Организация использования средств межсетевого экранирования в информационной системе ИББ и исследование их эффективности
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
µмя, должны обеспечивать низкую вероятность ложных срабатываний. Для этого необходимо сделать оптимизацию настроек системы защиты.
При осуществлении защиты периметра информационной сети лаборатории ПАЗИ, могут возникнуть определенные сложности с организацией такой системы, обусловленные [5]:
нечеткостью границ системы. Если у физического объекта есть видимая граница или такую границу не сложно провести, то у информационной сети такая граница не очевидна;
сложностью обнаружения злоумышленника. Если, при защите периметра физического объекта, можно зафиксировать злоумышленника, преодолевающего систему защиты, визуально или с помощью специальных датчиков и извещателей, то при защите информационной сети это затруднительно;
скрытость ошибок в программном обеспечении и технических средствах защиты и функционирования сети. Данные ошибки можно сравнить с дырами в заборе, которые хорошо видны и легко устраняемы при физической защите. Однако в ИС такие дыры не всегда заметны для службы защиты, но о них могут знать злоумышленники.
В системе защиты лаборатории информационной системы также возможна разработка и использование отдельных модулей защиты, однако эффективность такой системы будет очень низкой из-за децентрализации, плохой совместимости и повышающейся вероятности появления ошибки.
Существует комплексная система, позволяющая обеспечить все требования по защите периметра ИС, реализующая в себе все средства, с помощью которых достигается защищенность периметра. Эта система может оповещать администратора безопасности о попытках взлома системы, о попытках преодоления системы, о попытках вывода из строя системы, кто, куда и как пытается войти, а так же о действиях персонала компании по доступу к ресурсам сети с оповещением о превышении ими полномочий, попытках несанкционированного доступа к ресурсу. Из чего следует, что данная система реализует защиту сети не только извне, но и изнутри. Такой системой может служить - межсетевой экран. Однако не стоит полагать, что задачу защиты периметра МЭ в состоянии решить полностью, необходим комплексный подход к решению данной задачи, путем внедрения системы обнаружения вторжения и системы мониторинга информационной безопасности. Но в рамках данной работы будут рассмотрены возможности по защите периметра межсетевыми экранами.
Межсетевой экран в ПАЗИ это аппаратное или программное средство первой необходимости при подключении локальной сети к Интернету. Межсетевые экраны способны анализировать входящий и выходящий трафик и принимать решения о его пропуске или блокировании. При выборе типа приобретаемого или создаваемого МЭ прежде всего следует проанализировать существующую политику безопасности и определить службы, к которым пользователи должны получить доступ после подключения к сети. С помощью политики безопасности можно будет разработать стратегию МЭ и использовать маршрутизаторы и другие методы для обеспечения безопасности сети [10].
Таким образом, в данном разделе мною определены требования к системам защиты периметра ИС путем анализа различных подходов к реализации таких систем, в том числе сложности, которые могут возникнуть при организации данной защиты, а так же выбрана комплексная система защиты периметра ИС межсетевой экран.
.2 Описание модели информационной системы лаборатории
Использование современных компьютерных технологий в учебном процессе при проведении лабораторных занятий по различным дисциплинам и выполнении студенческих научно-исследовательских работ требует наличия информационной системы, предусматривающей работу с большими объемами информации с высоким быстродействием и разграничением доступа.
Решение задачи информационного и программного обеспечения учебного процесса основано на использовании высокопроизводительной локальной вычислительной сети.
При создании ЛВС в лаборатории ПАЗИ, наиболее подходящей является топология типа Звезда. Это объясняется тем, что в сетях, построенных по данному типу, обеспечивается наибольший уровень безопасности и гарантируется отсутствие коллизий (столкновений данных), что в свою очередь позволяет получить довольно высокую пропускную способность при достаточной мощности сервера. Что касается экономического аспекта, то ввиду небольшого расстояния между рабочими станциями и сервером (в пределах лаборатории), не затребует сравнительно высоких затрат.
В лаборатории ПАЗИ реализован доступ к ресурсам глобальной сети Интернет от ИВЦ. Информационно-Вычислительный Центр Московского Энергетического Института (Технического Университета) - общеуниверситетское подразделение, выполняющее исследования, разработку и сопровождение распределенных информационных систем для МЭИ (ТУ). Основной целью ИВЦ МЭИ (ТУ) является исследование и разработка передовых информационных технологий, их внедрение для обеспечения информационных потребностей университета в научной, учебной и административной сферах.
В настоящее время ИВЦ МЭИ (ТУ) является мощной корпоративной компьютерной сетью, объединяющей около 2000 компьютеров по всему университету. ИВС активно используется для обеспечения учебного процесса, научных исследований и управления ВУЗом.
ИВЦ МЭИ (ТУ) является частью научно-образовательной сети FREEnet, объединяющей академические сети России и сети некоторых крупных высших учебных заведений.
Соединение с Internet обеспечивается посредством