- •Автономная некоммерческая организация высшего профессионального образования
- •Факультет информационной безопасности курсоВой проект
- •Аннотация
- •Список сокращений
- •Введение
- •Глава 1. Анализ технического задания
- •1.1. Категорирование помещений
- •1.2. Анализ архитектурной уязвимости автоматизированной банковской системы
- •1.3. Анализ уязвимостей компонентов автоматизированной банковской системы
- •Угрозы нарушения целостности
- •Угрозы нарушения доступности
- •1.4. Формирование модели угроз
- •Глава 2. Методы противодействия угрозам
- •2.1. Архитектура автоматизированной банковской системы как основа для организации противодействия угрозам
- •2.1.1. Структурированная кабельная система как основа управления безопасностью локальной вычислительной сети
- •Преимущества структурированных кабельных систем.
- •2.1.2. Физическое сегментирование локальной вычислительной сети
- •2.1.3. Архитектура структурированной кабельной системы
- •2.2.4. Защита периметра локальной вычислительной сети
- •2.3. Организационно-технические мероприятия противодействия угрозам
- •2.3.1. Подсистема технической укрепленности объектов
- •2.3.2. Подсистема управления доступом персонала к объектам локальной вычислительной сети
- •2.3.3. Подсистема видеонаблюдения
- •2.3.4. Организационные мероприятия противодействия угрозам
- •Глава 3. Синтез оптимального технического решения
- •3.1. Выбор критерия оптимизации и методики синтеза технического решения
- •3.2. Выбор оптимизируемых подсистем локальной вычислительной сети
- •3.3. Формирование сценарной модели реализации угроз для оптимизируемых подсистем
- •3.4. Выбор оптимального технического решения на множестве сценариев жизненного цикла информационных систем банка
- •3.5. Инструмент выбора оптимального технического решения
- •3.6. Детализация выбранного технического решения
- •Заключение
- •Список использованных источников
- •Организация
2.1.2. Физическое сегментирование локальной вычислительной сети
Физическое разделение сетей (сеть Internet, офисная сеть и т. д.) – способ кардинального увеличения защищенности. Связи между сетями осуществляются на основе только аттестованных шлюзов. Такой подход гибко может быть реализован только на основе СКС. Результат проработки физического сегментирования локальной вычислительной сети представлен в Приложении 6.
2.1.3. Архитектура структурированной кабельной системы
Сеть сегментирована следующим образом: отдельно сеть Internet, офисная сеть, платежная сеть, сеть управления ключевыми системами.
Устанавливаемая СКС является частью комплекса информационно-вычислительных систем, являющегося сложным программно-аппаратным комплексом взаимосвязанных систем.
СКС соединяет физическими линиями передачи сигналов вычислительное оборудование локальной вычислительной сети (ЛВС) с активным сетевым оборудованием ЛВС, а также абонентские аппараты телефонной сети с учережденческой автоматической телефонной станцией (УАТС) и внешними городскими линиями.
Все технические решения по созданию СКС, разработанные в данном проекте, полностью соответствуют действующим нормам и правилам техники безопасности, пожаробезопасности и взрывобезопасности, а также охраны окружающей среды при эксплуатации зданий и сооружений.
Спроектированная кабельная система полностью соответствует международному стандарту ISO/IEC 11801 на слаботочные кабельные системы зданий.
Для горизонтальной подсистемы используется 4-х парный медный кабель – неэкранированная витая пара 5 категории.
Кабель прокладывается по топологии «звезда», от кросса в техническом помещении к каждому отдельно взятому информационному разъему на рабочем месте СКС. Кабель прокладывается в кабельных коробах Legrand.
Подсистема внутренних магистралей для УАТС реализуется на основе 4 – парного медного кабеля – неэкранированная витая пара 4 категории. Кабели прокладываются между УАТС и кроссовой панелью.
Для прокладки кабельных трасс подсистемы внешних магистралей используется 4 – парный медный кабель - неэкранированная витая пара 5 категории. Кабели подсистемы внешних магистралей телефонных линий прокладываются внутри технического помещения по коробам.
2.2.4. Защита периметра локальной вычислительной сети
В соответствии с функциональным назначением подразделений банка локальная вычислительная сеть была разделена на четыре физических сегмента:
офисная сеть;
сеть отдела клиринговых операций;
две подсети ЦУКС;
сеть пользователей Internet.
Взаимодействие между подсетями осуществляется посредством серверов безопасности, на которых установлена доверенная операционная система с доверенным программным обеспечением моста, работающего на прикладном уровне сетевых протоколов.
В то же время у проектируемой вычислительной сети имеется две точки контакта с потенциально враждебной средой:
контакт с корпоративной сетью банка (опасность связана с провайдером услуг, см. выше);
контакт с сетью Internet.
Задача защиты ЛВС от указанных внешних угроз называется защитой периметра. В соответствии с корпоративными стандартами рассматриваются два варианта защиты периметра:
вариант, основанный на использовании межсетевого экрана «Фильтр Пакетов Сетевого Уровня» ФПСУ-IP (фильтрация пакетов на интерфейсах, поддержка VPN);
вариант, основанный на использовании маршрутизаторов Cisco (статические списки доступа, динамические рефлексивные списки доступа, PAT, поддержка VPN в формате IPSEC+GRE).
Учитывая многообразие протоколов, используемых приложениями, множество задач, решаемых персоналом, и многообразие угроз в зоне Internet, точка контакта с сетью Internet должна быть защищена на двух уровнях [4].
Первый уровень обеспечивается граничным маршрутизатором и защищает от ряда внешних атак сеть и сервера банка, представляющие Internet-контент банка.
Второй уровень отделяет сеть пользователей Internet от демилитаризованной зоны серверов, представляющих Internet-контент банка, и вторичного почтового сервера. Он защищает активное сетевое оборудование периметра от внутренних угроз, связанных с недобросовестным персоналом и разрушающими программными воздействиями, имеющими определенную сетевую активность, которые потенциально могут проявиться.
Почтовый сервис разнесен на два сервера (первичный и вторичный) с целью защиты от DoS атак по SMTP. Оборудованием периметра обеспечивается схема доступа пользователей только ко вторичному серверу, а доступ из Internet возможен только к первичному. При этом первичный сервер ссылается на вторичный, а вторичный на первичный. Такая схема гарантирует защиту почтовых ящиков пользователей и снижает риск потерь сообщений.