Особенности защиты информации предприятия в сети Интернет

ВВЕДЕНИЕ 3
1. Теоретическая и нормативная база в области защиты информации 5
1.1 Рассмотрение нормативной базы в области защиты информации 5
1.2 Информация, подлежащая защите, определение источников информации 7
1.3 Угрозы информационной безопасности 9
2. Способы создания защищенных виртуальных каналов передачи данных 13
2.1 Сети VPN и их классификация 14
2.2 Анализ протоколов VPN сетей 16
2.3 Наиболее безопасный VPN протокол 18
2.4 Технология MPLS 20
2.5 Коммутация MPLS VPN 24
2.6 Инжиниринг трафика в MPLS 27
2.7 Преимущества организации VPN на базе MPLS 31
3. Практическая часть 35
3.1 Организационная структура ООО 35
3.2 Анализ информационных ресурсов 37
3.3 Модели угроз и нарушителя 39
3.4 Построение приватной виртуальной сети 44
3.5 Обновление программного обеспечения и средств защиты информации 52
3.6 Сканирование сегмента корпоративной сети ООО 54
ЗАКЛЮЧЕНИЕ 64
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 65
ПРИЛОЖЕНИЯ 67

1.1 Рассмотрение нормативной базы в области защиты информации

Для написания этой работы была взята нормативная база, состоящая из некоторых документов:
• устав организации ООО «ОРИСЕТ»;
• правила дневного плана и функционирование складов ООО «ОРИСЕТ»;
• ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России;
• ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России;
• ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России;
• ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;
• ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения;
• ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Методы и средства обеспечения безопасности.
...

1.2 Информация, подлежащая защите, определение источников информации

Защита информации - это набор комплексных мероприятий, совершающихся с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации, несанкционированного копирования, блокирования информации и т.п. Из за того что потеря информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение подходят также и мероприятия, связанные с повышением надежности сервера из-за отказов или нарушений в работе жестких дисков, недостатков в текущих программных средствах и т.д.
...

1.3 Угрозы информационной безопасности

Анализ рисков является одним из способов управления ими, позволяя выбирать адекватные меры для защиты информации с помощью определения уязвимостей, угроз, а также оценки возможного воздействия, позволяя своевременно реагировать на угрозы.
Основными целями анализа рисков являются:
• выявление угроз и уязвимостей;
• идентификация активов и их ценности для организации;
• количественная оценка вероятности угроз и влияния на бизнес потенциальных угроз;
• обеспечение экономического баланса между ущербом от воздействия угроз и стоимостью контрмер.
Благодаря анализу рисков можно сравнить потенциальный годовой ущерб с годовой затратой контрмер.
Сам процесс анализа рисков согласно ГОСТ Р ИСО/МЭК 27005-2010 делится на несколько этапов:
• выявление активов и их ценности для организации;
• выявление угроз и их характеристик;
• идентификация существующих средств управления рисками информационной безопасности.
...

2. Способы создания защищенных виртуальных каналов передачи данных

Виртуальные частные сети (Virtual Private Network, VPN) появились как более экономичная альтернатива выделенным каналам, используемых для построения частной компьютерной сети.
Виртуальные каналы частной сети, также, как и выделенные, объединяют разные участки сети в одну обособленную сеть, но в отличие от выделенных каналов, созданных с помощью коммутации каналов и имеющих неизменную пропускную способность, каналы виртуальной частной сети проходят внутри сети с коммутацией пакетов, такой как IP, MPLS или Ethernet.
Низкая стоимость VPN объясняется более эффективным делением ресурсов сети при коммутации пакетов, на фоне коммутации каналов, реализуемой в рамках построения частной сети.
VPN это безопасный туннель, соединяющий два или более компьютеров в сети Интернет, предоставляющий возможность им получать доступ друг к другу, как в локальной сети.
...

2.1 Сети VPN и их классификация

Технология VPN создавалась как более экономичная альтернатива защищенных коммуникаций, использующих общественные сети и вскоре стала технологией, обеспечивающей безопасность.
Организации перешли к созданию частных сетей, которые предназначены только для использования сотрудниками.
Используя технологии VPN, организации могут масштабировать ресурсы своей сети, объединяя удаленные офисы в единую частную сеть.
Цель VPN – создать надежное и безопасное соединение между сегментами корпоративной сети используя общедоступную сеть интернет.
VPN сеть имеет основные преимущества:
• объединение разных географических точек в единую сеть;
• безопасный обмен информацией;
• экономичность данной технологии;
• высокая производительность.
Требования к VPN сетям:
• Безопасность. Используя криптографию VPN защищает информацию в процессе перемещения её в сети Интернет. При попытке злоумышленников осуществить захват данных, они не смогут их расшифровать.
...

2.2 Анализ протоколов VPN сетей

Трафик VPN-соединений безопасно маршрутизируется через серверы, находящиеся в разных странах, защищая от локальных попыток слежения и взлома. Так же VPN технология прячет реальный адрес пользователя при обращении к интернет ресурсам.
VPN технологии используют разные протоколы разной степени шифрования.
Протокол туннелирования «точка-точка» (PPTP) имеет высокую пропускную способность трафика, но является менее безопасным в сравнении с другими протоколами, например, IPSec или OpenVPN, которые используют SSL/TLS (Secure Sockets Layer/Transport Layer Security).
OpenVPN поддерживает различные комбинации и виды шифрования, протоколы обмена ключами и алгоритмы хеширования. Наиболее популярна реализация с использованием алгоритма шифрования AES-256 с длиной ключа RSA не менее 2048 бит и криптографической хэш-функцией SHA-2 (SHA-256) вместо SHA-1.
...

2.3 Наиболее безопасный VPN протокол

Несмотря на то, что он основан на открытых источниках, многие рассматривают OpenVPN как самый безопасный протокол VPN. Он стабилен и надежен, легко конфигурируется для работы на любом порту, поддерживает аппаратное ускорение для улучшения скорости, способен пересекать межсетевые экраны и трансляцию сетевых адресов (NAT) и использует библиотеки OpenSSL для шифрования. Однако он требует клиентского программного обеспечения и не может использоваться на iPhone и только на ограниченном количестве телефонов Android.
Другой защищенный протокол VPN-L2TP/IPSec. У него есть устойчивый алгоритм шифрования, никакое дополнительное программное обеспечение для устройств не требуется, он встроен в большинство настольных операционных систем и мобильных устройств, довольно легко реализовывается и не имеет известных серьезных уязвимостей.
...

2.4 Технология MPLS

Технология многопротокольной коммутации по меткам (Multiprotocol Label Switching, MPLS) является одной из самых перспективных транспортных технологий. Эта технология комбинирует технику виртуальных каналов с возможностями стека TCP/IP.
Основное преимущество MPLS заключается в способности предоставлять различные транспортные услуги в IP-сетях, во-первых – услуги виртуальных частных сетей. Эти услуги отличаются разнообразием, они могут осуществляться как на сетевом, так и на канальном уровне. Кроме того, MPLS дополняет дейтаграммные IP-сети таким важным свойством, как передача трафика в соответствии с техникой виртуальных каналов, что позволяет выбирать нужный режим передачи трафика в зависимости от требований услуги.
Виртуальные каналы MPLS поддерживают инжиниринг трафика, так как они имеют детерминированные маршруты.
...

2.5 Коммутация MPLS VPN

Структура трафика, передающегося по сетям связи, за последние годы сильно изменилась. Очевидно, что при использовании пакетных сетей для обслуживания трафика реального времени необходимо предоставлять и гарантировать качество обслуживания (Quality of Service, QoS), создавать средства для того, чтобы во время перегрузки IP-сети на трафик реального времени не оказывалось воздействия или, по крайней мере, этот тип трафика получал бы более высокий приоритет перед остальными.
С недавних пор широкое распространение получила технология много протокольной коммутации по меткам – MultiProtocol Label Switching (MPLS).
MPLS – отделение процесса коммутации пакета от анализа IP-адреса в его заголовке, что позволяет проводить коммутацию пакетов намного быстрее. В соответствии с протоколом MPLS маршрутизаторы и коммутаторы присваивают на каждой точке входа в таблицу маршрутизации особую метку и сообщают эту метку соседним устройствам.
...

2.6 Инжиниринг трафика в MPLS

Технология MPLS поддерживает технику инжиниринга трафика. В этом случае используются модифицированные протоколы сигнализации и маршрутизации, имеющие приставку ТЕ (Traffic Engineering – инжиниринг трафика). Такой вариант MPLS получил название MPLS ТЕ.
В технологии MPLS ТЕ пути LSP называют ТЕ-туннелями. ТЕ-туннели не прокладываются распределенным способом вдоль путей, находимых обычными протоколами маршрутизации независимо в каждом отдельном устройстве LSR.
Вместо этого ТЕ-туннели прокладываются в соответствии с техникой маршрутизации от источника, когда централизованно задаются промежуточные узлы маршрута. В этом отношении ТЕ-туннели напоминают постоянным виртуальным каналам технологий ATM и Frame Relay.
Инициатором задания маршрута для ТЕ-туннеля является начальный узел туннеля, а рассчитываться такой маршрут может как этим же начальным узлом, так и внешней по отношению к сети программной системой или администратором.
...

2.7 Преимущества организации VPN на базе MPLS

Под термином VPN обычно имеется в виду круг технологий, обеспечивающих хорошо защищенную и качественную связь в пределах контролируемой группы пользователей по открытой глобальной сети [7].
Задача создания VPN сводится к максимальной степени отделения потоков данных одного предприятия от потоков данных всех других пользователей сети. Такое разделение должно быть хорошо обеспечено в отношении параметров пропускной способности потоков, а также, в отношении конфиденциальности передаваемых данных [8].
С все более растущим инетером к технологии, уже сегодня провайдеры предлагают планы предоставления услуг с добавленной ценностью поверх своих транспортных сетей VPN, расширяется рынок VPN-продуктов.
...

3.1 Организационная структура ООО «ОРИСЕТ»

Глава фирмы контролирует над четырьмя основными отделами предприятия ООО «ОРИСЕТ»:
• финансовым отделом
• диспетчерским отделом;
• коммерческим отделом;
• техническим отделом.

Привожу схему расположения отделов. (рис. 3.1)

Рисунок 3.1 – схема отделов ООО «ОРИСЕТ».
1 – диспетчерский отдел, 2,5 – технический отдел, 3,4 – коммерческий отдел, 6 – прихожая.

Финансовый отдел компании ООО «ОРИСЕТ» является отдельным подразделением предприятия и подчиняется напрямую директору. Отдел отвественнен за разумное и эффективное управление финансами и последующий их контроль во благо интересов компании.
...

3.2 Анализ информационных ресурсов

Информационные ресурсы - это данные, используемые для получения информации; документы и массивы документов, самостоятельные и в системах.
Информационные ресурсы фирмы находятся в файлах массивов информации на компьютерах, архивах, фондах, библиотеках.
Информационным ресурсам, которые имеют в себе информационные технологии, можно структурировать опираясь на методику их создания, оценки и инвентаризации.
Более подробный анализ информационных ресурсов в организации ООО «ОРИСЕТ» представлен в таблице №3.1.

Таблица №3.1 – Информационные ресурсы ООО «ОРИСЕТ».
...

3.3 Модели угроз и нарушителя

Для составления модели угроз и модели нарушителя необходимо определить наиболее важную информацию, проходящую в сети организации, а также хранимую на бумажных носителях.
На предприятии циркулируют:
– персональные данные сотрудников организации;
– персональные данные клиентов;
– коммерческая тайна организации;
– открытая информация.
Под угрозой имеется в виду высокая существующая вероятность специального или непреднамеренного действия, в результате которого могут быть нарушены основные свойства информации и систем ее обработки: доступность, целостность и конфиденциальность. Модель угроз информационной безопасности представлена в Приложении А.
Следует иметь в виду, что финальная цель нарушения может быть разной, она варьируется от категории объекта и облика возможного нарушителя.
Рассмотрим возможные типы нарушителей.
...

3.4 Построение приватной виртуальной сети

Финансовый отдел ООО «ОРИСЕТ» располагается в территориально удаленном здании в следствии чего возникает необходимость проработки вопроса защиты каналов связи между основным зданием организации и территориально удаленным финансовым отделом, а также построения приватной виртуальной сети.
Для построения корпоративной сети ООО «ОРИСЕТ» принимается решение использовать технологию OpenVPN, реализованную с помощью клиентской и серверной части с реализацией использования алгоритма шифрования AES-256 с длиной ключа RSA 2048 бит и криптографической хэш-функцией SHA-256.
OpenVPN выбран из за его стабильности, надежности, легкой конфигурации и обладающий высокой степенью защищенности информации благодаря использованию алгоритма шифрования AES-256.
На текущий момент сетевая схема выглядит следующим образом. (рис. 3.2)

Рисунок 3.2 – Схема связи основного офиса с финансовым отделом до построения VPN.
...

3.5 Обновление программного обеспечения и средств защиты информации

Для повышения уровня информационной безопасности была проведена работа с пользовательскими компьютерами коммерческого отдела в количистве 4 штук.
Ввиду устаревших установленных операционных систем было принято решение по экспорту всех данных на внешние носители, и последующей установкой самых современных операционных систем Windows 10 на замену старым и более не поддерживаемым компанией Microsoft, во избежание эксплуатации узявимостей злоумышленниками.
После обновления все файлы были возвращены обратно по рабочим местам, возобновлено подключение к локальной сети, установлены пользовательские и корпоративные программы. Главным же была установка лицензионного антивируса Kaspersky Internet Security 2019 и брандмауэра для защиты от вторжений по сети Agnitum Outpost Firewall Pro. На другие компьютеры организации так же были установлены эти программные средства защиты информации.
...

3.6 Сканирование сегмента корпоративной сети ООО «ОРИСЕТ»

С целью выявления уязвимостей наиболее значимого сегмента корпоративной сети было осуществлено сканирование и устранение уязвимостей информационной системы персональных данных (далее – ИСПДн) «1С: Бухгалтерия» организации ООО «ОРИСЕТ».
Данная система предназначена для информационного взаимодействия по средствам сети Интернет с налоговыми органами, Пенсионным фондом Российской Федерации, проведения платежей и взаиморасчетов с контрагентами, а также сотрудниками организации.
В ИСПДн «1С: Бухгалтерия» обрабатываются персональные данные сотрудников ООО «ОРИСЕТ».
Техническое обеспечение финансово-экономического отдела состоит из одного сервера и 4 рабочих мест сотрудников. Сервер и телекоммуникационное оборудование имеют статические адреса, рабочие станции – динамические адреса из диапазона 172.16.9.0/24.
...