Файловый архив студентов. Файловый архив студентов.
1322 вуза, 5389 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Российский государственный социальный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Организация защиты информации центров авторизац...doc
Скачиваний:
2
Добавлен:
01.07.2025
Размер:
3.59 Mб
Скачать
►Содержание►

      1. Мероприятия по повышению защищенности информационной системы

В рассматриваемой ЛВС ЦАПК отсутствует разбиение на сегменты, от чего страдает прежде всего, защищенность и управляемость сети, проблемы в работе с приложениями возникают уже при 30 % нагрузке. Поэтому необходимо разбить планируемую сеть на внутреннюю сеть и демилитаризованную зону (DMZ). DMZ можно создать, установив списки контроля доступа на маршрутизаторе, обеспечивающем выход в Internet. Это позволяет минимально открыть хосты локальной сети, разрешая доступ из Internet только к определенным и контролируемым службам на этих хостах. При использовании такого решения внутренняя сеть защищена от угроз, проникающих из сети Интернет.

Внутреннюю сеть достаточно разбить на две части:

- серверный сегмент;

- пользовательский сегмент

Разбиение внутренней сети также упростит ее администрирование, обезопасит остальные сегменты сети от атак недобросовестного сотрудника из локальной сети, позволит обеспечить масштабирование каждого сегмента.

В сети отсутствует система резервирования данных, что ставит под угрозу сохранность информации в случае возникновения нештатной ситуации (перепад напряжения, неисправность рабочей станции или сервера и т. д.).

Поэтому необходимо спроектировать в ЛВС систему резервного копирования.

Простейшим и оправданным в нашем случае способом защиты данных от потерь в сетях является централизованное копирование данных на высокопроизводительном стримере большой емкости, подключенном к серверу с использованием интерфейса SCSI. В такой схеме представлены следующие основные компоненты: клиент системы резервного копирования и сервера. Клиент системы резервного копирования - компьютерная система, данные из которой подлежат резервному копированию. Система в данном случае должна быть представлена файловым сервером, сервером приложений и баз данных, а также программным компонентом, который считывает данные из устройств хранения и отправляет их на сервер резервного копирования. Такое программное обеспечение обычно поставляется в комплекте систем резервного копирования. Серверы резервного копирования - системы, которые копируют данные и регистрируют выполненные операции. Технологически сервера резервного копирования делятся на два типа: Мaster-сервер и Media – сервер. Мaster-сервер - сервер управления системой резервного копирования. В его задачу входит планирование операций резервного копирования и восстановления, а также ведения каталога резервных копий. Программный компонент сервера управления резервным копированием, выполняющий функции, менеджера резервного копирования. Media - сервер - сервер копирования резервируемых данных. Его основной задачей является выполнение команд поступающих от Master-сервера, по копированию данных. К серверам данного типа подключаются устройства хранения резервных копий. Устройство хранения резервных копий - накопители на лентах, магнитных или оптических дисках. Процедура создания резервных копий представляется собой трехстороннее взаимодействие между клиентом, Master-сервером и Media-сервером. Клиент отправляет список файлов, подлежащих резервному копированию, на Master-сервер, а данные со своих томов на Media-сервер. В свою очередь менеджер резервного копирования инициирует и контролирует выполнение заданий в соответствии с заданным расписанием. Media-сервер выбирает одно или несколько устройств хранения, загружает носители информации, принимает от клиента по сети и записывает их на носители резервных копий. Аналогичным образом только в обратном направлении происходит восстановление данных из резервных копий.

Согласно данным РАО «ЕЭС Россия», как указывалось выше, пропадания энергоснабжения носят кратковременный характер (не более получаса), но происходят довольно часто – до 100 раз в год или раз в три-четыре дня, то есть вероятность пропадания питания каждый рабочий день может достигать 10 %. Возможный ущерб от таких перебоев будет складываться из стоимости оборудования, которое может выйти из строя, стоимости времени восстановления нормальной работы и утерянных данных, а также убытков от упущенного бизнеса. Более длительное отсутствие питания происходит около 1 раза в 5 лет и приравнивается к чрезвычайной ситуации. Поэтому в данном случае необходимо и достаточно будет оснастить оборудование сети ИБП малой мощности. В случае пропадания питания ИБП будут поддерживать работу станций на время, необходимое для корректного ее завершения. Так будет решена проблема возможной утраты данных в случаях с перебоями в электропитании на предприятии.

В качестве рабочих станций целесообразно использовать бездисковые ПК (с загрузкой системы через сеть), что существенно снижает их стоимость (примерно в 5 раз). Кроме того, применение таких ПК имеет следующие преимущества:

- все резервное копирование централизовано.

- размещением данных на сервере достигается повышенная их безопасность.

- не требуется ИБП, кондиционеров, пылеуловителей, они нужны только на сервере.

- полностью исключается шум, так как бездисковые компьютеры не содержат охлаждающих вентиляторов, и локальных жестких дисков.

- компьютерные вирусы не могут атаковать бездисковые станции, так как в них нет жесткого диска.

- бездисковые компьютеры чрезвычайно быстрые, так как полностью исключается время загрузки программы.

- продолжительный срок службы клиентов.

Структурная схема предлагаемой ИС ЦАПК изображена на рисунке 2.3.

Рисунок 2.4 Структурная схема предлагаемой структуры ИС ЦАПК

Брандмауэры целесообразно расположить на стыках сети Интернет и DMZ, DMZ и внутренней сети, как это уже указывалось выше. Во втором случае будет использоваться встроенный сетевой экран системы Windows Server 2003 плюс настроенные списки разграничения ACL маршрутизатора, который должен быть настроен по запретительному принципу - администратор задает только те параметры (адреса, протоколы, порты, службы, бюджеты пользователей и т. д.), функционирование которых разрешено, все остальные службы запрещены, в первом – аппаратный межсетевой экран.

Для выбора такого экрана необходимо учитывать следующие требования [6]:

- это должно быть решение от известного производителя;

- должно присутствовать достаточное количество портов Fast Ethernet;

- осуществление контроля на прикладном уровне с учетом состояния, контроля прикладного протокола;

- проверка пакетов на соответствие заданным условиям;

- поддержка Exchange;

- обнаружение и предотвращение несанкционированного доступа;

- высокая производительность.

Распространение вредоносных программ имеет целью:

  • воровство частной и корпоративной банковской информации (получение доступа к банковским счетам персональных пользователей и организаций);

  • воровство номеров кредитных карт;

  • распределенные сетевые атаки (DDoS-атаки) с последующим требованием денежного выкупа за прекращение атаки;

  • создание сетей троянских прокси-серверов для рассылки спама (и коммерческое использование этих сетей);

  • создание зомби-сетей для многофункционального использования;

  • создание программ, скачивающих и устанавливающих системы показа нежелательной рекламы;

  • и тому подобное.

Выбор конкретной антивирусной программы зависит от многих факторов (стоимость, результаты тестирований и др.), к числу которых относится и его популярность. К примеру, доли основных участников рынка антивирусной защиты в России в 2008 году распределились следующим образом (рисунок 2.4).

Рисунок 2.5 Распределение рынка антивирусных компаний

Задача обеспечения антивирусной защиты - одна из первоочередных задач в процессе рассмотрения комплексной защиты ЛВС. Большая часть информации в банке является конфиденциальной, поэтому экономия средств для покупки антивирусного пакета является сомнительной. При выборе антивирусных программ необходимо учитывать результаты независимых тестирований.

Одним из первых тестировать антивирусные продукты начал британский журнал Virus Bulletin, первые тесты, опубликованные на их сайте, относятся к далекому 1998 году. Основу теста составляет коллекция вредоносных программ WildList. Для успешного прохождения теста необходимо выявить все вирусы этой коллекции и продемонстрировать нулевой уровень ложных срабатываний на коллекции “чистых” файлов журнала. Тестирование проводится несколько раз в год на различных операционных системах; успешно прошедшие тест продукты получают награду VB100%. В обобщенном рейтинге антивирус Касперского занимает 1 место.

После анализа состава компонентов антивирусных пакетов данной фирмы, очевидно, что для использования в корпоративной локальной сети наиболее подходит Kaspersky Total Space Security – решение для целостной защиты корпоративных сетей от всех видов современных интернет-угроз.

Преимущества:

-целостная защита от вирусов, шпионских программ, хакерских атак и спама на всех уровнях корпоративной сети: от рабочих станций до интернет-шлюзов;

-проактивная защита рабочих станций от новых вредоносных программ;

- защита почтовых серверов и серверов совместной работы

- проверка интернет-трафика (HTTP / FTP), поступающего в локальную сеть, в режиме реального времени;

- предотвращение вирусных эпидемий;

централизованные отчеты о состоянии защиты;

- автоматическое обновление баз.

Таким образом, при использовании Kaspersky Total Space Security решается проблема защиты всех компонентов сети – рабочих станций, файлового сервера, почтовых серверов, сервера управления.

Управление антивирусной программой будет осуществляться с рабочего места администратора сети. Для скачивания из сети Интернет и раздачи обновлений по компонентам ЛВС необходимо предусмотреть специализированный антивирусный сервер, который будет располагаться на сервере управления ЛВС.

Для обеспечения управляемости и безопасности сети также необходимо обеспечить разграничение полномочий доступа пользователей к достаточно большому количеству сетевых ресурсов. Традиционным решением этого вопроса является создание доменов сети.

Домен есть одно из основных средств формирования пространства имён каталога Active Directory (АД). Наряду с доменами таковыми средствами формирования являются административная иерархия и физическая структура сети. В настоящее время используются три основных способа построения АД и создания доменов:

- создание в ЛВС одного домена, обслуживающего всю сеть в целом – целесообразно применять при относительно небольшом размере фирмы и отсутствии ее разделения на отдельные подразделения;

- создание леса доменов с глобальным каталогом (или корнем леса), в роли которого выступает основной домен – применяется при географическом разнесении отделов фирмы. В этом случае свои домены существуют у головного офиса фирмы и ее филиалов, связаны они через сеть Интернет;

- создание некоторого количества независимых доменов с глобальным каталогом – применяется при жестком административном разделении фирмы на несколько отделов.

Таким образом, вариант построения АД и домена зависит прежде всего от административной модели предприятия.

В данном случае, так как отсутствует географическое и строгое иерархическое разделение фирмы, оптимальным вариантом является создание сети с единым доменом.

Основой домена станет сервер с установленной серверной операционной системой MS Windows 2003 Server – основной контроллер домена (PDC).

Путем создания доменной структуры будут решены следующие задачи [5]:

  • создание областей административной ответственности – возможно деление корпоративной сети на области, управляемые отдельно друг от друга.

  • создание областей действия политики учетных записей - политика учетных записей определяет правила применения пользователями учетных записей и сопоставленных им паролей. В частности задается длина пароля, количество неудачных попыток ввода пароля до блокировки учетной записи, а также продолжительность подобной блокировки.

  • разграничение доступа к объектам - каждый домен реализует собственные настройки безопасности (включая идентификаторы безопасности и списки контроля доступа).

  • изоляция трафика репликации - для размещения информации об объектах корпоративной сети используются доменные разделы каталога. Каждому домену соответствует свой раздел каталога, называемый доменным. Все объекты, относящиеся к некоторому домену, помещаются в соответствующий раздел каталога. Изменения, произведенные в доменном разделе, реплицируются исключительно в пределах домена.

  • ограничение размера копии кaталога - каждый домен Active Directory может содержать до миллиона различных объектов. Тем не менее, реально использовать домены такого размера непрактично. Следствием большого размера домена является большой размер копии каталога. Соответственно, огромной оказывается нагрузка на серверы, являющиеся носителями подобной копии.

В целом создание доменной структуры сети позволит упростить и автоматизировать администрирование сети, повысить ее управляемость, масштабируемость и безопасность.

Основной контроллер домена содержит копию АД, которая описывает всю ЛВС и политики взаимодействия между ее элементами. Такая информация является исключительно важной для функционирования всей сети, при ее потере ЛВС превращается просто в совокупность рабочих станций, серверов, другого оборудования и утрачивает возможность исполнять свои функции.

Поэтому необходимо предусмотреть создание резервного контроллера домена сети (BDC) – копии основного и работающего параллельно с ним. Наличие резервного контроллера домена оправдано и в других случаях, к примеру, обновления аппаратного обеспечения основного сервера.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности