Автореферат по магистерской работе на тему «Распределенная информационная сеть предприятия ОАО «АЗОЦМ» с повышенными требованиями к надежности и безопасности информации»

Выполнила Носко Ю.В.

Содержание

Раздел I

1. Введение (обоснование актуальности)

2. Цель и задачи работы

3. Предполагаемая научная новизна

Раздел II

4. Предполагаемая практическая ценность

5. Обзор существующих исследовательских разработок

6. Перечень нерешенных задач

Раздел III

7. Планируемые и полученные собственные результаты

8. Заключение

9. Список источников, оформленный в соответствии с требованиями стандарта

1. Введение

Новые тенденции в развитии сетевой инфраструктуры предприятий выдвигают повышенные требования к надежности сети. Современные приложения все более ориентированы на работу в реальном времени, чем на работу с промежуточным хранением данных. При этом требования к надежности корпоративной сети, например, в отношении вероятности безотказной работы, достигают величины 100%. Такие высокие требования выдвигают государственные структуры, банки, крупные предприятия и т.д.

В своей работе я разрабатываю проект модернизации корпоративной сети для предприятия ОАО «Артемовский завод по обработке цветных металлов». Прежняя сеть была основана на парах модемов и не удовлетворяла требованиям по скорости работы.

В данном случае актуальность построения надежной и защищенной корпоративной сети обосновывается требованиями к работе специального программного продукта IT-предприятие, который должен быть установлен на всех рабочих станциях внутри предприятия, которые имеют отношение к производству продукции. Данный продукт позволяет автоматизировать многие процессы, которые ранее требовали больших затрат рабочего времени таких как бухгалтерия, контроль процесса производства, учет сырья и готовой продукции, и др.

А также для данной сети требуется высокая степень защиты информации от окружающего мира. Причиной таких требований стали некоторые научные разработки и ноу-хау, которые применяются в производстве продукции. Утрата важной информации может повлечь за собой значительные убытки.

2. Цель и задачи работы

Целью моей работы является построение математической модели надежной и защищенной корпоративной сети на примере сети ОАО «АЗОЦМ». Свойства модели будут изменяться в зависимости от требований заказчика и от сферы использование сети.

При этом решаются следующие задачи:

1) Выбор топологии и среды передачи информации;

2) Выбор активного оборудования;

3) Выбор способа резервирования;

4) Выбор комплекса методов защиты информации;

5) Оценка коэффициента готовности полученной модели;

6) Приспособление данной модели для расчета надежности любой сети.

3. Предполагаемая научная новизна

Предполагаемая научная новизна состоит в построении математической модели, которая бы учитывала различные факторы при построении информационной сети. Самыми важными факторами являются надежность технических, программных и организационных средств при проектировании и эксплуатации информационной сети.

4. Предполагаемая практическая ценность

Предполагаемая практическая ценность работы состоит в возможности применения универсального средства для определения уровня защищенности корпоративной сети. А также появится возможность сформировать комплекс мер по усилению безопасности информационной сети в зависимости от требований заказчика.

5. Обзор существующих исследовательских разработок

В настоящее время тема надежной и безопасной корпоративной сети активно разрабатывается многочисленными исследовательскими лабораториями фирм-производителей активного оборудования. Но в основном такие исследования проводятся заграницей, и до нас доходят результаты исследований в виде дорогостоящих устройств либо программных средств. Нашей задачей является минимизация стоимости комплекса защитных средств при максимальной эффективности. В этом направлении есть следующие разработки.

1. Определение степени риска подробно описано в следующей статье.

Сергей Петренко, Сергей Симонов, журнал "IT Manager" #15(3)/2004 «Экономически оправданная безопасность»

Анализ и управление информационными рисками позволяет обеспечивать экономически оправданную информационную безопасность в любой отечественной компании. Для этого необходимо сначала определить, какие информационные активы компании нужно защищать, воздействию каких угроз эти активы подвержены, а затем выработать рекомендации по защите данных. Давайте посмотрим, как на практике можно оценить и управлять информационными рисками компании исходя из поставленных целей и задач.

Подробнее: исходный документ, моя библиотека.

2. Образец корпоративной политики безопасности.

Елена Полонская, Издательский Дом "КОМИЗДАТ" «Безопасность сети: то, что должен знать каждый»

Обеспечение безопасности сети требует постоянной работы и пристального внимания к деталям. Пока "в Багдаде все спокойно", эта работа заключается в предсказании возможных действий злоумышленников, планировании мер защиты и постоянном обучении пользователей. Если же вторжение состоялось, то администратор безопасности должен обнаружить брешь в системе защиты, ее причину и метод вторжения.

Подробнее: исходный документ, моя библиотека.

3. О защите корпоративной сети при помощи межсетевых экранов и антивирусов.

Олег Сыч, Комиздат «Один в поле не воин: межсетевые экраны и антивирусы - братья навеки!»

В наш век информационных технологий компьютер просто обязан быть подключенным к глобальной или, в крайнем случае, локальной вычислительной сети. Без этого он превращается или в печатную машинку, или в калькулятор.

Подробнее: исходный документ, моя библиотека.

4. О защите компьютера от глобальной сети Интернет.

В. А. Васенин. Доклад на конференции "Математика и безопасность информационных технологий" (МаБИТ-03, МГУ, 23-24 октября 2003 г.) Доклад был опубликован на сайте Cryptography.Ru

«Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности в Интернет»

Обеспечение информационной безопасности (ИБ) в Интернет - сфера деятельности, требующая для своей реализации решения целого ряда сложных задач. Она не только многопланова по числу направлений административно-организационной и научной-технической активности, но и по количеству уровней иерархии, на которых она организована. Мировая практика показывает, что к обеспечению безопасности национально-значимых информационных систем в Интернет и средств телекоммуникаций привлекаются администраторы от руководителей государственного ранга до специалистов, ответственных за сопровождение отдельных функциональных сервисов. Разработкой и реализацией решений на отдельных уровнях обеспечения ИБ занимаются ученые гуманитарного цикла (юристы и специалисты по управлению, психологи и социологи), исследователи-естественники - математики и физики, инженеры-программисты и электронщики. Нельзя, например, построить систему ИБ крупной корпорации без создания с высокой гарантией защищенности отдельных составляющих её информационных ресурсов, объединяющих их сетевых узлов или поддерживающих функциональных сервисов (e-mail, Web и т. п.) Изложенные доводы - свидетельство комплексного характера проблемы.

Подробнее: исходный документ.

5. О новых идеях в защите информации.

Андрей Беляев, Сергей Петренко, «Экспресс-Электроника»#2/2004 «Системы обнаружения аномалий: новые идеи в защите информации»

Понятие "обнаружение аномалий" возникло сравнительно недавно и сразу привлекло внимание специалистов в области сетевой безопасности. В середине 2003 года на рынке средств защиты информации появились первые западные и отечественные системы обнаружения аномалий, а поставщики услуг сетевой безопасности начали активно предлагать соответствующие решения. Согласно прогнозам Gartner, 85% крупнейших международных компаний с вероятностью 0.8 воспользуются к 2007 году функциями современных систем обнаружения аномалий. На каких инженерных принципах базируются эти перспективные системы? Какие методики и алгоритмы обнаружения аномалий могут быть полезны для практики отечественных служб защиты информации? Давайте посмотрим вместе.

Подробнее: исходный документ, моя библиотека.

6. Курс лекций «Методы и средства защиты информации» Авторские права: Беляев А.В. Имущественные права: ЧФ СПбГТУ

Последнее время сообщения об атаках на информацию, о хакерах и компьютерных взломах наполнили все средства массовой информации. Что же такое "атака на информацию"? Дать определение этому действию на самом деле очень сложно, поскольку информация, особенно в электронном виде, представлена сотнями различных видов. Информацией можно считать и отдельный файл, и базу данных, и одну запись в ней, и целиком программный комплекс. И все эти объекты могут подвергнуться и подвергаются атакам со стороны некоторой социальной группы лиц.

При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец, либо уполномоченное им лицо, накладывает явно либо самоочевидно набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.

Подробнее: исходный документ, моя библиотека.

7. Статья «Эффективность защиты информации» Андрей Баутов 07.08.2003 Открытые системы, #07-08/2003

Обеспечение защиты информации на практике происходит в условиях случайного воздействия самых разных факторов. Некоторые из них систематизированы в стандартах, некоторые заранее неизвестны и способны снизить эффективность или даже скомпрометировать предусмотренные меры. Оценка эффективности защиты должна обязательно учитывать как объективные обстоятельства, так и вероятностные факторы.

Подробнее: исходный документ.

8. Статья «Методика построения корпоративной системы защиты информации» Сергей ПЕТРЕНКО

Большинство директоров служб автоматизации (CIO) и информационной безопасности (CISO) российских компаний наверняка задавалось вопросом: “Как оценить уровень защищенности информационных активов компании и определить перспективы развития корпоративной системы защиты информации?”. Давайте попробуем найти ответ на этот актуальный вопрос.

Подробнее: исходный документ, моя библиотека.

9. Статья «Кабельные системы локальных вычислительных сетей» Карпов Геннадий, http://kgg.moldline.net/

Обычно в литературе, посвященной локальным вычислительным сетям, в разделе, описывающем кабельные подсистемы, приводится общее сравнение типов кабелей (коаксиальных, кабелей на витых парах, оптических) по их помехозащищенности, производительности, стоимости и т.п. Здесь эта информация будет опущена. Как правило, проектировщики сетей не принимают решения на базе этой информации. Выбор кабельной подсистемы диктуется типом сети и выбранной топологией. Требуемые же по стандарту физические характеристики кабеля закладываются при его изготовлении, о чем и свидетельствуют нанесенные на кабель маркировки. В результате, сегодня практически все сети проектируются на базе UTP и волоконно-оптических кабелей, коаксиальный кабель применяют лишь в исключительных случаях и то, как правило, при организации низкоскоростных стеков в монтажных шкафах.

Подробнее: исходный документ.

10. Статья «Введение в технику волоконно-оптических сетей» Спирин Алексей Алексеевич , Сервер Vimcom Optic Ltd.

Волоконно-оптические линии связи - это вид связи, при котором информация передается по оптическим диэлектрическим волноводам, известным под названием "оптическое волокно".

Оптическое волокно в настоящее время считается самой совершенной физической средой для передачи информации, а также самой перспективной средой для передачи больших потоков информации на значительные расстояния. Основания так считать вытекают из ряда особенностей, присущих оптическим волноводам.

Подробнее: исходный документ, моя библиотека.

11. Обзор оборудования IP-телефонии для предприятий. Статья «IP-телефония для предприятий» Александр Янкевич, «Экспресс-Электроника» , # 5/2004

Технологии VoIP пользуются все большей популярностью в России. На отечественном рынке телекоммуникационного оборудования практически все мировые производители продвигают свои решения в этой области.

Как правило, производители предлагают оборудование для нескольких целевых групп – это, в первую очередь, предприятия различных размеров, и сервис-провайдеры, которые предлагают услуги VoIP на рынке. Кстати, эта технология все активнее используется в call-центрах, которые представляют собой отдельный класс решений.

VoIP в нашей стране, да и в мире, пока еще молод. Еще недавно заказчики относились к данной технологии настороженно, но сегодня такие решения становятся все более привычными.

По статистике данное направление быстрее осваивают малые и средние компании, крупные же предприятия с унаследованными системами предпочитают поэтапный переход на IP. По прогнозам Gartner, большинство покупателей IP PBX (мини-АТС с функциональностью IP-телефонии) будут составлять предприятия среднего размера.

Подробнее: исходный документ.

6. Перечень нерешенных задач

Основной нерешенной задачей на сегодняшний день является тот факт, что средства нападения совершенствуются с гораздо большей скоростью, чем средства защиты. Следовательно, нужно не останавливаться на достигнутых результатах, а совершенствовать систему защиты, не дожидаясь очередной атаки. Практика показывает, что в большинстве случаев человек, ответственный за корпоративную безопасность, не предпринимает никаких действий до того момента, когда совершено первое вторжение. И этот факт остается безнаказанным, т.к. руководство не придерживается четкой политики безопасности. Следовательно, определение политики безопасности является первым шагом к защите информационных ресурсов.

Еще одной нерешенной задачей является распределение ролей в плане защиты информации. На предприятиях, которые своевременно позаботились о своей безопасности, существует служба, отвечающая за сохранность информационных ресурсов. Появляется роль администратора безопасности информационных систем. Эта должность отличается от должности системного администратора прежде всего повышенной ответственностью за управление рисками. Кроме того, необходимо проинформировать всех постоянных и временных сотрудников предприятия о проводимой политике безопасности. Рекомендуется включать в договор о найме на работу пункт о материальной ответственности за нанесение ущерба при передаче информации по открытым каналам связи.

Что касается технического и программного обеспечения, в этом случае необходимо решить следующую задачу: оптимальный набор аппаратных и программных средств при наименьшей стоимости, а также исследование совместимости выбранных средств. Если выбранные компоненты несовместимы, необходимо начать сначала. Этот выбор следует осуществлять на этапе проектирования, иначе в случае несовместимости затраты на повторные исследования возрастут в десятки раз.

7. Планируемые и полученные собственные результаты

На данный момент получены следующие результаты:

- спроектирована, смонтирована и введена в эксплуатацию исследуемая корпоративная сеть;

- намечены мероприятия по организации информационной безопасности;

Планируется получение математической модели универсальной корпоративной сети, оснащенной современными средствами защиты от внешних и внутренних угроз, которая могла бы удовлетворить самым требовательным запросам.

Проектирование сети проходило в следующем порядке:

1) Сделан выбор среды передачи. Проведенные исследования возможных сред передачи (витая пара, оптоволокно, беспроводные технологии) показали, что оптоволокно обладает наилучшими показателями по надежности, скорости и помехозащищенности. В качестве среды передачи был выбран одномодовый оптоволоконный кабель.

2) Сделан выбор топологии сети. Были проанализированы различные топологии (звезда, кольцо, общая шина), и в качестве физической выбрана гибридная топология двойное кольцо (рис. 1), а в качестве логической – топология звезда. Для большей надежности проброшен линк от крайнего узла сети в центральный.

Рисунок 1. Топология исследуемой сети

3) Выбрана технология передачи. Технология Gigabit Ethernet отвечает всем требованиям по скорости и надежности передачи. Эта технология является наиболее распространенной и поддерживается оборудованием всех производителей. Но в этом есть и свои недостатки: чем популярнее технология, тем легче злоумышленнику организовать вторжение или нарушить работу сети. Для предотвращения вторжения необходимо правильно подобрать средства защиты периметра сети, а также продумать комплекс мер по защите от внутренних угроз.

4) Выбраны активные компоненты сети. В качестве вендора выбрана фирма Cisco Systems, т.к. они предлагают комплексный подход к организации сетей различной степени сложности.

Для организации подсистемы защиты выбраны следующие основные средства:

1) Средства разграничения доступа. Будут организованы виртуальные локальные сети (VLAN). Кроме того, будут настроены права доступа индивидуально каждому работнику (рис.2).

Рисунок 2. Организация виртуальных локальных сетей

2) Установка межсетевых экранов. Firewall (брендмауэр) будет установлен на границе между внутренней сетью и Интернет для противодействия несанкционированному межсетевому доступу.

3) Система обнаружения вторжений Intrusion Detection System, IDS - служит для обнаружения попыток несанкционированного доступа путем фонового сканирования трафика.

4) Защита информация при передаче по каналам связи, которые не контролируются или контролируются лишь частично (например - Интернет). Распространенные способы защиты - криптография, физические средства защиты.

5) Системы идентификации, аутентификации и авторизации.

• Идентификация – процедура предоставления субъектом (пользователем, компьютером) своего уникального идентификатора

• Аутентификация – процедура подтверждения субъектом предоставленного идентификатора

Способы аутентификации:

• Программные

• Парольные

• Аппаратно-программные

• С предоставлением уникального идентификатора (смарт-карты, token)

• Биометрические (отпечатки пальцев, радужная оборочка глаза)

Авторизация - процедура определения прав доступа субъекта

6) Организация системы поиска уязвимостей следующими путями:

1) Выявление уязвимостей путем

a) анализа настроек (пассивный поиск)

b) имитацией атак (активный поиск)

2) Область сканирования

a) Сетевой сканер

b) Системный сканер

c) Сканер уязвимости приложений (СУБД, WEB-сервер)

3) Результат сканирования

a) Выдача списка уязвимостей

b) Выдача рекомендаций (экспертные системы)

c) Устранение уязвимостей в автоматическом/полуавтоматическом режиме

7) Антивирусная защита. Для защиты сети от всевозможных вредоносных программ, червей и спама наряду с техническими средствами (активное оборудование фирмы Cisco Systems имеет функции обнаружения вредоносного кода) используются стандартные антивирусные программы.

8. Заключение

При создании математической модели надежной и безопасной корпоративной сети будет использована реальная сеть предприятия ОАО «АЗОЦМ». На ее примере будут рассмотрены аспекты технической надежности топологии сети, а также аспекты информационной безопасности корпоративной сети предприятия.

Будет выбран комплекс средств по организации средств защиты.

Для самого предприятия ОАО «АЗОЦМ» данная разработка будет важным шагом по автоматизации процесса производства и по защите конфиденциальной информации от злоумышленников.

Кроме того, данная модель может быть использована для определения степени защищенности любого предприятия, а также для организации подсистемы защиты информации на предприятии.

Также в работе будет сделано экономическое обоснование организации СКС и подсистемы защиты с целью оправдания капиталовложений. Это необходимо для того, чтобы доказать руководству предприятия целесообразность принятия тех или иных мер по организации информационной защиты.

При соблюдении правил инсталляции и эксплуатации СКС, а также при формировании четкой корпоративной политики безопасности данная система прослужит 15-20 лет без существенных отказов и капитального ремонта.

9. Список источников

1. Семенов А.Б. Проектирование и расчет СКС и их компонентов, М: ДМК Пресс; 2003

2. Сергей Петренко, Сергей Симонов, журнал "IT Manager" #15(3)/2004 «Экономически оправданная безопасность» http://citforum.ru/security/articles/ekonom_safe/

3. Елена Полонская, Издательский Дом "КОМИЗДАТ" «Безопасность сети: то, что должен знать каждый» http://citforum.ru/security/articles/inet_secur/index.shtml

4. Олег Сыч, Комиздат «Один в поле не воин: межсетевые экраны и антивирусы - братья навеки!» http://citforum.ru/security/articles/one/

5. В. А. Васенин. Доклад на конференции "Математика и безопасность информационных технологий" (МаБИТ-03, МГУ, 23-24 октября 2003 г.) Доклад был опубликован на сайте Cryptography.Ru «Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности в Интернет» http://citforum.ru/security/articles/vasenin/

6. Андрей Беляев, Сергей Петренко, «Экспресс-Электроника»#2/2004 «Системы обнаружения аномалий: новые идеи в защите информации» http://citforum.ru/security/articles/anomalis/

7. Курс лекций «Методы и средства защиты информации» Авторские права: Беляев А.В. Имущественные права: ЧФ СПбГТУ http://citforum.ru/security/belyaev_book/its2000_03.shtml

8. «Эффективность защиты информации» Андрей Баутов 07.08.2003 Открытые системы, #07-08/2003 http://citforum.ru/security/articles/eff/

9. «Методика построения корпоративной системы защиты информации» Сергей ПЕТРЕНКО

10. Статья «Кабельные системы локальных вычислительных сетей» Карпов Геннадий, http://kgg.moldline.net/ http://citforum.ru/security/articles/metodika_zashity/

11. Статья «Введение в технику волоконно-оптических сетей» Спирин Алексей Алексеевич , Сервер Vimcom Optic Ltd. http://citforum.ru/nets/optic/optic1.shtml

12. Статья «IP-телефония для предприятий» Александр Янкевич, «Экспресс-Электроника» , # 5/2004 http://citforum.ru/nets/articles/ip_corp/