Описание предприятия и объекта защиты

Содержание

Введение…………………………………………………………………………..3

1. Аналитическая часть…………………………………………………………..5

1.1.Описание предприятия и объекта защиты………………………..….5

1.1.1. Предоставляемые услуги………………………………..…...5

1.1.2. Организационная структура предприятия………..………...6

1.2. Возможные угрозы для ЛВС и рекомендации по разработке политики безопасности……………………………………………………7

1.3. Необходимость использования межсетевых экранов для защиты ЛВС ОК «БОР»…………….……………………………………………...10

2. Теоретическая часть…………………………………………………………..13

2.1. Понятие "межсетевой экран"………………………………………..13

2.2. Классы защищенности МЭ …………………………………………..15

2.3. Основные требования, предъявляемые к межсетевым экранам…..17

2.4. Основные компоненты МЭ………………………………………….18

2.5. Основные функции МЭ……………………………………………...21

2.6. Политика безопасности в компьютерных сетях…………………....24

2.7.Политика сетевого подключения…………………………………….25

2.8. Политика брандмауэра………………………………………………27

2.9. Стратегии брандмауэра ……………………………………………....29

2.9.1. Применение пакетного фильтра……………………………29

2.9.2. Применениеproxy– сервера………………………………..31

3. Проектная часть……………………………………………………………….34

3.1. Политика безопасности ЛВС ОК «БОР»…………………………...34

3.2. Реализация политики безопасности организации с помощью программного пакета FireWall-1…………………………………………41

3.3.Основные особенности FIREWALL-1……………………………….45

    3.3.1. Аутентификация пользователей при работе с FTP………..45

3.3.2. Гибкие алгоритмы фильтрации UDP-пакетов, Динамическое экранирование……………………………………………………...45

Заключение………………………………………………………………………47

Список литературы……………………………………………………………...48

Глоссарий…………………………………………………………………..…….49

Тестовые вопросы……………………………………………………………….51

Приложения……………………………………………………………………...53

Введение.

      Многие организации используют локальные вычислительные сети для обработки и передачи данных. До использования ЛВС основная часть обработки и обмена данными была централизована: информация и управление ею были сосредоточены в одном месте и централизованы. Сейчас ЛВС логически и физически рассредоточили данные, а также вычислительную мощность и службы обмена сообщениями по всей организации.

Наиболее удобный вид обмена информацией можно представить и реализовать на сегодняшний день в виде локальных вычислительных и распределённых сетей, где каждое автоматизированное рабочее место (АРМ) входит в единую логическую структуру обмена данными. Локально-вычислительные сети, или сокращённо ЛВС, позволяют максимально ускорить создание больших проектов, требующих вклада множества сотрудников либо задействования различных устройств или вычислительных мощностей различных серверов (СУБД, хранилище данных, кластерные блоки для вычислительных задач, дублирование информации и др.). При этом возникают огромные трудности с организацией модели безопасной передачи данных внутри данных сетей, т.к. риск утечки информации намного больше, чем для случая выделенного автоматизированного рабочего места (АРМ оператора). Вдобавок, зачастую приходится связываться с некоторыми удалёнными банками данных (в филиалах компании) или даже непосредственно запрашивать и предоставлять информацию в сети Интернет. В таком случае, количество уязвимостей возрастает в разы и только достаточно грамотная и продуманная балансировка соотношения «оценки рисков»/«затраты на обеспечение безопасности и сохранности данных» позволяет достичь расходов на приемлемом для бизнеса уровне и не разорить всю бизнес-модель за счёт единственной гонки в установке новых и новых заградительных барьеров на пути потенциальных угроз, появляющихся порой даже чаще чем ежедневно.

Одной из решений этих проблем является грамотное составление политики безопасности для организации.

В системе должна быть единая политика безопасности, которая определяет правила обращения с информацией так, чтобы исключить или снизить угрозы ущерба. Единая политика нужна, чтобы исключить противоречия между правилами обращения с одной и той же информацией в разных подразделениях организации. В самом простом случае, этой политикой является дискреционная политика, т. е. у каждого информационного объекта системы есть хозяин, который определяет правила доступа субъектов к объектам. Для реализации дискреционной политики безопасности каждый субъект и объект должны быть идентифицированы, а каждый субъект должен подтвердить свой идентификатор (аутентификация). Обычно дискреционную политику безопасности усиливают аудитом, т. е. отслеживанием действий пользователей или субъектов, которые действуют от их имени, в компьютерной системе.

Кроме дискреционной политики безопасности как минимум необходимо организовать защиту целостности информационных ресурсов от модификации или уничтожения. Идентификация и аутентификация, правила разграничения доступа, аудит и защита целостности должны реализовываться механизмами защиты. На каждом рабочем месте и на серверах установлены операционные системы, которые, как правило, обладают набором механизмов защиты, обеспечивающих идентификацию и аутентификацию, разграничение доступа, аудит на данном компьютере. Серьезные прикладные системы типа СУБД также обладают локальным набором механизмов защиты, обеспечивающих идентификацию и аутентификацию, разграничение доступа и аудит. Основными механизмами защиты целостности являются резервное копирование (backup), электронно-цифровая подпись (ЭЦП) и коды аутентификации.

Однако выполнение политики безопасности на каждом компьютере вовсе не означает, что выполняется единая политика безопасности во всей системе. Например, пользователи по сети могут обращаться на файловый сервер для получения необходимой информации или отправки документов в файле на печать на сетевой принтер. Обращение на сервер предполагает копирование файла из одного компьютера, где файл находится под защитой локальной политики безопасности и средств ее поддержки, в другой компьютер, на котором действует локальная политика безопасности и механизмы ее поддержки. Ясно, что передача файла или информации из этого файла в файл на другой машине не управляется локальной политикой безопасности, т. е. должны быть механизмы реализации политики безопасности системы в целом, с помощью которых может быть разрешен доступ субъекта на одной машине к информации, расположенной на другой машине. В частности, для такого доступа субъект из рабочей станции 1 (РС1), запрашивающий доступ к информации на компьютере РС2, должен быть идентифицирован и аутентифицирован на РС2, т. е. его аутентификационная информация (пароль) на РС1 должна быть передана на РС2. Этот субъект должен быть учтен на РС2 в матрице разграничения доступа, а его действия должны отслеживаться аудитом на РС1 и РС2. Так как в сегменте локальной сети передача является широковещательной, то передача пароля для аутентификации на РС2 может быть подслушана на любой рабочей станции и в следующий раз подслушивающий субъект сможет запрашивать информацию на другой машине от чужого имени.

Понимание необходимости обеспечения защиты информации в ЛВС и разработка соответствующих мер защиты, в том числе разработка политики безопасности являются главными задачами этого курсового проекта.  

 

Аналитическая часть.

Описание предприятия и объекта защиты

Объектом защиты в данном курсовом проекте является ЛВС организации Федеральное Государственное учреждение «Оздоровительный комплекс «Бор».«Оздоровительный комплекс «Бор» включает в себя отель, построенный в стиле старинной русской усадьбы, пансионат и несколько коттеджных поселков. Для автоматизации производства и предоставления услуг была построена ЛВС, соединяющая здания администрации ОК «БОР», пансионата, отеля. Данная ЛВС соединена с глобальной вычислительной сетью Internet через специализированный сервер.

Общая схема ЛВС ОК «БОР» представлена в приложении 1.

Пансионат представляет собой современное 8-этажное здание, состоящее из трех корпусов, соединенных между собой.

Весь комплекс занимает площадь 170 гектаров, окруженный забором и имеет 3 внешних контрольно-пропускных пункта.

Организация является государственной.