ТЕМА: «Забезпечення захисту даних у підсистемі« Облік розподілу товару »»

Введення. 4
1. Клас захищеності розробляється підсистеми .. 5
2. Горизонтальна модель мережі. 6
2.1 Опис можливих загроз. 7
2.2 Заходи щодо усунення загроз безпеки мережі. 8
3. Механізми захисту вертикальної структури мережі. 11
3.1 Фізичний рівень. 11
3.2 Канальний рівень. 11
3.3 Мережевий рівень. 11
3.4 Транспортний рівень. 12
3.5 Прикладний рівень. 12
3.6 Захист операційної системи .. 12
3.7 Прикладне і загальносистемне програмне забезпечення. 12
3.8 Захист СУБД .. 13
4. Організаційні заходи, спрямовані на підвищення рівня інформаційної безпеки на підприємстві. 14
5. Підрахунок кошторисної вартості обладнання, необхідного для виконання запропонованих заходів із забезпечення безпеки мережі. 15
Висновок. 17
Список літератури .. 19
Додаток ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ....... 20

Введення

У цьому курсової проекті розглядається питання забезпечення захисту даних у підсистемі «Облік розподілу товару», що розробляється для підприємства ТОВ «Дел-Трейд» займається оптово-роздрібною торгівлею продуктів харчування в г.Ухта. Система створюється для автоматизації процесу ведення, контролю та обліку розподілу товару, формування супровідних документів (накладних, агентських прайсів), інформації отриманої в процесі роботи (заявка).
У роботі розглядається питання забезпечення захисту даних у підсистемі, яка розробляється для відділу продажів і методи практичної реалізації забезпечення безпеки цих даних.
Метою проекту є підвищення ефективності роботи офісного персоналу.
Крім цього, пропонована система повинна дозволяти: зменшити витрати часу на надання відомостей про асортимент та кількість наявного товару, необхідних характеристиках; економити робочий час співробітника і полегшити його роботу в оперативності отримання та обробки інформації про обсяг товарообігу; зберігати дані в більш зручному компактному вигляді, що істотно підвищить швидкість доступу до інформаційних ресурсів, а також забезпечить надійний захист від втрати інформації та несанкціонованого доступу до неї.
Розробником системи є студент групи ІСБ-1-00, Веремієнко В.В., Замовником системи є ТОВ «Дел-Трейд» в особі директора Валіулін Сергія Габдулхановіча.

1. Клас захищеності розробляється підсистеми

Всі класи оцінки автоматизуються систем поділяють на 3 групи, які розрізняються особливостями обробки інформації:
3 група: класифікує АС, в якій працює один користувач, допущений до всього обсягу інформації АС, що відноситься до одного рівня конфіденційності (3А, 3Б).
2 група: класифікує АС, в якій користувачі мають однакові права до всієї інформації і вся вона розміщена на одному рівні конфіденційності (2А, 2Б).
1 група: класифікує багатокористувацькі АС, в яких одночасно обробляється та зберігається інформація різних рівнів конфіденційності, і не всі користувачі мають права доступу до всієї інформації (1А, 1Б, 1В, 1Г, 1Д).
Розробляється підсистема відноситься до першої групи, тому що вона є на багато користувачів. У підсистемі передбачається розмежування прав доступу користувачів до даних (кожен користувач має доступ тільки до тих даних, які необхідні тільки йому). У той же час інформація, з якою працює підсистема, не має жоден з грифів секретності, а носить суто конфіденційний характер. Таким чином, класом захисту нашої системи буде 1Г.

2. Горизонтальна модель мережі

Всі користувачі підсистеми, а також сервера баз даних з'єднані в мережу (див. Додаток 1 «Схема мережі»). Комп'ютери користувачів з'єднані між собою пристроєм (Switch), що дозволяє об'єднати комп'ютери в невелику локальну мережу. Один з комп'ютерів підключений до Інтернету за допомогою модему.
Дана мережа потребує захисту інформації, переданої по мережі. Інформація може бути піддана зміни, видалення, розкрадання, що приведе підприємство до втрат. Для розмежування доступу до інформації на сервері буде встановлена ​​СУБД та організовано доступ до сервера з усіх клієнтів. Отже, отримання, заповнення та редагування інформації відбуватиметься засобами сервера СУБД, що дозволяє розмежувати доступ до інформації засобами самої СУБД. АС буде доступна тільки офіс-менеджерам підприємства та керівнику відділу продажів.
Вся інформація буде зберігатися на сервері з встановленою системою управління базами даних (СКБД) і буде організовано доступ до сервера з усіх клієнтів за допомогою локальної мережі підприємства. Таким чином, отримання, заповнення та редагування інформації відбуватиметься засобами сервера СУБД, що дозволяє розмежувати доступ до інформації засобами самої СУБД.
У розробляється підсистемі в залежності від використовуваних ролей настроюються права конкретного користувача, при цьому обумовлюється набір доступних йому підсистем та перелік операцій, які він може виконувати в кожній з них (Таблиця 1).
Табл.1
Умовні позначення:
П - перегляд даних;
Р - редагування;
Д - додавання даних;
У - видалення даних;

2.1 Опис можливих загроз

У загальному випадку загрози безпеки мережі підприємства можна розділити на дві великі групи: внутрішні і зовнішні.
Зовнішні загрози:
· Несанкціонований доступ до каналів передачі даних. Дана загроза може виникнути у тих випадках, коли стороння людина зможе підключитися до мережі передачі даних, причому підключення може відбуватися будь-яким чином. (2)
· Несанкціонований доступ до системи через Internet. Дана загроза може мати місце в тих випадках, коли є вихід у Всесвітню мережу Internet. (5)
Внутрішні загрози:
· Несанкціонований доступ до основних ресурсів: сервери, активне устаткування (1)
· Несанкціонований доступ до персонального комп'ютера користувача (3)
· Несанкціонований доступ до принтерів, що працюють з конфіденційною інформацією (6)
· Підміна робочого місця користувача. Ця загроза виникає в результаті заміни комп'ютера користувача іншим і підміни IP-адреси. У цьому випадку, дані, призначені для користувача, потрапляють в чужі руки (7)
Джерела потенційних загроз безпеки наочно наведено додатку.

2.2 Заходи щодо усунення загроз безпеки мережі

Для ліквідації загроз необхідно розробити організаційні заходи:
· Для захисту від загроз безпеки мережі, що виходять з Internet та несанкціонованому доступу до каналів передачі даних (загрози № 2,5) доцільно виділити окремий комп'ютер для виходу в Internet, не приєднаний до мережі підприємства, і дозволити доступ до комп'ютера співробітнику (керівник відділу) , який відповідає за прийом пошти та матеріалів необхідних для роботи підприємства. Також обов'язково потрібно встановити антивірусне ПЗ. Комп'ютер повинен стояти в окремому кабінеті, ключ повинен знаходитися тільки в керівника відділу.
· Для забезпечення захисту активного обладнання від несанкціонованого доступу до нього (загроза № 1), необхідно його розмістити під охорону. Забезпечити доступ до нього і видачу ключів особам, які мають такі повноваження, наприклад керівнику відділу.
· Для захисту від несанкціонованого доступу до комп'ютера користувачів (загроза № 3) необхідно використовувати паролі. Пароль - це послідовність літер, цифр та інших символів, за допомогою, якої система перевіряє, чи дійсно це той самий користувач, який має даний обліковий запис і право доступу до ресурсів.
До паролів пред'являються певні вимоги:
§ пароль не повинен містити даних, які якось пов'язані з користувачем (дата народження, адреса та ін);
§ пароль повинен поєднувати в собі як символи, так і числа;
§ пароль повинен містити від 8-10 символів;
§ Для ускладнення доступу до комп'ютера і його ресурсів, необхідно передбачити паролі BIOS. Також потрібно фізично заблокувати доступні і не використовувані порти.
§ Необхідна періодична зміна паролів
· Несанкціонований доступ до принтерів, що працюють з конфіденційною інформацією (Загроза № 6). Мережеві принтери, що працюють з конфіденційною інформацією, повинні стояти окремо. Можливе рішення загального використання принтерів при безпосередній присутності близько принтера: документ, надісланий на друк, можливо, роздрукувати тільки при ідентифікації і аутентифікації користувача, що послав документ, на самому принтері.
· Для того щоб уникнути підміни робочого місця користувача (загроза № 7), приміщення у позаробочий час має перебувати під замком. Ключ повинен видаватися на підставі розпорядження директора особам, що вказані у ньому.
Щоб уникнути підміни обладнання користувача необхідно зробити прив'язку MAC-адреси мережевого інтерфейсу до комутатора, тобто дозволити доступ до цього порту певного мережевому пристрою. Існує також ряд неявних загроз, які можуть виникнути в процесі функціонування активного устаткування, наприклад збій в електроживленні, вихід з ладу вінчестерів, пожежа.
Для запобігання наслідків від збою рекомендується використовувати:
1. Фільтри харчування;
2. Джерела безперебійного живлення;
3. Автономні генератори.
4. Засоби пожежогасіння

3. Механізми захисту вертикальної структури мережі

Для підвищення надійності захисту інформації в мережі необхідно захищати її на кожному рівні моделі OSI.

3.1 Фізичний рівень

Даний рівень відповідає за кодування переданих сигналів. На цьому рівні відбувається перетворення бітів в електричний сигнал. В ідеалі для виключення можливості впливу різних електромагнітних наведень, що призводять до спотворення інформації, що передається, для передачі даних необхідно використовувати спеціальний екранований кабель. Навколо кабелю передачі даних утворюється електромагнітне поле, яке дозволяє за допомогою спеціальних пристроїв зчитувати передану інформацію. Для усунення даної загрози кабель необхідно прокладати як можна далі від вікон, щоб можливість зчитування даних за межами будівлі зводилася до мінімуму.

3.2 Канальний рівень

На даному рівні відбувається робота з МАС-адресами мережевих інтерфейсів (адресами мережевих карт). Адміністратору необхідно здійснити прив'язку МАС-адреси, як говорилося вище стосовно до горизонтальної моделі, до конкретних портів активного обладнання, наприклад, комутатора. Така прив'язка виключає можливість підміни робочого місця користувача.

3.3 Мережевий рівень

Цей рівень відповідає за маршрутизацію, тобто за вибір оптимального шляху доставки пакета даних адресату. Відповідно до цього доцільно розбити мережу на віртуальні сегменти (згрупувати в окремі VLAN-и). Таке розбиття припускає, що групи користувачів, що відносяться до конкретного сегменту, будуть мати справу тільки з тією конфіденційною інформацією, яка їм необхідна.

3.4 Транспортний рівень

Відповідає за доставку інформації по лініях з комутацією пакетів. Транспортними протоколами в мережі Інтернет є протоколи UDP і TCP. Подібно механізму захисту на мережевому рівні, тут також використовуються ACCESS-листи, проте в них можна вказувати не адреси мереж, а адреси конкретних сервісів. Такі списки доступу налаштовуються на серверах.

3.5 Прикладний рівень

Даний рівень мережної моделі відповідає за взаємодію користувальницького додатка з мережею. Заходами захисту на даному рівні є ідентифікація та аутентифікація користувачів. Ідентифікація полягає в перевірці наявності даного користувача в списку, а аутентифікація - у перевірки достовірності імені та пароля. Як говорилося вище для горизонтальної моделі, тут також необхідно передбачити періодичну зміну паролів і виключити наявність «слабких паролів». Користувача без пароля в системі бути не повинно.

3.6 Захист операційної системи

На всіх користувачів даної системи бажано встановити операційну систему Windows 2000/NT. При інсталяції та налаштування ОС рекомендується:
· На сервері з конфіденційною інформацією не повинно бути таких сервісів, як telnet, ftp, http, smtp і т.д.
· Не використовувати віддалене адміністрування.
· Включити виявлення атак.
· Постійно стежити за появою загроз в системі.
· Обов'язково виконувати резервне копіювання, архівування.

3.7 Прикладне і загальносистемне програмне забезпечення

· Заборонити вести розробку і експлуатацію ПЗ на промислових ресурсах. Для цих цілей повинні бути виділені окремі ресурси;
· Кожен суб'єкт повинен мати доступ тільки до дозволених йому об'єктах;

3.8 Захист СУБД

В якості сервера необхідно використовувати MS SQL Server 7.0. Необхідно виконання наступних заходів щодо захисту сервера СУБД.
· Доступ до даних здійснюється тільки через системи ролей, які призначаються системним адміністратором і затверджуються керівництвом підприємства;
· Виконується резервне копіювання бази даних.
· Установка джерела безперебійного живлення, для підвищення надійності електроживлення на сервері.

4. Організаційні заходи, спрямовані на підвищення рівня інформаційної безпеки на підприємстві

Проведення організаційних заходів є не тільки найбільш ефективним, але і дешевим засобом захисту інформації.
Для захисту автоматизируемой системи було б непогано затвердити наступні організаційні заходи:
· Необхідно здійснювати охорону приміщень, в яких перебуває активне обладнання, а також організація обліку ключів.
· Має бути розроблений регламент на використання паролів.

· Має бути розроблений регламент на проведення інвентаризації.
· Повинні бути розпорядження на видачу конфіденційної інформації в документальному вигляді.
· Має бути розроблений регламент про резервне копіювання, який описується тим, хто відповідає за ці дії, а також графік їх виконання.
· Регламент про заборону на вихід в Інтернет співробітникам не мають на це прав.
· Повинен бути виданий заборона на використання переносних пристроїв інформації (Flash - пам'ять, диски).
· Розмежування доступу до мережевих ресурсів
· Має бути розроблений регламент на копіювання і зберігання архівів.
· Має бути вироблено затвердження політики безпеки.
· Має бути розроблений регламент про отримання відомостей при переміщенні по службі (звільнення): на підставі наказів про звільнення службовців або їх переведення до інших підрозділів необхідно видалити обліковий запис, або змінити права доступу відповідно.
· Має бути розроблений регламент на використання антивірусного ПЗ.
· Регламент на профілактику: установка patch-їй: при виявленні уразливого місця в програмному забезпеченні встановити відповідний patch.
· Регламент на проведення відновлювальних робіт і порядок дій.

5. Підрахунок кошторисної вартості обладнання, необхідного для виконання запропонованих заходів із забезпечення безпеки мережі

У ході аналізу ризиків втрати інформації та розробки концепції інформаційної безпеки були розглянуті можливі загрози втрати інформації та методи захисту від цих загроз.
Перелік програмних продуктів і обладнання, необхідних для інформаційної безпеки:
1. Windows 2000/NT - 4000р.
2. Антивірусна програма: Антивірус Касперського Personal - 1400р.
Повністю виключити вихід в Інтернет на підприємстві не можливо, так як по електронній пошті на підприємство надходить велика кількість необхідної для роботи інформації (прайси, копії договорів та сертифікатів). Підрахунок вартості покупки нового комп'ютера і його приблизна конфігурація наведені в таблиці 1. Дані наведені відповідно до прайс-листом магазину «Дефад» на 20.12.2004 року.
Установка антивірусного ПЗ обов'язкове, так як зараження комп'ютера вірусами через Інтернет і вихід з ладу системи, можуть спричинити за собою величезні збитки для підприємства у зв'язку з простоєм роботи. Для усунення загрози несанкціонованого доступу до принтерів, що працюють з конфіденційною інформацією пропонується замінити принтер HP LJ 1200 знаходиться у відділі продажів на HP Jet Direct 615N J6057A 10/100Base-TX Int. print server.

Висновок
У даному курсовому проекті розглянуті загрози безпеки мережі підприємства «ТОВ Справ-трейд» на різних рівнях відповідно до класифікації внутрішніх і зовнішніх загроз. Виходячи з цих даних, було проведено аналіз можливих загроз, яким могла піддатися персональна інформація і користувачі, що працюють із нею. Вивчивши, ступінь можливого ризику появи цих загроз був проведений пошук рішень щодо зниження ймовірності появи Побудована схема мережі для функціонування підсистеми. Для розробляється підсистеми описані розмежування прав користувачів та запропоновано заходи, як для захисту всієї мережі підприємства, так і для захисту даних, що обробляються підсистемою. Для захисту від зовнішніх погроз, витікаючих з Інтернету запропоновано придбати окремий комп'ютер. Розраховані витрати на впровадження запропонованих заходів.
Таким чином, при дотриманні виконання всіх перерахованих заходів конфіденційні дані будуть надійно захищені.
Відповідність класу захищеності 1г:

Список літератури
1. Некучаева Н.А. «Курс лекцій з захисту інформації».
2. Основи комп'ютерних мереж.: Пер. з англ. - М.: Видавничий дім «Вільямс», 2002. - 656 с.