Автор работы: Пользователь скрыл имя, 13 Февраля 2013 в 18:15, контрольная работа
Целью проекта ставится анализ программно-аппаратного комплекса предприятия на возможность использования данной системы на предприятии и недопущения факта “утечки” (кражи) коммерческой информации.
Для решения данной цели необходимо решить следующие задачи:
-проанализировать коммерческую информацию и определить класс безопасности такой системы;
-на основе класса безопасности определить перечень требований, которые должны быть соблюдены;
-проанализировать все угрозы и предложить меры по их устранению;
-представить перечень требуемых организационных мер, определить список должностных лиц, которым будут делегированы новые полномочия.
Введение
1. Описание системы и среды ее функционирования
2. Пользователи Системы, класс защищенности разрабатываемой подсистемы
3. Горизонтальная модель сети
4. Вертикальная модель сети
Заключение
Список литературы
Следует осуществить настройку таким образом, чтобы пользователь в принудительном порядке менял пароля в установленный промежуток времени. Лучше, не реже, чем 1 месяц. При этом последние пароли (5-10 штук) не должны повторятся.
Ограничить использование Интернета, только по мере необходимости. Так, например, Интернет необходим для специалистов отделов маркетинга, управленцев, и частично бухгалтерии. Электронной почтой пользуются все.
Точка выхода в глобальную сеть из данной сети должна быть одна – маршрутизатор, подключенный в сеть через сетевой коммутатор. Обязательными мероприятиями должны стать установка на маршрутизатор специализированного ПО: firewall и антивирус. Для данного ПО должен быть установлен период времени, когда базы сигнатур должны быть пополнены.
Использование технологии VPN (virtual private network). В ЛВС предприятия VPN реализуется программно-аппаратно. На мобильном компьютере Директора, устанавливается только клиентская часть VPN.
4. Вертикальная модель сети
В предыдущей главе данной работы была рассмотрена горизонтальная модель сеть, отличающая от вертикальной тем, что она затрагивает лишь анализ угроз, которые возникают в сети на некотором одном уровне. Это уровень среды функционирования системы, в которой “обитают” конечные пользователи, системные администраторы, программы.
Однако, угрозы для системы могут обнаружится и на разных уровнях, соответствующих семиуровневой сетевой модели (OSI – Open System Interconnection).
“…построение механизмов
защиты должно также носить многоуровневый
характер. Проще это пояснить на
примерах. Если нас интересует только
защита конфиденциальности и целостности
данных в приложениях, то, обычно, этот
вопрос можно решить на верхних уровнях
(приложениях или
Рассмотрим каждый уровень семиуровневой сетевой модели применив для Системы.
Физический уровень
Данный уровень отвечает
за кодирование передаваемых сигналов
в среде передачи данных. На этом
уровне происходит преобразование поступающих
со всех остальных уровней битов
(0 и 1) в электрические сигналы. В
соответствии с этим, для избегания
воздействия различных
Также вокруг проводов передачи данных образуется электромагнитное поле, которое обеспечивает возможность считывания передаваемой информации с помощью специальных устройств. С целью устранения такой угрозы кабели необходимо прокладывать как можно дальше от окон (желательно по центральному коридору). В результате этого злоумышленники не смогут считать передаваемые данные, находясь за пределами здания.
Рекомендуемая топология сети – звезда, где для подключения каждого узла выделен отдельный кабельный сегмент.
Канальный уровень
Так как на данном уровне семиуровневой модели OSI происходит работа с MAC-адресами сетевых интерфейсов (адресами сетевых карт), то с целью устранения такой угрозы, как подмена рабочего места пользователя, необходимо произвести привязку MAC-адресов к конкретным портам активного оборудования, например, коммутатора.
Привязка MAC-адресов будет выглядеть примерно следующим образом:
[привязать MAC - 1 к порту Port - 1]
После выполнения такой операции к порту 1 коммутатора будут иметь доступ только компьютеры с адресами сетевых интерфейсов MAC-1. Устройства с другими сетевыми картами уже не смогут получить доступ к портам данного коммутатора.
Сетевой уровень
Сетевой уровень отвечает за маршрутизацию, т.е. за выбор оптимального пути и доставку пакета данных адресату. В соответствии с этим, необходимо разбить сеть на виртуальные сегменты (сгруппировать в отдельные VLAN-ы), причём каждый такой сегмент будет иметь дело с конфиденциальной информацией, касающейся только пользователей, расположенных в данном сегменте сети (работников бухгалтерии предприятия и кадровиков).
Создадим для каждого отдела свой VLAN.Бухгалтерия VLAN – 1
Отдел кадров VLAN – 2
Управленец VLAN – 3
Информационные отдел VLAN – 4
Маркетинг
Настройка портов может в таком случае выглядеть следующим образом:
[Включить Port – (1-6) в VLAN - 4]
[Включить Port – (7-10) в VLAN - 5]
[Включить Port – (11-12) в VLAN – 1]
[Включить Port – 13 в VLAN - 2]
[Включить Port – 14 в VLAN - 3]
Для достижения большего эффекта от такого разбиения сети необходимо использовать листы доступа (ACCESS – листы), которые бы запрещали сетям с конфиденциальной информацией маршрутизироваться в персональной машине пользователей бухгалтерии и отделов кадров должна быть установлена ОС Windows 2000 Professional или Windows XP. Любая из данных ОС должна быть обновлена соответствующими Service Pack. Так, для Win2000 до SP4, а для WinXP до SP2.
На сервере для
Опускать ненужные сервисы, при этом необходимо периодически проверять включенные сервисы с целью выявления изменений, которые могут произойти, например, при установке нового ПО или АО (На сервере с конфиденциальной информацией не должно быть таких сервисов, как telnet, ftp, http);
По возможности не использовать удалённое администрирование;
Включить обнаружение атак и антивирусную защиту;
Постоянно следить за появлением угроз в системе.
Обязательно выполнять резервное копирование, архивирование, и если это возможно осуществлять контроль целостности и очистку памяти.
Прикладное и общесистемной ПО
На сервере и клиенте запрещено иметь средства разработки;
Категорически запрещено вести разработку ПО на промышленных ресурсах. Для этих целей должны быть выделены отдельные ресурсы;
Каждый субъект должен иметь доступ только к тем объектом, который ему разрешён в соответствии с матрицей доступа.
Защита СУБД
В качестве сервера необходимо использовать MS SQL Server Standard Edition SP3a. Необходимо выполнения следующих мероприятий по защите сервера СУБД:
Доступ к данным осуществлять только через системы ролей. Роли утверждаются генеральным директором предприятия, а затем системный администратор назначает доступ;
Разработку и отладку ПО вести на отдельном сервере. Тестирование также осуществлять на отдельных ресурсах с учётом будущей нагрузки;
Необходимо повысить надёжность электропитания на сервере.
Организационные мероприятия
Самым дешёвым и самым эффективным средством защиты информации является проведение организационных мероприятий. Для защиты Системы необходимо утвердить следующие организационные мероприятия:
Утверждение политики безопасности;
Охрану периметра здания;
Распоряжения о персональном доступе в кроссовое помещение;
Учёт ключей и их выдача
лицам, утверждённым в специальном
списке, имеющим доступ к серверным
помещениям, активному оборудованию
и конфиденциальной информации; все
действия, выполняемые в этих помещениях,
должны документироваться и
Распоряжение на выдачу конфиденциальной информации в документальном виде;
Регламента о резервном копировании и архивировании, который описывает: кто отвечает за эти действия, а также график их выполнения;
Запрет использования переносных устройств информации;
Должен быть разработан список
доступа пользователей к
Описание конфигурации серверов, все конфигурационные файлы должны быть зарезервированы (сохранены);
Разработка регламента о получении сведений при перемещении по службе (увольнении): на основании приказов об увольнении служащих или их переводе в другие подразделения необходимо удалить учётную запись, либо изменить права доступа соответственно;
Разработка регламента на использование антивирусов;
Регламент на восстановление системы после сбоев;
Налаживание учёта
используемого программного
Регламент на профилактику: установка patch-ей
При обнаружении уязвимого
места в программном
Заключение
В результате выполнения работы было рассмотрено функционирование Автоматизированной системы бухгалтерского, налогового и управленческого учета. При анализе деятельности бухгалтерии была выявлена информация, нуждающаяся в защите для его благополучного функционирования. Исходя из этих данных, был проведён анализ возможных угроз, которым могла подвергнуться персональная информация и пользователи, работающие с ней. Выявленные угрозы были классифицированы на внешние и внутренние. Изучив, степень возможного риска появления этих угроз был произведён поиск решений по снижению вероятности появления каждой из них.
Реализация защиты на вертикальной структуре обеспечила объединение пользователей бухгалтерии в отдельный сегмент сети так, чтобы конфиденциальная информация не могла циркулировать в других отделах. В тот же сегмент был помещён сервер баз данных, благодаря чему, доступ к нему имеет только сама бухгалтерия.
Итогом стал список организационных мероприятий, регламентов и распоряжений, благодаря которому основная часть угроз была ликвидирована.
Разработанная подсистема соответствует классу защищенности 1Г, так как существует управление доступом (в систему, к ЭВМ, внешним устройствам ЭВМ, каналам связи), регистрация и учет (регистрация входа/выхода субъектов доступа в/из системы, выдачи печатных выходных документов, учета носителей информации и т.д.), обеспечение целостности (обеспечение целостности ПО и обрабатываемой информации, физическая охрана средств вычислительной техники и носителей информации, периодическое).
Стоит отметить, что в рамках данной работы были удовлетворенны следующие требования к защите системы класса 1Г:
-идентификация, проверка подлинности и контроль доступа субъектов;
-регистрация и учет (входа/выхода субъектов в/из системы; выдачи печатных выходных документов; запуска/завершения программ и процессов; доступа программ субъектов к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи);
-физическая охрана средств
вычислительной техники и
-наличие средств
Среди существующих требований класса 1Г есть и такие, которые не были решены полностью:
-обеспечение целостности программных средств и обрабатываемой информации;
-очистка (обнуление)
Предложенные средства и регламенты по защите конфиденциальной информации системы в сети позволяют значительно снизить риски ее кражи.
Список литературы
1. Конев И.Р., Беляев А.В.
Информационная безопасность
2. Лекции Н.А. Некучаевой по дисциплине “Информационная безопасность и защита информации”, 2005г.
Информация о работе Методы защиты данных в 1С-Предприятие. Уровни доступа. Пароли