Задание: Разработка ПИБ корпоративной сети

Министерство образования Российской Федерации

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

Им. Н.Э. БАУМАНА

Факультет: «Информатика и системы управления»

Кафедра: «Информационная безопасность»

(ИУ-8)

Задание: Разработка ПИБ корпоративной сети

 

Преподаватель: Пристанский В.Л

Студент: Мекекечко В.В.

группа ИУ8-51

 

 

Москва 2010

I. Исходные данные:

ЛС-1 – 10 мест (персональные данные);

ЛС-2 – 20 мест (конфиденциальные данные);

ЛС-3 – 4 мест (секретная информация);

На всех машинах используется ОС WindowsXP

    Политика информационной безопасности предприятия:

       Необходимость согласования и подтверждения законности действий заказчика в соответствии с федеральным законом о безопасности законодательства РФ. Тот или иной атрибут информационной безопасности определяется заказчиком в соответствии со своими потребностями и финансами.

       Существование: администратора ИТ и администратора копмлексной безопасности (желательно выпускников Бауманки), веб-программиста, охранной системы и постов охраны на входе в предприятия с соответствующей аутентификацией и логированием посетителей, системы пожарной охраны.

    Общая сетевая безопасность:

       Межсетевой экран или Файрвол:

                   Устанавливается аппаратно и администрируется локально администратором           ИБ, находится в комнате администратора безопасности; доступ к установкам               МЭ имеется только у администратора ИБ. По необходимости, должен                       осуществлять фильтрацию, контроль трафика и управление                                              демилитаризованной зоной.

       Маршрутизатор:

                   Администрируется локально или удаленно администратором ИБ                               использованием средств шифрования и защитой от атаки "перебором",                           находится в комнате       администратора, доступ к установкам                               маршрутизатора имеется только у        администратора ИБ.

       На каждом PC требуется использование лицензированного ПО и антивирусных систем.

       Обеспечение защиты от шпионажа извне.

       Все PC должны быть защищены персональным файрволом.

       Веб-сервер:

          Администрируется веб-администратором под контролем администратора ИБ.

Анонимный доступ из Интернет запрещен.

Разрешен авторизованный FTP-доступ администратору веб-сервера только из сегмента административного управления (с приватного ИП-адреса администратора)

Из приватной сети, только из сегмента административного управления (с ИП-адреса администратора) возможен удаленный терминальный доступ по протоколу rsh на веб-сервер

Защищенный доступ в Интернет изнутри сети разрешен, исключая ЛС-3.

 

       Мэйл-сервер:

         Администрируется веб-администратором

Разрешен авторизированный доступ изнутри сети к сервису POP3, исключая ЛС-3.

Разрешен доступ к SMTP сервису - только из изнутри сети, исключая ЛС-3.

Защищенный доступ в Интернет изнутри сети разрешен, кроме ЛС-3.

 

Дополнительная ИБ:

       Наличие общего резервного питания для PC, доступ к которому имеется только у соответствующих инженеров обслуживания и администратора безопасности.

       Наличие сервера хранения резервных копий ценных файлов и файлов логирования, доступ к которым имеет администратор ИБ, администратор безопасности и соответствующие инженеры обслуживания и веб-программист.

       Логирование действий ЛС-1,2,3, МЭ и администраторов.

       Видеонаблюдение в определенных местах.

Информационная безопасность ЛС-1:

 

       Расположение в отдельной комнате или защита от мониторинга экранированием.

       Имеется доступ в интернет через соответствующие протоколы.

       Существует своя локальная сеть, а также сеть с ЛС-2 через соответствующую защиту(МС)

       Доступ в помещение свободный.

       Доступ к личным PC ограничен собственными паролями пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных).

       Доступ к резервному хранилищу имеется только через соответствующих инженеров обслуживания.

 

Информационная безопасность ЛС-2:

       Расположение в отдельной комнате и защита от мониторинга экранированием.

       Имеется доступ в интернет через соответствующие протоколы.

       Существует своя локальная сеть(еще сильнее чем у ЛС-1), а также сеть с ЛС-1 через соответствующую защиту(МС)

       Доступ в помещение только пользователям ЛС-2 и админам. Обслуживание производится в конце рабочего дня с логированием.

       Доступ к личным PC по смарт-картам пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных).

       Доступ к резервному хранилищу имеется только через соответствующих инженеров обслуживания.

 

Информационная безопасность ЛС-3:

       Расположение в отдельной экранированной комнате и защита от мониторинга экранированием.

       Доступа в интернет нет(или имеется, но по специальному очень защищенному кабелю(прямому)).

       Имеется свое резервное защищенное хранилище. Обслуживание производится в конце рабочего дня с строгим логированием.

       Существует своя локальная сеть(проводная), если это предусмотрено заказчиком.

       Доступ в помещение только пользователям ЛС-3 и админам(кроме веб и определяется заказчиком). Обслуживание производится в конце рабочего дня с строгим логированием, после того как вся секретная информация переместится в защищенное резервное хранилище.

       Доступ к личным PC по флеш носителям с хеш-ключом пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных). Ведется логирование действий администраторов.

       Доступ к резервному хранилищу имеется лично.

       Помимо специального видеонаблюдения, ведется специальное скрытое видеонаблюдение.

       Имеется своя станция резервного питания и свой черный ход.