Разработка защищенной информационно-вычислительной сети организации

Так как предприятие имеет 8 рабочих групп, целесообразно разделить сеть на подсети. 23=8, это значит, что 3 бита адресного пространства необходимо выделить для организации подсетей, и в каждой подсети может быть максимум 25-2 = 30 ПК, что так же удовлетворяет условиям поставленной задачи. Поскольку компании выделен адрес класса С, имеющий префикс /24, расширенный сетевой префикс будет /27. Предприятию выделена базовая сеть 197.1.1.0. Маска подсети 255.255.255.224. Составим таблицы адресации IP для всех подсетей.

 

Таблица 5 – Разбиение на подсети

Отдел	IP адреса
Администрация	197.1.1.1/27 – 197.1.1.10/27
Отдел работы с потребителями	197.1.1.33/27 – 197.1.1.43/27
Отдел информационных технологий	197.1.1.65/27 – 197.1.1.77/27
Отдел инновационных технологий	197.1.1.97/27 – 197.1.1.111/27
Финансовый отдел	197.1.1.127/27 – 197.1.1.137/27
Юридический отдел	197.1.1.159/27 – 197.1.1.168/27
Производственный отдел	197.1.1.191/27 – 197.1.1.215/27
Склад	197.1.1.223/27 – 197.1.1.232/27

 

1.4 Планирование информационной безопасности

 

Защита информации включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных [8].

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры [8].

Основной критерий для выбора уровня защиты - важность информации. Сетевые серверы должны быть расположены в защищенном месте. На каждой рабочей станции должен быть предусмотрен уникальный входной пароль с периодическим обновлением. Для регистрации попыток обращения пользователей к ресурсам следует регулярно проводить аудит сети. С целью предотвращения возможности несанкционированного копирования данных следует использовать бездисковые рабочие станции. Наконец, с этой же целью можно предусмотреть шифрование данных.

Для защиты от безвозвратного разрушения данных обычно предусматривают резервное копирование по составленному плану, а также применение резервных источников бесперебойного питания.

Анализ угроз приведен в таблице 6.

Таблица 6 – Анализ угроз ЛВС

Угроза	Последствия
Хищение носителей информации	Нарушение конфиденциальности, целостности, доступности информации
Вандализм	Нарушение нормального функционирования оборудования
Отказы компонентов	Нарушение режима работы ИС
Природные явления	Уничтожение информации или оборудования

 

Права доступа для групп пользователей показаны в таблице 7.

Таблица 7 - Права доступа для групп пользователей

Название группы	Внутренние ресурсы	Уровни доступа к внутренним ресурсам	Доступ в Internet и электронная почта
Администраторы	Все сетевые ресурсы	Права администратора в каталогах, в том числе изменение уровня и прав доступа	Все сетевые ресурсы
Отдел информационных технологий	Базы данных разрабатываемых документов	Создание, чтение файлов, запись в файл, создание подкаталогов и файлов, удаление каталогов, поиск файлов, изменение каталогов	Все сетевые ресурсы
Отдел инновационных технологий	Вся информация предприятия (учреждения)	Ограничение доступа к папкам (по необходимости)	Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции)
Финансовый отдел	Вся информация предприятия (учреждения)	Ограничение доступа к папкам (по необходимости)	Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции), аутентификация удаленного пользователя перед осуществлением доступа
Юридический отдел	Вся информация предприятия (учреждения)	Ограничение доступа к папкам (по необходимости)	Ограничение по IP- адресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции), аутентификация удаленного пользователя перед осуществлением доступа
Производственный отдел	Информация о продукции, чертежи	Доступ только к специально отведенным областям	Ограничение по IP- адресу (адресата и источника). Идентификация и аутентификация удаленного пользователя
Склад	Специальные каталоги и папки хранения	Просмотр объектов (чтение и поиск файлов), запись отдельных папок	Ограничение по IP- адресу (адресата и источника). Идентификация и аутентификация удаленного пользователя

Также было принято решение об установке на сервер дополнительного средства защиты и фильтрации трафика, межсетевой экран, вендора Outpost Pro Firewall.

 

1.5 Проектирование аппаратного и программного обеспечения для использования глобальных вычислительных сетей

 

Глобальные сети представляют собой специфические предприятия по производству (предоставлению) информационного сервиса - электронная почта, телеконференции, новости, биржевые сводки, доступ к сетевым архивам и базам данных (Рисунок 12).

Рисунок 12 - Схема подключения к интернет

Важнейшими компьютерными сетями, которые действуют или в рамках или образуют совместно с Internet мировое сетевое пространство, являются сети ARPANET, NSFNET, BITNET, EARN, USENET, EUnet, NASA Science Internet, FidoNet,Compu Serve, MCI, Mail, GLASNET и др.

Чтобы подключиться к серверам Internet, компьютер должен иметь выход в эту глобальную сеть через соответствующего поставщика услуг с использованием арендованного выделенного канала.

Для подключения компьютера к Internet потребуется поддержка протокола TCP/IP, сконфигурированного так, чтобы компьютер был узлом Internet. Другими словами, компьютер должен иметь Internet-адрес, достижимый для предполагаемых пользователей сервера. В таблице 10 приведены характеристики услуг глобальной сети, которые следует учитывать при выборе способа подключения к Internet.

Таблица 8 – Характеристики услуг глобальной сети

Характеристики \ Типы ГВС	Ростелеком
Коммуникационные услуги	ЭП, телекс, факс, создание WWW-серверов
Информационные услуги	Доступ к Internet, доступ к службе новостей Clarinet, конференции USENET и другие
Линии связи	Спутниковые, оптоволоконные, кабельные линии связи по frame relay, X.25, IP, ISDN.
Территориальное размещение элементов	Около 30 городов России и СНГ
Сопряжение с другими ВС	Доступ к другим ВС, российским и международным, осуществляется в московском узле через шлюзы
Тарифы (на 14.04.2014)	Подключение – 50 000 руб. Абонентская плата – 5 000 руб. в месяц.
Технические характеристики	Скорость передачи данных: 100 Мбит/с
Электронные коммерческие услуги	Банковские сети S.W.I.F.T. Банкоматы, верификация кредитных карточек

 

 

Часть 2 Проектирование службы каталогов AD DS ОС Windows Server 2012 защищённой информационно–вычислительной сети организации (учреждения, предприятия)

 

Во многих организациях инфраструктура службы каталогов Active Directory Domain Services (AD DS) является в среде IT самым важным компонентом. Active Directory представляет собой иерархическую структуру, в которой хранится вся информация по всем сетевым объектам, а также связанные настройки и правила. Основное назначение служб каталогов - управление сетевой безопасностью. AD DS обеспечивать централизованные службы проверки подлинности и авторизации, разрешает сквозной доступ ко многим сетевым службам, предоставляет возможности управления любыми ресурсами и сервисами из любой точки независимо от размеров сети. Следовательно, проектирование инфраструктуры AD DS должно осуществляться строго в соответствии с требованиями организации.

Проектирование инфраструктуры AD DS включает:

• Определение количества лесов в сети,
• Порядок разбивания на домены,
• Планирование доменного пространство имен,
• Создание структуры организационных единиц (OU) для каждого домена,
• Проектирование физических компонент AD DS.

 

2.1 Определение требований службы каталогов

 

Учет бизнес-требований в дизайне AD DS

В проектировании AD DS для предприятия должно участвовать руководство компании. Бизнес-пользователи являются основными потребителями служб инфраструктуры Information Technology (IT), поэтому важно, чтобы проект соответствовал их требованиям.

Степень вовлеченности руководства в проектирование зависит от профиля компании. Практически в каждой организации участие руководства может означать утверждение в проекте дизайна высокоуровневых целей, таких как доступность информации, безопасность, удобство в управлении и практичность. Кроме того, руководители компании принимают Решения о том, сколько нужно в сети лесов, доменов и развертываемых доменных пространств имен, которые уже не так просто изменить после развертывания.

 

2.1.1 Бизнес-требования

Для организации были определены следующие бизнес-требования:

• Более эффективная работа
• Соответствие внешним требованиям (ГОСТам и т.п.)
• Получение максимальной прибыли от предприятия
• Получение наибольшей защищенности информации при минимальных вложениях
• Нацеленность на расширение и развитие
• Избежание нарушений бизнес-процесса
• Использование новых технологий и областей

 

2.1.2 Функциональные требования

Функциональные требования определяют ожидаемое поведение системы и выводятся из бизнес-требований, определяют методы решения бизнес-задач с помощью технологии.

Функциональные требования используются для создания функциональной спецификации с детальным описанием проекта. Таким образом, чтобы найти оптимальное решение в соответствии с указаниями потребителей. Указанные в спецификации детали упростят процедуры утверждения и проверки решения. С помощью функциональной спецификации лучше всего определить количество ресурсов, соответствующие навыки работы.

 

2.1.3 Соглашения об уровне сервиса SLA

• Доступность. Например, одним из требований SLA может быть предоставление доступ к приложениям в течение 99,99% рабочего и 99,99 % нерабочего времени для всех пользователей.
• Производительность. SLA регламентирует, что все пользователи должны войти в AD DS в течение 15 с после ввода учетных данных.
• Восстановление. В SLA указывается, к примеру, что в случае сбоя отдельного сервера службы, поддерживаемые этим сервером, должны быть восстановлены хотя бы до 75% стандартных возможностей в течение 4 ч.

Соглашения SLA оказывают значительное влияние на область проекта и бюджет, поэтому важно определить их на начальной стадии проекта. В соглашении решается, как достичь приемлемого уровня производительности за приемлемую цену.

 

2.1.4 Официальные правовые нормы и требования

Перечислены разделе «Нормативные ссылки»

 

2.1.5 Требования безопасности

Для всех развертываний IT также существуют требования безопасности, которые играют особенно важную роль при развертывании AD DS, поскольку службы AD DS могут использоваться для предоставления безопасного доступ к большей части данных, служб и приложений в сети.

Задачи подсистемы безопасности организации:

• Мобильные пользователи, часто пребывающие в командировках, должны подключаться к внутренней сети, чтобы получить доступ к электронной почте, приложениям или данным.
• Пользователям вне организации может требоваться доступ к веб-сайтам, локализованным по периметру сети, с проверкой подлинности посредством внутренних пользовательских учетных данных AD DS.
• Офисы без системы физической безопасности, где злонамеренные пользователи получают доступ к сети. Другие офисы могут не располагать защищенным местом для хранения контроллеров доменов и других серверов.
• База данных с конфиденциальной пользовательской информацией, которая должна быть доступна для веб-приложений, работающих в сети.