Глава III. Проект системы конденциальной информации.
Для уменьшения рисков угроз безопасности коммерческой информации в ЧП ЗАО «Лиса» необходимо принять следующие меры по защите информации (Рисунок 5). (Приложение 5) :
1. Изменение информационной сети Центрального офиса АБК
- Выведение основных серверов в отдельную подсеть; Выведение рабочих компьютеров сотрудников и принтеров в отдельную подсеть
2. Изменение информационной сети АБК АСУ и лаборатории физико- механических испытаний.
- Разделение сети на рабочую и гостевую подсети; настройка ACL листов на маршрутизаторах; обеспечение резервного канала связи.
3. Система цифровых сертификатов – Внедрение сервера сертификатов x.509; Внедрение Radius сервера для проверки подлинности сертификатов.
4. Организационные меры по защите информации – Описание регламентов информационной безопасности; составление инструкции по парольной защите; составление инструкции по антивирусной защите.
3.1 Проект по изменению информационной сети Центрального офиса.
Цель проекта:
В настоящее время в сети ЧП ЗАО «Лиса» все сервера, а также компьютеры пользователей и принтеры в центральном офисе компании находятся вместе в одной подсети (192.168.100.0/24). Данное обстоятельство не является обязательным для функционирования рабочих процессов и, кроме того, негативно сказывается на безопасности серверов. Например, включение через патчкорд (через который был подключен принтер или компьютер сотрудника) принесенного «левого» ноутбука позволяет получить последнему по DHCP адрес из подсети, в которой находятся все сервера компании.
Принято решение разработать данный план, согласно которому вывести важные для бизнеса сервера в отдельную подсеть, а также отделить рабочие компьютеры сотрудников и принтеры в отдельную подсеть (Рисунок 6). (Приложение 6).
Таблица 9. Адресация серверов центрального офиса.
Название сервера |
Текущий IP-адрес |
Новый IP-адрес
|
Serv_dc (Domain Controller)
|
192.168.100.5
|
192.168.120.5
|
Serv_exch (Exchange Server) |
192.168.100.6
|
192.168.120.6
|
Serv_term (Terminal Server)
|
192.168.100.10
|
192.168.120.10
|
Serv_bd (DataBase Server)
|
192.168.100.11
|
192.168.120.11 |
План разделения на подсети.
Таблица 10. План разделения центрального офиса на подсети.
№ |
Подсеть |
Содержимое
|
1 |
vlan100 (DEFAULT) – 192.168.100.0/24
|
Рабочие места
|
2 |
vlan120 (ITNET) – 192.168.120.0/27
|
Новая подсеть для серверов
|
3.2 Проект по изменению информационной сети абк асу.
Цель проекта:
Данный проект предусматривает модернизацию существующей информационной сети, с одновременным решением вопроса безопасности подразделения (Рисунок 7). (Приложение 7).
В рамках проекта решаются следующие задачи:
- работа сотрудников-менеджеров в бизнес-приложении, осуществление ими рабочей деятельности;
- работа сторонних сотрудников (кредитные инспекторы), их оборудования (POS-терминалы, специализированное ПО);
- повышение безопасности сети путем выделения рабочей и гостевой зон локальной сети;
Наложенные ограничения и условия
- Необходимость подключения к сети оборудования сторонних сотрудников, универсального места тестирования и связанные с этим риски;
- Скорость основного канала связи до центрального офиса – 100Мбит/с, резервного – 256Кбит/с;
- Из гостевой сети доступны интернет-сервера активации продаваемого ПО, доступ в Интернет через прокси-сервер, доступ до серверов организаций сторонних сотрудников;
Общие принципы организации
Основная задача, которая решается проектом информационной системы - обеспечить с одной стороны изоляцию рабочей среды от деструктивной активности зараженных или неправильно настроенных рабочих мест, а с другой предоставить максимальный уровень сервиса всем подключенным клиентам системы.
Реализованный вариант информационной системы представляет собой логически (на уровне коммутатора) поделенную на две части сеть:
1. рабочая сеть;
2. гостевая сеть;
Рабочая сеть - обеспечивает основную бизнес-деятельность менеджеров. В рабочую сеть подключается только оборудование Компании.
Гостевая сеть - обеспечивает основную бизнес-деятельность сторонних сотрудников (кредитные инспектора), работу POS-терминалов, универсального места тестирования. Наложенные ограничения — доступ к Интернет через прокси-сервер, доступ к серверам активации продаваемого ПО;
Таблица 11. План разделения АБК АСУ на подсети
Тип сети
|
Адрес сети
|
Маршрутизатор
|
Рабочая сеть
|
192.168.110.64/255.255.255.224 |
192.168.110.65
|
Гостевая сеть
|
192.168.111.32/255.255.255.240 |
192.168.111.33
|