Защищенная информационно-вычислительная сеть организации
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
щиеся в наличии аппаратные межсетевые экраны D-Link DFL-200 по одному на каждый сервер. Данные межсетевые экраны предназначены для небольших организаций и потому сравнительно недороги, просты в настройке(Web-интерфейс), обладают достаточным набором функций. В нашей сети межсетевые экраны будут использоваться с включенными функциями фильтрации пакетов, фильтрации содержимого, фильтрами по протоколам, запрещающими все, кроме необходимых для работы серверов и предоставления доступа к сети Интернет. При этом доступ в сеть Интернет с двух серверов и из нее к этим серверам: сервера ЕВФРАТ-Документооборот и файлового сервера будет заблокирован.
Кроме того, данные межсетевые экраны обладают встроенной системой IDS с возможностью регистрации событий и отправки сообщений на электронную почту администратора, а также возможностью обнаружения атак DDoS и возможностью обновления модели обнаружения атак через сеть Интернет.
Также в рассматриваемой ЛВС присутствуют три сервера: файловый сервер, сервер ЕВФРАТ-документооборот и Интернет-сервер, на базе которого реализован кэширующий прокси-сервер, служба dns, сервер обновлений и централизованного администрирования антивирусного П.О. Касперский 6. На все трех серверах установлена операционная система Windows Server 2003. Кэширующий Прокси-Сервер представляет собой программный продукт UserGate.
Таким образом, структура сети имеет вид, представленный на рисунке 3.
Рисунок 3 - Структурная схема сети
. Безопасность локальной вычислительной сети
Поскольку в сети будет обрабатываться информация не только общего, но и ограниченного доступа, как например персональные данные (отдел кадров), информация о текущих исследованиях (исследовательский отдел), вопросы защиты информации являются наиболее важными при построении ЛВС.
К основным угрозам можно отнести:
Неумышленные действия пользователей сети;
Неполадки и сбои;
Стихийные бедствия;
Сетевые атаки злоумышленников.
К основным задачам системы безопасности данной сети можно отнести:
обеспечение целостности обрабатываемых данных;
исключение несанкционированного доступа к ресурсам злоумышленниками и теми пользователями, которые не имеют права доступа к ним.
Для обеспечения этих задач применим в разрабатываемой сети следующие меры безопасности.
Для обеспечения целостности данных в случае неполадок, сбоев, стихийных бедствий, перебоев в электропитании, атак разрушающего действия, применим такие средства, как источники бесперебойного питания и резервное копирование данных.
Все сервера и рабочие станции подключены к сети не напрямую, а через источники бесперебойного питания. Это позволяет сглаживать скачки в сети, а в случае пропадания напряжения питания - корректно завершить работу серверов и избежать потери данных и повреждения файловых систем.
Так как работа системы ЕВФРАТ-Документооборот связана с базами данных, то необходимо предусмотреть их резервное копирование.
Его должен проводить системный администратор через определенные директором промежутки времени. Носители, на которых содержатся резервные копии, должны храниться в специальных сейфах. Кроме этого, для дополнительной защиты от утери данных, жесткие диски серверов включены в raid массив в режиме зеркалирования, что позволит восстановить данные, даже если из строя полностью выйдет один из жестких дисков.
Для того чтобы разграничить права различных пользователей при работе за рабочими станциями и при использовании системы ЕВФРАТ-Документооборот, в нашей сети реализована двухуровневая система аутентификации. Сначала пользователей регистрируется в системе MS Windows с помощью стандартных встроенных средств аутентификации, а затем для начала работы с системой электронного документооборота, заходит в свой рабочий профиль в системе ЕВФРАТ-Документооборот. Это позволяет реализовать режим многользовательской работы рабочих станций, а также разграничить права на доступ различных пользователей к электронным документам в зависимости от их служебных обязанностей.
При выборе пароля следует руководствоваться тем фактом, что он не должен быть словарным словом и иметь длину минимум шесть символов. При этом пароль желательно менять всем пользователям через заданные руководством промежутки времени.
Для надежной защиты от вирусов в рассматриваемой сети внедрена система централизованного администрирования антивирусных пакетов Касперский Administration Kit. Антивирусные средства установлены на каждую рабочую станцию в сети и на каждый сервер. При этом управление и обновление осуществляется через единую консоль администрирования, серверная часть которой установлена на том же компьютере, что и Прокси-Сервер.
Для подтверждения подлинности того или иного документа, а также для визирования электронных документов в системе ЕВФРАТ-Документооборот необходимо использовать средства ЭЦП.
Это позволит защитить документы от несанкционированного изменения, гарантировать их целостность и актуальность. Основное назначение ЭЦП - удостоверить, что именно этот пользователь внес изменения в документ и сохранить время, когда изменения были внесены.
Для того чтобы обеспечить защиту от сетевых атак, в разрабатываемой сети применено деление сети на три виртуальных сети по технологии vlan. Это реализовано на базе коммутатора d-link[5]. Такой подход позволит полностью исключить утечку данных из одной ча