Автор работы: Пользователь скрыл имя, 23 Сентября 2014 в 23:04, курсовая работа
Безопасность в данном контексте — это состояние защищённости информационной среды. Защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Надёжность — свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания и транспортирования.
ВВЕДЕНИЕ 3
ГЛАВА 1. СУЩЕСТВУЮЩИЕ МЕТОДЫ ПОСТРОЕНИЯ КОРПОРАТИВНЫХ СЕТЕЙ. 9
ГЛАВА 2. РАССМОТРЕНИЕ ТЕХНОЛОГИЙ С УЧЕТОМ СТАНДАРТА БЕЗОПАСНОСТИ ISO17799. 15
ГЛАВА 3. ПЛАНИРОВАНИЕ И АНАЛИЗ СЕТЕВОЙ ИНФРАСТРУКТУРЫ. 22
ГЛАВА 4. ПЛАНИРОВАНИЕ И АНАЛИЗ КОНФИГУРАЦИИ ПОЛЬЗОВАТЕЛЬСКИХ КОМПЬЮТЕРОВ. 31
ГЛАВА 5. ПЛАНИРОВАНИЕ И АНАЛИЗ ACTIVE DIRECTORY. 37
ГЛАВА 6. ВИДЫ АТАК НА СЕТЬ. РАЗРАБОТКА НАСТРОЕК ОТВЕЧАЮЩИХ ЗА БЕЗОПАСНОСТЬ СЕТИ. 41
ГЛАВА 7. ВЫБОР И НАСТРОЙКА ЗАЩИТНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. 49
ЗАКЛЮЧЕНИЕ. 53
Из антивирусного программного обеспечения предполагалось выбрать из следующих продуктов:
Dr.Web Security Space Pro и Symantec Endpoint Protection представляют из себя комплексные решения по защите компьютера включающие, кстати и сетевой экран, помимо антивируса. Для корректного выбора были проведены следующие испытания: на несколько компьютеров в сети были установлены пробные версии данных продуктов. Через месяц, когда пробный период вышел, было проведено контрольное тестирование. Тестирование состояло из нескольких частей: жесткие диски компьютеров были сняты и проверены на "чистых" системах с установленными на них другими антивирусами. После этого на тестируемых компьютерах устанавливались другие антивирусы и снова запускалась полная проверка.
Результаты показали, что все антивирусы эффективно справляются с защитой рабочих компьютеров от вирусов при условии соблюдения политики безопасности сети.
Однако, как уже было сказано Dr.Web Security Space Pro и Symantec Endpoint Protection включают в себя функции сетевого экрана, так же необходимого для достижения необходимого уровня безопасности сети. Было решено для окончательного решения вопросов связанных с безопасностью конечных пользовательских компьютеров выбрать один из этих продуктов. Dr.Web Security Space Pro хотя и прошел проверку, но некоторые его версии не совместимы с некоторыми обновлениями Windows XP и это приводит к появлению синих экранов(системная ошибка Windows). Другими словами, при использовании этого антивируса есть риск, что система окажется в неработоспособном состоянии. Эти соображения привели к тому, что выбор упал на Symantec Endpoint Protection в качестве основной программы для защиты пользовательских компьютеров.
В качестве межсетевого экрана можно использовать встроенный в cisco 800 межсетевой экран. Однако установка дополнительного сервера позволит не только ограничить доступ из внешних сетей в локальную, но и ограничить неавторизованным пользователям доступ к ресурсам внешней сети. Поэтому во всех отделениях, за исключением отделения «склад» между коммутатором и маршрутизатором cisco 800 находится сервер, выполняющий функции: DHCP, межсетевого экрана, proxy-сервера. На сервере используется программа Kerio WinRoute Firewall, которая выполняет функции межсетевого экрана и proxy-сервера. Аналогом Kerio WinRoute Firewall является разработка компании Microsoft Internet Security and Acceleration Server. Выбор пал на Kerio WinRoute Firewall, так как он существенно проще в настройке, чем Internet Security and Acceleration Server.
Для неавторизованных подключений в межсетевом экране работают правила:
1. Разрешить для процессов wauclt и svchost
, обращение через 80 порт к сайтам: http://download.windowsupdate.
2. Разрешить исходящие соединения TCP для файла Symlcsvc.exe через следующие порты: 80 – 83, 443, 1080, 8080, 8088, 11523.
3. Разрешить входящие и исходящие соединения TCP для файла Symlcsvc.exe через порт 53.
4. Разрешить входящие и исходящие соединения TCP для файла Outlook.exe через порты 995 и 465.
При авторизованном подключении открывается для всех приложений порт 8080.
В качестве сервера используется компьютер с параметрами:
В этой главе мы определили Symantec Endpoint Protection, как приемлемый выбор для защиты пользовательского компьютера от различных угроз и Kerio WinRoute Firewall, как приемлемый межсетевой экран в масштабах корпоративной сети. Следует отметить, что практически любое из перечисленных средств защиты подходило для использования в проекте – потому как основным параметром, влияющим на полезность этих программ, является корректная их настройка системным администратором для каждого конкретного случая. Другим немаловажным условием получения пользы от работы этих программ является их работа в условиях соблюдения сотрудниками компании политики безопасности, о которой речь пойдет в следующей главе.
Подведем итоги. В начале работы были сформированы цели и задачи, стоявшие перед проектом
Задача первая: сравнить ряд существующих технологий используемых для построения сети.
В первых двух главах описываются и сравниваются различные технологии, при помощи которых можно построить корпоративную сеть предприятия. Описываются сильные и слабые стороны различных стандартов и технологий. По итогам этих глав можно сделать определенные выводы и выбрать технологии необходимые разработчику в его работе, что и было сделано в главе 3. Таким образом, можно с уверенностью утверждать о том что первая задача была выполнена.
Однако корпоративная сеть, это не только технологии, но и пути их применения. Поэтому для выполнения второй поставленной задачи: создать проект корпоративной информационной сети в соответствии с техническим заданием, используя полученные при сравнении данные, потребовались не только данные о технологиях, но и о многом другом. Как то: оборудование, программное обеспечение, оптимальные настройки того и другого.
В главе 3 описан выбор оборудования, предназначенного для реализации сети. В главах 4 и 5 описывается оборудование и программное обеспечение необходимое для работы пользователей и для управления работой пользователей в масштабах системы. В главах 6 и 7 описывается программное обеспечение. На основе полученных при сравнении и исследовании данных были выбраны те или иные методы, оборудование, программные продукты . Выбранные продукты и их настройку можно увидеть в проекте сети.
Есть еще один аспект требующий учета при разработке проекта. Люди – одна из неотъемлемых составляющих любой информационной системы на сегодняшний день. От их поступков в первую очередь зависит работоспособность и безопасность системы. Для того чтобы увеличить уровень надежности и безопасности системы применяют различные политики безопасности. В главе 8 описываются политики безопасности необходимые к соблюдению в данной системе.
Именно итоговый проект сети подводит черту под моей работой. Согласно оценке в главе 9 проект удовлетворяет всем требованиям безопасности.
В начале работы была указана цель - создать проект корпоративной сети. В результате был получен проект корпоративной сети (приложение 2). При внедрении проекта не возникало различных чрезвычайных ситуаций. На сегодняшний день построенная согласно проекту сеть функционирует уже более четырех месяцев. За все это время происходило несколько сбоев в функционировании системы, но причиной их было во всех случаях несоблюдение политики безопасности при работе в системе.
Итак, основные задачи, стоящие перед проектом были выполнены, основная цель достигнута.
Согласно данному техническому заданию будет спроектирована и построена вычислительная система (далее система) Компании "Лютик" (далее заказчик). Данная система необходима для работы предприятия на всех уровнях.
Дата начала проектирования 20 сентября 2009, первая часть проекта должна быть окончена и сдана в эксплуатацию 20 декабря 2009, окончательное завершение и сдача всех частей проекта в эксплуатацию будет 1 февраля 2010 .
Все работы по проектированию, монтажу, настройке и вводу в эксплуатацию системы будут проводиться компанией "Ромашка" (далее исполнитель). Заказчик обязуется оплачивать все расходы, связанные с покупкой необходимого оборудования, расходных материалов, программного обеспечения, расходов на проведение работ по проектированию системы, расходов на проведение работ по монтажу системы при предоставлении исполнителем соответствующих документов.
Объектом системы являются данные. В основном данными являются финансово-бухгалтерские документы, данные о работе с клиентами, графические материалы, речь (телефония). Эти данные должны передаваться при помощи системы, храниться в системе, быть доступными пользователям системы в случае возникновения надобности в них, изменяться пользователями в процессе работы. Доступ к данным должен осуществляться в течение рабочего дня.
Система предназначена для управления данными, для их обработки, хранения и передачи. Ввод в эксплуатацию подобной системы позволит в разы увеличить эффективность обработки данных по сравнению с методами хранения и обработки данных с использованием бумажных носителей.
Система будет передавать, обрабатывать и хранить данные под управлением сотрудников фирмы, под контролем ответственных за систему лиц. Система будет проводить с данными те действия, которые ей указал сотрудник фирмы. Систему можно разложить на составляющие: Вычислительная сеть, Телефонная сеть, Пользовательское оборудование.
Пользовательское оборудование это: рабочие компьютеры сотрудников предприятия. Основные функции - обработка и хранение данных.
Телефонная сеть должна обеспечивать передачу голосовых данных на территории предприятия и за ее пределами. Состоит из офисных мини автоматических телефонных станций, кабельной системы, телефонных аппаратов (факсов).
Вычислительная сеть должна обеспечивать возможность защищенного обмена информацией между элементами системы и защищенного хранения информации. Вычислительная сеть состоит из кабельной системы, коммутационного оборудования, серверов и оборудования, отвечающего за управление системой, многофункциональных устройств (МФУ - устройство, объединяющее в себе копировальный аппарат, принтер и сканер), серверов приложений, любого другого оборудования, подключенного к системе.
Система будет расположена в 4х отделениях фирмы:
В целом система должна будет помогать передавать данные между сотрудниками, между сотрудником и клиентом, помогать сотруднику обрабатывать данные и хранить их. Лицами, отвечающими за работоспособность системы, могут быть назначенные заказчиком для этой работы сотрудники или сотрудники фирмы, с которой заказчик оформит договор на обслуживание системы.
Система должна обеспечивать выполнение всех тех функций, для которых она была предназначена в рамках четырех отделений компании заказчика.
Система должна поддерживать:
Размещение рабочих мест и мест установки дополнительного оборудования смотреть в прилагаемых схемах.
Рисунок 1. Размещение рабочих мест 10й этаж «основное отделение»
Рисунок 2. Размещение рабочих мест 11й этаж «основное отделение»
Рисунок 3. Размещение рабочих мест «типография»
Рисунок 4. Размещение рабочих мест «институт»
Рисунок 5. Размещение рабочих мест «склад»
Система должна соответствовать стандартам информационной безопасности указанным в ГОСТ 17799
Требования к вычислительной сети:
Скорость передачи данных внутри отделения между двумя узлами в любой момент времени при максимальной загруженности сети не должна быть ниже 20Мбит/с. Объем хранилища данных не менее 500 ГБ. Необходимо, наличие оборудования для контроля над действиями пользователей с программным обеспечением, позволяющим вносить изменения в функции контроля в процессе работы системы.
Требования к телефонной сети:
Отделение склад не должно иметь телефонной связи. Основное отделение должно иметь 1 внешний телефонный номер и 6 внутренних телефонных линий. Институт должен иметь 1 внешний телефонный номер и 2 внутренних телефонных линии. Типография должна иметь 1 внешний телефонный номер и 3 внутренних телефонных линии.
Требования к пользовательскому оборудованию:
Пользовательское оборудование приобретается самим заказчиком. Исполнитель выполняет установку и настройку оборудования. Оборудование должно быть настроено в соответствии с требуемыми параметрами безопасности сети.
Требования к предельной стоимости: бюджет проекта ограничен суммой в 1.8 миллиона рублей.
В компании "Лютик" назрела необходимость модернизации существующей вычислительной сети и построения современной информационно-вычислительной сети, отвечающей современным высоким требованиям и объединяющей в себе все информационно-вычислительные ресурсы компании, коммуникационное оборудование, средства связи, информационной безопасности.
Информационно-вычислительная сеть (ИВС) должна объединять компьютерные ресурсы, расположенные в 4-х различных точках находящихся территориально в разных частях Москвы. Помещения имеют различную планировку, однако имеют общие черты: в них используется подвесной потолок, высота от него до пола - 3 метра, материал стен - гипсокартон, не утепленный, одна из стен основного отделения - кирпич, бетон, толщина 750мм.