Комплексная система защиты информации на предприятии
Курсовой проект - Компьютеры, программирование
Другие курсовые по предмету Компьютеры, программирование
итор Sony, клавиатура, мышь.
Телефон Panasonic KX-T7665 (3 шт., по одному на место)
МФУ Xerox Phaser 3100MFP
) Отдела аудита
ПК на базе процессора Intel Core i5, 4 Гб ОЗУ, 500Гб ПЗУ сетевая карта Ethernet 1Gbit, 21 LCD монитор Sony, клавиатура, мышь.
Телефон Panasonic KX-T7665 (8 шт., по одному на место)
) Отдел тестирования разработок
ПК на базе процессора AMD Phenom X3, 4 Гб ОЗУ, 500Гб ПЗУ сетевая карта Ethernet 1Gbit, 21 LCD монитор Sony, клавиатура, мышь.
ПК на базе процессора Intel Core 2 Duo, 4 Гб ОЗУ, 500Гб ПЗУ сетевая карта Ethernet 1Gbit, 21 LCD монитор Sony, клавиатура, мышь.
ПК Apple Mac mini (Intel Core 2 Duo, 2 Гб ОЗУ, 160Гб ПЗУ) сетевая карта Ethernet 1Gbit, 21 LCD монитор Sony, клавиатура, мышь.
ПК на базе процессора Intel Core i7, 4 ГБ ОЗУ, 500 гб ПЗУ сетевая карта Ethernet 1Gbit, 21 LCD монитор Sony, клавиатура, мышь.
) Отдел консальтинга
ПК на базе процессора Intel Core 2 Duo, 2 Гб ОЗУ, 300Гб ПЗУ сетевая карта Ethernet 1Gbit, 21 LCD монитор Sony, клавиатура, мышь.
)Серверная:
Мини-АТС TDA Panasonic KX-TDA100 (KX-TDA100RU)
ИБП АPC Smart-UPS RT SURT10000XLI, 2шт.
1.Публичный сервер (web, email)
HP ProLiant DL360 G7 на базе Intel Xeon Processor с 4 ГБ ОЗУ и 300 ГБ ПЗУ 1 сетевая Ethernet 10Gbps.
К данному серверу подключены линии связи от провайдера.
) Интранет сервер (dhcp/ldap/dns, fileserver)Proliant DL585 G6 на базе AMD Opteron с 16 ГБ ОЗУ и 2 ТБ ПЗУ 1 сетевая Ethernet 10Gbps.
2.3Защита локальной сети
Для повышения пропускной способности сети используется физический канал связи - витая пара. Для соединения кабелей будут использоваться коммутаторы.
Разводка кабеля осуществляется так, чтобы с одной стороны линии подходили к каждому рабочему месту, с другой - будет протянут в серверную и подключен к коммутатору. На концах проводов, ведущих к коммутатору, с помощью специального инструмента, монтируется коннектор, устройство которого аналогично разъемам на модемных шнурах или в современных электронных телефонных аппаратах. С другой стороны каждого отрезка кабеля устанавливается специальная сетевая розетка с ответным контактным отверстием. Для всех ПК сети изготавливаются специальные небольшие отрезки кабеля, заканчивающиеся аналогичными пластмассовыми разъемами.
Рисунок 2 - Структура локальной сети
В качестве шлюза используется АПКШ Континент (аппаратно-программный комплекс шифрования Континент) - аппаратно-программный комплекс, позволяющий обеспечить защиту информационных сетей организации от вторжения со стороны сетей передачи данных (Интернет), конфиденциальность при передаче информации по открытым каналам связи (VPN), организовать безопасный доступ пользователей VPN к ресурсам сетей общего пользования, а также защищенное взаимодействие сетей различных организаций.
Рисунок 3 - АПКШ Континент
безопасность информационный локальный сеть
В АПКШ "Континент" применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата. Шифрование данных производится в соответствии с ГОСТ 28147-89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28147-89 в режиме имитовставки. Применение оптимизированной реализации ГОСТ 28147-89 обеспечивает комплексу высокую пропускную способность. Управление криптографическими ключами ведется централизованно из ЦУС. Помимо обеспечения шифрования данных АПКШ "Континент" выступает в качестве брандмауэра, фильтруя принимаемые и передаваемые пакеты по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.
Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется криптошлюзом "Континент" при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами. Использование технологии NAT позволяет не только сэкономить IP-адреса, но и предотвратить обращение снаружи к хостам находящимся во внутренней сети, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются. С помощью АПКШ Континент локальная сеть организации разделяется на:
Внутреннюю сеть (intranet), состоящей из рабочих станций, принтеров, интранет-сервисов и других ресурсов.
Демилитаризованной зоны (DMZ), где расположены публичные сервера, используемые для организации почтового сервера и web-сайта.
Наиболее подверженным угрозам НСД извне будет являться узел сети, на котором расположены службы, доступные из Интернета. Создание локальной сети с использованием технологии DMZ позволяет обеспечить защиту информационного периметра таким образом, что публичные сервера компании находятся в особом сегменте сети (который и называется DMZ), которые ограничены в доступе к основным сегментам внутренней сети с помощью межсетевого экрана, политика безопасности которого должна придерживаться следующих правил:
блокировать входящие соединения из внешней сети, направленные во внутреннюю.
блокировать исходящие соединения из DMZ во внутреннюю сеть.
блокировать входящие соединения из DMZ, направленные во внутреннюю сеть.
На публичном сервере (web, email)