Файл: Назначение и структура системы защиты информации коммерческого предприятия.pdf
Добавлен: 25.04.2023
Просмотров: 221
Скачиваний: 2
СОДЕРЖАНИЕ
1. Теоретические основы защиты информации в коммерческих предприятиях
1.1. Основные понятия по защите информации
1.2. Методы и средства защиты информации
2. Система защиты информации коммерческого предприятия на примере ООО «Экопрог»
2.1. Характеристика предприятия
2.2. Система защиты информации на предприятии
Компания «ЭкоПрог» обеспечивает проектирование, поставку оборудования, строительно-монтажные и пуско-наладочные работы по всему комплексу механических систем:
- системы вентиляции;
- системы кондиционирования;
- водопровод;
- канализация;
- тепло- и холодоснабжение;
- отопление;
- пожарный водопровод;
- системы подготовки воды (водоочистки);
- системы утилизации воды (очистные сооружения).
2.2. Система защиты информации на предприятии
Рассмотрим организацию информационной системы компании и средств обеспечения информационной безопасности в ней.
В компании организованы локальная сеть, доступ к которым имеется исключительно у сотрудников компании.
Чаще всего сотрудники имеют доступ только к ограниченному числу файлов рассматриваемой сети, которые необходимы в ходе трудовой деятельности. Моменты выходов в сеть фиксируются системными администраторами. То же самое имеет место применительно к сети Интернет.
Сеть компании выстроены по топологии звезда. Топология типа «звезда» характеризуется более высокой производительностью структуру, так как каждый компьютер, в том числе и сервер, стыкуется отдельным сегментом кабеля с центральным концентратором.
Основным преимуществом такой сети, помимо упомянутой производительности, является её высокая устойчивость к сбоям, которые могут возникать из-за неполадок на отдельных элементах сети или в связи с повреждением сетевого кабеля.
Применяемый метод доступа – CSMA/CD. Именно данный метод доступа применяется в сетевой архитектуре Ethernet, используемой на предприятии. Сеть сформирована по средствам витой пары (100Base – T) с применением кабеля фирмы HYPERLINE, стандарта UTP (UnshieldedTwistedPair) (неэкранированная витая пара) категории 5е (международный стандарт Кабельных систем).
Граничный маршрутизатор, используемый в ИС компании, построен на платформе ZyXEL GS-4024F. В качестве коммутатора доступа используется модель D-Link DES-1210-52. Характеристики маршрутизатора представлены в таблице 1.
В структуре локальной сети компании используется коммутатор ISCOM2948GF-4C-AC/D фирмы RaisecomTechnology. Это 10 gigabitethernet коммутатор аггрегации (10 гигабитные Uplink порты 4x10G SFP+) и имеющий 48 портов SFP (gigabitethernet), коммутатор для организации опорной сети, для топологий: точка – многоточка или звезда, с увеличенной плотностью Downlink интерфейсов. Коммутатор на 10 Гбит ISCOM2948GF-4C-AC/D поддерживает протоколы ITU-T G.8031/2 для защиты с резервирование в кольце или при линейном подключении, так же поддерживает EAPS.
Используемая операционная системы на рабочих компьютерах – MS Windows 7.
Средой передачи информации в рассматриваемой сети является кабель - витая пара пятой категории. Скоростью передачи данных - до 100 Мбит/сек.
Таблица 1
Характеристики маршрутизатора ZyXEL GS-4024
|
Наименование характеристики |
Значение характеристики |
|
Матрица коммутации |
Неблокируемая; пропускная способность 52 Гбит/с; |
|
Скорость кадровой коммутации |
38,7 млн. пак/с; |
|
Количество MAC-адресов |
18000 записей; |
|
Количество IP-адресов |
10000 записей; |
|
Объем буфера данных |
4 Мбайт; |
|
Тип коммутации |
Продвижение кадров с размером до 10000 байт |
|
Приоритет трафика |
10 очередей приоритета на порт 802.1р. Алгоритмы обработки очереди: SPQ, WRR; |
|
Ограничение по скорости |
Ограничение по скорости передачи информации на портах с шагом 2 Мбит/с; |
|
Протокол аутентификации пользователей |
802.1х; |
|
Доступа по МАС-адресу |
Фильтрация по МАС- адресу на портах. Привязка MAC-адресов к портам. |
Доступ в сеть Интернет в рассматриваемой компании осуществляется по средствам выделенной линии (технологии ADSL). Скорость передачи данных, которую обеспечивает данный метод, - до 100 Мбит/сек.
Используемый в информационной системе ADSL-модем – D-Link DCM-202.
Технические характеристики используемого модема приведены в таблице 2.
Таблица 2
Технические характеристики модема D-Link DCM-202
|
Наименование характеристики |
Значение характеристики |
|
Устройства интерфейса |
Совместимость с DOCSIS/EuroDOCSIS 2.0, DOCSIS/EuroDOCSIS 1.1. |
|
Скорость передачи информации |
40 Мбит/с (64QAM). Полоса пропускания сигнала: 8 МГц. Уровень сигнала: от -10dBmV до 10dBmV; |
|
Питание модема |
+5В, через адаптер. Потребляемая мощность: 6Вт врабочий режиме. |
В рассматриваемой локальной сети используется два прикладных сервера фирмы IBM, каждый из которых выполняет функции файлового сервера. Модель серверов – System x3250 M5. Сервер x3250 M5 помещается в однокассетном корпусе. Отличительные черты данного сервера: повышенная производительность работы, повышенная гибкость для более быстрого и простого расширения, высокая плотность системного хранилища.
Основные характеристики используемого сервера:
1. Процессор: четырехъядерный, IntelXeon E5320, 2,86ГГц.
2. Память: 1024 МБ, 887МГц (максимальный объем 64ГБ).
3. Диски SAS или SATA: до 4,0Тб.
4. Наличие технология предсказания сбоев.
В процессе работы с устройством используют специальное программное обеспечение - IBM Director 6.2 и IBM SystemsDirectorActiveEnergyManager.
Устройство резервирования информации в сети - система IBM System DS3200, имеющая необходимое ПО.
Параметры данной системы представлены ниже:
1. Масштабируемость: до 3,6 Тб при взаимодействии с дисками SAS объемом до 300 Гбайт.
2. Упрощенная процедура развертывания по средствам программного обеспечения DS3000 StorageManager.
3. Дополнительное подключение до трех дисков EXP3000 совокупным объемом 16,4 Тбайт.
Состав аппаратных средств компании представлен в таблице 3.
Состав аппаратных средств компании
|
Наименование оборудования |
Описание оборудования |
Кол. |
|
Сервер |
DEPO Storm 2250N5 |
2 |
|
АРМ |
Intel ® Core ™ I7-3770 3.9 GHz, JPE 8 Gb, HDD 1 Tb |
46 |
|
CanonLaserShot LBP-1120 |
Принтер |
14 |
|
Плоттер |
HP Designjet 130 |
10 |
|
D-link DSL -2500U |
Модем |
1 |
|
D-Link DES-1016D |
Коммутатор |
3 |
В ООО «ЭкоПрог» имеется и автоматизированная информационная система, которая используется для обработки информации содержащей персональные данные сотрудников и клиентов организации и других данных. Информационная система организации обеспечивает автоматизацию следующих процессов:
- формирование штатного расписания – регистрация подразделений и должностей, формирование штата организации;
- формирование отчётов;
- формирование заявок на оформление заказов и договоров;
- хранение и обработка данных по всем видам деятельности;
- приём сотрудников на работу, назначение на должность;
- учёт личных сведений сотрудников;
- учёт выплат заработной платы;
- ведение журналов по отпускам и больничным листам;
- учёт сведений по всем исполняемым сотрудником должностям;
- учет данных об отпусках;
- учет квалификационных категорий сотрудников, прохождения курсов повышения квалификации, сертификации;
- учет кадровых перемещений – перевод на другую должность;
- ведение архива уволенных сотрудников;
- информацию о клиентской базе;
- формирование отчетных документов, приказов по штатному расписанию и персоналу.
Функционально в ИС организации можно выделить три основные категории:
1) 1С – Зарплата и кадры, Бухгалтерия;
2) Базы данных подразделений;
3) Файловые ресурсы.
Рассмотрим каждую категорию отдельно.
Обработка информации первой категории производится сотрудниками департамента бухгалтерского учета. Объем данных порядка 500-1000 записей. Режим обработки данных – многопользовательский, имеет место разграничение прав доступа. АРМ сотрудников, которые обрабатывают информацию, находятся в общей компьютерной сети. Доступ к необходимой информации производится через терминальный сервер. Сервер базы данных расположен в отдельной подсети. К нему необходимо применение межсетевого экрана не ниже 5 класса, так как требования к защищенности сервера баз данных соответствуют требованиям, предъявляемым к пятому классу защищенности МЭ, а именно: необходимость обеспечивать фильтрацию на сетевом уровне, возможность проведения идентификации и аутентификации администратора МЭ, регистрации входа (выхода) администратора МЭ.
Обработка информации в Базах данных осуществляется сотрудниками всех подразделений компании. Режим обработки данных – многопользовательский, имеет место разграничение прав доступа. АРМ сотрудников, которые обрабатывают информацию, находятся в общей компьютерной сети. Доступ к необходимой информации производится через терминальный сервер. Сервер базы данных расположен в отдельной подсети. К нему необходимо применение межсетевого экрана не ниже 4 класса, так как требования к защищенности сервера баз данных соответствуют требованиям, предъявляемым к пятому классу защищенности МЭ: возможность обеспечения фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств, возможность обеспечения регистрации и учёта фильтруемых пакетов данных.
В категории Хранение данных на файловых ресурсах обработка информации производится работниками всех подразделений компании. Режим обработки информации – многопользовательский, имеет место разграничение прав доступа. АРМ сотрудников, которые обрабатывают информацию, находятся в общей компьютерной сети.
Относительно действующих законодательных актов вышеупомянутые схемы обработки информации имеет некоторые нарушения, а именно:
- АРМ, на которых ведётся работа с защищаемой информацией, подключены к общей сети компании. При этом обрабатываемая информация не имеет защиты на уровне рабочего места;
- Доступ к информации имеют все сотрудники компании у которых есть возможность работы с информационной системой компании. Кроме этого, не установлено нормативными документами перечня лиц, имеющих право на обработку персональных данных;
- Надзор за резервными копиями баз данных, которые в том числе содержат и персональные данные, производится без заполнения соответствующего журнала учета. Так же не производится ознакомления персонала компании с фактами копирования ими персональных данных;
- Сервер, на котором производится хранение файловых ресурсов, расположен в общей компьютерной сети компании;
- Файлы, которые содержат персональные данные, хранятся на сервере в незашифрованном виде.
Подводя итог анализа нарушений обработки информации, отмечу, что имеющиеся нарушения информационной безопасности в компании происходят, как правило, из-за имеющейся архитектуры информационной системы общего назначения, в которой «попутно» ведется обработка персональных данных.
Технические средства обеспечения информационной безопасности ИС предприятия представлены активным сетевым оборудованием защиты, средствами аутентификации и средствами защищённого соединения.
Выбор активного сетевого оборудования в процессе организации информационной безопасности в ИС предприятия был осуществлен в соответствии показателями рабочей системы. При этом учитывался ряд важных параметров, а именно: объем передаваемого трафика, возможности расширения структуры сети, качество совместной работы различного оборудования и так далее. Кроме этого в обязательном порядке учитывается тип оборудования. Устройства отвечают жестким требованиям по количеству интерфейсов, по их типу, по пропускным способностям и так далее.
Для обеспечения идентификации пользователей на предприятии используются электронный ключ, а так же идентификатор в виде USB-носителя.
Электронные ключи – является персональным средством аутентификации пользовательских данных, которое технически поддерживает работу с цифровыми сертификатами, а так же электронно-цифровой подписью (ЭЦП).
Средства защищенного соединения организовываются на основе доверенного сеанса связи удалённых пользователей с сервисами доверенной распределенной информационной системы через сеть Интернет.