Разработка защиты на вход в компьютерную сеть

ЗАДАНИЕ
на курсовую работу
специальность: 6.160104Защита информации в компьютерных системах и сетях
В компьютерной сети,циркулирует информация, имеющая уровень 2. В данной КС требуется обеспечитьмаксимальную производительность сети, а также существует повышенное требованиек обеспечению программной системы безопасности.
Необходимо разработатьзащиту на вход в компьютерную сеть таким образом, чтобы вход в систему насервере производился с помощью смарт-карты, а вход в систему на рабочие станции– с помощью биометрии.
Также требуетсяобеспечить подключение КС к уже имеющейся ЛВС, размещенной в здании, удаленномот проектируемой ЛВС на расстоянии 0,6 км.
Главной задачей даннойкурсовой работы является проектирование и разработка системы защиты информациив КС, с учетом данных соответствующего варианта задания.
СПИСОК УСЛОВНЫХ СОКРАЩЕНИЙ
ДСТУ – державний стандарт України;
КЗ – контролируемая зона;
КС – компьютерная сеть;
ЛВС – локальная вычислительная сеть;
НД ТЗІ– нормативний документ з технічного захисту інформації;
ОС – операционная система;
ПК – персональный компьютер;
ПО – программное обеспечение.
DSL — Digital Subscriber Line (цифровая абонентская линия)
RAID — Redundant array of independent/inexpensive disks
/>SHDSL — Simmetric High SpeedDigital Subscriber Line
СОДЕРЖАНИЕ
1.Характеристика КС как объекта защиты
1.1 Топология сети
1.2 Технология сети
1.3 Среда передачиданных
2.Характеристика предприятия Datalif
2.1 Легенда предприятия
2.2 Общаяхарактеристика компьютерной сети
2.3 Модель нарушителя
2.4 Модель угроз
2.5 Программныесредства по защите информации
2.5.1 Вход на рабочиестанции
2.5.2 Вход на сервер
2.5.3 Антивируснаязащита
ВЫВОД
ПЕРЕЧЕНЬ ССЫЛОК
ПРИЛОЖЕНИЕ А.План-схема компьютерной сети
ПРИЛОЖЕНИЕ Б. Цифровойноситель курсовой работы

/>ВВЕДЕНИЕ
Компьютерная сеть – системасвязи двух или более компьютеров и/или компьютерного оборудования (серверы,маршрутизаторы и другое оборудование). Для передачи информации могут бытьиспользованы различные физические явления, как правило – различные видыэлектрических сигналов или электромагнитного излучения.
Локальнаявычислительная сеть — компьютерная сеть, покрывающая обычно относительнонебольшую территорию или небольшую группу зданий
Защита информации вкомпьютерных сетях является одной из распространенных проблем в современныхинформационно-вычислительных системах.
Цельюданной курсовой работы является разработка и внедрениесистемы защиты информации в компьютерной сети предприятия с использованиемсовременных средств и методов защиты информации, разграничения доступапользователей к информации, аутентификации субъектов.
защитаинформация компьютерная сеть
/>/>/>1. />Характеристика КС как объекта защиты/>/>/> 1.1 Топология сети
Сетевая топология —способ описания конфигурации сети, схема расположения и соединения сетевыхустройств. Существует множество способов соединения сетевых устройств, из нихможно выделить пять базовых топологий: шина, кольцо, звезда, ячеистая топологияи решётка. Остальные способы являются комбинациями базовых.[3]
Топология типа шина,представляет собой общий кабель (называемый шина или магистраль), к которомуподсоединены все рабочие станции. На концах кабеля находятся терминаторы, дляпредотвращения отражения сигнала.
Кольцо́ — базоваятопология компьютерной сети, в которой рабочие станции подключеныпоследовательно друг к другу, образуя замкнутую сеть.
Ячеистая топология —базовая полносвязная топология компьютерной сети, в которой каждая рабочаястанция сети соединяется со всеми другими рабочими станциями этой же сети.
Решётка — топология, вкоторой узлы образуют регулярную многомерную решетку. При этом каждое реброрешетки параллельно ее оси и соединяет два смежных узла вдоль этой оси.
Звезда́ — базоваятопология компьютерной сети, в которой все компьютеры сети присоединены кцентральному узлу (обычно сетевой концентратор), образуя физический сегментсети. Подобный сегмент сети может функционировать как отдельно, так и в составесложной сетевой топологии (как правило «дерево»).[2]
При построении сети нарассматриваемом предприятии наиболее целесообразно выбрать топологию «звезда»,т.к. использование звездообразной топологии позволяет обеспечить отдельноеуправление и поиск неисправностей для каждого соединения с рабочей станцией. Другимдостоинством «звезды »является высокая производительность, так как при такомспособе подключения в каждый момент времени все рабочие станции могутпередавать данные в сеть. Также, в отличие отсетей с кольцевой топологией, звездообразные сети могут выдерживать отключениебольшого количества рабочих станций. Кроме того, звездообразные сети имеютсерьезные преимущества с точки зрения безопасности в сравнении с сетями сшинной и кольцевой топологией. С помощью специального сетевого оборудованияможно осуществить эффективную сегментцию и защитить поток данных каждой рабочейстанции от прослушивания путем шифрования. Также преимущество этойтопологии перед общей шиной — существенно большая надежность. Любыенеприятности с кабелем касаются лишь того компьютера, к которому этот кабельприсоединен, и только неисправность концентратора может вывести из строя всюсеть.
Достоинства
· выходиз строя одной рабочей станции не отражается на работе всей сети в целом;
· хорошаямасштабируемость сети;
· лёгкийпоиск неисправностей и обрывов в сети;
· высокаяпроизводительность сети (при условии правильного проектирования);
· гибкие возможности администрирования.
Недостатки
· выходиз строя центрального концентратора обернётся неработоспособностью сети (илисегмента сети) в целом;
· />/>для прокладкисети зачастую требуется больше кабеля, чем для большинства других топологий;
конечное число рабочихстанций в сети (или сегменте сети) ограничено количеством портов в центральномконцентраторе.
/>/>/>1.2 />Технология сети
 
Сетевая технология —это согласованный набор стандартных протоколов и программно-аппаратных средств,достаточный для построения вычислительной сети [4]./>/>/>
Важнейшей характеристикойобмена информацией в локальных сетях являются так называемые методы доступа (accessmethods), регламентирующиепорядок, в котором рабочая станция получает доступ к сетевым ресурсам и можетобмениваться данными.
Технология доступаEthernet
Метод доступаEthernet является методом множественного доступа с прослушиванием несущей иразрешением конфликтов, называемых коллизиями (CSMA/CD — Carter Sense MultipleAccess with Collision Detection). Этот метод устанавливает следующий порядок:если рабочая станция хочет воспользоваться сетью для передачи данных, онасначала должна проверить состояние канала: начинать передачу станция может,если канал свободен. В процессе передачи станция продолжает прослушивание сетидля обнаружения возможных конфликтов. Если возникает конфликт из-за того, чтодва узла попытаются занять канал, то обнаружившая конфликт интерфейсная плата,выдает в сеть специальный сигнал, и обе станции одновременно прекращаютпередачу. Принимающая станция отбрасывает частично принятое сообщение, а всерабочие станции, желающие передать сообщение, в течение некоторого, случайновыбранного промежутка времени выжидают, прежде чем начать сообщение [5].
Технологиядоступа />ArcNet
Этот метод разработан фирмойDatapoint Corp. Он получил широкое распространение, в основном благодаря тому,что оборудование ArcNet дешевле, чем оборудование Ethernet или Token-Ring.
ArcNet используется в локальныхсетях с топологией «звезда». Один из компьютеров создает специальныймаркер (сообщение специального вида), который последовательно передается отодного компьютера к другому. Если станция желает передать сообщение другойстанции, она должна дождаться маркера и добавить к нему сообщение, дополненноеадресами отправителя и назначения. Когда пакет дойдет до станции назначения,сообщение будет «отцеплено» от маркера и передано станции [4].
Технология доступа хDSL
хDSL — семейство технологий,позволяющих значительно расширить пропускную способность абонентской линииместной телефонной сети путём использования эффективных линейных кодов иадаптивных методов коррекции искажений линии на основе современных достижениймикроэлектроники и методов цифровой обработки сигнала.
В аббревиатуре xDSL символ «х»используется для обозначения первого символа в названии конкретной технологии,а DSL обозначает цифровую абонентскую линию DSL (англ. Digital Subscriber Line— цифровая абонентская линия; также есть другой вариант названия — DigitalSubscriber Loop — цифровой абонентский шлейф). Технологии хDSL позволяютпередавать данные со скоростями, значительно превышающими те скорости, которыедоступны даже самым лучшим аналоговым и цифровым модемам.
Эти технологии поддерживаютпередачу голоса, высокоскоростную передачу данных и видеосигналов, создавая приэтом значительные преимущества как для абонентов, так и для провайдеров.
Многие технологии хDSL позволяютсовмещать высокоскоростную передачу данных и передачу голоса по одной и той жемедной паре. Существующие типы технологий хDSL, различаются в основном поиспользуемой форме модуляции и скорости передачи данных.
Службы xDSL разрабатывались длядостижения определенных целей: они должны работать на существующих телефонныхлиниях, они не должны мешать работе различной аппаратуры абонента, такой кактелефонный аппарат, факс и т. д., скорость работы должна быть вышетеоретического предела в 56Кбит/сек., и наконец, они должны обеспечиватьпостоянное подключение.
К основным типам xDSL относятсяADSL, HDSL, IDSL, MSDSL, PDSL, RADSL, SDSL, SHDSL, UADSL, VDSL. Все этитехнологии обеспечивают высокоскоростной цифровой доступ по абонентскойтелефонной линии. Существующие технологии xDSL разработаны для достиженияопределенных целей и удовлетворения определенных нужд рынка. Некоторыетехнологии xDSL являются оригинальными разработками, другие представляют собойпросто теоретические модели, в то время как третьи уже стали широкоиспользуемыми стандартами. Основным различием данных технологий являются методымодуляции, используемые для кодирования данных.
/>SHDSL (Simmetric HighSpeed Digital Subscriber Line) — симметричнаявысокоскоростная цифровая абонентская линия, наиболее современный типтехнологии DSL, нацелен прежде всего на обеспечение гарантированного качестваобслуживания, то есть при заданной скорости и дальности передачи данныхобеспечить уровень ошибок не хуже 10 -7 даже в самых неблагоприятныхшумовых условиях.
Сравнительныйанализ технологий xDSLТехнология DSL
Максимальная скорость
(прием/передача) Максимальное расстояние Количество телефонных пар Основное применение ADSL 24 Мбит/с / 3,5 Мбит/с 5,5 км 1 Доступ в Интернет, голос, видео, HDTV (ADSL2+) IDSL 144 кбит/с 5,5 км 1 Передача данных HDSL 2 Мбит/с 4,5 км 2 Объединение сетей, услуги E1 SDSL 2 Мбит/с 3 км 1 Объединение сетей, услуги E1 VDSL 65 Мбит/с / 35 Мбит/с 1,5 км на max. скорости 1 Объединение сетей, HDTV
/>SHDSL Симметричная скорость приема и передачи до 2.3 Mбит/с 7,5 км 1 Объединение сетей UADSL 1,5 Мбит/с / 384 кбит/с 3,5 км на max. скорости 1 Доступ в Интернет, голос, видео
Для организации доступа по SHDSL необходима выделенная линия (физическаядвухпроводная линия). Скорость доступа при подключении по SHDSL определяетсятехническими характеристиками, протяжённостью конкретной линии связи иконкретной маркой модема, в среднем достижение полной скорости возможно надвухпроводных линиях протяженностью 1,5 км. при диаметре медного провода около 0,4 мм.
На данном предприятии выбранатехнология SHDSL, которая имеет высокую производительность, и позволяютосуществлять как высокоскоростной доступ в Интернет, так и быструю икачественную передачу большого количества информации. Также, с помощью SHDSLтехнологии возможно не только получать информацию из Интернет, но ипользоваться IP-телефонией (городская, междугородняя, международная связь) ивидеоконференцсвязью на необходимом расстоянии. 1.3 Среда передачи данных
/> 
Под средой передачиданных понимают физическую среду, по которой происходит передача сигналов,использующихся для представления информации.
Среды передачи данныхможно разделить на кабельные и беспроводные среды. В любом случаевзаимодействие осуществляется при помощи электромагнитных волн. Параметры икачество передачи данных определяются как характеристиками среды, так исвойствами сигнала. Для кабельных сред именно среда передачи накладываетосновные ограничения на передаваемые данные [4].
Типичными и наиболеераспространенными представителями среды передачи данных являются кабели.
При передаче данных покабелю пропускная способность, выраженная в терминах скорости передач данныхили полосы частот, существенно зависит от того, на какое расстояние и в какомокружении (по двухточечной линии или по локальной сети) передаются данные. Чащевсего кабельные среды используются для передачи данных на большие расстояния, атакже в локальных сетях.
При создании сетипередачи данных выбор осуществляется из следующих основных видов кабелей: витаяпара, коаксиальный кабель и оптоволокно.
Витая пара являетсясамой дешевой и распространенной средой передачи данных. Состоит из двухизолированных медных проводов, свитых друг с другом. Витая пара представляетсобой один канал связи. Обычно несколько витых пар объединяются в кабель,обернутый в плотную защитную оболочку. В средствах передачи на большиерасстояния кабели
могут состоять из сотенвитых пар. Витые пары одного кабеля обычно скручены с разным шагом. Скручиваниеосуществляется для уменьшения внешних наводок (наводок от внешних источников) иперекрестных наводок (наводок от одного проводника другому проводнику из однойи той же
пары). В настоящеевремя витая пара является наиболее распространенной средой передачи аналоговыхи цифровых сигналов. Несмотря на то, что существует несколько типов витой пары,экранированная (STP) и неэкранированная (UTP) являются самыми важными. При этомкабель UTP не содержит никаких экранов, а кабель STP может иметь экран вокругкаждой витой пары и, в дополнение к этому, еще один экран, охватывающий всевитые пары. Применение экрана позволяет повысить помехоустойчивость [5].
Подобно витой парекоаксиальный кабель состоит из двух проводников, но их конструкция отличаетсяот витой пары. Благодаря этому коаксиальный кабель может работать в болеешироком диапазоне частот. Коаксиальный кабель состоит из пустотелого внешнегоцилиндрического проводника, внутри которого расположен внутренний провод.Внутренний проводник удерживается на месте благодаря либо изолирующим кольцам,установленным с равными интервалами, либо сплошному диэлектрику. Внешнийпроводник покрывается оболочкой или экранной. Коаксиальный кабель обладаетширокой полосой пропускания; это означает, что в ней можно организоватьпередачу трафика на высоких скоростях. Он также устойчив к электромагнитнымпомехам (по сравнению с витой парой) и способен передавать сигналы на большоерасстояние.
Основными областями егоприменения являются: передача телесигналов, междугородняя и международнаятелефония, короткие компьютерные каналы связи, локальные сети.
Оптическое волокно –это тонкая нить из стекла или иного прозрачного материала (от 2 до 125 мкм вдиаметре), по которому распространяется сигнал, преобразованный в световой луч.Действие оптоволокна основано на принципе полного внутреннего отражения. Дляизготовления оптического волокна используются разного рода стекла и пластмассы.Оптоволоконный кабель имеет огромную ширину полосы пропускания и можетпересылать голосовые сигналы, видеосигналы и
сигналы данных на оченьбольшие расстояния. В связи с тем, что такой кабель для передачи данныхиспользует световые импульсы, а не электричество, он оказываетсяневосприимчивым к электромагнитным помехам. Отличительной особенностьюоптоволоконного кабеля является также то, что он обеспечивает более высокуюбезопасность информации, чем медный кабель. К недостаткам волоконно-оптическогокабеля следует отнести высокую стоимость. Волоконно-оптический кабель бываетодномодовым и многомодовым [4].
Одномодовый кабельимеет меньший диаметр световода (5-10 мкм) и допускает только прямолинейноераспространение светового излучения (по центральной моде). В стержнемногомодового кабеля свет может распространяться не только прямолинейно (понескольким модам). Чем больше мод, тем уже пропускная способность кабеля.Стержень и оболочка многомодового кабеля могут быть изготовлены из стекла илипластика, в то время как у одномодового — только из стекла. Для одномодовогокабеля источником света является лазер, для многомодового — светодиод.Одномодовый кабель обладает наилучшими характеристиками, но и является самымдорогим [5].
/>Для данного предприятия в качестве среды передачиданных будет использоваться внешний армированный />оптико-волоконный кабель сметаллическим центральным силовым элементом и одномодовым оптическим волокном потому,что он устойчив к разным температурам от
-50oСдо +70oСи хорошо подходит в сетях дальней связи.
защита информация в компьютерная сеть
/>/>/>2. Характеристикапредприятия Datalife/>/>/> 2.1 Легенда предприятия
/> 
Предприятие «Datalife»предоставляет услуги по восстановлению информации с поврежденных носителей.
Штат сотрудников:уборщица, охрана (2 человека), бухгалтерия (7 человек), отдел для работы склиентами (6 человек), директор, системный администратор. Время работыпредприятия: 10:00–18:00, время работы уборщицы: 9:00–10:00. Охранники работаютпосменно.
Контролируемая зона, накоторой исключено неконтролируемое пребывание посторонних лиц, представленастенами охраняемого здания. Предприятие находится в одноэтажном здании. Впомещении осуществляется круглосуточная охрана. Здание находится на перекресткедвух улиц.Внутри здания находится пост охраны. Пост оборудован системойвидеонаблюдения и охранно-пожарной сигнализацией. Возможность парковкитранспортных средств существует на расстоянии 25 метров от КЗ, со стороныпроезжей части.
Здание имеетметаллические входные двери. Внутри двери заполнены стекловатой, снаружиобчинены декоративным пластиком. Потолок и внешние стены – железобетонные. Внутренниестены – кирпичные. Окна металлопластиковые с тройным стеклопакетом. Ключи отзамков находятся у охранника. Электропитание осуществляется отраспределительного щитка, который находится в помещении здания и подключенный ктрансформаторной подстанции, которая находится за пределами КЗ (600 м от здания).
Доступ краспределительному щитку защищен с помощью решетки под замком. Распределительныйщиток находится в коридоре. Заземление реализовано защитным занулением черезраспределительный щиток.
/>/>/>2.2 Общая характеристика компьютерной сети
Компьютеры напредприятии объединены в сеть по топологии «звезда». Центральным элементом, ккоторому подключены все машины, является коммутатор, расположенный в серверной.Доступ к серверу имеет директор и все бухгалтерия.
Передача данныхпроизводится по технологии DSLвида SHDSL,при помощи оптико-волоконного кабеля.
Выбранная технология,топология (с надлежащим оборудованием – коммутатор) и среда передач в целомобеспечивают максимальную производительность компьютерной сети.
Наперсональные компьютеры установлена операционная система Microsoft Windows XPProfessional SP3, на сервере – Windows Server 2003.
Вприемной,бухгалтерии, кабинете директора находятся по одному принтеру и сканеру. В сервернойрасположен G.SHDSL модем, обеспечивающий всей сети выход в Internet.
Подключение к удаленнойЛВС с файловым сервером производится с помощью оптоволоконного кабеля. Вход насервер производится с помощью контактной смарт-карты.
Доступ к компьютерамсотрудников предприятия осуществляется с помощью биометрии.
На территориипредприятии циркулирует как открытая информация (доступ к которой имеют всесотрудники предприятия), так и конфиденциальная информация (доступ к которойимеют определенные лица). Вся информация хранится как на бумажных носителях,так и в электронном виде на сервере системного администратора.
К открытой информацииотносятся следующие данные:
· информацияо предприятии и роде его деятельности;
· информацияо виде предоставляемых услуг и их стоимости;
· информацияпо всем формам государственной отчетности;
· сведения,необходимые для проверки исчисления и уплаты налогов и других обязательныхплатежей;
· сведенияо численности и составе работающих, их заработной плате в целом, по профессиями должностями, а также информация о наличии свободных рабочих мест;
· документыоб уплате налогов и обязательных платежей;
· правилаи нормы, регламентирующие порядок работы сотрудников предприятия.
Права на обработку(удаление, добавление, изменение, запись и т. д.) этих данных имеют секретарь,администраторы и бухгалтера в зависимости от тематики данной информации.
Информацией сограниченным доступом на предприятии являются:
· сведенияо сотрудниках предприятия;
· сведенияо заказах и их заказчиках;
· информация,восстановленная с носителей клиентов;
· сведенияо закупках оборудования;
· сведенияо денежных платежах.
Доступ к ним возможентолько в соответствии со своими служебными полномочиями или по разрешениюдиректора.
В общем виде информациясо всех компьютеров предприятия поступает и хранится на сервере у системногоадминистратора. Доступ разграничивает системный администратор после утвержденияруководителем предприятия. />/>/>2.3 Модель нарушителя
Типы злоумышленников,которые намеренно или случайно, действием или бездействием способны нанестиущерб информационной системе предприятия классифицированы по категориям ипредставлены в виде таблицы 2.1
Вероятность реализацииугроз, которые могут нанести каждый из выделенных групп злоумышленников,ранжирована по 5-бальной шкале: I- низкая; II – незначительная; III– средняя; IV – весомая; V- высокая.
Обозна-
чение Категория (тип) нарушителя Уровень угрозы Внутренние А1 Технический персонал, обслуживающий строения и помещения I А2 Персонал, который обслуживает технические средства II А3 Пользователи, работающие с секретной информацией IV А4 Пользователи, не имеющие доступа к секретной информации III А5 Администратор IV Внешние В1 Подрядчики, нанятые на выполнение тех или иных работ III В2 Сотрудники спецслужб или лица, действующие по их заданию V В3 Любые лица, находящиеся за пределами контролируемой зоны I В4 Посетители II В5 Квалифицированные хакеры IV
 
Таблица 2.2– Модель нарушителя/>/>/> 2.4 Модель угроз
Под угрозой понимаетсяпотенциально существующая возможность случайного или преднамеренного действия,в результате которого могут быть нарушены основные свойства информации и системее обработки: доступность, целостность и конфиденциальность.
Идентификация возможныхопасностей, угрожающих обследуемой информационной системе, представлена в видетаблицы 2.2 приведенной ниже, где оценка ожидаемых убытков:
I– Безрисковая зона – область, в которой случайные убытки не ожидаются.
II– Зона допустимого риска – область, в пределах которой сохраняетсяэкономическая целесообразность предпринимательской деятельности, то естьслучайные убытки могут иметь место, но они меньше предполагаемой прибыли отпредпринимательской деятельности.
III– Зона критического риска – область, с возможностью убытков, которые превышаютвеличину (объем) ожидаемых доходов, вплоть до величины полной выручки отпредпринимательской деятельности.
IV– Зона катастрофического риска — область возможных убытков, которые по своейвеличине, объемом превышают критический уровень и могут достичь величины объемаимущественного состояния предпринимателя.
Оценка вероятностиреализации риска производится по вероятностной шкале: І– 1; ІІ – 0,5; ІІІ – 0,1%.Возможные угрозы информации Модель нарушителя Свойства информации, которые теряются Оценка ожидаемых убытков оценка вероятности реализации риска Конфиденциальность Целостность доступность наблюдаемость Угрозы, обусловленные стихийными источниками Пожар, землятресение, ураган, разные непредвиденные явления и обстоятельства  -- + + IV ІІ Угрозы, обусловленные техническими средствами Отказы инженерно-технических средств защиты информации  -- + III І Отказы в сети энергообеспечения  -- + + III ІІ Отказы технических средств обработки информации: Отказы компонентов компьютеров  -- + + III І Отказы принтеров  -- + + III ІІ Угрозы, обусловленные действиями субъектов Кража: Технических средств А1-5, В1-2 + + + + IV І Носителей информации А1-5, В1-2 + + + + IV І Информации А1-5, В1-2 + + + + IV І Средств доступа А1-5, В1-2 + + + + IV І Подмена: Программных средств А2-5, В1-2 + + + + IV ІІ Данных А2-5, В1-2 + + + + IV ІІ Паролей и правил доступа А2-5, В1-2 + + + + IV ІІ Уничтожение (разрушение): Технических средств А1-5, В1-2 + + + IV ІІ Носителей информации А1-5, В1-2 + + + IV ІІ Программного обеспечения А2-5, В1-2 + + + IV ІІ Информации А2-5, В1-2 + + + IV ІІ Паролей и ключевой информации А1-5, В1-2 + + + IV ІІ Нарушение нормальной работы (прерывание): Пропускной способности каналов связи А2-5, В1-2 + + III І Объемов свободной оперативной памяти А2-5, В1-2 + + III І Объемов свободного дискового пространства А2-5, В1-2 + + III І Перехват информации (несанкционированный): За счет ПЭМИ от технических средств В3-5 + IV І За счет наводок по линиям электропитания В3-5 + IV І За счет наводок по посторонним проводникам В3-5 + IV І При подключении к каналам передачи информации В3-5 + IV І За счет нарушения установленных правил доступа (взлом) А2-5, В1-2 + IV ІІ
Таблица 2.2 – Модельугроз/>/>/>/>/>/>2.5 Программныесредства по защите информации/>/> 2.5.1 Вход на рабочие станции
Методы биометрической идентификации,делятся на две группы статические и динамические.
Статистические методыосновываются на уникальной физиологической (статической) характеристикечеловека, данной ему от рождения и неотъемлемой от него.
Статистические методы биометрической идентификации:
По отпечатку пальца.В основе этого метода – уникальность для каждого человека рисунка папиллярныхузоров на пальцах. Отпечаток, полученный с помощью специального сканера,преобразуется в цифровой код (свертку), и сравнивается с ранее введеннымэталоном.
Данная технологияявляется самой распространенной по сравнению с другими методами биометрическойидентификации.
По форме ладони.Данный метод, построен на геометрии кисти руки. С помощью специальногоустройства, состоящего из камеры и нескольких подсвечивающих диодов (включаясьпо очереди, они дают разные проекции ладони), строится трехмерный образ кистируки, по которому формируется свертка и распознается человек.
По расположению вен на лицевойстороне ладони. С помощью инфракрасной камерысчитывается рисунок вен на лицевой стороне ладони или кисти руки, полученнаякартинка обрабатывается и по схеме расположения вен формируется цифроваясвертка.
По сетчатке глаза.Способ идентификации по рисунку кровеносных сосудов глазного дна. Для тогочтобы этот рисунок стал виден – человеку нужно посмотреть на удаленную световуюточку, и таким образом подсвеченное глазное дно сканируется специальной камерой
По радужной оболочке глаза.Для сканирования радужной оболочки достаточно портативной камеры соспециализированным программным обеспечением, позволяющим захватыватьизображение части лица, из которого выделяется изображение глаза и рисунокрадужной оболочки, по которому строится цифровой код для идентификациичеловека.
По форме лица.В данном методе идентификации строится трехмерный образ лица человека. На лицевыделяются контуры бровей, глаз, носа, губ и т.д., вычисляется расстояние междуними и строится не просто образ, а еще множество его вариантов на случаиповорота лица, наклона, изменения выражения [11].
По термограмме лица.В основе данного способа лежит уникальность распределения на лице артерий,снабжающих кожу кровью и выделяющих тепло. Для получения термограммы,используются специальные камеры инфракрасного диапазона. В отличие отпредыдущего метода – этот метод позволяет различать близнецов.
По ДНК.Преимущества данного способы очевидны, однако используемые в настоящее времяметоды получения и обработки ДНК – работают настолько долго, что такие системыиспользуются только для специализированных экспертиз.
Другие методы.Существуют еще такие уникальные способы – как идентификация по подногтевомуслою кожи, форме уха, запаху тела и т.д.
Динамические методыосновываются на поведенческой (динамической) характеристике человека, то естьпостроены на особенностях, характерных для подсознательных движений в процессевоспроизведения какого-либо действия [11].
Динамические методы биометрической идентификации:
По рукописному почерку.Эта технология становится весьма популярной альтернативой росписи ручкой. Здесьиспользуют или специальные ручки, или чувствительные к давлению планшеты, илиих комбинацию. В зависимости от требуемой степени защиты алгоритм идентификацииможет быть простым (степень совпадения двух изображений) или усложненным, когдакроме изображений анализируются динамические признаки написания — степеньнажима, скорость письма, распределение участков с большим и меньшим нажимом ит. п., то есть предметом биометрической идентификации можно считать «мышечнуюпамять».
По клавиатурномупочерку.Не нужно никакого специального оборудования, кроме стандартной клавиатуры.Основной характеристикой, по которой строится свертка для идентификации –динамика набора кодового слова.
По голосу.Построения кода идентификации по голосу, как правило, это различные сочетаниячастотных и статистических характеристик голоса.
Другие методы.Существуют способы – как идентификация по движению губ при воспроизведениикодового слова, по динамике поворота ключа в дверном замке и т.д [11].
Учитываявысокую стоимость и сложность, биометрические системы идентификации в настоящеевремя используются исключительно для доступа на особо секретные объекты, гдепоследствия несанкционированного доступа обходятся значительно дороже, чемзатраты на сложное и дорогостоящее оборудование.
Таккак в данной курсовой работе информация,которая циркулирует на объекте,имеет первый уровень,тоцелесообразно использование наиболеепростого и дешевого,но неменее надежного статистическогометода биометрической идентификации — поотпечатку пальца.
 Весь процесс идентификациизанимает мало времени и не требует усилий от тех, кто использует данную системудоступа. Учитывая, что каждый человек имеет свои уникальные отпечатки пальцев,этот метод биометрии обеспечивает безопасность системы, предоставляявозможность доступа только лицам, зарегистрированным в данной системе и имеющимправо доступа.
Известны три основныхтипа сканеров отпечатков пальцев :
— емкостные;
— прокатные;
— оптические.
Емкостные сканерынаиболее дешевы, однако не отличаются ни практичностью, ни долговечностью.Поскольку изображение отпечатка в этих сканерах формируется за счет разницыэлектрических потенциалов различных участков кожи, эти сканеры чрезвычайночувствительны к остаточному статическому электричеству.
Они выходят из строясразу же после того, как их коснулся человек, чьи руки были наэлектризованы,например, из-за ношения одежды из шерстяной или шелковой ткани. Кроме того,качество изображения отпечатков, формируемого емкостными сканерами, достаточнонизкое.
Прокатные сканерызанимают среднее положение. В них изображение отпечатка формируется при«прокатывании» отпечатка через узкое окошко сканера, после чего целостноеизображение идентификатора «сшивается» из отдельных кадров, полученных в ходеописанной процедуры. Поэтому от пользователя такого сканера требуется постояннособлюдать единообразие в скорости и манере «прокатывания» отпечатков, чтодовольно сложно.
Оптические сканерыреализуют наиболее совершенную технологию идентификации по отпечаткам пальцев.Они несколько дороже сканеров других типов, но лишены их многочисленныхнедостатков, долговечны и потому экономичны, удобны и просты в использовании.Изображение отпечатков характеризуется высоким качеством [7].
Чтобы исключитьвозможность доступа посторонних лиц к рабочим станциям,используется сканер отпечатков пальцев MS 1300. Время, которое тратитбиометрическая система на идентификацию одного человека, не превышает 1секунды.
Сканер отпечатковпальцев позволяет осуществлять как идентификацию пользователей, так иверификацию их отпечатков пальцев с использованием ПК и собственной БД на 100записей или БД компьютера.
Время, которое тратитбиометрическая система на идентификацию одного человека, не превышает 1секунды. Устройство оснащено оптическим чувствительным элементом с площадьюсканирования 13х20 мм и разрешением 500 точек на дюйм, а также двумя портамиUSB и модулем флэш-памяти с собственной файловой системой.
/>/>2.5.2 Вход на сервер
Конфиденциальная информацияхранится на сервере баз данных. Доступ к информации на сервере имеют: директори все сотрудники бухгалтерии. Доступ к серверу КС осуществляется только припомощи использования смарт-карты. Если смарт-карта пользователя прошлааутентификацию, то он получает доступ к серверу.
Смарт-картыпредставляют собой пластиковые карты со встроенной микросхемой. В большинствеслучаев смарт-карты содержат микропроцессор и операционную систему,контролирующую устройство и доступ к объектам в его памяти. Кроме того,смарт-карты, как правило, обладают возможностью проводить криптографическиевычисления. Назначение смарт-карт — аутентификация пользователей, хранениеключевой информации и проведение криптографических операций в доверенной среде[7].
Смарт картыклассифицируются по следующим признакам:
1) тип микросхемы;
2) способ считыванияинформации;
3) соответствиестандартам;
4) областьприменения.
Тип применяемых микросхемв смарт картах. В зависимости от встроенной микросхемы все смарткарты делятся на несколько основных типов, кардинально различающихся повыполняемым функциям:
· карты памяти;
· микропроцессорныекарты;
· карты скриптографической логикой.
Карты памятипредназначены для хранения информации. Память на
 таких типах карт можетбыть свободной для доступа или содержать логику контроля доступа к памяти картыдля ограничения операций чтения и записи данных.
Микропроцессорные картытакже предназначены для хранения информации, но в отличие обычных карт памятиони содержат в себе специальную программу или небольшую операционную систему,которая
позволяетпреобразовывать данные по определенному алгоритму, осуществлять защитуинформации хранящейся на карте при передаче, чтении и записи.
Карты скриптографической логикой используются в системах защиты информации дляпринятия непосредственного участия в процессе шифрования данных или выработкикриптографических ключей, электронных цифровых подписей и другой необходимойинформации для работы системы.
Способы считыванияинформации со смарт карты. По методу считывания информации картыделятся на следующие:
· Контактные;
· Бесконтактные;
· Сосдвоенным интерфейсом.
Контактные картывзаимодействуют со считывателем посредством непосредственного соприкосновенияметаллической контактной площадки карты и контактов считывателя. Данный методсчитывания просто реализуем, но повышает износ карты при частом использовании.
Бесконтактные картыимеют встроенную катушку индуктивности, которая в электромагнитном полесчитывателя обеспечивает питанием микросхему выдающую информационныерадиосигналы. Такой метод считывания позволяет часто использовать карту безизноса самой карты и
считывателя. Карты сосдвоенным интерфейсом имеют одновременно и контактную площадку и встроеннуюкатушку индуктивности. Такие карты позволяют осуществлять работу с разнымитипами считывателей.
Стандарты насмарт-карты. Для смарт карт существует несколько международныхстандартов, определяющих практически все свойства карт, начиная от размеров,свойств и типов пластика, и заканчивая содержанием информации на карточке,протоколов работы и форматов данных.
Стандарт ISO-7816«Идентификационные карты — карты с микросхемой с контактами». Состоитиз шести частей, регламентирующих физические характеристики, размер ирасположение контактов, сигналы и протоколы, структуру файлов, адресацию икоманды обмена.
СтандартEMV (Europay, MasterCard & Visa). 1яи 2я части базируется на ISO-7816, в последующих добавлены определенияобработки транзакций,
 спецификациитерминалов и т.д.
Использованиесмарт-карт для проверки подлинности пользователей является самым надежнымметодом проверки подлинности в операционных системах семейства/>Windows Server 2003, посколькувход пользователя в домен осуществляется с использованием криптозащиты исистемы подтверждения владения. Злоумышленники, получившие чей-то пароль, могутвоспользоваться им для доступа к сети. В случае использования смарт-картызлоумышленники должны получить не только саму смарт-карту пользователя, но и ееперсональный идентификационный номер (PIN-код), чтобы работать в системе отимени пользователя. Очевидно, что такую защиту сложнее преодолеть, посколькутребуется дополнительная информация для работы от имени пользователя. Еще однимпреимуществом является блокировка смарт-карты при неправильном вводе PIN-коданесколько раз подряд. Благодаря этому подбор данных становится очень сложным [2].
В целом, смарт-картыобеспечивают следующие возможности:• Защищенное хранение закрытых ключей и прочей персональной информации. • Скрытость таких критических вычислений, связанных с безопасностью, как проверка подлинности, цифровые подписи и обмен ключами, о которых другие части системы не должны знать. • Возможность использования одних и тех же учетных данных и прочей личной информации при работе с компьютером. />На данном предприятии для доступа ксерверу КС используется смарт-карта Siemens CardOS v.4.3B-32Kb и карт-ридер ACR38U./>Основныехарактеристики смарт-карты CardOS v.4.3b 32Kb [8]:
· аппаратныйRSA-генератор ключевых пар;
· аппаратнореализованные алгоритмы вычисления хэш-функций (SHA-1, MD5) и цифровой подписи- генерация и верификация подписи (RSA/1024, на заказ — 2048 бит)
· аппаратнореализованные симметричные алгоритмы шифрования (DES, Triple DES);
· 32КБ доступной энергонезависимой программируемой памяти для хранения сертификатовX.509, профилей пользователей и др.
Настольное устройствочтения/записи смарт-карт ACR38U представляет собой современное, компактное иудобное устройство для работы со смарт-картами.
Карт-ридер поддерживаетвсе типы микропроцессорных и криптопроцессорных карт, а также большинство картпамяти всех известных производителей. Считыватель смарт карт соответствуетстандартам: ISO 7816-1/2/3, EMV, Microsoft PC/SC и совместимо с большинствомкомпьютерных платформ. Корпус устройства выполнен из белого глянцевого пластика(возможны другие цвета, нанесение логотипа)./>/> 2.5.3 Антивирусная защита
Задача любойантивирусной программы — не допустить заражения или же вылечить компьютер в случае,если это все-таки произошло.
Этим требованиямудовлетворяет подавляющее большинство продуктов, предлагаемых современнымрынком, отличия заключаются лишь в нюансах: удобство использования, какпроверки и лечение, скорости работы и объеме потребляемых вычислительныхресурсов.
ESET NOD32 SmartSecurity Bussiness Edition ESET NOD32 Smart Security предотвращает рискзаражения компьютера, выявляет и удаляет вредные программы, обеспечивает защитуот рекламного ПЗ, ботов, шпионских программ, троянов,вирусов, червяков и других угрозиз интернета. ESET NOD32 Smart Security выявляет и блокирует над 70% новыхвредных программ, сигнатуры которых еще не содержатся в вирусных базах. Защитаконфиденциальности. ESET NOD32 Smart Security предотвращает, выявляет и отключаетшпионские программы. Повышенная безопасность. Двусторонний файерволсо средствами выявления вторжений для защиты как входных, так и исходныхподключений к интернету. Антиспам ESET NOD32 Smart Security Функция антиспамобеспечивает надежную защиту от раздражающего спама,а также защиту от угроз, связанных с электронной почтой, часто принимают формы,характерные для обычного спаму.
В системе антиспамаиспользуются правила на уровне клиента и сервера, что обеспечивают самуюпередовую защита, недоступную для других решений, которым нужно частаязагрузка. Файервол ESET NOD32 Smart Security. Персональный файерволESET NOD32 Smart Security обеспечивает двустороннюю защита со средствамивыявления вторжения в трех рабочих режимах.
• Обычный режим.Обеспечивает ненавязчиво защиту для повседневного использования, не требуетпонимания технологии работы файерволаилисложной настройки.
• Режим на основеполитик. Позволяет администратору установить и применить для файерволанастраивается конфигурацию политик (только для бизнес-выпуска). Все режимыобеспечивают фильтрацию протоколов. Мощным средством персонального файерволаESET NOD32 Smart Security является возможность замечать определенные программыкак поддерживают сетевуюработу, в добавление к веб-браузеров MicrosoftInternet Explorerи Mozilla Firefox.Эта функция позволяет помечать любое дополнение, которое может викорис-користуватисяв сети (например, Microsoft Word), для более строгой эвристический проверкисетевых подключений, что используются программой.
2.5.4 Программный фаервол
На данном предприятиеустановлен фаервол Outpost Firewall Pro 2009 котрорый, » позволяетзащитить информационные ресурсы предприятия от возможных угроз и обеспечитьбезопасное функционирование системы.
Outpost Firewall Pro — это супер-арсенал защиты против хакерских проникновений и аттак, утечкиинформации и «слежки», троянов и т.д. Сильные стороны: безопасность,контроль, сохранность секретной информации и простота в использовании.Проактивная защита
Упреждающая защита от угрозOutpost Firewall Pro обеспечивает первую линию обороны от вредоносного ПО,проактивно контролируя поведение и взаимодействие приложений на персональномкомпьютере и закрывая бреши в системе защиты. Локальная безопасность проактивноотслеживает и блокирует все виды изощренных методов взлома, используемых длякражи данных. Анализируя угрозы и отображая своевременные уведомления,Локальная безопасность останавливает новейшие атаки и защищает компьютер отнесанкционированных действий, делая его заранее защищенным от таких угрозбезопасности как компьютеры-зомби, руткиты и утечка данных.
Внутренняя защитаСовременные вредоносные программы часто пытаются остановить средствобезопасности, чтобы облегчить процесс заражения компьютера. Осуществляяпостоянную непроходимую защиту всех своих компонентов, Outpost Firewall Proделает невозможным выключение защиты кем-либо кроме авторизованногопользователя программы. Антишпион
Защита от шпионского ПОМодуль Антишпион защищает компьютер от всевозможных угроз шпионского ПО – ототображения рекламных объявлений до захвата стартовой страницы вашего браузерас целью кражи вашей конфиденциальной информации. Вредоносное ПО блокируется навсех возможных стадиях — при установке, активации, передаче информации ипереустановке. Сканер вредоносных программ проверяет систему на предмет наличияследов деактивированного шпионского ПО и полностью истребляет их. Сетевая безопасность и целостность
Безопасность соединенийДвусторонний брандмауэр контролирует входящие и исходящие соединения вашегокомпьютера и предотвращает несанкционированные попытки локального и удаленногодоступа. Брандмауэр скрывает порты доступа, делая присутствие компьютера в сетиневидимым. Модуль Ethernet-безопасности защищает ваши локальные соединения ипредотвращает вредительство в локальной сети, контролируя передачу данных. Этоснижает вероятность того, что данные, передающиеся, например, в чат-окнах илисессиях браузера, будут доставлены по неверному адресу или перехвачены.
Контроль доступа приложенийБрандмауэр контролирует список программ, которым разрешен доступ в Интернет,проактивно защищая ваш компьютер от новейших угроз и попыток вредоносныхпрограмм передать данные на «домашний» сервер.
Защита от вторженийМодуль «Детектор атак» автоматически отражает известные типыхакерских атак на ваш компьютер. Конфиденциальность и онлайн-безопасность
IP Blocklist на страже ИнтернетаОснованный на функциональности модуля BlockPost ранних версий программы, IPBlocklist позволяет запретить доступ к определенным сетевым доменам. Полезныйинструмент в руках обеспокоенных родителей и чувствительных к контентупользователей, IP Blocklist обезопасит Ваших детей от посещения недозволенныхсайтов и заблокирует доступ к прочей нежелательной части Интернета.
Ограничение доступа к небезопаснымсайтам Outpost может предупреждать иблокировать доступ к потенциально вредоносным или нежелательным сайтам наоснове имеющегося списка адресов. Такая фильтрация гарантирует, что вы нестанете жертвой случайного заражения вследствие загрузки вредоносных программили фишинг-атак, целью которых является кража ваших паролей, учетных записей идругой критической информации.
Защита персональных данныхЛюбая конфиденциальная информация – такая как номера банковских счетов ипароли, которую вы укажете в модуле Личные данные, защищена от утечки с вашегокомпьютера через каналы служб мгновенных сообщений, через веб или электроннуюпочту. Это защитит вас от кражи личных данных, фишинг-атак, нацеленных накритическую информацию, такую как параметры учетных записей или информация окрединой карте. Контроль и мониторинг
Слежение за сетевой активностьюМонитор сетевой активности Outpost показывает каждое соединение вашегокомпьютера с другими компьютерами в Интернете и в локальной сети, так что вывсегда можете видеть, что происходит на вашем компьютере и быстро прекратитьлюбое несанкционированное соединение.
Удобный просмотр событийЖурнал Событий показывает историю прошлой активности на компьютере. New! Новыйвид Журнала улучшает восприятие информации. Теперь события могут отображатьсяпо категориям, с возможностью сортировки и фильтрации по обозначенномукритерию.
2.5.5 Дублированиеинформации
Для блокированияслучайных угроз безопасности информации в компьютерных системах должен бытьрешен комплекс задач. Дублирование информации является одним из самыхэффективных способов обеспечения целостности информации. Оно обеспечиваетзащиту информации, как от случайных угроз, так и от преднамеренных воздействий.В зависимости от ценности информации, особенностей построения и режимовфункционирования КС могут использоваться различные методы дублирования, которыеклассифицируются по различным признакам [3]:
1) Повремени восстановления информации, методы дублирования могут быть разделены на:
· оперативные;
· неоперативные.
К оперативным методамотносятся методы дублирования информации, которые позволяют использоватьдублирующую информацию в реальном масштабе времени.
2) Поиспользуемым для целей дублирования средствам, методы дублирования можноразделить на методы, использующие:
· дополнительныевнешние запоминающие устройства (блоки);
· специальновыделенные области памяти на несъемных машинных носителях;
· съемныеносители информации.
3) Почислу копий, методы дублирования делятся на:
· одноуровневые;
· многоуровневые.
Как правило, числоуровней не превышает трех.
4) Постепени пространственной удаленности носителей основной и дублирующейинформации, методы дублирования могут быть разделены на следующие методы:
· сосредоточенногодублирования;
· рассредоточенногодублирования.
Целесообразно считатьметодами сосредоточенного дублирования такие методы, для которых носители сосновной и дублирующей информацией находятся в одном помещении. Все другиеметоды относятся к рассредоточенным.
5) Всоответствии с процедурой дублирования различают методы:
· полногокопирования;
· зеркальногокопирования;
· частичногокопирования;
· комбинированногокопирования.
При полном копированиидублируются все файлы. При зеркальном копировании любые изменения основной информациисопровождаются такими же изменениями дублирующей информации. При такомдублировании основная информация и дубль всегда идентичны. Частичноекопирование предполагает создание дублей определенных файлов, например, файловпользователя. Комбинированное копирование допускает комбинации, например,полного и частичного копирования с различной периодичностью их проведения.
1) Повиду дублирующей информации, методы дублирования разделяются на:
· методысо сжатием информации;
· методыбез сжатия информации.
Идеология надежного иэффективного хранения информации на жестких дисках нашла свое отражение в такназываемой технологии RAID. Эта технология реализует концепцию созданияблочного устройства хранения данных с возможностями параллельного выполнениязапросов и восстановления информации при отказах отдельных блоков накопителейна жестких магнитных дисках. Устройства, реализующие эту технологию, называютподсистемами RAID или дисковыми массивами RAID.
Различают несколькоосновных уровней RAID-массивов: RAID 0, 1, 2, 3, 4, 5, 6, 7. Также существуюткомбинированные уровни, такие как RAID 10, 0+1, 30, 50, 53 и т. п. Уровни RAIDопределяют порядок записи на независимые диски и порядок восстановленияинформации
Принципфункционирования RAID-системы заключается в следующем: из набора дисковыхнакопителей создается массив, который управляется специальным контроллером иопределяется компьютером как единый логический диск большой емкости. За счетпараллельного выполнения операций ввода-вывода обеспечивается высокое быстродействиесистемы, а повышенная надежность хранения информации достигается дублированиемданных или вычислением контрольных сумм. Следует отметить, что применениеRAID-массивов защищает от потерь данных только в случае физического отказажестких дисков [2].
Учитывая, чтона рассматриваемом предприятии обрабатывается информация второго уровнясекретности, для защиты данных применим копирование баз данных и другой важной информации на съемныеоптические носители, которые будут храниться в другом помещении (здании),расположенном в другом районе. В качестве метода дублированияприменим метод зеркального копирования всей информации, обрабатываемой в КСпредприятия. Храниться резервные копии будут на компактных DVD и жестких HDD дисках вдвух экземплярах (каждыйэкземпляр на своём носителе данных) на случайэксплуатационной поломки носителей информации.
Резервноекопирование данных происходит ежедневно по окончанию рабочего дня.
Для реализации полного копирования используем технологию RAID 10. Массив RAID 10 формируется какдвухуровневая иерархия различных типов RAID. Нижний слой составляют зеркальныепары RAID 1, которые в свою очередь объединяются в массив RAID 0. Результат –комбинированный уровень RAID 1+0 или RAID 10. Каждый жесткий диск массива RAID10 входит в одну из зеркальных пар, поэтому общее количество жестких дисковмассива всегда четное.
RAID 10предполагает, что если диск в любом задействованном зеркальном комплектеоткажет, то его содержимое может быть получено с оставшегося диска зеркальной пары.RAID 10 очень надежен в отношении количества комбинаций отказов дисков, чтоочень важно для хранения обрабатываемой информации третьего уровня,обрабатываемой на рассматриваемом предприятии.
Длясоздания резервных копий данных используется программа FBackup 4.4196.Это быстрая и простая в использованииутилита для резервирования и восстановления данных. Повышение производительности сетиТестированиепроизводительности
Одним изнаиболее эффективных способов контроля производительности сети являетсяиспользование специальных тестов, позволяющих оценить результаты измененияконфигурации. При выборе программы для тестирования убедитесь, что выполняемыетесты соответствуют реальному использованию вашей сети. Например, если сетьиспользуется в основном для работы с большими базами данных, выберите тест,измеряющий производительность работы с базами данных.
Дляэффективного тестирования полезно учесть приведенные рекомендации:
· Преждечем начать работу с тестовыми программами, определите исходную производительностьдля последующего сравнения. Для того, чтобы это сделать измерьтепроизводительность сервера без использования сети. Например, определите времякопирования большого файла, а потом скопируйте этот же файл на диск другогокомпьютера и сравните продолжительность операций.
· Сделайтетак, чтобы тест выполнялся достаточно долго — это снизит погрешность измерения.Результаты теста продолжительностью 2-3 секунды нельзя считать достоверными.
· Организуйтестабильную, легко воспроизводимую среду для проведения тестов. Если в процессетестирования сеть используется для работы, вы не получите достоверныхрезультатов.
· Изменяйтекаждый раз только один параметр — при одновременном изменении несколькихпараметров будет невозможно определить влияние каждого из них.
· Передкаждым запуском теста, записывайте текущие значения всех параметров.
· Позаботьтесьо сохранении стартовых параметров сервера и записи всех изменений конфигурацииLANtastic. Вы можете не успеть закончить все операции по тестированиюпроизводительности и оптимизации параметров за один раз и для продолженияработы вам потребуются полученные ранее данные и результаты.
· Послеокончания тестирования производительности запустите другие тесты и запишите ихрезультаты. Это позволит убедиться, что полученные результаты являютсядостоверными и не содержат случайных факторов.
· Помните,что многие параметры влияют одновременно на скорость и размер используемойпамяти. Иногда небольшое увеличение скорости может повлечь за собойзначительный расход памяти. Дисковыебуферы DOS
В файлеCONFIG.SYS вашего компьютера должна быть строка BUFFERS=. В процессе загрузкиDOS выделяет память для заданного количества дисковых буферов, используемыхприкладными программами.
Есликоличество буферов недостаточно велико, ОС будет вынуждена часто обращаться кдиску, что очень сильно снижает производительность работы. Чтобы избежатьэтого, организуйте по крайней мере 16 буферов. Установочная программа LANtasticзадает BUFFERS=32. При использовании программ кэширования диска (например,LANcache) достаточно установить 8 буферов.
Отметим, чтос увеличением числа дисковых буферов производительность не растет беспредельнои при значениях, превышающих 50, как правило, начинает снижаться. LANcache
Для файловыхсерверов наибольшее влияние на производительность оказывает кэширование диска.ОС LANtastic включает программу LANcache, обеспечивающую эффективноекэширование как при работе в DOS, так и в Windows. Если вы хотите использоватьLANcache, включите в файл AUTOEXEC.BAT строку C:\LANTASTI\LANCACHE
LANcacheработает только на компьютерах с процессором 286 и выше. Всякий раз, когда этовозможно, используйте для серверов компьютер с мощным процессором.
LANcacheувеличивает производительность серверов печати, однако это не так заметно дляпользователей. Если вам приходится выбирать компьютеры для файлового сервера исервера печати, используйте более быстрый компьютер в качестве файловогосервера.
LANcacheпозволяет использовать для кэширования основную, расширенную (XMS) илидополнительную (EMS) память. Как правило, на компьютерах 386 и старшеиспользуется XMS-память. На компьютерах 286 оптимальная производительностьдостигается при использовании плат EMS-памяти. ЭффективностьLANcache
Напроизводительность работы программы LANcache влияют три параметра, задаваемыхпользователем: размер кэш-буфера, и значения параметров AFTER_IO_DELAY иLONG_WRITE_DELAY.
В большинствеслучаев наилучшим решением будет организовать настолько большой кэш, сколькопозволяет размер установленной на компьютере оперативной памяти. Например, длясервера с 8М памяти разумно задать кэш размером 4М.
Однако размерпамяти, предоставляемой для кэширования диска, должен быть согласован сзапросами памяти для решения на сервере других задач (в том числе дляприкладных программ). Кроме того, при определении размера кэша следуетучитывать специфику использования сервера. На сильно загруженных файловыхсерверах приоритет выделения памяти следует отдать операциям кэширования диска.
Значенияпараметров кэша при записи также определяются спецификой использования сервера.Параметры AFTER_IO_DELAY и LONG_WRITE_DELAY задают продолжительность храненияданных в кэш-буфере перед их записью на диск. Если по истечении заданноговремени диск оказывается занятым, LANcache повторяет цикл ожидания до тех пор,пока данные не будут записаны на диск. По истечении времени, заданногопараметром LONG_WRITE_DELAY запись на диск производится без повторения цикловожидания.
Сетевой буфер
При установкеLANtastic размер сетевого буфера задается равным 4К (4096 байт). Это значениеприемлемо для слабозагруженных серверов, однако для организациивысокопроизводительного файлового сервера такого буфера явно недостаточно. Призначительной нагрузке на сервер разумно организовать буфер размером 16К(16384), хоть то и потребует дополнительного расхода памяти.
Буферзапросов
Этот параметропределяет размер буфера, используемого сервером при «прослушивании»запросов пользователей. Если запрос (например, просмотр каталога по командеDIR) требует памяти больше, чем размер буфера, организуются дополнительныебуферы.
Увеличиваяразмер буфера запросов до 50 байт или больше, вы можете повыситьпроизводительность таких операций, как просмотр файлов или чтение небольшихпорций данных с диска при произвольном доступе к данным. Если организоватьбуфер размером 500 байт или больше, он будет вполне способен удовлетворятьзапросы пользователей на чтение и запись данных.
Вы можетедобиться дополнительного роста производительности, включая режим встроеннойблокировки файлов и записей и увеличивая буфер запросов. Такой подход позволяетсерверу выполнять одновременно несколько запросов пользователей с редкимиподтверждениями и увеличивает, таким образом, производительность сервера.
Посколькуколичество создаваемых буферов запроса равно максимальному числу пользователей,установленному для данного сервера, увеличение размера буфера запросов ведет кзначительному расходу памяти. Если вы зададите буфер размером 50 байт на серверес максимальным числом пользователей, равным 10, это потребует 500 байт памяти.
Если числопользователей для данного сервера невелико, увеличение буфера запросов можетзаметно повысить производительность сервера без большого расхода памяти. Прибольшом количестве пользователей расход памяти на увеличение буферов запросаможет превысить ваши возможности выделения памяти.
Число сетевыхзадач
По умолчаниюзначение этого параметра устанавливается равным 1. Увеличение числа задач можетповысить производительность сервера, к которому могут обращаться одновременнонесколько рабочих станций. Для каждой рабочей станции может быть организованасвоя сетевая задача, однако следует помнить, что для каждой задачи выделяетсясетевой буфер, что ведет к дополнительному расходу памяти на сервере. Приразмере сетевого буфера 16К каждая дополнительная задача будет требовать 16Кпамяти.
Если рабочиестанции обращаются к серверу достаточно редко, увеличение числа сетевых задачне увеличит производительности сервера, поскольку попытки одновременногодоступа нескольких станций не будут в этом случае частыми. Однако при наличиирегулярных одновременных запросов к серверу со стороны нескольких пользователейувеличение числа сетевых задач может значительно повысить производительность. Вэтом случае добавление каждой новой задачи уменьшает среднее время откликасервера на запросы рабочих станций.
В общемслучае рост производительности с добавлением каждой новой задачи замедляется помере роста общего количества сетевых задач (иными словами, перваядополнительная задача повышает производительность сильнее, чем вторая и т.д.).Установка значениябольше 8, как правило не дает эффекта.
Квант сетевойзадачи
Этот параметрназывается Пакетный режим в DOS-интерфейсе LANtastic и Фоновая загрузкапроцессора в Windows. При работе в DOS для установки параметра используетсяокно Стартовые параметры сервера, в Windows -диалоговое окно Панели управлениясервером или отдельная программа управления скоростью сервера. Второй способпозволяет изменять загрузку процессора решением сетевых задач в процессе работыбез удаления программы SERVER из памяти, кроме того, этот способ значительнопроще и удобнее.
Значениепараметра определяет максимальное число периодов системного таймера (1/18 сек),в течение которого процессор будет заниматься обработкой сетевых запросов дотого, как передаст управление локальной задаче. Оптимальное значение параметразависит от режима использования сервера — при увеличении продолжительностикванта сетевой задачи возрастает производительность сервера за счет сниженияэффективности локальных задач. Если сервер предназначен в основном для решениялокальных задач, установите этот параметр равным 2, для файлового сервера сбольшим числом рабочих станций установите максимальное значение (255).
Внутренняяблокировка (SHARE)
Встроенныйрежим управления блокировкой файлов и записей может использоваться вместопрограммы SHARE из DOS. Режим блокировки подключается как отдельный модульсервера LANtastic, поэтому число блокировок не ограничено возможностямипрограммы SHARE. использование встроенной блокировки значительно увеличиваетэффективность блокировки файлов для удаленных рабочих станций, поскольку этойоперацией управляет непосредственно сервер LANtastic и не требуется ждатьответа от программы SHARE. В результате включения внутренней блокировкимногопользовательские приложения (такие, так базы данных) работают существеннобыстрее.
Числокэшируемых ресурсов
Этотстартовый параметр задать число ресурсов сервера, для которых кэшируетсяинформация о доступе пользователей (по умолчанию значение этого параметра равно1). Если ваш сервер поддерживает несколько ресурсов, увеличение данногопараметра может сильно увеличить скорость просмотра каталогов и открытияфайлов. причина роста скорости кроется в том, что чтение информации из памятипроисходит быстрее, чем с диска.
В качествеоптимального значения числа кэшируемых ресурсов имеет смысл задаватьмаксимальное значение числа дисковых и принтерных ресурсов сервера,используемых одновременно. Например, для сервера с 30 пользователями, имеющемутри диска и два принтера, целесообразно задать 5 кэшируемых ресурсов.Увеличение числа кэшируемых ресурсов сверх реально используемых не даетникакого эффекта, но ведет к дополнительному расходу памяти.
Кэш поиска
Этот параметриспользуется для задания размера кэш-буфера, служащего для хранения информацииоб указателях позиций в файлах при произвольном доступе к ним. По умолчанию кэшпоиска НЕ ИСПОЛЬЗУЕТСЯ. Изменение этого параметра позволяет увеличитьскорость при произвольном доступе к файлам, увеличивая, тем самым, скоростьобработки сетевых запросов.
Чем большепамяти вы выделите для кэширования поиска, тем сильнее возрастетпроизводительность при доступе к большим файлам. Например, при работе с большимибазами данных разумно задать кэш поиска размером 64К.
Удержаниеблокировки
Этот параметруправляет режимом задержки блокировки записей и позволяет задать время, втечение которого сервер будет удерживать запрос на блокировку записей, которыеуже заблокированы другим процессом. После освобождения заблокированной записисервер позволяет заблокировать ее ожидающему процессу. Такая возможностьпозволяет увеличить производительность сервера, поскольку не требуетсяпостоянно повторять запросы на блокировку.
По умолчаниюрежим удержания запросов на блокировку включен со
временемудержания 9 секунд. В большинстве случаев такой режим является оптимальным,однако для многопользовательских баз данных имеет смысл поэкспериментировать сподбором времени удержания. Например, для сервера с 30 пользователями, имеющимидоступ к большой базе данных разумно установить время удержания 32 секунды.
/>/>Защита интернет-трафика
Между предприятием«Datalife» и удаленным офисом ведется активынй документооборот, обмен данными иинформацией. Передача данных осуществляется по незащищенным каналам черезинтернет. Для защиты данных используется VPN-Virtual Private Network.
Технология VPN. ВиртуальнойзащищеннойсетьюVPN называютобъединение локальных сетей и отдельныхкомпьютеров через открытую внешнюю среду передачи информации в единуювиртуальную корпоративную сеть, обеспечивающую безопасность циркулирующихданных. Виртуальная защищенная сеть VPN формируется путем построениявиртуальных защищенных каналов связи, создаваемых на базе открытых каналовсвязи общедоступной сети. Эти виртуальные защищенные каналы связи называются туннелями VPN. Сеть VPN позволяет спомощью туннелей VPN соединить центральный офис, офисы филиалов, офисыбизнес-партнеров и удаленных пользователей и безопасно передавать информациючерез Интернет.
Туннель VPN представляетсобой соединение, проведенное через открытую сеть, по которому передаютсякриптографически защищенные пакеты сообщений виртуальной сети. Защита информациив процессе ее передачи по туннелю VPN основана:
· на аутентификациивзаимодействующих сторон;
· криптографическомзакрытии (шифровании) передаваемых данных;
· проверкеподлинности и целостности доставляемой информации.
Для этих функцийхарактерна взаимосвязь друг с другом. При их реализации используютсякриптографические методы защиты информации. Эффективность такой защитыобеспечивается за счет совместного использования симметричных и асимметричныхкриптографических систем. Туннель VPN,формируемый устройствами VPN, обладает свойствами защищенной выделенной линии,которая развертывается в рамках общедоступной сети, например Интернета.Устройства VPN могут играть в виртуальных частных сетях роль VPN-клиента, VPN-сервераили шлюза безопасности VPN.
Открытая внешняя средапередачи информации включает как каналы скоростной передачи данных, в качествекоторой используется сеть Интернет, так и более медленные общедоступные каналысвязи, в качестве которых обычно применяются каналы телефонной сети. Эффективностьвиртуальной частной сети VPNопределяетсястепенью защищенности информации, циркулирующей по открытым каналам связи [3].
Существующая сетеваяинфраструктура корпорации может быть подготовлена к использованию VPN как спомощью программного, так и с помощью аппаратного обеспечения.
Комплекс кодированиямежсетевых потоков «Тропа-Джет» предназначен для обеспеченияконфиденциальности и целостности корпоративных данных, передаваемых по каналамсвязи общего пользования, в том числе через Интернет.
Комплекс «Тропа-Джет»позволяет создавать виртуальную защищенную сеть (VPN) с помощью фильтрации,кодирования и маршрутизации информационных потоков между географическиудаленными локальными сетями. Для обеспечения надежного и непрерывногофункционирования «Тропа-Джет» решает задачи генерации, регистрации,хранения, распределения и сопровождения ключей кодирования, а также можетосуществлять мониторинг и управление межсетевыми потоками.
«Тропа-Джет»реализует функции кодирования межсетевых информационных потоков в сетяхпередачи данных протокола TCP/IP. Протокол туннелирования сетевых пакетовсоответствует стандартам IETF IPsec. Отличительной особенностью комплекса«Тропа-Джет» является возможность обеспечить гарантированное качествоприкладных сервисов, чувствительных к величинам временных задержек. Требуемаяполоса пропускания для приложения обеспечивается следующим образом:передаваемые сетевые пакеты классифицируются по типу предоставляемого сервиса ина основании присвоенной категории устанавливается приоритет трафика.
«Тропа-Джет»может применяться как самостоятельно, так и в сочетании с межсетевыми экранами,средствами контекстного анализа и средствами антивирусной защиты, что позволяетсоздать комплексное решение по защите информационной системы предприятия. Основныемодули комплекса «Тропа-Джет» — Центр генерации ключей, Центрраспределения ключей и Шлюз кодирования — функционируют под управлениемоперационной системы Solaris на аппаратной платформе SPARC или Intel (ОСSolaris производства компании Sun Microsystems). Модуль Мобильный клиентфункционирует под управлением ОС Windows 98/2000. Комплекс«Тропа-Джет» может работать на каналах с различной пропускнойспособностью, начиная от обычных телефонных линий и заканчивая скоростнымиканалами до 100 Мбит.ВЫВОД
В результате выполненияданной курсовой работы в соответствии с вариантом задания была спроектирована иразработана система защиты информации в КС.
В ходе работы былапроанализирована компьютерная сеть предприятия: общая характеристика, еесоставные части, организация передачи данных и предоставляемые полномочиясотрудников на работу с информацией в соответствии с их должностнымиобязательствами. На основе полученных данных была составлена модель нарушителяи модель угроз, что позволили оценить риск реализации той или иной угрозы иущерб, нанесенный предприятию. Весь анализ произведен в системе.
В конечном итоге, быласпроектирована и разработана система защиты информации в компьютерной сети с рекомендациямипо внедрению аппаратных средств обеспечения безопасности информации.
/>/>/>ПЕРЕЧЕНЬ ССЫЛОК
а) законы, нормативные документы,постановления и т.д.:
1 ДСТСЗІНаказ від від 28.05.1999 р. № 26 про введення в дію нормативного документу«НД ТЗІ 1.1-001–99 Технічний захист інформації на програмно-керованих АТСзагального користування. Основні положення».
б) книги:
2  БройдоВ.Л. Вычислительные системы, сети и телекоммуникации: Учебник для вузов. 2-еизд. — СПб.: Питер, 2006 — 703 с.
3 Компьютерныесети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд. / В.Г.Олифер, Н.А. Олифер –СПб. Питер, 2004. – 864 с.
4 МурМ. и др. Телекоммуникации. Руководство для начинающих. / Авторы: Мур М., ПритскТ., Риггс К., Сауфвик П. — СПб.: БХВ — Петербург, 2005. — 624 с.
5 ГерасименкоВ.А. Защита информации в автоматизированных системах обработки данных:развитие, итоги, перспективы. Зарубежная радиоэлектроника, 1993
6 ЩегловА.Ю. Защита компьютерной информации от НСД. – СПб., Наука и техника, 2004.
в) стандарты:
7 ДСТУ 3396.0-96. Захист інформації.Основні положення.
8 ДСТУ 3396.2-97. Захист інформації.Технічний захист інформації. Терміни та визначення.
/>/>/>ПРИЛОЖЕНИЕ А. План-схема компьютернойсети/>