Разработка ПИБ корпоративной сети

Министерство образования Российской Федерации

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

им. Н.Э. БАУМАНА

Факультет: «Информатика и системы управления»

Кафедра: «Информационная безопасность»

(ИУ-8)

Задание: Разработка ПИБ корпоративной сети

Преподаватель: Пристанский В.Л

Студент: Мекекечко В.В.

группа ИУ8-51

Москва 2010

Исходные данные:

ЛС-1 – 10 мест (персональные данные);

ЛС-2 – 20 мест (конфиденциальные данные);

ЛС-3 – 4 мест (секретная информация);

На всех машинах используется ОС WindowsXP

Политика информационной безопасности предприятия:

Необходимость согласования и подтверждения законности действий заказчика в соответствии с федеральным законом о безопасности законодательства РФ. Тот или иной атрибут информационной безопасности определяется заказчиком в соответствии со своими потребностями и финансами.

Существование: администратора ИТ и администратора копмлексной безопасности (желательно выпускников Бауманки), веб-программиста, охранной системы и постов охраны на входе в предприятия с соответствующей аутентификацией и логированием посетителей, системы пожарной охраны.

Общая сетевая безопасность:

Межсетевой экран или Файрвол:

Устанавливается аппаратно и администрируется локально администратором ИБ, находится в комнате администратора безопасности; доступ к установкам МЭ имеется только у администратора ИБ. По необходимости, должен осуществлять фильтрацию, контроль трафика и управление демилитаризованной зоной.

Маршрутизатор:

Администрируется локально или удаленно администратором ИБ использованием средств шифрования и защитой от атаки "перебором", находится в комнате администратора, доступ к установкам маршрутизатора имеется только у администратора ИБ.

На каждом PC требуется использование лицензированного ПО и антивирусных систем.

Обеспечение защиты от шпионажа извне.

Все PC должны быть защищены персональным файрволом.

Веб-сервер:

Администрируется веб-администратором под контролем администратора ИБ.

Анонимный доступ из Интернет запрещен.

Разрешен авторизованный FTP-доступ администратору веб-сервера только из сегмента административного управления (с приватного ИП-адреса администратора)

Из приватной сети, только из сегмента административного управления (с ИП-адреса администратора) возможен удаленный терминальный доступ по протоколу rsh на веб-сервер

Защищенный доступ в Интернет изнутри сети разрешен, исключая ЛС-3.

Мэйл-сервер:

Администрируется веб-администратором

Разрешен авторизированный доступ изнутри сети к сервису POP3, исключая ЛС-3.

Разрешен доступ к SMTP сервису - только из изнутри сети, исключая ЛС-3.

Защищенный доступ в Интернет изнутри сети разрешен, кроме ЛС-3.

Дополнительная ИБ:

Наличие общего резервного питания для PC, доступ к которому имеется только у соответствующих инженеров обслуживания и администратора безопасности.

Наличие сервера хранения резервных копий ценных файлов и файлов логирования, доступ к которым имеет администратор ИБ, администратор безопасности и соответствующие инженеры обслуживания и веб-программист.

Логирование действий ЛС-1,2,3, МЭ и администраторов.

Видеонаблюдение в определенных местах.

Информационная безопасность ЛС-1:

Расположение в отдельной комнате или защита от мониторинга экранированием.

Имеется доступ в интернет через соответствующие протоколы.

Существует своя локальная сеть, а также сеть с ЛС-2 через соответствующую защиту(МС)

Доступ в помещение свободный.

Доступ к личным PC ограничен собственными паролями пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных).

Доступ к резервному хранилищу имеется только через соответствующих инженеров обслуживания.

Информационная безопасность ЛС-2:

Расположение в отдельной комнате и защита от мониторинга экранированием.

Имеется доступ в интернет через соответствующие протоколы.

Существует своя локальная сеть(еще сильнее чем у ЛС-1), а также сеть с ЛС-1 через соответствующую защиту(МС)

Доступ в помещение только пользователям ЛС-2 и админам. Обслуживание производится в конце рабочего дня с логированием.

Доступ к личным PC по смарт-картам пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных).

Доступ к резервному хранилищу имеется только через соответствующих инженеров обслуживания.

Информационная безопасность ЛС-3:

Расположение в отдельной экранированной комнате и защита от мониторинга экранированием.

Доступа в интернет нет(или имеется, но по специальному очень защищенному кабелю(прямому)).

Имеется свое резервное защищенное хранилище. Обслуживание производится в конце рабочего дня с строгим логированием.

Существует своя локальная сеть(проводная), если это предусмотрено заказчиком.

Доступ в помещение только пользователям ЛС-3 и админам(кроме веб и определяется заказчиком). Обслуживание производится в конце рабочего дня с строгим логированием, после того как вся секретная информация переместится в защищенное резервное хранилище.

Доступ к личным PC по флеш носителям с хеш-ключом пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных). Ведется логирование действий администраторов.

Доступ к резервному хранилищу имеется лично.

Помимо специального видеонаблюдения, ведется специальное скрытое видеонаблюдение.

Имеется своя станция резервного питания и свой черный ход.