- •Отчет о выполнении курсового проекта
- •Введение
- •Описание бизнес-процесса. Постановка задачи
- •Региональная специфика
- •Описание технологического процесса
- •Модули и компоненты, составляющие технологический процесс
- •Карта информационных потоков
- •Модель нарушителя информационной безопасности
- •Угрозы и уязвимости для функционирования технологического и бизнес-процесса
- •Возможные атаки на рассматриваемую систему
- •Сравнительная характеристика элементов технологического решения и их аналогов
- •Внутренняя сеть компании
- •Подсистема обеспечения информационной безопасности
- •Умная атс с фильтрацией
- •Банк-эквайер
- •База данных
- •Шлюз сотового оператора и атс телефонной линии общего пользования.
- •Внутренняя вычислительная сеть филиалов магазина
- •Оплата налогов, пошлин и услуг через банк
- •Разграничение доступа
- •Требования закона «о персональных данных»
- •Сценарии тестирования системы
- •Нагрузочное тестирование
- •Тестирование подсистемы обеспечения иб
- •Организационно-технические меры, направленные на повышение уровня защищенности и увеличение эффективности
- •Заключение
- •Заключение о работе группы
Оплата налогов, пошлин и услуг через банк
Рассмотрим сторону защиты финансовой информации. В магазинах розничной сети осуществляется получение средств с пластиковых карт. Для этого используются POS-терминалы.
Выбранный нами POS-терминал поддерживает необходимые механизмы защиты. Предполагается, что построение защищенного соединения будет инициироваться на стороне банка-эквайера. Установка, конфигурирование и сервисное обслуживание терминалов также производится банком-эквайером.
В таблице 8 приведены банки Курска согласно сайту bankir.ru.
Таблица 8 – Список банков Курска
№ |
Название банка |
1 |
Авангард, Курский филиал |
2 |
Балтийский Банк, Курский филиал |
3 |
Банк Зенит, Курский филиал |
4 |
Банк Россия, Курский филиал |
5 |
ВТБ, Курский филиал |
6 |
Курскпромбанк |
7 |
Москомприватбанк, Курский филиал |
8 |
Первый Земельный РЦ |
9 |
РайффайзенБанк, Курский филиал |
10 |
Россельхозбанк, Курский филиал |
11 |
Сбербанк России. Курское отделение № 8596 |
12 |
Связь-Банк, Курский филиал |
13 |
ТрансКредитБанк, Курский филиал |
14 |
Юниаструм Банк, Курский филиал |
Примечание: Первый земельный РЦ разорился.
Проценты за эквайринг обсуждаются с банком отдельно. В общем случае составляют 0.7 - 2 % от транзакции. Поэтому невозможно оценить, сотрудничество с каким именно банком для нас наиболее выгодно.
Разумно использовать один и тот же банк для эквайринга и для всех остальных финансовых услуг (например, содержание счета компании).
Разграничение доступа
Разграничение доступа к рабочим станциям осуществляется при помощи сертифицированного средства АМДЗ Аккорд 5MX.
Разграничение доступа на уровне сети построено на базе правил, прописанных на межсетевых экранах. Для того чтобы задать эти правила, необходимо построить список информационных взаимодействий между оконечными устройствами сети, который изображен в таблице 9.
Таблица 9 – Информационные взаимодействия между оконечными устройствами сети
Оконечное устройство 1 |
Оконечное устройство 2 |
МСЭ гл. |
МСЭ доп. |
DNS-server |
ПК оператора |
+ |
|
DNS-server |
ПК администратора |
+ |
|
DNS-server |
DNS-server верхнего уровня |
+ |
|
DNS-server |
ПК оператора(доп.офис) |
+ |
+ |
DNS-server |
ПК администратора(доп.офис) |
+ |
+ |
Mail-server relay |
Другой Mail-server со стороны покупателя |
+ |
|
Mail-server relay |
ПК оператора(доп.офис) |
+ |
+ |
Mail-server relay |
ПК администратора(доп.офис) |
+ |
+ |
Mail-server relay |
Mail-server |
+ |
|
Mail-server |
ПК оператора |
+ |
|
Mail-server |
ПК администратора |
+ |
|
POS-терминал |
Банк-эквайер |
+ |
|
POS-терминал(доп.офис) |
Банк-эквайер |
|
+ |
DB-server |
Web-server |
+ |
|
DB-server |
DB-server(доп.офис) |
+ |
+ |
DB-server |
ПК оператора |
+ |
|
DB-server |
ПК оператора(доп.офис) |
+ |
+ |
DB-server(доп.офис) |
Web-server |
+ |
+ |
DB-server(доп.офис) |
ПК оператора |
+ |
+ |
DB-server(доп.офис) |
ПК оператора(доп.офис) |
|
+ |
Web-server |
ПК оператора |
+ |
|
Web-server |
ПК администратора |
+ |
|
Web-server |
Покупатель, поисковики и т.д. |
+ |
|
Web-server |
ПК оператора(доп.офис) |
+ |
+ |
Web-server |
ПК администратора(доп.офис) |
+ |
+ |
ПК администратора |
Сервера гл. офиса (удаленное подключение) |
+ |
|
ПК администратора (доп. офис) |
Сервера доп. офиса (удаленное подключение) |
|
+ |
Также при построении политики фильтрации на МСЭ главного и дополнительного офисов необходимо учесть, что в сети присутствует служебный трафик. А именно:
RIP - с помощью которого обновляется таблица маршрутизации на МСЭ (который выполняет функцию маршрутизатора);
ARP - протокол определения MAC-адреса по известному IP-адресу;
ICMP - включен для удобства администрирования;
SNMP - протокол для управления сетевыми устройствами.
Служебный трафик циркулирует в рамках внутренних сетей отдельно главного и дополнительного офисов.
Политика фильтрации трафика на межсетевом экране главного офиса представлена в таблице 10. Политика фильтрации трафика на межсетевом экране дополнительного офиса представлена в таблице 11. Обе политики являются запрещающими (см. последние строки таблиц). Проверка на соответствие правилу осуществляется последовательно по возрастанию номера правила, начиная с правила №1.
Таблица 10 – Политика фильтрации на МСЭ главного офиса
№ |
Source |
Destination |
Service |
Action |
1 |
POS-терминал |
Банк-эквайер |
TCP 1194 |
Allow |
2 |
Банк-эквайер |
POS-терминал |
TCP 1194 |
Allow |
3 |
DNS-сервер |
ПК оператора |
DNS |
Allow |
4 |
ПК оператора |
DNS-сервер |
DNS |
Allow |
5 |
DNS-сервер |
ПК администратора |
DNS |
Allow |
6 |
ПК администратора |
DNS-сервер |
DNS |
Allow |
7 |
DNS-сервер |
ПК оператора |
DNS |
Allow |
8 |
ПК оператора |
DNS-сервер |
DNS |
Allow |
9 |
DNS-сервер |
ПК оператора (доп.офис) |
DNS |
Allow |
10 |
ПК оператора (доп.офис) |
DNS-сервер |
DNS |
Allow |
11 |
DNS-сервер |
ПК администратора(доп.офис) |
DNS |
Allow |
12 |
ПК администратора (доп.офис) |
DNS-сервер |
DNS |
Allow |
13 |
DNS-сервер |
DNS-сервер верхнего уровня |
DNS |
Allow |
14 |
DNS-сервер верхнего уровня |
DNS-сервер |
DNS |
Allow |
15 |
Mail-server relay |
Any public |
SMTP |
Allow |
16 |
Any public |
Mail-server relay |
SMTP |
Allow |
17 |
ПК оператора (доп.офис) |
Mail-server relay |
SMTP |
Allow |
18 |
Mail-server relay |
ПК оператора (доп.офис) |
IMAP |
Allow |
19 |
ПК администратора(доп.офис) |
Mail-server relay |
SMTP |
Allow |
20 |
Mail-server relay |
ПК администратора(доп.офис) |
IMAP |
Allow |
21 |
Mail-server relay |
Mail-server |
SMTP |
Allow |
22 |
Mail-server |
Mail-server relay |
SMTP |
Allow |
23 |
Mail-server |
ПК оператора |
IMAP |
Allow |
24 |
ПК оператора |
Mail-server |
SMTP |
Allow |
25 |
Mail-server |
ПК администратора |
IMAP |
Allow |
26 |
ПК администратора |
Mail-server |
SMTP |
Allow |
27 |
DB-server |
Web-server |
TCP 1521 |
Allow |
28 |
Web-server |
DB-server |
TCP 1521 |
Allow |
29 |
DB-server |
DB-server(доп.офис) |
TCP 1521 |
Allow |
30 |
DB-server(доп.офис) |
DB-server |
TCP 1521 |
Allow |
31 |
DB-server |
ПК оператора |
TCP 1521 |
Allow |
32 |
ПК оператора |
DB-server |
TCP 1521 |
Allow |
33 |
ПК оператора(доп.офис) |
DB-server |
TCP 1521 |
Allow |
34 |
DB-server |
ПК оператора(доп.офис) |
TCP 1521 |
Allow |
35 |
DB-server(доп.офис) |
Web-server |
TCP 1521 |
Allow |
36 |
Web-server |
DB-server(доп.офис) |
TCP 1521 |
Allow |
37 |
DB-server(доп.офис) |
ПК оператора |
TCP 1521 |
Allow |
38 |
ПК оператора |
DB-server(доп.офис) |
TCP 1521 |
Allow |
39 |
Web-server |
ПК оператора |
HTTP |
Allow |
40 |
ПК оператора |
Web-server |
HTTP |
Allow |
41 |
Web-server |
ПК администратора |
HTTP |
Allow |
42 |
ПК администратора |
Web-server |
HTTP |
Allow |
43 |
Web-server |
ПК оператора(доп.офис) |
HTTP |
Allow |
44 |
ПК оператора(доп.офис) |
Web-server |
HTTP |
Allow |
45 |
Web-server |
ПК администратора(доп.офис) |
HTTP |
Allow |
46 |
ПК администратора(доп.офис) |
Web-server |
HTTP |
Allow |
47 |
Web-server |
Any public |
HTTP |
Allow |
48 |
Any public |
Web-server |
HTTP |
Allow |
49 |
Any private |
Any private |
RIP |
Allow |
50 |
Any private |
Any private |
ARP |
Allow |
51 |
Any private |
Any private |
ICMP |
Allow |
52 |
Any private |
Any private |
SNMP |
Allow |
53 |
ПК администратора |
Web-server |
telnet |
Allow |
54 |
Web-server |
ПК администратора |
telnet |
Allow |
55 |
ПК администратора |
DB-server |
telnet |
Allow |
56 |
DB-server |
ПК администратора |
telnet |
Allow |
57 |
ПК администратора |
Mail-server relay |
telnet |
Allow |
58 |
Mail-server relay |
ПК администратора |
telnet |
Allow |
59 |
ПК администратора |
DNS-server |
telnet |
Allow |
60 |
DNS-server |
ПК администратора |
telnet |
Allow |
61 |
Any |
Any |
Any |
Drop |
Таблица 11 – Политика фильтрации на МСЭ дополнительного офиса
№ |
Source |
Destination |
Service |
Action |
1 |
POS-терминал |
Банк-эквайер |
TCP 1194 |
Allow |
2 |
Банк-эквайер |
POS-терминал |
TCP 1194 |
Allow |
3 |
DNS-server |
ПК администратора(доп.офис) |
DNS |
Allow |
4 |
ПК администратора(доп.офис) |
DNS-server |
DNS |
Allow |
5 |
DNS-server |
ПК оператора(доп.офис) |
DNS |
Allow |
6 |
ПК оператора(доп.офис) |
DNS-server |
DNS |
Allow |
7 |
Mail-server relay |
ПК администратора(доп.офис) |
IMAP |
Allow |
8 |
ПК администратора(доп.офис) |
Mail-server relay |
SMTP |
Allow |
9 |
Mail-server relay |
ПК оператора(доп.офис) |
IMAP |
Allow |
10 |
ПК оператора(доп.офис) |
Mail-server relay |
SMTP |
Allow |
11 |
DB-server |
DB-server(доп.офис) |
TCP 1521 |
Allow |
12 |
DB-server(доп.офис) |
DB-server |
TCP 1521 |
Allow |
13 |
DB-server(доп.офис) |
ПК оператора(доп.офис) |
TCP 1521 |
Allow |
14 |
ПК оператора(доп.офис) |
DB-server(доп.офис) |
TCP 1521 |
Allow |
15 |
DB-server(доп.офис) |
Web-server |
TCP 1521 |
Allow |
16 |
Web-server |
DB-server(доп.офис) |
TCP 1521 |
Allow |
17 |
DB-server |
ПК оператора(доп.офис) |
TCP 1521 |
Allow |
18 |
ПК оператора(доп.офис) |
DB-server |
TCP 1521 |
Allow |
19 |
DB-server(доп.офис) |
ПК оператора |
TCP 1521 |
Allow |
20 |
ПК оператора |
DB-server(доп.офис) |
TCP 1521 |
Allow |
21 |
Web-server |
ПК администратора(доп.офис) |
HTTP |
Allow |
22 |
ПК администратора(доп.офис) |
Web-server |
HTTP |
Allow |
23 |
Web-server |
ПК оператора(доп.офис) |
HTTP |
Allow |
24 |
ПК оператора(доп.офис) |
Web-server |
HTTP |
Allow |
25 |
Any private |
Any private |
RIP |
Allow |
26 |
Any private |
Any private |
ARP |
Allow |
27 |
Any private |
Any private |
ICMP |
Allow |
28 |
Any private |
Any private |
SNMP |
Allow |
29 |
ПК администратора(доп.офис) |
DB-server(доп.офис) |
telnet |
Allow |
30 |
DB-server(доп.офис) |
ПК администратора(доп.офис) |
telnet |
Allow |
31 |
Any |
Any |
Any |
Drop |