Совершенствование системы защиты информации корпоративной сети IT компании

Бакалаврская работа, 58 с., 12 рис., 7 таблиц, 16 источников.
КОРПОРАТИВНАЯ СЕТЬ, ЗАЩИТА, УГРОЗЫ ИНФОРМАЦИ-
ОННОЙ БЕЗОПАСНОСТИ, ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ.
Объектом исследования является системы защиты корпоративной
сети IT компании.
Целью работы является совершенствование систем защиты корпоративной сети IT компании.
...

Список использованных сокращений ............................................................... 5
Введение ............................................................................................................... 6
1. Аналитическая часть ...................................................................................... 8
1.1 Анализ проблемы обеспечения информационной безопасности сетей
передачи данных ................................................................................................. 8
1.2 Возможности существующих систем по защите информации ............... 8
1.2.1 Анализ комплекса "Континент-К", и его возможностей по защите
информации ......................................................................................................... 9
1.2.2 Анализ комплексаКРИПТОН-IP, и его возможностей по защите
информации ....................................................................................................... 11
1.2.3 Анализ комплекса "ШИП", и его возможностей по защите
информации ....................................................................................................... 13
1.2.4 Анализ технологии “ViPNet”, и её возможностей по защите
информации ....................................................................................................... 15
1.2.5 Анализ технологии “Дионис”, и её возможностей по защите
информации ....................................................................................................... 20
1.3 Выводы ........................................................................................................ 28
2. Проектная часть ........................................................................................... 30
2.1 Назначение и основные требования предъявляемые к разрабатываемой
ЛВС ..................................................................................................................... 30
2.2 Концептуальная модель защиты информации в IT компании .............. 33
2.3 Предложения по организации системы защиты сети IT компании ...... 35
3. Экономическая часть ................................................................................... 39
3.1 Оценка временных задержек и загруженности разрабатываемой сети 39
3.2 Выводы ........................................................................................................ 53
Заключение ........................................................................................................ 55
Список использованных источников .............................................................. 57

Одним из немаловажных вопросов при проектировании корпора-
тивной сети является вопрос защиты информации. В ЛВС много уязвимых
мест и эффективная тактика защиты должна определяться индивидуально
для конкретных конфигураций. Самый серьезный недостаток - это низкий
уровень защиты информационных и вычислительных ресурсов от несанк-
ционированного доступа к ним. А, ведь, в сети компании хранятся боль-
шие массивы конфиденциальной информации. С помощью несанкциони-
рованного доступа можно не только получить информацию, исказить ее
или сделать недоступной для легальных пользователей, но еще и вывести
из строя целые компьютерные системы или дезорганизовать работу круп-
ной сети. Причем подобные попытки злоумышленников зачастую удачны,
а их общее количество неукоснительно растет.

Наличие в ДИОНИС функций межсетевого экрана позволяет исполь-зовать систему для построения защищенных ведомственных сетей, исполь-зующих открытые каналы связи для передачи конфиденциальной инфор-мации между подразделениями.В систему безопасности передачи датаграмм средствами ДИОНИС-технологии входят: IP-фильтрация, NAT-обработка, туннелирование.IP-фильтрация обеспечивает отсеивание нежелательных датаграмм.NAT-обработка выполняет подмену IP-адресов в заголовках датаграмм (неменяя ничего другого). При туннелировании датаграмма обрабатываетсяцеликом (заголовок и данные) и до-пускаются любые преобразования, втом числе, изменяющие длину исходной датаграммы.Полный алгоритм работы маршрутизатора ДИОНИС (с учетомфункций межсетевого экрана) представлен ниже.В ДИОНИС присутствует также полный наборфункций защиты соб-ственно сервера, включая следующие компоненты.231. Система защиты от несанкционированного доступа к ресурсамДИОНИС. Указанная защита может быть обеспечена с использованиепрактически любых сертифицированных аппаратных средств защиты отНСД (Криптон-Вето фирмы "Анкад", АККОРД фирмы "Инфокрипт",Secret Net фирмы "Информзащита").2. Система динамического контроля целостности программного иинформационного обеспечения ДИОНИС.3. Средства блокировки доступа абонентов системы к операцион-ному ядру ДИОНИС, определяемые архитектурой построения системы.4. Система ведения журналов всех происходящих событий с воз-можностью включения функций "анализатора протоколов".5. Система удаленного управления и система оповещения дежур-ного оператора о возникновении аварийных ситуаций.Как и в случае открытых систем, сетевые экраны на базе технологииДИОНИС обеспечивают модульность построения объектов Заказчика сучетом используемых технологий передачи данных и интенсивности при-менения корпоративной сети.Из приведенных примеров, в частности, следует, что сетевые экранытехнологии ДИОНИС предоставляют не только средства защиты пересы-лаемых данных, но и все типовые сервисы (электронная почта, WWW-серверы, базы данных и др.) для обслуживания клиентов. В зависимости отконфигурации узла предоставляемые сервисы могут находиться как в от-крытой, так и защищенной зоне корпоративной сети. Естественным ре-зультатом таких возможностей технологии является снижение стоимостипроектов и, что не менее важно, единая основа для администрированиявсех компонентов корпоративной сети.Подсистема аутентификации включается в состав ДИОНИС в техслучаях, когда при установлении соединения необходимо наряду с пароль-ной защитой дополнительно проверить источник и/или приемник вызова.24Указанная проблема возникает при использовании Internet как среды пере-дачи данных в корпоративных сетях. Суть проблемы в том, что в силу ар-хитектуры Internet маршрутизация вызовов осуществляется внешними поотношению к корпоративной сети устройствами (DNS-серверами). Подме-на этих устройств злоумышленником (эта операция осуществляется на ло-гическом уровне) приводит к тому, что, вызвав "свой" ресурс, абонент мо-жет установить соединение с некоторым другим сервером. Аналогичнаяпроблема подмены существует и со стороны абонента, поскольку в случаепарольной защиты достаточно получить информацию об имени и пароле,чтобы начать работать под чужим именем, вообще говоря, с любого ком-пьютера, имеющего выход в Internet.В технологии ДИОНИС указанная проблема решается следующимобразом. На сервер и рабочее место клиента устанавливаются дополни-тельные аппаратные или программные средства, использование которыхдо установления соединения позволяет в результате обмена специальнымисообщениями однозначно идентифицировать компьютер клиента и компь-ютер сервера. Если процедура аутентификации проходит успешно (под-тверждение полномочий), то соединение устанавливается; в противномслучае - разрывается с выдачей соответствующего предупреждения адми-нистратору корпоративной сети.Простейшие корпоративные сети предоставляют своим абонентамвозможность обмена информацией только в режиме Электронной почты.Соответственно, естественной задачей является оснащение рабочих мест,участвующих в обмене информации, средствами электронной цифровойподписи и шифрования данных.Представленное решение реализуется средствами почтовых агентови транспортных модулей технологии ДИОНИС, обеспечивающих средстваэлектронной подписи и шифрования передаваемых данных. При этомпредполагается, что вся конфиденциальная информация будет передавать-25ся по сети только в зашифрованном виде и, как следствие, только со спе-циально оборудованных рабочих мест.Указанные средства защиты данных достаточны, если для организа-ции взаимодействия между офисами и отдельными абонентами использу-ются арендованные прямые выделенные каналы или телефонные коммути-руемые каналы, а так же если передача данных ведется через сети Х.25,Frame Relay или другие, не использующие технологий на базе протоколаTCP/IP. Последняя оговорка является весьма существенной, посколькуприменение Internet-технологий даже исключительно в почтовом режимеоткрывает в процессе сеанса связи возможность внешнего несанкциониро-ванного доступа к ресурсам собственно рабочего места абонента, а еслионо подключено к локальной сети, то и к сети в целом.Дополнительная защита почтовых сообщений в корпоративной сетиможет быть гарантирована, если наряду с абонентскими криптосредствамиприменяются собственные почтовые серверы (почтамты), находящиесяпод контролем администраторов "своей" сети. При работе с внешнимисерверами информация хранится на узлах, доступ к которым, во всякомслучае, контролируется оператором связи.В тех случаях, когда в локальной сети размещено несколько абонен-тов системы электронной почты, работающих с конфиденциальной ин-формацией, весьма эффективным является перенос функций шифрова-ния/расшифрования сообщений с рабочих мест абонентов на сервер элек-тронной почты. В этом случае при настройке почтамта администратор за-дает имена абонентов и/или направления отсылки сообщений, вся инфор-мация которых шифруется перед отправкой и расшифруется при приеме.Помимо экономической эффективности применение крипто-почтамта поз-воляет также существенно улучшить показатели администрирования си-стемой за счет передачи функций принятия решений о закрытии информа-ции от абонентов к администратору сети. Естественно, что при использо-26вании крипто-почтамта средства электронной подписи переносить от або-нентов на сервер вряд ли целесообразно.При использовании среды Internet для передачи собственно конфи-денциальной информации (ведомственные WWW-серверы, базы данных ит.п.), наряду с рассмотренными мерами необходимо обеспечивать защитуот перехвата информации в процессе ее передачи через сеть. Учитывая,что сетевые средства ограничения доступа в сети Internet отсутствуют (вотличие, например, от сетей Х.25, где указанные вопросы решаются на ос-нове закрытых групп абонентов), единственным средством защиты данныхявляется шифрование передаваемых по сети пакетов.В технологии ДИОНИС указанная проблема решается на основекриптомаршрутизатора с использованием технологии туннелирования.Использование этой технологии позволяет решить весь комплекс во-просов защиты корпоративной информации при ее передаче по открытымканалам связи.1. Наивысший уровень защиты информации в корпоративной се-ти обеспечивается при комплексном использовании перечисленных вышесредств.2. Абонентские места, участвующие в обработке конфиденциаль-ной информации, оснащаются средствами электронной цифровой подписии шифрования данных; последняя функция в зависимости от уровня требо-ваний к системе может быть реализована аппаратными или программнымисредствами.3. Доступ к корпоративной сети удаленных (в том числе, внеш-них) абонентов выполняется через специализированные серверы доступа,осуществляющие идентификацию абонентов и контроль их прав доступа.4. Обмен сообщениями (почтой) осуществляется через корпора-тивный почтамт, обеспечивающий контроль доступа и идентификациюабонентов, а также фильтрацию пересылаемых сообщений.275. Подключение локальных сетей к сети передачи данных осу-ществляется через сетевой экран, реализующий функции фильтрации итрансляции адресов.6. Обмен данными в переделах корпоративной сети осуществля-ется на основе технологии туннелирования, обеспечивающей шифрованиепотока данных, а в случаях, когда пропускная способность линий связи не-достаточна, компрессию данных перед их отправкой в канал.7. Система протоколирования осуществляет фиксацию всех дей-ствий абонентов и обеспечивает статистическую обработку создаваемыхархивов.В рамках технологии ДИОНИС все функции, перечисленные выше,реализуются единым сервером, что существенно упрощает администриро-вание комплексной системы защиты и, что также существенно, снижает еестоимость.С помощью транспортных модулей (ТМ) программное обеспечениеавтоматизированного рабочего места может соединиться с ресурсом (хо-стом ДИОНИС), передать подготовленную своими прикладными програм-мами информацию в адрес удаленных абонентов (систем) и принять с хо-ста ДИОНИС всю информацию, полученную в "адрес" своих прикладныхпрограмм.Рассмотренная технология предоставляет для пользователя болееширокий спектр сервисов. При этом обеспечивается защита всех данныхциркулирующих в системе и передаваемых между компонентами сети пооткрытым каналам связи. Как уже отмечалось выше данная технологияуспешно применяется в ряде систем, в том числе и в системах предъявля-ющих высокие требования по защите информации.1.3 Выводы Проведя анализ российского рынка средств для построения защи-щенных локальных сетей можно выделить комплекс “Континент-К”, обла-28дающий высокой пропуск-ной способностью, и технологию ДИОНИС, всостав которой включен большой комплекс дополнительных услуг.Для систем, использующих открытые каналы связи для передачисведений содержащих коммерческую тайну, необходимо использованиекомплекса “Криптон-IP”, сертифицированного ФСТЭК и ФСБ.292. ПРОЕКТНАЯ ЧАСТЬ 2.1 Назначение и основные требования предъявляемые к раз- рабатываемой ЛВС IT компания решает задачи по анализу, обработке, защите и хране-нию информации. Для решения этих задач в компании создано специаль-ное управление. Во главе него стоит начальник управления. В составуправления входят 5 отделов и оперативная группа. Каждый отдел и опе-ративную группу возглавляет начальник отдела и начальник оперативнойгруппы, соответственно. Каждый отдел имеет в подчинении разное коли-чество отделений. В каждом отделении, в свою очередь, работают сотруд-ники согласно штатного расписания.Организационная структура Управления представлена на рис.2.1.Управление1 отдел1 отделение 1 отдела2 отделБанкОперативная группа данных4 отделение 3 отдела1 отделение 2 отдела3 отдел4 отдел5 отдел1 отделение 3 отдела2 отделение 3 отдела1 отделение2 отделение 4 отдела4 отдела1 отделение 5 отдела2 отделение 5 отдела2 отделение 1 отдела3 отделение 3 отдела1 мобильная группа 2 отделение 2 отдела2 мобильная5 группа3 мобильная4 мобильнаямобильная группагруппагруппаРис.2.1. Структура Управления.Согласно задачам, решаемым в данном управлении его подчинен-ные подразделения территориально находятся в различных местах:– управление (начальник, его заместители и секретариат), 1 и 2отделы находятся в одном здании города Москвы;30– 3 отдел – отдельное здание в городе Москва;– 4 и 5 отделы – отдельное здание в городе Санкт-Петербург;– оперативная группа – начальник, его заместитель и дежурныйнаходятся в здании Управления, а входящие в его состав 5 мобильных от-делений находятся на территории города и поддерживают удаленную связьс оперативной группой.Так же для эффективного решения поставленных задач в сети дан-ного управления есть 2 сервера, выполняющих роль банков данных, и 2сервера, в роли файл-серверов. 1 банк данных и файл-сервер находится всекретариате управления, второй банк данных находится в здании в городеСанкт-Петербург, второй файл-сервер находится в 3 отделе.Поскольку необходимо увеличить эффективность работы данногоподразделения, сначала нужно рассмотреть какие директивные требованияпо эффективности предъявляются к подобным системам.Э = <Н, У, Ж, О>,где Н – надежность;У – устойчивость;Ж – живучесть;О - оперативность.Надежность – свойство технической системы сохранять на опреде-ленном промежутке времени значения установленных параметров, харак-теризующие способность выполнять возложенные на нее функции, в за-данных режимах и условиях использования и технического обслуживания.Надежность является комплексным свойством, которое, в зависимости отназначения и условий эксплуатации системы, может отражать безотказ-ность, долговечность, ремонтопригодность и сохраняемость в отдельностиили в сочетании этих свойств.Устойчивость технической системы – способность сложной систе-мы сохранять некоторое требуемое свойство процесса функционирования31в условиях действия возмущений. Это понятие обобщает ряд частных по-нятий. Частное понятие устойчивости системы формируется путем конкре-тизации свойства процесса функционирования сложной системы, котороепо условиям задачи необходимо сохранять, и задания класса допустимыхвозмущений, вызываемых внутренними и внешними факторами.Живучесть – свойство технических систем сохранять и восстанав-ливать способность выполнять функциональные задачи в условиях всехвидов воздействия и возмущений внешней среды.Оперативность – свойство системы быстро, своевременно и без ис-кажений передавать информацию.Отсюда видно, что компания, не имея системы передачи данных, несможет удовлетворять всем этим требованиям, поскольку не сможет вполной мере обеспечивать надежность и защиту обрабатываемой инфор-мации, не имея базы данных. Устойчивость и оперативность передачи ин-формации так же не будут достигнуты без современных каналов связи исистем передачи данных.Рассмотрев структуру управления и нахождение его подразделений,необходимо решить вопрос о каналах связи которые будут применятся длясвязи между различными подразделениями и их уязвимости для атак, и не-обходимых методах и средствах защиты информации.Для дальнейшего построения сети передачи данных необходимоопределится с технологией локальных сетей, на основе которых будутстроится локальные сети внутри каждого отдельного здания. Рассмотревнаиболее популярные технологии – для разрабатываемой сети примем ос-новной технологию Fast Ethernet. Эта технология обеспечивает необходи-мую пропускную способность (100 Мбит/с) и поддерживает оптимальные,для разрабатываемой сети, топологии построения сети (шина/звезда).Для связи будем применять:32– на этаже – кабель на основе витой пары категории 5 или 6 сэкранированием;– между этажами одного здания – оптоволоконный кабель;– между зданиями в одном городе – связь с помощью модемовпо телефонному кабелю;– между зданиями в разных городах – связь по открытой сетиInternet через модем;– с мобильными группами – соединение с помощью спутниковойсвязи.Будем считать что сеть внутри отдельно взятого здания защищенадостаточно хорошо и не требует дополнительной защиты. Поэтому опас-ность для всей сети передачи данных Управления прежде всего представ-ляют каналы передачи данных между зданиями, городами и связь с мо-бильными группами.2.2 Концептуальная модель защиты информации в IT компа- нии Исходя из особенностей построения сети и решаемых ею задач,можно определить возможные угрозы сетевым ресурсам. В обобщенномвиде это:– несанкционированный доступ к ресурсам, съем информации;– отсутствие контроля прав предоставляемых пользователям;– отсутствие защиты протоколирования подключений пользова-телей;– возможность блокирования работы сервера;– возможность утечки конфиденциальной информации через ка-налы сетевого взаимодействия;– отсутствие проверки паролей на устойчивость к подбору.Модель нарушителя:33– возможность физического подключения к элементам сети, втом числе к линиям и узлам коммутации распределенной транспортнойсреды, в том числе и перехват виртуального канала;– возможность входа в систему во время отсутствия должност-ных лиц;– возможность доступа к информационным ресурсам лиц из чис-ла организации, не обладающих соответственными правами;– возможность проникновения в сеть из внешней среды.Предполагается, что организационные мероприятия и техническиемеры по защите помещений, персонала и организации доступа к оборудо-ванию реализованы в полном (требуемом) объеме.Однако в любом случае остаются актуальными каналы проникнове-ния в сеть извне - через внешнюю сеть; изнутри - со стороны своих со-трудников-злоумышленников, в результате сбоев работы программногообеспечения и реализации программных закладок; из среды корпоративно-го транспорта - путем перехвата трактов передачи.Поэтому, для построения системы защиты сети необходимо решитьследующие задачи.1. Ограничение возможностей проникновения в сеть злоумыш-ленных воздействий из внешней среды.2. Защита всего служебного трафика данных в сетевых сегментах,независимо от степени их конфиденциальности, так как открытый IР-трафик открывает возможности проникновения в ресурсы пользователей.3. Защита мультимедийного трафика во всех средах его передачи.4. Защита каналов сетевого транспорта.Каждый распределенный объект сети защищается использованиемабонентского шифрования всего исходящего трафика. Вероятные сетевыеугрозы в полном объеме могут быть реализуемы в сегментах сети, так какимеется выход во внешние сети, и сегменты сети являются IP-сетями.34На входе в каждую удаленную сеть - защищенный сегмент стоиткриптомаршрутизатор, который позволяет скрыть структуру защищеннойсети, обеспечивая тем самым полную прозрачность для конечных пользо-вателей, защищает закрытую сеть от атак из внешней среды, а так же обес-печивает невозможность прослушивания трафика в сети.Маршрутизаторы, в данном случае, соединяют друг с другом подсе-ти и обеспечивают их связность, т.е. обеспечивают передачу данных меж-ду ними. Функции маршрутизаторов могут выполнять как специализиро-ванные устройства, так и универсальные компьютеры с соответствующимпрограммным обеспечением. Маршрутизаторы являются высокоэффек-тивным средством для соединения разных элементов сети в случае сетевойструктуры произвольной сложности. В отличие от мостов, маршрутизато-ры работают с логическими идентификаторами каждого сегмента сети. Всвязи с этим межсетевое взаимодействие, основанное на маршрутизаторах,позволяет объединить множество различных подсетей.2.3 Предложения по организации системы защиты сети IT компании Основную часть защиты, предлагается реализовывать криптографи-ческими механизмами, а именно шифрованием данных и передача их поканалу в зашифрованном виде. Только в этом случае можно говорить о со-хранении конфиденциальности и целостности информации. Так же долж-ны быть рассмотрены механизмы аутентификации пользователей с цельюпредотвращения перехвата сеансов связи. Для того чтобы злоумышленник,который к примеру, обойдя все средства защиты, проник в нашу сеть иполучил доступ к информации, передаваемой внутри сети не смог в итогеполучить никакой открытой информации, все данные в локальной сетидолжны шифроваться. Это не относится к заголовкам IP пакетов, переда-ваемых в сегментах сети. Предлагается не шифровать заголовок, так какэто повлечет за собой потребность расшифровки пакета на каждом проме-35жуточном узле, что может негативно сказаться на быстродействии сети вцелом. И в случае, если промежуточный узел скомпрометирован, то можетпроизойти утечка информации. Поэтому целесообразно, чтобы содержи-мое пакета расшифровывалось непосредственно на узле адресата.Т.к. мы разрабатываем сеть специального назначения, т.е. к нейпредъявляются повышенные требования по защите информации, для за-щиты информации будем применять отечественные средства криптогра-фической защиты, которые прошли сертификацию ФСТЭК. Все рассмот-ренные средства защиты шифрования данных используют отечественныйстандарт шифрования ГОСТ 28147-89 в режиме гаммирования.В разрабатываемой сети передача данных между зданиями, города-ми и с мобильными группами осуществляется по открытым каналам связи.