Анализ и обоснование выбора ПО для обеспечения безопасности информации

Средства обеспечения информационной безопасности предприятия можно подразделить на:

Физические средства защиты;

Аппаратные средства защиты;

Программные средства;

К физическим средствам защиты можно отнести устройства для создания барьеров на пути злоумышленников. Подобные средства применяются для охраны территории торгового центра и других подобных объектов, у которых содержится своя конфиденциальная информация.

К этим средствам относятся:

охранные и охранно-пожарные системы;

охранное видеонаблюдение

охранное освещение

СКУД

другие средства физической защиты. (замки, заборы и т.п.)

Следующий набор средств - аппаратные средства защиты информации. Они включают в себя разного рода технические устройства, созданные для защиты информации от разглашения, утечки и несанкционированного доступа. Использование аппаратных средств защиты информации позволяет решать такие задачи, как обнаружение каналов утечки информации так и их локализации, обнаружение средств промышленного шпионажа, и пресечение НСД к конфиденциальной информации.

В масштабах торгового центра вышеперечисленные физические средства распространены достаточно широко, а аппаратные средства по ряду причин (высокие финансовые затраты на приобретение, установку и содержание их в рабочем состоянии) получили весьма ограниченное распространение

Для защиты информации в торговом центре широко применяются программные средства, в связи с тем, что они универсальны, имеют такие качества, как гибкость, надежность, простота установки, способность к модификации и развитию и т.д. Но вместе с этим они имеют и некоторые недостатки: ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации (к примеру временных файлов), тестового контроля системы защиты и др.

Существует четыре направления программ защиты информации:

Первое это защита информации от несанкционированного доступа. Она включает в себя три основных функции:

идентификация субъектов и объектов;

разграничение доступа к вычислительным ресурсам и информации;

контроль и регистрация действий с информацией и программами.

Второе направление - это защита от копирования. Средства защиты от копирования предотвращают нелегальное копирование программного обеспечения и являются в настоящее время единственно надежным средством, которое защищает авторское право разработчиков. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом может быть определенная часть информации в файле запрещающее копирование информации с данного носителя.

Третье направление - это защита от разрушения информации. Из-за того, что причины разрушения информации весьма разнообразны, проведение защитных мероприятий обязательно для всех, кто пользуется компьютером.

Четвертое направление - криптографические средства. Это специальные математические средства защиты информации, передаваемой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования Криптографические методы выступают самым надежным средством обеспечения защиты информации на длительные периоды.

Программные средства защиты информации можно разделить на встроенные и не встроенные.

Встроенные – то - есть имеющиеся в составе программ (и утилит) в операционной системе.

К примеру, в известной нам ОС Windows XP имеются встроенные фаервол, политики безопасности, программы проверки целостности исходного кода и защиты системных файлов.

Но встроенные средства защиты не всегда могут полностью организовывать полную защиту информации в ПК поэтому чаще ставят дополнительное программное обеспечение сторонних разработчиков.

Не встроенные программные средства:

Антивирус — программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики — предотвращения заражения файлов или операционной системы вредоносным кодом.

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации.

Межсетевые экраны (также называемые брандмауэрами или фаерволами). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода — это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Proxy-servers (proxy — доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях — например, на уровне приложения (вирусы, код Java и JavaScript).

 

 

Виртуальные частные сети

Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN-агенты VPN-агент – это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций.
Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется.

С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма.

С помощью выбранного алгоритма шифрования производится шифрование IP-пакета.

С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов.

Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов.

При приеме IP-пакета VPN-агент производит следующее:

Из заголовка IP-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается.

Согласно политике безопастности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифровывание пакета и проверка его целостности.

Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифровывание.

Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается.

Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.

VPN-агент может находиться непосредственно на защищаемом компьютере. В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными.
Основное правило построения VPN – связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.

Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют «туннелями», аналогия с которыми просматривается в следующем:

Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации.

Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют.

Правила создания туннелей формируются в зависимости от различных характеристик IP-пакетов, например, основной при построении большинства VPN протокол IPSec (Security Architecture for IP) устанавливает следующий набор входных данных, по которым выбираются параметры тунелирования и принимается решение при фильтрации конкретного IP-пакета:

IP-адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов.

IP-адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона.

Идентификатор пользователя (отправителя или получателя).

Протокол транспортного уровня (TCP/UDP).

Номер порта, с которого или на который отправлен пакет.

 

2) Практическая часть

2.1) Тема: Организация безопасности компьютерной сети торгового центра

Цель проектирования: проанализировать методы и способы обеспечения безопасности компьютерной сети и выработать предложение для повышения её уровня.

Постановка задачи: произвести обзор и анализ объектов локальной сети, существующих угроз и методов защиты от них

Рассмотреть организацию системы информационной безопасности сети торгового центра и выработать предложения по её совершенствованию.

Задание: обзор и анализ существующих угроз объектам компьютерной сети.

Практическая часть: проанализировать эффективность применения средств обеспечения информационной безопасности локальной сети торгового центра и выработать предложения для повышения её уровня

Графическая часть: начертить схему размещения линий связи и оборудования компьютерной сети торгового центра (каждый этаж на отдельном чертеже)

В ходе курсового проектирования необходимо проанализировать какие программные средства применяются для обеспечения безопасности компьютерной сети и какова эффективность их применения.

 

 

2.2) Конструктивные особенности и принцип работы локальной сети торгового центра

Торговый центр расположен в двухэтажном здании.

На первом этаже располагается торговый зал, серверная видеонаблюдения, производственные помещения (мясорыбный цех, выпечка, фасовки, складские и подсобные помещения), стойка информации, пункт разгрузки и регистрации товаров, зал операторов.

На втором этаже находятся офисы администрации отделов и служб торгового центра.

Локальная сеть, построена по древовидной топологии. На чертежах 1 и 2 показана схема расположения оборудования на 1 и 2 этажах

Корневым является маршрутизатор Е, находящийся в серверной на втором этаже, который соединен с маршрутизатором М в операторской на первом этаже. Все коммутаторы первого этажа соединены с маршрутизатором М (операторская), а второго этажа с маршрутизатором Е (серверная).

Оборудование первого этажа.

К коммутатору И подключены: контрольно-кассовые аппараты (7шт.), компьютер стойки информации и коммутатор Ж (комната видеонаблюдения).

В комнате видеонаблюдения 3 сервера подключены к локальной сети через коммутатор Ж.

К коммутатору К в МРЦ подключены весы(8шт.) -торгового зала(4шт), МРЦ(2шт), рыбной фасовки(1шт.), фасовка колбасы (1шт.) и компьютер МРЦ.

К коммутатору Л подключены компьютер службы контроля, компьютер кладовщиков, весы бакалейной, колбасной фасовки (3 шт.), весы кондитерского цеха (1 шт.) и фасовки овощи- фрукты (2шт.)

К маршрутизатору М (операторская) подключены коммутаторы К, Л, Н, точка доступа, весы склада. К коммутатору Н подключены 3 компьютера операторской.

 

Оборудование второго этажа:

· К маршрутизатору Е подсоединены: коммутаторы А, В, Г,Ж, компьютер оргтехника, компьютер системного администратора, сервер базы данных работников ТЦ, сервер базы данных товаров, proxy-сервер. К proxy-серверу подключен оптико-цифровой преобразователь.

· К коммутатору А, подключены компьютеры службы эксплуатации(2шт), компьютер юриста, компьютеры заместитель директора-начальник Службы Безопасности(2шт.), коммутатор «Б».

· К коммутатору «Б» подключены компьютер директора, сетевое МФУ, компьютер 1-го заместителя директора, компьютер экономиста и компьютер инженера по Технике Безопасности.

· К коммутатору «В» подсоединены компьютеры (3шт.) отдела закупок.

· К коммутатору «Г» подсоединены компьютеры бухгалтерии(4шт), сетевое МФУ, компьютер главного бухгалтера, коммутатор «Д». К нему подключены компьютеры отдела кадров(3шт.), компьютер ревизора, сетевое МФУ.

· К коммутатору Ж (рекламный отдел) подключены компьютер АХО, сетевое МФУ, компьютер рекламного отдела, а также компьютер, с подключенным к нему плоттером.

В качестве коммутаторов, обозначенных буквами А, Б, В, Г, Д, Ж, З, И, К, Л, - используются

 

Cisco SB SG110D-08-EU, (в сети имеется 10 шт)

Количество портов – 8; Поддерживаемая скорость 10/100/1000 Мбит/с Коммутационная матрица До 16 Гбит/с; Режим дуплекса полу/полный; питание от сети (через адаптер питания). Поддержка указания приоритета кадра и имеется режим энергосбережения.

Рисунок 1 - Коммутатор второго уровня

В качестве маршрутизаторов обозначенных буквами «Е и М» используется

Cisco SB SRW2016-K9-EU

управление на 2-3 уровнях по OSI; (L2 коммутация и L3 маршрутизация) поддержка IPv6; 20 гигабитных портов плюс 2 из них скомбинированы с SFP; пропускная способность 40.0 Gbps; до 8000 MAC адресов; приоритетизация трафика (до четырех аппаратных очередей)поддержка 128 VLAN одновременно; создание управляющей VLAN; поддержка стекирования; скорость передачи данных 10/100/1000 Мбит/сек

Рисунок 2 - Маршрутизатор

 

 

Интернет провайдер предоставляет трафик интернета по оптоволоконному кабелю. Для перехода на кабель «витая пара» используется

Медиаконвертер D-Link 1000Base-T-1000Base-X RJ-45-SFP, DMC-G01LC/A1A Модель DMC-G01LC скорость передачи 1 Гб/с,

длина 100мм

ширина 100мм; высота упаковки 140ммвес; брутто 1кг;

Рисунок 3 - Медиаконвертер

 

POS-терминал «АТОЛ Супермаркет 10, ЕГАИС»

Комплектация

· Фискальный регистратор FPrint-55ПТК (скорость термопечати 200мм/сек, c автоотрезом);

· POS-компьютер АТОЛ NFD10 (Процессор Intel® Celeron® 1037U 1.8 ГГц Dual Core, 2 Гб DDR3, 1 слот SODIMM, SSD, 6 × USB 2.0, 6 × COM, 1 х VGA, 1 × HDMI);

· Влагозащищенный монитор 10″ АТОЛ 10″ SJ-1088;

· Специализированная клавиатура АТОЛ KB-60 (60 программируемых клавиш);

· Сканер штрихкода АТОЛ SB 2201;

· Встроенный в клавиатуру ридер магнитных карт (на 1&2&3 дорожки);

· Денежный ящик АТОЛ CD-405 (5 отделений для купюр, 5 отделений для монет);

· Дисплей покупателя (2 строки по 20 символов, размеры символов 9,03 мм х 5,25 мм);

· Сетевой фильтр.

Рисунок 4 - POS-терминал

 

Сканеры штрих-кода с wi-fi подключением

Cino F790WD GPHS79041010K01

Беспроводной Wi-Fi сканер штрих-кодов CINO, технология считывания Linear Imaging, интерфейс подключения USB, кредл и блок питания в комплекте. вид сканера беспроводной. Тип беспроводной связиWi-fi интерфейсный кабель USB чтение 2D штрих-кода нет

Цвет черный ЕГАИС -да

Рисунок 5 - Сканер штрихкода с wi-fi подкл.

 

Принтер печати bar-кодов

Модель:XP-370B

Характеристики: Тип: thermal printer; тип интерфейса - USB; скорость печати:127mm/s; Ширина печати - до 80мм.

Рис.6 Принтер печати bar-кодов

Файловый сервер

 

Рис.7 Файловый сервер

Характеристики файлового сервера: Системный блок серверный 123.RU Intel Xeon E5-2620v3 2.4GHz Z10PE-D16 2 х Socket 2011 32Gb DDR4 2133Mhz HDD 1Tb DVD+CD/RW 365W

Видеосерверы 3 шт

Электронные весы с печатью bar-кода на стикере

MK-RP10

· Характеристики: печатать этикетки любой длины с неограниченным количеством элементов

· Печатать этикетки при работе в счетном режиме

· Печатать штрихкоды EAN-13, EAN-128, CODE 128, CODE 39, ITF-14

· Тип индикатора - матричный ЖК-дисплей с подсветкой

· Напечатанная этикетка снимается с помощью отделительной пластины

· Подключение сканера штрихкода

· Внешние интерфейсы - Ethernet, USB, RS-232

· Степень защиты по ГОСТ 14254: IP51

· Диапазон рабочих температур: от 0°C до +40°C

· Встроенный термопринтер для печати этикеток и чеков

Рисунок.8 - Электронные весы

Офисные рабочие станции

В рабочих станциях задействованы:

Системный блок Meijin Intel Core i3 7100 H110 4G 1T (без ОС)

Характеристики: Компьютерный Корпус (рис.9) Mini-Tower Блок Питания Atx Мощностью 400 Вт; двухядерный процессор s1151 Intel Core Частота ядра: 3.9 ГГц Материнская плата модель: H110M-K поддержка процессоров Intel Core i7/i5/i3/Pentium/Celeron,: 2 слота DDR4 DIMM 2133, поддержка до 32 ГБ 3 Разъема PCI Express 3.0: SATA III порт: 4 порта. Оперативная память Ddr4 4 Гб частота 2133 Мгц

Жесткий диск HDD 3.5" SATA 1ТБ средняя скорость передачи данных, чтение/запись: 156 МБ/сек Дисковод DVD/CD Интерфейс: SATA Скорость записи5x/8х/8x/24x/6x/8x/24x/24x/48x

габариты: 175x358x410 Мм Вес 3.8 Кг;

 

Рисунок 9 -.корпус системного блока

Монитор

Acer VA190HQb

Диагональ экрана 18.5"

Максимальное разрешение 1366x768

Технология изготовления матрицы TN

Технические характеристики экрана

Время отклика пикселя 5 мс

Видеоразъемы VGA (D-Sub)

Рисунок 10 - Монитор Acer VA190HQb

 

Клавиатура+мышь Oklick 600M

Основные характеристики

подключение Ps/2

Количество клавиш клавиатуры 104

Механизм клавиш мембранная

Количество кнопок мыши 3

Тип мыши оптическая светодиодная

Режимы работы датчика 1200

Рисунок 11 - Клавиатура+мышь Oklick 600M

 

Принтер: HP laserjet 1320

Максимальный формат- A4; автоматическая двусторонняя печать –есть; максимальное разрешение для ч/б печати -1200x1200 dpi; скорость печати -21 стр/мин (ч/б А4); время выхода первого отпечатка -8 c (ч/б); печать на: карточках, пленках, этикетках, глянцевой бумаге, конвертах, матовой бумаге; ресурс ч/б картриджа/тонера - 2500 страниц; объем памяти 16 Мб, максимальный 144 Мб;

интерфейсы - LPT, USB 2.0;

Рисунок - 12 Принтер HP laserjet 1320

 

МФУ лазерное Brother MFC-L2720DWR

Функции устройства копир, принтер, сканер, факс;

Принтер:

Технология печати лазерная

Цветность печати черно-белая

Максимальный формат A4

Автоматическая двусторонняя печать есть

Максимальное разрешение чёрно-белой печати 2400x600 dpi

Скорость чёрно-белой печати (стр/мин) 30 стр/мин (А4)

Время выхода первого чёрно-белого отпечатка (сек.) 8.5 сек.

Количество страниц в месяц 12000

 

Сканер:

Оптическое разрешение 2400х600 dpi

Максимальный формат бумаги (сканер) A4 (297х210)

 

Копир:

Максимальное разрешение копира 600x600 dpi

Скорость копирования (стр/мин) 30 стр/мин

Изменение масштаба 25-400 %

 

Интерфейсы:

Интерфейсы Ethernet (RJ-45), USB, Wi-Fi

Поддержка карт памяти нет

Мобильные технологии печати Apple AirPrint (iOS), Cortado Cloud, Google Cloud Print, iPrint&Scan, Mopria (Android), Wi-Fi Direct

Рисунок 13 - МФУ Brother MFC-L2720DWR

 

Устройства СКУД

PERCo-S-20

Техническое описание

Интерфейс связи Ethernet