Автор работы: Пользователь скрыл имя, 23 Сентября 2014 в 23:04, курсовая работа
Безопасность в данном контексте — это состояние защищённости информационной среды. Защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Надёжность — свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания и транспортирования.
ВВЕДЕНИЕ 3
ГЛАВА 1. СУЩЕСТВУЮЩИЕ МЕТОДЫ ПОСТРОЕНИЯ КОРПОРАТИВНЫХ СЕТЕЙ. 9
ГЛАВА 2. РАССМОТРЕНИЕ ТЕХНОЛОГИЙ С УЧЕТОМ СТАНДАРТА БЕЗОПАСНОСТИ ISO17799. 15
ГЛАВА 3. ПЛАНИРОВАНИЕ И АНАЛИЗ СЕТЕВОЙ ИНФРАСТРУКТУРЫ. 22
ГЛАВА 4. ПЛАНИРОВАНИЕ И АНАЛИЗ КОНФИГУРАЦИИ ПОЛЬЗОВАТЕЛЬСКИХ КОМПЬЮТЕРОВ. 31
ГЛАВА 5. ПЛАНИРОВАНИЕ И АНАЛИЗ ACTIVE DIRECTORY. 37
ГЛАВА 6. ВИДЫ АТАК НА СЕТЬ. РАЗРАБОТКА НАСТРОЕК ОТВЕЧАЮЩИХ ЗА БЕЗОПАСНОСТЬ СЕТИ. 41
ГЛАВА 7. ВЫБОР И НАСТРОЙКА ЗАЩИТНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. 49
ЗАКЛЮЧЕНИЕ. 53
Windows 7 не было принято к установке на пользовательских компьютерах потому что, данная операционная система была официально выпущена только в начале 2009 года, и хотя в основном показала себя неплохой пользовательской операционной системой, ее использование включало бы в себя опасность проявления не замеченных ранее уязвимостей.
Windows XP Professional –проверенная временем система обладающая минимум двумя свойствами, сыгравшими ключевую роль в решении данного вопроса: во-первых у нее сравнительно небольшие системные требования, по сравнению с остальными. Другими словами, большая часть ресурсов компьютера будет затрачиваться на выполнение задач пользователя, а не на работу операционной системы. Во-вторых, как уже было сказано, Windows XP Professional –система проверенная временем. На протяжении нескольких лет корпорация Microsoft выпускала дополнения и обновления с целью исправить обнаруженные в ней уязвимости.
Помимо операционной системы у каждого сотрудника на рабочем компьютере стоит программное обеспечение, необходимое ему для работы. По большей части это программы, установленные для каких-то конкретных целей данного пользователя, однако существует ряд программ установленных на компьютерах всех пользователей.
На компьютерах всех пользователей должен был быть установлен Microsoft office 2007 в составе: Microsoft Outlook, Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Communicator, Microsoft Publisher, Microsoft InfoPath.
Почему решили использовать Microsoft office 2007, а не Microsoft office 2003 или Open office? Одна из основных причин: поддержка Microsoft office 2007 его "родных" форматов docx, xlsx и т.д. Как показала практика даже официальная утилита фирмы Microsoft для конвертирования этих форматов в форматы doc, xls и прочие, не позволит нормально извлечь данные из файлов - из за разницы, например, максимального размера таблицы часть данных xlsx при конвертировании в xls может быть утеряна. Open office откроет "родные" для Microsoft office 2007 форматы, но при этом скорее всего "слетит" исходное форматирование документа.
Помимо работы с документами Microsoft office 2007, а точнее Microsoft Outlook, предоставляет удобный пользовательский интерфейс, для получения и отправки сообщений по электронной почте. Поднимать почтовый сервер на оборудовании предприятия было не целесообразно: сразу возникнет много дополнительных вопросов и трудностей, связанных с его настройкой и защитой. К тому же это увеличит уязвимость сети(если сервер будет находиться с точки зрения сети предприятия по эту сторону от маршрутизатора). В общем, почта создана на серверах gmail.
Почему была выбрана именно
программа Microsoft Outlook? Она позволяет передавать
сообщения электронной почты от пользовательского
компьютера до сервера электронной почты,
при этом сообщения шифруются при помощи
шифрования с открытым ключом SSL. Это дает
дополнительную защиту передаваемым данным
от возможной утечки в случае перехвата
сообщения. Есть много аналогичных программ,
которые позволят выполнять те же функции
и обеспечивать подобную степень защиты
передаваемых данных (http://ru.wikipedia.org/wiki/
Так же на бухгалтерских компьютерах будет установлена «1С бухгалтерия». Установкой и настройкой данной программы будут заниматься специалисты из 1С, система же предоставляет достаточно ресурсов для корректной работы программы. В серверной предусмотрено место для установки сервера 1С, и выделен под него статический ip адрес.
Подводя итог этой главе можно выделить несколько ключевых моментов: аппаратное обеспечение пользовательских компьютеров должно соответствовать конкретным задачам, решаемым на этих компьютерах. Windows XP Professional SP3 на данный момент представляется лучшей клиентской операционной системой по количеству используемых ресурсов и безотказности работы. Пакет программ Microsoft office 2007 предоставляет пользователям достаточно возможностей для работы с документами, таблицами, электронной почтой. Система имеет достаточно ресурсов для работы «1С бухгалтерии» и другого офисного программного обеспечения.
(доработать: список ресурсов каждого отделения)
Для работы с каталогами и управлением учетными записями пользовательских компьютеров, было решено использовать Active Directory. Active Directory — LDAP-совместимая реализация интеллектуальной службы каталогов корпорации Microsoft для операционных систем семейства Windows NT.
Почему решили использовать именно Active Directory? Все пользовательские компьютеры работают под управлением операционной системы Windows XP. Active Directory позволяет создавать и управлять группами пользователей – это значительно упрощает жизнь администраторам сети. В небольших сетях , 5-10 компьютеров, можно использовать рабочие группы. В сетях состоящих из 10-40 компьютеров желательно использовать домены - это заметно упростит процесс управления сетью. В таких сетях может стоять выбор: использовать в качестве контроллера домена сервер с Linux с установленной Samba, или использовать серверные решения корпорации Microsoft. Иногда, в больших сетях, более 100-150 компьютеров обычно системные администраторы уже не занимаются проблемами пользователей – они занимаются поддержкой серверов. Для работы с пользователями есть «эникейщики», а для работы с серверами администраторы. При этом у всех пользователей отсутствуют права каким-либо образом менять конфигурацию своего компьютера.
. В принципе размер
сети именно такой, что ставит
перед разработчиком вопрос
Samba — программа, которая
позволяет обращаться к
Начиная с третьей версии, Samba предоставляет службы файлов и печати для различных клиентов Microsoft Windows и может интегрироваться с операционной системой Windows Server, либо как основной контроллер домена, либо как член домена. Она также может быть частью домена Active Directory.
Главными отличиями от серверных версий Windows являются:
Другими словами, использование Samba не даст нам того функционала, для управления групповыми политиками, который предоставят нам решения от Microsoft.
При выборе между Microsoft Windows 2008 и Microsoft Windows 2003 выяснилось, что функционал для работы с Active Directory перешел в 2008 версию, не претерпев практически никаких изменений. Поэтому пришлось выбирать по ряду других критериев. Так как на контроллере домена планировалось часть дискового пространства предоставить пользователям для работы, да и вообще, планировалось использовать его для хранения резервных копий различной информации, то новое решение компании Microsoft, Самовосстанавливающаяся NTFS, не могла не заинтересовать разработчика системы. Если в предыдущих версиях Windows операционная система обнаруживала ошибки в файловой системе тома NTFS, она отмечала том как «грязный»; исправление ошибок на томе не могло быть выполнено немедленно. С самовосстанавливающейся NTFS вместо блокировки всего тома блокируются только поврежденные файлы и папки, остающиеся недоступными на время исправления. Благодаря этому больше нет необходимости перезагрузки сервера для исправления ошибок файловой системы.
В каждом отделении располагается домен сервер отделения, который обеспечивает работу компьютеров своего отделения. Это касается всех отделений за исключением отделения «склад»
Почему используется 1 домен на все отделение, а не отдельный домен на каждый отдел? Ведь можно создать 4 Vlan'а, подключить их при помощи trunk до cisco 800. Тогда это уменьшит требования к техническим характеристикам контроллера домена, так как уменьшит на него нагрузку. Кроме того это увеличит безопасность внутри сети: на сетевом уровне будет разделение на несколько независимых и практически не сообщающихся сегментов.
Это сделано из-за наличия ресурсов разделяемых между отделами. Во-первых, общим ресурсом являются принтеры - отделы, находящиеся на одном этаже имеют доступ к одному общему принтеру. Во-вторых, доступ к ресурсам каждого из остальных отделов должны иметь работники управляющего отдела, для осуществления контроля над процессом работы. Проще всего это реализовать в пределах одного домена. Пользователи делятся на несколько групп с разными правами доступа к ресурсам.
В «основном отделении» существует несколько групп пользователей:
Как можно было заметить, названия групп в домене соответствует, за исключением администраторов, названиям отделов. Пользователи групп "Реклама" и "Институт" имеют доступ к общим файлам своих отделов с правами на выполнение любых предусмотренных операций. Пользователи группы "Управление" имеют доступ к файлам отделов "Реклама" и "Институт" с правами на чтение. Существует так же раздел и для группы "Управление", с правами на чтение членам групп "Институт" и "Реклама".
В отделении «типография» группы пользователей такие:
Отделение «типография» включает в себя только 1 отдел «типография» и все пользователи отдела имеют равные права доступа к ресурсам. Как следствие, нет необходимости в создании дополнительных групп пользователей.
В отделении «институт» группы пользователей такие:
Отделение «институт» включает в себя только 1 отдел «институт» и все пользователи отдела имеют равные права доступа к ресурсам. Как следствие, нет необходимости в создании дополнительных групп пользователей. Следует отметить, что для не возникновения путаницы группа пользователей для отделения «институт» отличается по названию от группы пользователей для отдела «институт» из «основного отделения».
Пользователи группы Администраторы во всех трех отделениях имеют право на установку любых приложений, изменение любых настроек. Пользователи других групп имеют право только на доступ к некоторым разделяемым ресурсам.
Для управления доступом отдельных пользователей или групп пользователей к различным ресурсам используется доменная структура сети. На контроллере домена используется операционная система Microsoft Windows 2008. Это позволяет в полной мере использовать преимущества Active Directory в отношении групповых политик и дает дополнительные выигрыши в отказоустойчивости файловой системы. Правильно настроенные групповые политики могут уменьшить вероятность возникновения уязвимости. Это сделает систему более устойчивой к атакам.
(опционально: антивирус, межсетевой экран - описать схему работы, алгоритмы)
Рассматривая вопросы безопасности сети, следует особое внимание уделить одной из самых распространенных опасностей, которым подвергается сеть: атакам злоумышленников. Для начала разберемся, что означает термин «атака»
Атака - это событие, при котором нарушитель пытается проникнуть внутрь вашей системы или совершить по отношению к ней какие-либо злоупотребления. (Термин атака может толковаться и как "любое действие нарушителя, приводящее к реализации угрозы, путем использования уязвимостей"). Слово "злоупотребления" имеет широкое толкование, и может отражать различные события, начиная от кражи конфиденциальных данных, и заканчивая засорением спамом вашей системы
Нарушители могут быть разбиты на две категории: Outsiders - это нарушители из сети Internet, которые атакуют ваши внутренние ресурсы (удаление информации на корпоративном Web-сервере, пересылка спама через почтовый сервер и т.д.) и которые временами обходят ваш межсетевой экран (МСЭ) для того, чтобы проникнуть в вашу внутреннюю сеть. Злоумышленники могут атаковать из Internet, через модемные линии, через физическое подключение к каналам связи или из сети партнеров (поставщиков, заказчики, дилеры и т.д.).Insiders – это те, кто находится внутри Вашей сети, и имеют полный доступ к вашим серверам. Они включают пользователей, неправильно использующих свои привилегии, или исполняющих роль привилегированного пользователя (например, с привилегированного терминала). Исследования показывают, что 80% дыр защиты создаются именно insiders. Заметим, что МСЭ не обеспечивают защиты против них.
Существует несколько типов нарушителей: Joy riders (Любители веселых прогулок в чужом автомобиле) из-за того, что они могут. Vandals (Вандалы) вызывают разрушения или оставляют свои следы на ваших Web-страницах. Profiteers (Спекулянты) намереваются получить прибыль от своих действий, таких как кража корпоративных данных и их продажа.
Рассмотрим основные пути, по которым нарушители проникают в систему.
Физическое вторжение. Если нарушитель имеет физический доступ к компьютеру (т.е. они могут использовать клавиатуру или часть системы), они смогут проникнуть в нее. Методы могут быть различными - от специальных привилегий, которые имеет консоль, до возможности использования части системы и снятия винчестера (и чтения/записи его на другой машине).
Системное вторжение. Этот тип хакерской деятельности предполагает, что нарушитель уже имеет учетную запись в системе как пользователь с невысокими привилегиями. Если в системе не установлены самые последние патчи защиты, у нарушителя есть хороший шанс попытаться совершить известную атаку для получения дополнительных административных привилегий.
Удаленное вторжение. Этот тип хакерской деятельности подразумевает, что нарушитель пытается проникнуть в систему через сеть с удаленной машины. Этот нарушитель действует без каких-либо специальных привилегий. Существует несколько типов такой хакерской деятельности. Например, нарушитель тратит гораздо больше времени и усилий, если между ним или ей и выбранной машиной установлен МСЭ.