией. Так же была проведены оценка эффективность спроектированной системы.

Таким образом, была достигнута цель дипломной работы - была разработана методика защиты информации в беспроводных сетях.

Список использованных источников

1. Постановление Правительства Российской Федерации от 31 июля 2014 г. N 758 г. Москва "О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей" //Справочно-правовая система «Консультант Плюс»

2. Постановление Правительства РФ от 12 августа 2014 г. N 801 "О внесении изменений в некоторые акты Правительства Российской Федерации" //Справочно-правовая система «Консультант Плюс»

3. Бекасов, В. Ю. Методы и модели разработки и анализа информационных структур корпоративных мультисервисных сетей / В. Ю. Бекасов. - М. : МИЭМ НИУ ВШЭ, 2011. - 188 c.

4. Бельфер, Р. А. Угрозы информационной безопасности в беспроводных саморегулирующихся сетях / Р. А. Бельфер. // Вестник Московского государственного технического университета им. Н.Э. Баумана. Серия «Приборостроение». - 2011. - 81. - С. 120-124.

5. Ватаманюк, А. Домашние и офисные сети под Vista и XP / А. Ватаманюк. - СПб. : Питер, 2008. - 54 c.Купер, Дж. Архитектура корпоративных сетей / Дж. Купер. - NetSkills, 2014. - 251 c.

6. Мамойленко, С. Н. Динамическая маршрутизация трафика в компьютерных сетях / С. Н. Мамойленко. - Новосибирск : СибГУТИ, 2016. - 16 c.

7. Метелёв, А. П. Протокол маршрутизации в беспроводных самоорганизующихся сетях / А. П. Метелёв, А. В. Чистяков, А. Н. Жолобов. // Вестник Нижегородского университета им. Н.И. Лобачевского. - 2013. - 3. - С. 75-78.

8. Никонов, В. И. Методика защиты информации в беспроводных сетях на основе динамической маршрутизации трафика / В. И. Никонов. - Томск : ОмГТУ, 2010. - 119 c.

9. Пролетарский, А. В. Беспроводные сети Wi-Fi(2-е изд.) / А. В. Пролетарский. и др. - М. : НОУ "ИНТУИТ", 2016. - 284 c.

10. Сазонов, И. В. Особенности создания корпоративных сетей / И. В. Сазонов. // T-Comm - Телекоммуникации и Транспорт. - 2011. - 8. - С. 106-107.

11. Соловьев, А. К. Финансовая система государственного пенсионного страхования в России / А. К. Соловьев. - М. : Финансы и статистика, 2004. - 496 c.

12. Vicas, S. Y. Security in Vehicular Ad Hoc Networks / S. Y. Vicas, M. Sudip, A. Mozaffar. // CRC Press. - 2011. - 1. - С. 228-249.

13. Семенов, Ю. А. Алгоритмы телекоммуникационных сетей. Часть 2. Протоколы и алгоритмы маршрутизации в INTERNET / Ю. А. Семенов. - М. : Национальный Открытый Университет "ИНТУИТ", 2016. - 1004 c.

14. Архитектура построения сетей [Электронный ресурс]. - Режим доступа : http://www.cisco.com/ - Загл. с экрана.

15. Безопасность в беспроводных ad hoc сетях [Электронный ресурс]. - Режим доступа : http://oliverweber96.ru/, свободный. - Загл. с экрана.

16. Безопасность беспроводных сетей [Электронный ресурс]. - Режим доступа : http://www.univers-spb.ru, свободный. - Загл. с экрана.

17. О Пенсионном Фонде [Электронный ресурс]. - Режим доступа : http://www.pfrf.ru/, свободный. - Загл. с экрана.

18. Cisco Identity Services Engine [Электронный ресурс]. - Режим доступа : http://www.cisco.com/, свободный. - Загл. с экрана.

Приложение 1

План первого этажа

Размещено на Allbest.ru

...