Система обеспечения защищенности локальной сети отдела воинской части
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
В°ршрутизации IP-трафика.
2)Разработка в составе специального ПО программы обмена, которая использует свои протоколы обмена, в целях реализации информационного обмена между контурами адресования и обмена с АС. Контуры адресования и обмена с АС связаны между собой через МЭ 2. Для организации обмена информацией между этими контурами разработан комплекс в составе специального ПО, состоящий из программы-сервера и программы-клиента. При этом серверная программа запускается в контуре адресования на центральном сервере баз данных, а программа-клиент - в контуре обмена с АС на локальном сервере баз данных. Для организации обмена через МЭ на нем открывается один порт (настраиваемый администратором), все остальные порты МЭ должны быть закрыты. Обмен производится только по инициативе клиента из контура обмена с АС. Серверная программа принимает запрос на соединение от клиента только с одним конкретным IP-адресом, задаваемым администратором. После проверки IP-адреса протоколом обмена предусмотрена проверка пароля, передаваемого клиентом. Пароль также задается администратором в настройках комплекса. Произвольный доступ в контур обмена с АС из контуров адресования или доставки, таким образом, исключается.
Итак, в данной главе дипломного проекта была рассмотрена существующая в отделе система защиты информации. Данная СЗИ устраняет большинство угроз, рассмотренных в главе 3. Но все еще наиболее уязвимым перед атаками типа отказ в обслуживании остается сервер электронной почты. Это связано с уязвимостью MS Exchange Server 5.5. Также в отделе не существует специальных средств защиты от спама.
В ОС Windows NT 4.0 не предусмотрена возможность шифрования на уровне операционной системы. Т.о., если не будет физической защиты компьютера, то злоумышленник сможет с помощью драйвера NTFSDOS.EXE получить доступ к данным.
5. Рекомендации по улучшению системы защиты информации в ВС отдела
В предыдущих главах данного дипломного проекта был описан состав и структура сети отдела, проанализированы угрозы и рассмотрена существующая система защиты информации. Как уже упоминалось, данная система справляется с большинством указанных угроз, но существует некоторые недостатки в установленном ПО, которые связаны, в основном, с уязвимостями этого ПО (например, в MS Exchange Server 5.5 или в самой ОС Windows NT 4.0 Service Pack 6), с отсутствием строгой политики разграничения доступа, необходимой для военных организаций (например, мандатная модель управления доступом), а также с использованием устаревшего ПО (например, ОС Windows 95, MS Exchange Server 5.5). Поэтому возникает необходимость качественного изменения уровня безопасности сети посредством установки более нового и защищенного ПО. В данном случае рекомендуется установить в локальной сети отдела ОС МСВС 3.0. Но из-за невозможности быстрого перехода на новую операционную систему предлагается провести усовершенствование существующей системы защиты информации ВС отдела в два этапа. Первый этап (этап минимальных затрат) заключается в максимальном использовании настроек по безопасности в ОС Windows NT 4.0 и MS SQL. Для осуществления этого даются рекомендации по улучшению безопасности сети средствами Windows NT 4.0 и MS SQL, и на основе данных рекомендаций разрабатывается специальное ПО для администратора системы - Центральная консоль управления настройками по безопасности Windows NT и MS SQL. Поскольку данное ПО предназначено для качественного управления параметрами безопасности операционной системы Windows NT 4.0, то оно должно не только предоставлять администратору удобный интерфейс, быстрый доступ к системным настройкам и возможность их изменения, но и отображать рекомендуемые параметры. Очевидно, что на первом этапе проводятся изменения на базе установленного в отделе ПО и, поэтому не предоставляют возможности для общего повышения уровня безопасности сети. Таким образом, первый этап - это временная мера, предпринятая для плавного перехода ко второму этапу усовершенствования системы безопасности сети отдела. Этот этап, как упоминалось выше, заключается в переходе отдела на новую ОС, а именно на ОС МСВС 3.0, которая позволит повысить качество системы защиты информации в отделе.
5.1 Рекомендации по настройкам безопасности в ОС Windows NT 4.0 и MS SQL
Для повышения защищенности компьютеров с установленной ОС Windows NT 4.0 Service Pack 6 в отделе рекомендуется предпринять следующие меры [3], [7].
а)С использованием утилиты User Manager необходимо переименовать бюджет administrator. Наиболее распространенная атака на него заключается в использовании атаки по словарю или подбор пароля. Обычные бюджеты могут быть сконфигурированы на автоматическую (и временную) блокировку после нескольких неудачных попыток подбора пароля. Однако эта возможность не применима для бюджета administrator, потому что это делает возможными атаки "отказ в обслуживании" (т.е. помешать администрированию компьютера путем блокировки этого бюджета).
Также с помощью той же утилиты можно создать новый бюджет с именем administrator для фиксации попыток вторжения и сделать недоступным бюджет guest.
б)При инсталляции запрещается устанавливать все программные продукты в директорию C:\WINNT. Иногда нарушители получают доступ к файлам, если они знают название файла. Рекомендуется сначала все инсталлировать в C:\WINNT, а затем переинсталлировать в какую-нибудь другую директорию и запускать аудит внутри директории C:\WINNT, предупреждающий, когда кто-либо будет получать доступ к инсталлированным файлам.
в)Также при инсталляции за