Система обеспечения защищенности локальной сети отдела воинской части
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?ов, поэтому после обнаружения атаки администратору безопасности или оператору рабочего места вызова следует немедленно прервать сеанс связи. Для исключения атаки этого типа оператору рабочего места вызова рекомендуется использовать фиксированный перечень серверов пейджинговых служб и обращаться к ним, задавая непосредственно IP-адрес, а не домен.
и)Защита от НСД по коммутируемым линиям связи. Политика безопасности отдела четко определяет границы работы удаленных пользователей в рамках только открытого контура доставки. Для этого Телекоммуникационный сервер должен размещаться в открытом сегменте. Прямой доступ в закрытые контуры для удаленных пользователей должен быть закрыт межсетевым экраном. Обмен сообщениями с рабочими станциями закрытых контуров должен происходить только через сервер электронной почты или телекоммуникационный сервер.
к)Безопасность MS SQL Server [9], [12]:
)в MS SQL Server включена опция блокировки учетной записи пользователя базы данных в случае серии неудачных попыток аутентификации;
)для усиления безопасности сервера БД параметр уровня аудита установлен в значение Все попытки, что означает, что будут регистрироваться все попытки доступа к БД;
)используются различные пароли пользователя для доступа к компьютеру и к СУБД.
л)Средства для предотвращения потерь информации при кратковременном отключении электроэнергии. В отделе установлен источник бесперебойного питания UPC Matrix 3000, который является полностью автоматическим устройством и имеет функции слежения за состоянием и параметрами первичной (внешней) и вторичной линий сетевого питания.
м)Контроль целостности программного обеспечения, тестирование программных и аппаратных средств. Для защиты аппаратных средств от возможного внедрения закладных устройств все средства проходят специальные проверки. То же касается и ПО. В отделе используется только лицензионное ПО.
н)Физическая защита компонентов ВС. Для обеспечения физической защиты от НСД все серверы ЛВС, МЭ, патч-панели с концентраторами, модемами, мультиплексором, маршрутизатором и другим коммуникационным оборудованием расположены в отдельной охраняемой комнате.
п)Защита сервера электронной почты. Для защиты сервера электронной почты были предприняты следующие меры.
1)Для ликвидации уязвимости в Exchange Server 5.5, связанной с рассылкой спама без ведома администратора, была отключена гостевая учетная запись.
2)Для защиты от вредоносных программ используется Антивирус Касперского Business Optimal [10]. Он интегрируется в почтовый сервер в качестве дополнительного модуля и осуществляет централизованную фильтрацию всей почтовой корреспонденции, как в масштабе реального времени, так и по требованию пользователя. С помощью Антивируса Касперского Business Optimal для MS Exchange Server 5.5 обеспечивается защита любого количества почтовых ящиков, установленных на сервере MS Exchange (как личных, так и публичных). Таким образом, почтовые сообщения "очищаются" от вредоносных кодов всех типов до того как они попадут на локальные компьютеры.
)Для защиты электронной почты используется криптографическая система PGP.
)Для защиты сервера электронной почты со стороны Internet используется МЭ 1. Он фильтрует входящий и исходящий трафик согласно своим настройкам. Так, в службе SMTP установлено удаление информации заголовка исходящего сообщения, раскрывающей детали устройства внутренней сети. Также Check Point FireWall-1 препятствует выполнению потенциально опасных команд SMTP, таких, как debug. Можно ограничить набор разрешенных команд и устроить так, чтобы отвергались любые сообщения, превышающие определенный размер. Но, как упоминалось в предыдущей главе, для сервера электронной почты нельзя применять слишком строгие правила фильтрации, поскольку он должен быть доступен извне. Поэтому для защиты внутренней сети он расположен в DMZ и отделен от контура адресования тем же МЭ 1. Настройки МЭ 1 определяют, что сервер электронной почты не может быть инициатором соединения контуром адресования, хотя сам он должен быть открыт для любых инициированных соединений как со стороны Internet, так и из внутренней сети отдела.
р)Резервное копирование. Оно необходимо для сохранения данных и функционирования системы в случае осуществления случайных угроз. В отделе делаются резервные копии сервера БД и электронной почты. В качестве программного продукта резервного копирования используется система ARCserve компании Cheyenne (подразделение Computer Associates) [2]. Она имеет следующие функциональные возможности.
1)Построение системы по принципу клиент-сервер. Программный пакет ARCserve выполнен в архитектуре клиент- сервер.
2)Многоплатформенность. Система ARCserve разработана как многоплатформенная система сетевого резервного копирования.
3)Автоматизация типовых операций. ARCserve обеспечивает автоматизацию всех процессов, связанных с резервным копированием. Он выполняет резервное копирование по расписанию, т. е. когда администратор системы ARCserve задает регламент выполнения работ. Для каждого фрагмента информации (группа каталогов, база данных) регламентом определяются время начала копирования, внешнее устройство и тип копии. Система ARCserve поддерживает развитые схемы ротации носителей резервных копий. Самая популярная схема из тех, что уже заложены в программном пакете, - GFS (Grandfather-Father-Son). Она обеспечивает создание и хранение копий данных каждый рабочий день в течение недели, раз в неделю в течение месяца и раз в месяц в течение года. Ад