- •Введение
- •1 Анализ современных отечественных и зарубежных технологий защиты информации
- •2 Аналитическая часть
- •2.1 Исследование объекта защиты
- •2.1.1 Общая характеристика органа муниципального управления
- •2.1.2 Организационная структура
- •2.1.3 Анализ существующей информационной системы
- •2.2 Основные угрозы информационной безопасности
- •2.2.1 Классификация угроз информационной безопасности
- •2.2.2 Неформальная модель нарушителя
- •2.2.3 Описание модели угроз
- •2.2.4 Оценка рисков
- •2.3 Нормативно-правовая база организации защиты информации
- •3 Конструкторская часть
- •3.1 Общие принципы построения комплексной системы защиты информации
- •3.2 Организационные меры защиты
- •3.3 Физические меры защиты
- •З.4 Аппаратно-программные средства защиты
- •3.4.1 Средства защиты информации от несанкционированного доступа
- •3.4.2 Средства криптографической защиты информации
- •3.4.3 Антивирусное программное обеспечение
- •3.4.4 Межсетевое экранирование
- •3.4.5 Резервирование информации
- •3.4.6 Обеспечение целостности данных при отключении электроэнергии
- •4 Организационно-экономическая часть
- •4.1 Расчет стоимости проекта
- •4.2 План организационных мероприятий по внедрению разработанной системы
- •4.3 Описание эффекта от внедрения разработанной системы
- •5 Безопасность жизнедеятельности
- •5.1 Введение в безопасность жизнедеятельности
- •5.2 Условия трудовой деятельности инженера
- •5.3 Требования к помещению
- •5.3.1 Требования к освещению
- •5.3.2 Требования по шуму и вибрации
- •5.3.3 Требования по электромагнитному излучению
- •5.3.4 Требования по микроклимату
- •5.3.5 Требования по окраске помещений
- •5.3.6 Требования к режиму труда
- •5.3.7 Требования к эргономике рабочего места
- •5.3.8 Требования по пожаробезопасности
- •5.3.9 Требования по электробезопасности
- •5.3.10 Выводы по разделу
- •Список литературы
- •Приложение в
- •Приложение г
- •Приложение д
- •Приложение е
- •Приложение ж
- •II. Взаимоотношения и связи
- •III. Должностные обязанности
- •IV. Права
- •V. Ответственность:
- •2. Порядок пропуска в административное здание и проезд транспортных средств на прилегающую к зданию территорию
- •3. Оформление и выдача постоянных электронных пропусков
- •5. Оформление и выдача разовых электронных пропусков
- •6. Соблюдение внутриобъектового режима
- •7. Контроль за соблюдением пропускного и внутриобъектового режима
- •Приложение к
- •I.Общие положения
- •II. Цели и задачи отдела
- •III. Структура
- •IV. Руководство
- •V.Деятельность
- •VI. Права и ответственность отдела по защите информации.
- •VII. Взаимодействие отдела с другими структурными подразделениями.
- •VIII. Заключительные положения
3.4.4 Межсетевое экранирование
На сегодняшний день межсетевые экраны в чистом виде встречаются довольно редко. Чаще всего, кроме функций фильтрации трафика, устройства включают в себя различные дополнительные возможности по контролю содержимого (content filtering), трансляции сетевых адресов (NAT), организации виртуальных частных сетей (VPN), обнаружению наиболее распространённых атак (IDS) и другие.
Российский рынок в настоящее время изобилует различными средствами защиты информации как отечественного, так и зарубежного производства. Однако следует отметить тот факт, что зарубежные средства обладают двумя серьезными недостатками. Во-первых, это высокая стоимость (в 1,5-2 раза выше, чем отечественные средства), что вызвано более высокой себестоимостью и дополнительными расходами на транспортировку и таможенные сборы. Во-вторых, основная масса средств защиты информации основана на криптографическом преобразовании данных, а в ряде стран, в том числе и в США, которые являются основным импортером данной продукции, существует ряд ограничений на вывоз криптосредств с высоким уровнем стойкости.
На российском рынке можно отметить следующие межсетевые экраны (с различными функциями):
1. Cisco PIX Firewall компании Cisco Systems (аппаратно-программный).
2.CheckPoint Firewall-1 компании CheckPoint (программный, функционирующий под управлением операционных систем Windows NT, Solaris, HP UX и AIX).
3. CyberGuard Firewall компании Cyberguard Corporation (программный, функционирует под управлением ОС Windows NT и UnixWare).
4. ФПСУ-IP - разработка ООО «АМИКОН» (аппаратный комплекс);
5.Z-2 компании «Инфосистемы Джет» (программный комплекс, функционирующий под управлением ОС Solaris).
6. VipNet OFFICE FIREWALL компании «Инфотекс» (программный);
7.Континент-К - разработка НИП «Информзащита» (аппаратно-программный комплекс).
8. «Застава» - разработка компании «Элвис+» (программный комплекс, предназначен для работы в ОС Solaris).
9. «Застава-Джет» компании «Инфосистемы Джет» (аппаратно-программный комплекс, использующий платформу Solaris) и др.
При выборе межсетевого экрана было учтено следующее:
1.Проанализировав потребности органа муниципального управления в Интернет, было принято решение организовать доступ в глобальную сеть со специально выделенных рабочих мест в каждом отделе (пользователи внутренней ЛВС доступ в Интернет иметь не должны).
2. Нет необходимости в средстве с функциями VPN.
3.Необходимо создать демилитаризованную зону (для размещения почтового сервера), то есть межсетевой экран должен поддерживать как минимум 3 сетевых интерфейса.
4.Необходимо наличие у продукта сертификата (не ниже 4 класса защищенности).
Исходя из этого, для защиты сети органа муниципального управления был выбран VipNet Office Firewall - разработка ОАО «ИнфоТеКС».
ViPNet Office Firewall 4.1 — программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментов локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.
Основные возможности программы:
1.Использование технологии MSI для установки ПО ViPNet. Для программы ViPNet Office Firewall версии 4.1 разработан установочный пакет, который позволяет устанавливать программу с использованием Microsoft System Center, а также с помощью программ, обращающихся к командной строке Windows для запуска автоматической установки ViPNet Office.
2.Динамическая и статическая трансляция сетевых адресов (NAT). Динамическая трансляция сетевых адресов позволяет работать множеству внутренних клиентов под одним внешним IP-адресом. Реализована также статическая трансляция сетевых адресов, что позволяет публиковать во внешней сети (Интернете) серверы, находящиеся во внутренней сети, например, почтовый сервер, веб-сервер, FTP-сервер. Трансляция сетевых адресов доступна также и для протоколов, отличных от TCP, UDP и ICMP.
3.Автоматическая настройка фильтров антиспуфинга. При включении антиспуфинга соответствующие фильтры формируются автоматически на основе таблицы маршрутизации данного сетевого узла.
4. Возможность использования экранной клавиатуры для аутентификации.
5.Специальные правила обработки IP-трафика от приложений, использующих протоколы FTP, DNS, H.323, SCCP, SIP. Специальная функция обработки прикладных протоколов обеспечивает активацию разрешающего сетевого фильтра для дополнительного соединения на случайно выбранный порт, открываемый прикладным протоколом.
6. Использование групп объектов.
Группы объектов — это средство, позволяющее упростить создание сетевых фильтров и правил трансляции адресов в программе ViPNet Office Firewall. Они объединяют несколько значений одного типа и могут быть заданы при настройке параметров фильтра или правила вместо отдельных объектов.
7. Фильтрация широковещательных IP-пакетов по адресам отправителя.
Можно фильтровать широковещательные IP-пакеты по адресам конкретных отправителей.
8. Работа сетевых фильтров по расписанию.
Реализована возможность применения правил фильтрации по заранее заданному расписанию, позволяющая гибко управлять и ограничивать расходы на оплату каналов связи.
9. Журнал регистрации IP-пакетов и преобразования сетевых адресов (NAT).
В программе реализованы средства регистрации и отображения результатов (событий) обработки IP-пакетов. Поддерживается автоматическая архивация журналов и экспорт данных в формат html или MS Excel.
10. Создание нескольких конфигураций и быстрое переключение.
Реализована возможность создавать различные конфигурации с разными наборами фильтров и оперативно переключаться между ними.