Министерство образования и науки, молодежи и спорта
ОДЕССКИЙ НАЦИОНАЛЬНЫЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
Институт радиоэлектронники и телекоммуникаций
Кафедра информационной безопасности
ПРОТОКОЛ
Лабораторной работы
По дисциплине «Методы и способы защиты информации»
«Защита информации на ЖД под управлением 150 ПК»
Выполнил студент гр. РБ-091
________________Братко Ю.С.
(подпись)
“___” ____________ 2013 р.
Проверил: ст. пр. ИБ
_______________ Венедиктов Ю.И.
(подпись)
_______________ Барабанов Н.А.
(подпись)
“___” ____________ 2013 р.
Одесса 2013
Цель работы:
Показать навыки по защите информации в управлении ЖД г. Одесса, применить физические и технические методы защиты информации.
Порядок выполнения работы:
Структурная схема и краткое описание;
Физические способы защиты информации;
Технические способы защиты информации;
Должностные инструкции системного администратора, программиста и оператора ПК;
Заключение.
Ход работы:
Одесский железнодорожный вокзал был построен в 1880-е годы. Расположен на Привокзальной площадимежду Куликовым Полем и Привозом. Здание вокзала разрушено во время Великой Отечественной войны в 1944 году. Восстановлено в 1952 году по проекту А. М. Чуприна (взамен разрушенного в последние дни фашистской оккупации Одессы в 1944 году). Реконструировано в 2006 году.
Рисунок 1 — вид ЖД вокзала сверху
Услуги предоставляемые ЖД вокзалом:
Комнаты отдыха на жд вокзале Одессы;
Квартирное бюро жд вокзала Одесса;
Платные залы на жд вокзале Одесса;
Сервисный центр жд вокзала Одессы;
Продажа билетов в специализированной кассе;
Стационарные камеры хранения жд вокзала Одессы;
Багажное отделение жд вокзала Одессы;
Уведомление получателя о прибытии в его адрес багажа;
Услуги сервисного центра.
Структура ЖД вокзала в сторону ЗИ:
В государственных организациях за соблюдение сохранности любой конфиденциальной информации отвечает её руководство, в данном случае Директор. За сохранность информации в автоматизированных системах отвечает начальник отдела по техническим средствам защиты информации. Конечно, любой специалист будет напрямую выполнять задания руководства, но и руководство должно прислушиваться к тем или иным вопросам по защите информации от злоумышленников. Так же в управлении ЖД есть режимно-секретный отдел (РСО), необходимость введения в структуру организации режимно-секретного отдела определяется при лицензировании, в зависимости от объема и важности сведений, составляющих государственную тайну, используемых в работе. При незначительном объеме таких сведений РСО на предприятии может не открываться, а выполнение возлагается на отдельного сотрудника, который имеет соответствующий допуск и умение работать с секретными документами. РСО подчиняется напрямую руководству и сотрудничает со специалистами по защите информации, иногда они работают вместе.
Отделы содержащие конфиденциальную информацию:
В первую очередь помещения, где находятся отдел РСО и отдел системных администраторов будут защищены на высших уровнях, находиться отдельно друг от друга. Что на счет защиты таких помещений? Крупные информационные узлы являются достаточно уязвимым местом как с точки зрения конфиденциальности информации, так и функционирования информационной системы в целом, бесперебойная работа которой зависит от защищенности и надежности всего комплекса оборудования, сердцем которой являются системы хранения данных.
В связи с вышесказанным важно отметить, что обеспечение требуемых условий для безаварийного функционирования всего комплекса оборудования, предотвращение форс-мажорных ситуаций, исключение распространения информации по каналам ПЭМИН (побочных электромагнитных излучений и наводок), защита от внешнего электромагнитного воздействия, а также защита от несанкционированных действий третьих лиц – задачи первостепенной важности для любого предприятия. Для решения этих задач используются метод экранирования электромагнитных волн.
Защищенное серверное помещение (ЗСП) – помещение, обеспечивающее эффективность экранирования не меньше 20 дБ в диапазоне частот 0,15-100 МГц, в котором находится высокотехнологическое телекоммуникационное и серверное оборудование.
Основными элементами зсп являются:
металлический экран;
экранированная дверь;
устройства ввода коммуникаций (волноводы и сетевые фильтры).
ЗСП должно быть оснащено всеми необходимыми системами для обеспечения непрерывности функционирования, безопасности и удобства обслуживания оборудования:
Система электропитания, освещения и заземления, включающая в себя:
подсистема гарантированного электропитания;
подсистема бесперебойного электропитания;
подсистема распределения электропитания по потребителям;
подсистема технологического заземления;
подсистема электрического освещения;
система вентиляции и кондиционирования;
Система организации оборудования и кабельного хозяйства, включающая в себя:
подсистема фальшпотолков и фальшполов;
подсистема коммутационных шкафов и стоек;
подсистема организации коммуникаций (устройство ввода информационных коммуникаций, СКС);
система безопасности, включающая в себя:
подсистема контроля доступа;
подсистема охранной сигнализации;
подсистема видеонаблюдения;
подсистема пожарной сигнализации;
подсистема газового пожаротушения;
подсистема газо- и дымоудаления.
Защищенное серверное помещение – это "сердце" ИТ - инфраструктуры компании. Правильно оборудованное ЗСП обеспечивает непрерывность и надежность рабочих процессов, защиту инвестиций, и гарантирует безопасность ценного оборудования и данных.
Задачи, которые выполняет зсп:
обеспечение требуемых условий для безаварийного функционирования оборудования;
предотвращение форс-мажорных ситуаций, связанных с работой телекоммуникационного и сетевого оборудования;
защита от несанкционированных действий третьих лиц.
Для создания оптимальной среды для функционирования оборудования в ЗСП необходимо обеспечить соблюдение ряда требований по следующим показателям:
температура воздуха в помещении;
относительная влажность воздуха;
запыленность;
уровень освещения;
электромагнитные помехи;
вибрация (для определенных видов оборудования, установленного в ЗСП).
Следует отметить, что на стадии проектирования ЗСП необходимо провести аудит рисков и разработать концепцию информационной и физической безопасности.
Конечно, защищать нужно не только серверную или отдел РСО, конфиденциальная информация есть например в отделе бухгалтерии, в отделе кадров и тд… Такие помещения так же будут защищены, но на менее серьёзном уровне.
Схема сети, реализованная на основе ЖД вокзала. Учтены практически все отделы ЖД вокзала, в нашем распоряжении было 150 компьютеров, все они распределены между отделами.
Рисунок 2 — схема сети
В настоящее время систему охраны объектов предприятия, выполняющего работы с использованием конфиденциальной информации, невозможно представить без комплексного использования современных технических средств и систем.
Некоторые виды технических средств, используемых при организации охраны предприятий, в данном учебнике уже рассмотрены. Предприятия, работающие со сведениями, составляющими государственную тайну, иной информацией с ограниченным доступом, широко используют при организации и обеспечении охраны территории и объектов различные средства физической защиты. Под физической защитой понимается совокупность организационных мероприятий, инженерно-технических средств и действий подразделений охраны в целях предотвращения диверсий или хищений носителей конфиденциальной информации и других материальных средств на охраняемых объектах предприятия.
Создание и применение средств физической защиты для некоторых категорий объектов является обязательным и регулируется законодательством Украины. Это, в первую очередь, относится к объектам предприятий, осуществляющим деятельность по производству, использованию, хранению, утилизации и транспортировке ядерных материалов или изделий на их основе, а также по проектированию, строительству, эксплуатации и выводу из эксплуатации ядерных установок и пунктов хранения ядерных материалов.
Применение средств физической защиты значительно повышает эффективность функционирования системы охраны предприятия в целом, а, с учетом специфики расположения некоторых объектов предприятия и выполняемых ими задач, практически гарантирует достижение главных целей и решение основных задач охраны предприятия.
При рассмотрении основных подходов к физической защите объектов предприятия и принципов ее организации, а также при применении средств физической защиты используются следующие термины и понятия:
допуск — разрешение на проведение определенной работы или на получение определенных документов и сведений;
доступ — проход (проезд) в охраняемые зоны объекта предприятия;
защищенная зона — территория объекта предприятия, которая окружена физическими барьерами, постоянно находящимися под охраной и наблюдением, и доступ в которую ограничивается и контролируется;
нарушитель — лицо, совершившее или пытающееся совершить несанкционированное действие, а также лицо, оказывающее ему содействие в этом;
несанкционированное действие — хищение или попытка хищения носителей конфиденциальной информации и материальных средств предприятия, осуществление или попытка осуществления несанкционированного доступа, проноса (провоза) запрещенных предметов, совершения диверсии, вывода из строя средств физической защиты;
несанкционированный доступ — проникновение лиц, не имеющих права доступа, в охраняемые зоны, на объекты, в служебные помещения предприятия;
обнаружение — установление факта несанкционированного действия;
периметр — граница охраняемой зоны, оборудованная физическими барьерами и контрольно-пропускными пунктами;
подразделение охраны — вооруженное подразделение, выполняющее задачи по охране и обороне объектов предприятия;
система охранной сигнализации — совокупность средств обнаружения (например Microdigital), тревожно-вызывной сигнализации, системы сбора, отображения и обработки информации;
техническое средство обнаружения — устройство, предназначенное для автоматической подачи сигнала тревоги в случае несанкционированного действия;
физический барьер — физическое препятствие, затрудняющее проникновение нарушителя в охраняемые зоны.
Задачи физической защиты следующие:
предупреждение случаев несанкционированного доступа на объекты предприятия;
своевременное обнаружение несанкционированных действий на территории предприятия;
задержка (замедление) проникновения нарушителя, создание препятствий его действиям;
пресечение несанкционированных действий на территории предприятия;
задержание лиц, причастных к подготовке или совершению диверсии, хищению носителей конфиденциальной информации или иных материальных ценностей предприятия.
В целях физической защиты территории и объектов предприятия решением его руководителя создается система физической защиты, предназначенная для удержания нарушителей от совершения противоправных действий или их обнаружения и задержки, принятия ответных мер.
Эта система создается исходя из необходимости и целесообразности при условии невозможности эффективного решения ранее перечисленных задач с использованием традиционных сил и средств охраны предприятия.
Система физической защиты предприятия включает:
организационные мероприятия;
инженерно-технические средства;
действия подразделений охраны.
При создании системы физической защиты объектов предприятия необходимо:
учитывать особенности предприятия, специфику расположения его объектов, наличие территориально обособленных (удаленных) объектов, виды работ, проводимых с использованием конфиденциальной информации, а также степень ее конфиденциальности;
выбирать силы и средства физической защиты, в том числе структуру и состав подразделений охраны, на основе анализа и оценки потенциальных угроз объектам предприятия;
ограничивать количество сотрудников предприятия, допускаемых к вопросам организации системы физической защиты, а также к используемым инженерно-техническим средствам;
обеспечивать устойчивое функционирование элементов системы, поддержание в работоспособном состоянии технических средств охраны.
Основу функционирования системы физической защиты составляют организационные мероприятия. Они включают комплекс мер, принимаемых руководством предприятия для физической защиты его объектов, а также нормативно-методические и планирующие документы, регламентирующие их осуществление.
Непосредственное планирование комплекса организационных мероприятий и контроль за их выполнением осуществляет служба безопасности предприятия совместно с другими его структурными подразделениями, участвующими в процессе защиты конфиденциальной информации. Деятельность этих структурных подразделений координирует заместитель руководителя предприятия, отвечающий за решение задач по защите конфиденциальной информации.
В целях физической защиты объектов служба безопасности предприятия обеспечивает:
разработку, создание и функционирование системы физической защиты;
проведение анализа уязвимости объекта для определения внутренних и внешних угроз и вероятных способов их осуществления;
оценку возможного ущерба при реализации внутренних и внешних угроз;
оценку эффективности действующей или проектируемой системы физической защиты и определение путей ее совершенствования;
разработку с привлечением структурных подразделений предприятия и утверждение в установленном порядке документов, регламентирующих вопросы организации и осуществления пропускного режима на объектах предприятия, охраны объектов предприятия;
контроль за соблюдением требований организационно-планирующих документов по организации охраны и пропускного режима на предприятии.
В целях эффективного решения задач физической защиты объектов используются инженерно-технические средства защиты информации, которые в свою очередь являются элементом системы инженерно-технической защиты информации.
К техническим средствам защиты относятся:
средства охранной сигнализации, размещенные по периметру охраняемых зон, зданий, сооружений и иных объектов предприятия, а также служебных помещений в этих объектах;
средства контроля прохода (доступа), установленные на контрольно-пропускных пунктах, в охраняемых зданиях, как дома в Болгарии, сооружениях (объектах) предприятия и в служебных помещениях;
средства наблюдения за периметрами охраняемых зон, контрольно-пропускными пунктами, охраняемыми зданиями, сооружениями предприятия, а также служебными помещениями;
средства специальной связи (в том числе — экстренной);
средства обнаружения проноса (провоза) запрещенных предметов, взрывчатых веществ, и предметов из металла (в том числе носителей конфиденциальной информации);
средства систем жизнеобеспечения (электропитания, освещения и др.).
Перечисленными средствами оборудуются периметры охраняемых зон, охраняемые здания, сооружения и помещения, а также контрольно-пропускные пункты.
В современных системах физической защиты предприятий особое место занимают средства охранной сигнализации, Средства контроля прохода (доступа), средства наблюдения за охраняемыми объектами.
Средства охранной сигнализации предназначены для своевременного информирования соответствующих должностных лиц (сотрудников охраны предприятия, операторов пультов охраны в караульных помещениях) о нарушениях исходного состояния или установленного режима работы оконечных устройств этих средств, вызванных несанкционированным проникновением лиц в охраняемые зоны (территории), а также попытками несанкционированного вскрытия охраняемых объектов (служебных помещений) предприятия.
Средства контроля прохода (доступа) лиц на территорию (в служебные помещения) предприятия служат для ограничения и санкционирования передвижения (перемещения) сотрудников предприятия, командированных лиц и посетителей на территории и объектах предприятия. Основными видами средств контроля прохода (доступа) являются заграждающие устройства и устройства идентификации персонала. Заграждающие устройства служат для создания физического препятствия несанкционированному перемещению лиц, транспортных средств на объектах (в служебных помещениях) предприятия. Приведение заграждающих устройств в открытое и закрытое состояние обеспечивают исполнительные механизмы. Существуют различные типы заграждающих устройств: электронные, электромеханические, электромагнитные и др. Устройства идентификации персонала предприятия и иных лиц фиксируют (подтверждают) наличие или отсутствие у данного лица права (санкции) на перемещение через заграждающие устройства.
Основные принципы организации и применения средств контроля доступа и средств охранной сигнализации во многом совпадают, так как цели использования этих средств одинаковы. Вместе тем средства охранной сигнализации функционируют в нерабочее время, когда служебные помещения (объекты) предприятия в установленном порядке сданы под охрану караулу или оператору пульта управления охранными средствами. Период функционирования средств контроля доступа начинается с момента начала прохода на территорию предприятия его сотрудников и завершается сдачей объектов предприятия под охрану и постановкой их на контроль средствами охранной сигнализации.
Средства наблюдения за охраняемыми объектами обеспечивает получение и документирование видеоинформации об обстановке на охраняемом объекте в целях принятия своевременного решения о применении сил и средств охраны для пресечения (исключения) попыток несанкционированного проникновения на объект посторонних лиц. Наиболее широкое распространение в настоящее время получили телевизионные системы наблюдения.
Системы наблюдения за охраняемыми объектами предназначены:
для определения причин срабатывания средств охранной сигнализации, установленной на объекте;
получения оперативной информации о проникновении на охраняемый объект постороннего лица (злоумышленника);
контроля за действиями сотрудников (подразделений) охраны и координации их действий при выполнении задач охраны объектов предприятия;
документирования информации о происшествиях и преступлениях, совершенных на территории охраняемого объекта.
Все технические средства, входящие в систему физической защиты предприятия, в случае отключения основного источника электропитания должны сохранять работоспособность, что обеспечивается путем их автоматического переключения на резервные источники. Например, для такой системы могут использоваться ворота alutech.
Физические барьеры представляют собой:
строительные конструкции, установленные в зданиях и сооружениях (стены, перекрытия, ворота, двери);
специально разработанные конструкции (заграждения, противотаранные устройства, решетки, усиленные двери, контейнеры);
иные физические препятствия, затрудняющие доступ на объекты (в служебные помещения) предприятия.
При выборе, разработке, установке и эксплуатации (применении) физических барьеров учитывается степень конфиденциальности (важности) проводимых предприятием работ, а также особенности расположения его объектов (служебных помещений).
Важное место в системе физической защиты объектов предприятия занимают подразделения охраны, являющиеся структурными подразделениями предприятия. Организационная структура и численность подразделений охраны определяются в зависимости от особенностей охраняемых объектов и степени оборудования их инженерно-техническими средствами защиты, специфики несения дежурства по охране объектов, а также от иных условий, связанных с обеспечением надежной защиты этих объектов.
3.1. Как же всё таки реализовать сеть и защитить её.
Начнём с того, что для маршрутизации данных и распределения доступа в сети мы будем использовать шлюз, например Juniper SRX240. Шлюз безопасности SRX240 обеспечивает безопасность маршрутизации и поддерживает межсетевые экраны с пропускной способностью до 1,5 Гбит/с, IPsec VPN со скоростью 250 Мбит/с и IPS со скоростью 250 Мбит/c. Устройство оснащено дополнительными функциями обеспечения безопасности, в том числе унифицированной защитой от угроз (UTM), включающей систему предотвращения вторжений (IPS), фильтры для защиты от вирусов и спама и веб-фильтрацию.
Более подробные данные про этот шлюз:
Рисунок 3 — Шлюз безопасности SRX240
Проверенная версия ОС JUNOS: JUNOS 10.3
Производительность межсетевого экрана (максимум): 1,5 Гбит/c
Производительность IPS (NSS 4.2.1) 250 Мбит/с
Производительность сетей VPN AES256+SHA-1 / 3DES+SHA-1 250 Мбит/с
Максимальное количество сессий 64000 (512 МБ DRAM) / 128000 (1 ГБ DRAM)
Скорость создания сессий (устойчивые, TCP, 3-сторонние), в секунду 9000
Максимальное количество политик безопасности 4096
Максимальное количество поддерживаемых пользователей Неограниченно
Максимальное количество разъемов для карт ввода-вывода (IOC) Не применимо
Фиксированные порты ввода-вывода 16 x 10/100/1000BASE-T
Поддержка CX111 3G Bridge Да
Внутренний разъем для платы 3G Express Не применимо
Поддержка интерфейсов WAN / LAN
T1/E1
ADSL2 Annex A
ADSL2 Annex B
G.SHDSL
VDSL2
Кабельный модем DOCSIS 3.0
SFP
Sync Serial
Поддержка функций обеспечения доступности Да
Службы AppSecure Не применимо
Размеры и питание
Размеры (Д x Ш x В): 44,4 x 40,8 x 4,4 см
Вес: Шасси: 5,1 кг, не РоЕ / 5,6 кг, РоЕ Без интерфейсных модулейИсточник питания: 100-240 В, переменный ток, 150 Вт, не РоЕ / 350 Вт РоЕ
Максимальная потребляемая мощность: 150 Вт
Среднее энергопотребление: 61 Вт (LM), 65 Вт (HM), 179 Вт (PoE)
Межсетевой экран
Обнаружение атак на уровне сети: Да
Защита от DoS и DDoS: Да
Повторная сборка TCP для защиты фрагментированных пакетов: Да
Противодействие атакам методом перебора: Да
Защита cookie SYN: Да
Подмена IP-адресов в зонах: Да
Защита от неверно сформированных пакетов: Да
Система защиты от вторжения
Сигнатуры протокола с контролем состояния: Да
Механизмы обнаружения атак: Сигнатуры с контролем состояния соединений, обнаружение аномальных изменений протокола (отражение атак, использующих бреши в приложениях), идентификация приложений
Механизмы реагирования на атаки: Сброс соединения, остановка соединения, журнал пакетов сессии, сводный отчет по сессии, передача сообщения по электронной почте, настройка сессииМеханизмы уведомления об атаках: Структурированный системный журнал
Защита от червей: Да
Упрощенная установка с использованием рекомендованных политик: Да
Защита от троянов: Да
Защита от шпионских и рекламных программ и логгеров клавиатуры: Да
Защита от других вредоносных программ: Да
Защита от непрерывных атак со стороны инфицированных систем: Да
Защита от зондирования: Да
Защита от подделки межсайтовых запросов: Да
Распределенные атаки — комбинация сигнатур с контролем соединений и обнаружения аномалий протоколов: Да
Создание собственных сигнатур атак: Да
Контексты доступа для настройки: 500+
Внесение изменений в описания атак (диапазон портов и т. д.): Да
Сигнатуры потоков: Да
Границы протоколов: Да
Сигнатуры протокола с контролем состояния: Да
Приблизительное количество отражаемых атак: 5,500+
Подробное описание угроз и сведения об устранении угрозы / патчах: Да
Создание и применение подходящих политик использования приложений: Да
Создание отчетов и контрольных записей о злоумышленниках и цели атак: Да
Режимы развертывания: Встроенный
К данному шлюзу можно подключить 16 обычных коммутаторов, разместив их по всем отделам. Конечно шлюз будет находиться вместе в сервером, в защищенном помещении.
3.2. Какая же машина будет управлять всем этим?
При выборе сервера можно долго рассматривать рабочие варианты, т.к. их на данный момент очень много. Рассмотрим один из таких вариантов, не самый дорогой, его вполне должно быть достаточно для поддержки такой сети.
Компьютер PrimePC S i100P. Предназначен для небольших компаний, у которых нет возможности купить полноценный сервер, но острая необходимость в нем есть. Сервер PrimePC S i100P без проблем способен решать базовые задачи:
Рисунок 4 — Сервер PrimePC S i100P
Защита и резервирование информации
Контроль доступа
Совместная работа с файлами и принтерами
Удаленный доступ
Безопасность ИТ среды
Улучшение взаимодействия с клиентами и максимальное повышение производительности имеющегося офисного оборудования и вычислительных ресурсов
Надежность и расширяемость
Функция обнаружения и коррекции ошибок (ECC)
Технологии RAID 1 предотвращают потерю данных и обеспечивают высочайшую надежность работы
Возможность установки нескольких жестких дисков
Сервер PrimePC S i100P имеет предустановленную серверную операционную систему Microsoft Windows Server 2011 Small Business Essentials , разработанную специально для малого бизнеса.
Характеристики:
Процессор |
Intel Xeon E3-1230 (3.2 ГГц) |
Сокет |
1155 |
Чипсет |
Intel C202 |
Оперативная память |
8GB |
Тип оперативной памяти |
DDR3 ECC |
Жесткий диск |
2x1000GB RAID 1 |
Оптический привод |
DVD+/-RW |
Картридер |
- |
Видеоадаптер |
Intel ServerEngines Pilot II |
Блок питания |
450W |
Предустановленное ПО |
Windows Server 2011 Small Business Essentials |
Размер (ШхВхГ) |
198x425x465 |
Сервер как сервер, но какие же ЭВМ поставить остальным сотрудникам компании? Думаю здесь всё будет зависеть от функций, которые им нужно выполнять, двухъядерного процессора с частотой 1.8ГГц и 2 Гб оперативной памяти будем достаточно для выполнения всех основных задач. Операционная система на всех ПК будет стоять Windows 7 Профессиональная, конечно везде лицензия.
В серверной кроме главного компьютера должен быть ещё один, которые не подключен ни к одной сети, на него можно переносить всю важную информацию по отделам. Так же надо делать резервную копию, которую хранить в сейфе.
Должностные инструкции.