ФЕДЕРАЛЬНОЕАГЕНТСТВО ПО ОБРАЗОВАНИЮ
УХТИНСКИЙГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
Кафедра ИСТ
Курсовойпроект
Дисциплина:«Проект управления базами данных»
Тема:
«Политикаинформационной безопасности для системы «Учет ремонта и ТОавтотранспорта»»
Выполнил:
студент группы ИСТ-2-04
Петров М.В.
Проверила:
доцент кафедры ИСТ, к. т.н.
Толмачева Н.А.
Ухта 2008
Содержание
Введение
Часть 1 Основные сведения о системе
1.1 Информационные ресурсы и пользователи системы
1.2 Среда функционирования системы
Часть 2 Политика безопасности
2.1 Определение класса безопасности
2.2 Горизонтальная модель сети
2.3 Вертикальная модель сети
2.4 Организационные мероприятия
Заключение
Список используемой литературы
Введение
Целью курсовойработы является разработка политики информационной безопасности для системы «Учетремонта и ТО автотранспорта», разрабатываемой для подразделенияавтоуправления «Северстальресурс» в г. Воркуте. Система создается дляавтоматизации процесса ведения, контроля, учета ремонта и техническогообслуживания автотранспортного хозяйства. В данной работе будет проведен анализинформации, циркулирующей в автоматизированной информационной системе,обоснован выбор класса защищенности дляразрабатываемой системы, определен периметр безопасности, с указанием незащищенных областей системы, приведены примеры по предотвращению угроз,проведено горизонтальное проектирование и вертикальное проектирование,разработаны организационные мероприятия.
Безопасностьданных означает их конфиденциальность, целостность и доступность. Критериибезопасности данных могут быть определены следующим образом. Конфиденциальностьданных предполагает их доступность только для тех лиц, которые имеют на этосоответствующие полномочия. Целостность информации предполагает ее неизменностьв процессе передачи от отправителя к получателю. Под доступностью можнопонимать гарантию того, что злоумышленник не сумеет помешать работе законныхпользователей. В частности, в задачу обеспечения доступности входит исключениевозможности атак, вызывающих отказ в обслуживании.
.
Информационные ресурсы и пользователи системы
База данныхсоздаваемой системы будет содержать данные конфиденциального характера,требующие жесткого контроля при доведении сведений до служб, которые имеютправо на использование такой информации. В связи с этим информацию и систему вцелом необходимо защитить от нанесения ущерба в результате сознательных либослучайных противоправных действий, такие как неправомерный доступ, уничтожение,модифицирование, блокирование, копирование, распространение, а также иные действияв отношении такой информации.
Ниже перечислены данные,которые будут использоваться в данной системе:
― информация о наличииподвижного состава автотранспортного хозяйства;
― факты выполненныхработ по ремонту и техническому обслуживанию (ТО) автотранспорта;
― показателиколичества обслуживания за месяц и рабочий день;
― простойавтомобилей в ТО, ремонте и его ожидании;
― планированиеработ по ТО и ремонту подвижного состава.
К выделенным ресурсам вподсистеме «Учета ремонта и ТО автотранспорта» имеют доступ следующиегруппы пользователей:
Начальник управления и главный инженер(осуществляет общее руководство производством через непосредственноподчиненного ему начальника производства) имеют право только на просмотр всехданных, выпуск отчетов;
Начальник производства (руководитвсеми работами по ТО и ремонту подвижного состава) имеет правона просмотр данных, выпуск отчетов;
Диспетчер производства (оперативное руководствопроизводством работ на постах обслуживания и ремонта автотранспорта) имеет правона просмотр, редактирование и ввод данных;
Инженер планового отдела получает необходимыевыходные данные системы.
Системныйадминистратор,наделяет пользователей (группы пользователей) необходимыми для работы правами,имеет право на просмотр журнала событий (регистрационный журнал) системы,обязан делать резервные копии системы.
Рассмотрим правила разграничения доступа всехпользователей информационной системы (Таблица 1).
Таблица 1 – правиларазграничения доступа всех пользователей информационной системы.
Объект
Субъект информация о наличии подвижного состава автотранспортного хозяйства факты выполненных работ по ремонту и ТО автотранспорта показатели количества обслуживания за месяц и рабочий день простой автомобилей в ТО, ремонте и его ожидании планирование работ по ТО и ремонту подвижного состава
Права и группы Регистрационный журнал Начальник управления и главный инженер П П П П П Н Н Начальник производства ПР ПР П П ПРДУ Н Н Диспетчер производства ПРДУ ПРДУ П П ПРДУ Н Н Инженер планового отдела П П П П ПРДУ Н Н Системный администратор Н Н Н Н Н ПРДУ ПУ
В данной таблицеприведены следующие условные обозначения:
Н – нет доступа;
П – просмотр данных;
Р – редактирование;
Д – добавление данных;
У – удаление данных;
Среда функционированиясистемы
В настоящий момент сеть УАТХ построена на базесервера-контроллера домена uath,сервера баз данных, коммутаторов Intel inBusiness 10/100 Switch 16, маршрутизатора Cisco 1800. Общаяпропуская способность сети составляет 10/100 Мбит/с и позволяет осуществлятьполноценную загрузку сервера системы и использовать современное программноеобеспечение. Это осуществляется с помощью сетевых кабелей неэкранированнаявитая пара(UTP — Unshielded twisted pair) пятой категории и экранированнаявитая пара(STP — Shielded twisted pair).
Витая пара (англ. twisted pair) — вид кабелясвязи, представляет собой одну или несколько пар изолированных проводников,скрученных между собой (с небольшим числом витков на единицу длины), дляуменьшения взаимных наводок при передаче сигнала, и покрытых пластиковойоболочкой.
Экранированная витая пара — витаяпара, окруженная заземленной металлической фольгой, которая служит экраном иобеспечивает защиту от электромагнитных помех.
Неэкранированная витая пара — витаяпара, не имеющая металлического экрана. Различают пять категорийнеэкранированных витых пар. Первая и вторая категории используются при низкихчастотах. Третья и четвертая — при частотах 16 и 20 МГц соответственно. Пятаякатегория обеспечивает передачу данных при 100 МГц, так как имеет 4 витые пары, т.е. 8 проводников и учитывает перспективу перехода на высокие скоростипередачи данных (Fast Ethernet 100Mbps 100Base-TX).
Экранированные кабели витой пары используются для линийвнешней прокладки (подвески), а неэкранированные кабели витой пары используютсядля линий, находящихся в нутрии помещений. Использование таких кабелейучитывает перспективу перехода на высокие скорости передачи данных (FastEthernet 100Mbps 100Base-TX).
В общей сети УАТХфункционирует около сорока рабочих станций, которые распределены особымобразом.
Разбиение сети наразличные участки (VLAN) необходимодля разграничения предаваемого трафика, что повысит безопасность, а такжепоставит барьер на пути широковещательного трафика.
Разработчики для изоляцииот других элементов ЛВС выделены в отдельный VLAN и подключены к Коммутатору1. Серверная, в которомнаходятся сервера БД и Контроллер д, и администраторская выделены в отдельный VLAN и подключены к Коммутатору2.
Отделы подключены вотдельный VLAN с помощью Коммутатора6 т.к. ониработают с одним набором данных, а также для разграничения сетевого трафикамежду другими элементами сети. Рассмотрим данный сегмент более подробно.Производственно-технический отдел (ПТО) подключен к Коммутатору3. Отделэксплуатации (ОЭ) подключен к Коммутатору4. Начальство, в том числе и главныйинженер, подключено к Коммутатору5.
Управляющая сеть выделенав отдельный третий VLAN. Маршрутизатор подключен к Коммутатору7 и настроен дляразграничения доступа в общую ЛВС.
Поскольку Коммутатор1,Коммутатор2 и Коммутатор6 соединены с Коммутатором7 через отдельные порты, тоМаршрутизатор и Коммутатор7 составляют “Управляющую сеть”.
Данная структура свыделением ЛВС в виртуальные локальные сети приведена на схеме структуры сетиниже.