- •Компьютерная академия «шаг» Донецкий филиал
- •Дипломный проект
- •Политика корпоративной безопасности предприятия
- •Физическая и экологическая безопасность
- •Безопасные зоны
- •Средства управления физическим доступом
- •Защита от внешних и экологических угроз
- •1.4. Работа в безопасных зонах
- •Защита оборудования
- •Размещение и обустройство серверного помещения
- •Защита кабельных соединений
- •Обслуживание оборудования
- •Защита оборудования, находящегося за пределами рабочего места
- •Безопасная ликвидация или повторное использование оборудования
- •Вынос имущества
- •Непрерывность бизнес-процессов
- •Информационная безопасность
- •3.1. Защита информации на уровне сети
- •3.2. Защита информации на пользовательском уровне
- •Человеческий фактор
- •Аудит и контроль изменений конфигурации систем
Аудит и контроль изменений конфигурации систем
Цель: Обеспечить проведения аудита и контроля информационной системы в целях оценки её текущего состояния и уровня соответствия бизнес процессам компании. Аудит комплексной безопасности бизнеса в первую очередь направлен именно на выявление имеющихся и предупреждение возможных негативных для предприятия факторов, а также на алгоритм создания и поддержания комфортных условий для занятия бизнесом. Под комфортом в данном случае подразумевается создание наиболее эффективной, экономически выгодной, актуальной и конкурентоспособной системы, которая позволила бы свести к минимуму предпринимательские риски клиентов.
Руководство по реализации:
Используемые в работе IT технологии имеют огромное влияние на производительность труда сотрудников и компании в целом, они могут менять её как в положительном так в отрицательном направлении. Любая информационная система должна строго соответствовать предъявляемым к ней требованиям, иначе она помимо своей неэффективности снижает общую эффективность бизнеса.
Для аудита и контроля изменений конфигурации систем в данной компании предполагается использовать продукт для управления IT-инфраструктурой на основе Microsoft Windows и смежных устройств System Center Configuration Manager (SCCM).
Функциональность SCCM можно разделить на три больших класса:
Инвентаризация и отчеты
Инвентаризация аппаратного обеспечения (Hardware inventarization)
Инвентаризация программного обеспечения (Software inventarization)
Слежение за используемым ПО и лицензиями (Asset Intelligence)
Отчеты (Reporting)
Развертывание приложений и ОС
Развертывание операционных систем (OS Deploy)
Распространение ПО (Software distribution)
Распространение и управление виртуализированным ПО (Application virtualization management)
Управление обновлениями (Software update)
Управление клиентскими устройствами
Мониторинг используемых программ (Software metering)
Удаленное управление клиентами (Remote management)
Управление мобильными устройства (Modile device management)
Поддержка заданной конфигурации (Desied configuration manager)
Защита подключающихся к сети (Network access protection)
Таким образом этот продукт способен обеспечить полный контроль и отслеживание изменений в системах. Так же он может использоваться как альтернатива серверов развертывания и обновления систем и ПО WDS и WSUS, а так же служб проверки состояния систем NPS NAP. А возможность удаленного управления клиентами позволит снизить количество времени, требующегося на устранение проблем и неполадок на клиентских компьютерах.
Журналирование с помощью Syslog обеспечит аудит и контроль изменений на сетевом оборудовании CISCO.
Выводы
Важно помнить, что прежде чем внедрять какие-либо решения по защите информации необходимо разработать политику безопасности, адекватную целям и задачам современного предприятия. В частности, политика безопасности должна описывать порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения политики безопасности – это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. При этом политику безопасности желательно оформить в виде отдельного документа и утвердить руководством предприятия.
Данный проект четко направлен на решение поставленной заказчиком задачи – обеспечить непрерывность основных бизнес-процессов. Сеть, развернутая с исполнением данных правил политики способна гарантировать эффективную защиту данных с централизованным управлением в распределенной инфраструктуре.
На каждом этапе реализации проекта обязана проводиться проверка целостности IT-инфраструктуры, анализ существующих ресурсов, включая серверное и сетевое оборудование.
Хотелось бы также отметить то, что все этапы проекта должны проводиться поочередно, с поэтапным тестированием, это позволит организовать беспрерывную работу IT-инфраструктуры заказчика.
Основной нерешенной задачей на сегодняшний день является тот факт, что средства нападения совершенствуются с гораздо большей скоростью, чем средства защиты. Следовательно, нужно не останавливаться на достигнутых результатах, а совершенствовать систему защиты, не дожидаясь очередной атаки. Практика показывает, что в большинстве случаев человек, ответственный за корпоративную безопасность, не предпринимает никаких действий до того момента, когда совершено первое вторжение. И этот факт остается безнаказанным, т.к. руководство не придерживается четкой политики безопасности. Следовательно, определение политики безопасности является первым шагом к защите информационных ресурсов.
В заключение хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях. В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.
Список источников
Елена Полонская, Издательский Дом "КОМИЗДАТ" «Безопасность сети: то, что должен знать каждый» http://citforum.ru/security/articles/inet_secur/index.shtml
Курс лекций «Методы и средства защиты информации» Авторские права: Беляев А.В. Имущественные права: ЧФ СПбГТУ http://citforum.ru/security/belyaev_book/its2000_03.shtml
«Эффективность защиты информации» Андрей Баутов 07.08.2003 Открытые системы, #07-08/2003 http://citforum.ru/security/articles/eff/
«Методика построения корпоративной системы защиты информации» Сергей ПЕТРЕНКО
Статья «Кабельные системы локальных вычислительных сетей» Карпов Геннадий http://citforum.ru/security/articles/metodika_zashity/
Файловая система NTFS Механизм EFS - Программирование и компьютеры http://100pudov.com.ua/subject/67/30636
System Center Configuration Manager 2007 – решение для автоматизации управления ИТ инфраструктурой предприятия http://www.oszone.net/9249/SCCM
Служба защиты информации предприятия. Что она из себя представляет и как ее организовать Сергей Перьков, Максим Шевкопляс http://www.abc-people.com/typework/economy/e-confl-8.htm
Context-Based Access Control: Настройка и принципы функционирования (cisco acl filter) http://bsd.opennet.ru/base/cisco/cisco_cbac.txt.html
Принцип работы Tacacs+ http://www.cisco.com/russian_win/warp/public/3/ru/solutions/sec/mer_tech_ident-tacacs.html