Автор работы: Пользователь скрыл имя, 23 Сентября 2014 в 23:04, курсовая работа
Безопасность в данном контексте — это состояние защищённости информационной среды. Защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Надёжность — свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания и транспортирования.
ВВЕДЕНИЕ 3
ГЛАВА 1. СУЩЕСТВУЮЩИЕ МЕТОДЫ ПОСТРОЕНИЯ КОРПОРАТИВНЫХ СЕТЕЙ. 9
ГЛАВА 2. РАССМОТРЕНИЕ ТЕХНОЛОГИЙ С УЧЕТОМ СТАНДАРТА БЕЗОПАСНОСТИ ISO17799. 15
ГЛАВА 3. ПЛАНИРОВАНИЕ И АНАЛИЗ СЕТЕВОЙ ИНФРАСТРУКТУРЫ. 22
ГЛАВА 4. ПЛАНИРОВАНИЕ И АНАЛИЗ КОНФИГУРАЦИИ ПОЛЬЗОВАТЕЛЬСКИХ КОМПЬЮТЕРОВ. 31
ГЛАВА 5. ПЛАНИРОВАНИЕ И АНАЛИЗ ACTIVE DIRECTORY. 37
ГЛАВА 6. ВИДЫ АТАК НА СЕТЬ. РАЗРАБОТКА НАСТРОЕК ОТВЕЧАЮЩИХ ЗА БЕЗОПАСНОСТЬ СЕТИ. 41
ГЛАВА 7. ВЫБОР И НАСТРОЙКА ЗАЩИТНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. 49
ЗАКЛЮЧЕНИЕ. 53
Данный коммутатор поддерживает весь необходимый для работы функционал:
Предварительной настройки перед началом работы не требуется, все необходимые функции доступны по умолчанию.
Альтернативное оборудование с подобным функционалом: 3COM Baseline Plus Switch 2928 PWR, D-link DGS-3324SR, D-link DGS-3324SR, D-link DGS-3426. Данный конкретный коммутатор был выбран как самый недорогой из всех представленных.
В отделении «институт» было решено использовать коммутатор 3COM Switch 4200G 12-Port. В отделении институт планируется установка много меньшего числа компьютеров чем в «основном отделении» и отделении «типография»
Оборудование с аналогичным функционалом: ZyXEL GS-3012F EE, ZyXEL GS-3012 EE, ASUS GigaX 3112. Данный конкретный коммутатор был выбран как самый недорогой из всех представленных.
В коммутаторе возможны как аппаратные неисправности так и неисправности связанные с программным обеспечением ("прошивкой"). Неисправности связанные с программным обеспечением возможно устранить на месте установкой новой версии программного обеспечения. Обычно новую версию можно найти на официальном сайте производителя оборудования. Аппаратные неисправности устраняются в специализированных сервисных центрах специалистами. Пока коммутатор находится на гарантийном обслуживании, программные и аппаратные неисправности исправят в гарантийном сервисном центре.
В этой главе уже упоминалось то, что для обеспечения рабочих мест телефонной связью, будут прокладываться линии связи. Это подразумевает необходимость построения и настройки телефонной сети в каждом офисе. Для передачи голоса была выбрана именно стандартная аналоговая телефонная связь, без использования линий связи компьютерной сети для передачи информации. По сути, в каждом отделении строится отдельная сеть телефонной связи, состоящая из АТС и кабельной системы. Как уже говорилось, линии связи телефонной сети прокладываются радом с линиями связи Ethernet, и, в случае необходимости, можно использовать и те и другие, как для передачи Ethernet пакетов, так для работы телефонной связи. В качестве АТС в разных отделениях использовалось различное оборудование - в зависимости от предъявляемых требований.
В «основном отделении» используется АТС KX-TDE100 фирма Panasonic. KX-TDE100 была выбрана потому что:
Перед началом работы АТС необходимо настроить, для корректного распределения номеров между пользователями. Хотя «простой в эксплуатации» данную АТС не назовешь, гарантия на настройку существенно облегчает жизнь ответственным за работу телефонной сети лицам.
В отделениях «типография» и «институт» используется мини АТС Panasonic KX-TEM824RU. После установки плат расширения АТС поддерживает 16 внутренних номеров. Программирование АТС производится при помощи системного телефона.
Обмен информации между отделениями производится на основе VPN (англ. Virtual Private Network — виртуальная частная сеть). Фактически на сегодняшний день это один единственный доступный способ построить сеть, части которой расположены территориально сравнительно далеко друг от друга в Москве. Судите сами: протянуть кабель между отделениями - такая возможность предоставляется очень редко, в тех случаях, когда помещения расположены сравнительно недалеко друг от друга. При этом необходимо будет обеспечить должную кабеля от несанкционированного доступа и разворовывания. беспроводной доступ защитить от несанкционированного доступа еще сложнее. Кроме того передавать по радиосвязи информацию на большие расстояния не удастся: во-первых в городе на пути сигнала будет много препятствий в виде зданий, во-вторых сейчас в городе постоянно функционирует огромное количество устройств использующих радио эфир для передачи данных. Из-за этого возникает множество помех - сигналы одинаковой частоты накладываются друг на друга и искажаются. Поэтому в черте города многие устройства передают информацию даже на меньшее расстояние, чем это указано в технической документации. Использовать спутник? В принципе он позволит передать информацию на необходимое расстояние. Но по своей сути при этом все равно придется использовать VPN, чтобы отделить свой трафик от трафика других арендаторов спутника. По своей сути в данном случае спутниковая связь будет выполнять функции провайдера, которые на него возложены в "классическом" VPN. Запустить же собственный спутник не по карману и армии компаний малого и среднего бизнеса. Все эти соображения делают невозможным построения линии связи исполнителем своими силами. Варианты с покупкой или арендой выделенных каналов связи не подходят по одной причине: как уже говорилось, не все провайдеры предоставляют эти услуги, и провайдер обслуживающий отделение «типография» таких услуг не предоставляет.
Оборудование, при помощи которого организуется связь между отделениями — маршрутизатор Cisco 800. Характеристики маршрутизатора:
Для настройки маршрутизатора понадобится установка на нем IOS отличного от доступного по умолчанию: IP for ISPs Feature Set. Это добавит в его функционал поддержку GRE Tunneling, что необходимо для настройки на нем виртуального соединения.
GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов, разработанный компанией CISCO Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты. Используется в сочетании с PPTP для создания виртуальных частных сетей.
Проблема протокола: в связи с служебным заголовком размер передаваемых данных внутри IP пакета через GRE-туннель уменьшается при сохранении общего размера пакета. В IP-пакете предусмотрено наличие бита DF (do not fragment), запрещающего разделение пакета на несколько при передаче через среду с меньшим размером MTU. В этом случае пакет с размером полезной области данных (англ. payload), превышающим MTU IP пакета в GRE-туннеле, отбрасывается, что приводит к потерям пакетов при существенной нагрузке (проходят пакеты малого размера, такие как SYN пакеты TCP, ICMP сообщения (ping), но теряются пакеты с данными в TCP потоке (т. е. соединение рвётся)). Тут указаны возможные решения этой проблемы на оборудовании Cisco:
http://www.cisco.com/en/US/
Согласно ISO17799, средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия.
По этой причине все активное оборудование сети располагается в запирающихся серверных шкафах, а в «основном отделении» в отдельном закрытом помещении серверной. Ключи от серверной и шкафов находятся у руководителей местных отделений фирмы. Помимо этого все местные локальные сетевые коммуникации проходят только по территории фирмы, для прохода на которую необходимо пройти процедуру авторизации у сотрудника охранной фирмы.
На основе проведенного в предыдущих двух главах анализа существующих решений построения корпоративных сетей, в данной главе были выбраны наиболее подходящие для данного конкретного случая решения: построение локальных сетей на основе технологии Ethernet, использование обычной телефонии и объединение отделений при помощи VPN. На основе этих решений и была разработана инфраструктура будущей системы.
При проектировании любой части сложной системы следует учитывать то обстоятельство, что части системы должны иметь интерфейсы поддерживающие работу с интерфейсами других частей системы. Другими словами, проектируя сложную корпоративную сеть, следует убедиться, что все компьютеры сети имеют соответствующий интерфейс для подключения к сети. То обстоятельство, что фирма заказчик сама покупает оборудование для установки рабочих мест пользователей, делает возможным возникновения ситуации, при которой окажется невозможно подключить пользовательские компьютеры к сети. Однако человек, отвечающий за проект сети, может дать заказчику рекомендации по конфигурации пользовательского оборудования- это поможет избежать возникновения этой проблемы. Кроме того, при проектировании безопасной сети, следует учитывать все возможные опасности, которые грозят сети. Большая же часть этих опасностей связана именно с конфигурацией и настройкой пользовательских компьютеров.
Помимо вопросов безопасности и совместимости, рекомендации по выбору оборудования и настройке могут учитывать и специфические функции, выполняемые на таком оборудовании. Зачастую, в зависимости от выполняемых функций, компьютеры пользователей можно разделить на несколько различных типов, заметно отличающихся конфигурацией.
Рабочие места пользователей сети можно разделить на 2 типа:
1.Рабочие места менеджеров по продаже и бухгалтерии;
2.Рабочие места дизайнеров.
В зависимости от выполняемых функций к рабочим местам предъявляются различные требования.
Дизайнерские компьютеры должны иметь высокое быстродействие при работе с графическими приложениями. В противном случае выполнение приложений для обработки графиги(CorelDraw X3,Adobe Photoshop, Adobe Ilustrator, Adobe Indesign и т.п.) будет занимать слишком много времени, что существенно отразиться на производительности. Конфигурация компьютера дизайнера:
На компьютерах менеждеров будет проводиться работа с документами (файлы *.xls, *.xlsx, *.doc, *.docx) и электронной почтой. Основной задачей менеджеров является связь с крупными клиентами фирмы. Основным средством связи является телефон. Из чего следует, что быстродействие рабочих компьютеров для менеджеров не является основным параметром отвечающим за производительность, но, бесспорно, заметно на нее влияет.
Конфигурация компьютера менеджера
Согласно ISO 17799, оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с электричеством. Необходимо обеспечивать надлежащую подачу электропитания, соответствующую спецификациям производителя оборудования.
Для достижения этого компьютеры обоих типов должны быть подключены к источникам бесперебойного питания (ИБП). Это позволит сохранить изменения в документах в случае внезапного отключения электричества в офисах. Рекомендуется, компьютеры менеджеров и бухгалтеров подключить через ИБП выходной мощностью не менее 800 ВА / 480 Вт. Компьютеры дизайнеров через ИБП выходной мощностью не менее 1000 ВА / 600 Вт.
На компьютерах предприятия
установлена операционная система Windows
XP Professional SP3(http://support.microsoft.
Вариант Windows Vista не подходит, так как она имеет слишком много ошибок и недоработок, которые могут оказаться критичными в работе предприятия.