Разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия ОАО "АйТиПартнер" - Программирование, компьютеры и кибернетика дипломная работа

Главная

Программирование, компьютеры и кибернетика
Разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия ОАО "АйТиПартнер"

Общая характеристика и функции автоматизированной информационной системы. Анализ политики безопасность. Категории пользователей и оценка существующих рисков. Внедрение организационных мер по защите информации, оценка их экономической эффективности.


посмотреть текст работы


скачать работу можно здесь


полная информация о работе


весь список подобных работ


Нужна помощь с учёбой? Наши эксперты готовы помочь!
Нажимая на кнопку, вы соглашаетесь с
политикой обработки персональных данных

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.


Цель дипломной работы состоит в разработке и внедрении комплекса мероприятий по обеспечению информационной безопасности компьютера и предприятия ОАО «АйТиПартнер»
Достижения цели дипломной работы потребовало решения следующих задач:
1.  Анализ существующих стандартов и подходов в области обеспечения информационной безопасности.
2. Определение информационной структуры и анализ информационных рисков в ОАО «АйТиПартнер».
3. Разработка комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия ОАО «АйТиПартнер»
4. Внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы в ОАО «АйТиПартнер» и анализ результатов внедрения.
Предметом исследования в дипломной работы являются система защиты информационной безопасности компьютерной системы в ОАО «АйТиПартнер».
В ходе дипломной работы использовалась информация из международных и отечественных стандартов в области информационной безопасности.
Теоретическая значимость дипломного исследования состоит в реализации комплексного подхода при разработке мероприятии в области информационной безопасности.
Практическая значимость работы определяется тем, что ее результаты позволяют повысить степень защиты информации в организации путем внедрения организационных и технических мер защиты информации.
Новизна дипломной работы заключается в разработке комплекса методов и средств обеспечения информационной безопасности в организации.
1 . Анализ предметной области оао  « АйТи Партнёр»
1.1 Описание АИС ОАО  « АйТ иП артнёр»
ОАО «АйТиПартнер» - Компания, специализирующаяся на поставках компьютерной и организационной техники, расходных материалов и комплектующих. В настоящее время компания состоит из центрального офиса и двух розничных магазинов.
Более подробно, структурная схема организации изображена на Рисунке 1.
Рисунок 1-Структурная схема организации
Работа магазинов осуществляется путем подключения с рабочего места к Терминальному серверу (Serv_term) и запуска Бизнес-приложения Axapta.
Данный раздел описывает существующую информационную сеть Центрального офиса организации ОАО «АйТиПартнер» (Рисунок 2).
Основные параметры информационной сети Центрального офиса:
· Рабочая сеть обеспечивает основную бизнес - деятельность сотрудников компании.
· Адресация рабочей сети - 192.168.100.0/24
Рисунок 2-Схема Локальной сети Центрального офиса
Основные параметры информационной сети Магазина 1:
· Рабочая сеть - обеспечивает основную бизнес-деятельность менеджеров, а так же обеспечивает основную бизнес-деятельность сторонних сотрудников, работу POS-терминалов, универсального места тестирования.
· Адресация рабочей сети - 192.168.100.0/24
· Скорость канала связи до центрального офиса - 100Мбит/с;
Рисунок 3-Схема Локальной сети Магазина 1
Для подключения клиентов рабочей сети использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 871. На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере.
Основные настройки коммутатора AT-8326GB:
Основные настройки маршрутизатора Cisco 871:
· Настройка QoS с выделением классов бизнес-трафика.
Доступ в сеть Интернет для сотрудников организован через прокси-сервер. Учет трафика ведется в головном офисе.
Расширенное описание используемых сервисов:
Сервер DHCP: используется ISC dhcpd, установленный на видеосервер. При выдаче IP-адресов для клиентов рабочей сети адрес DNS-сервера и DNS-префикс выдается 192.168.100.5 и partner.local соответственно. В подсети на уровне DHCP-сервера устанавливается резервирование и привязки IP-адресов согласно адресному плану.
Основные параметры информационной сети Магазина 2:
· Рабочая сеть - обеспечивает основную бизнес-деятельность менеджеров, а так же обеспечивает основную бизнес-деятельность сторонних сотрудников (кредитные инспектора), работу POS-терминалов, универсального места тестирования.
· Адресация рабочей сети - 192.168.100.0/24
· Скорость канала связи до центрального офиса - 2048Кбит/с;
Рисунок 4-Схема Локальной сети Магазина 2
Для подключения клиентов рабочей сети использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 1841. На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере.
Основные настройки коммутатора AT-8326GB:
Основные настройки маршрутизатора Cisco 1841:
· Настройка QoS с выделением классов бизнес-трафика.
Доступ в сеть Интернет для сотрудников организован через прокси-сервер. Учет трафика ведется в головном офисе.
Расширенное описание используемых сервисов:
Сервер DHCP: используется ISC dhcpd, установленный на видеосервер. При выдаче IP-адресов для клиентов рабочей сети адрес DNS-сервера и DNS-префикс выдается 192.168.100.5 и partner.local соответственно. В подсети на уровне DHCP-сервера устанавливается резервирование и привязки IP-адресов согласно адресному плану.
1.2 Категории информационных ресурсов , подлежащих защите
Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в АС, вводится несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации:
– «Строго конфиденциальная» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
– «Конфиденциальная» - к данной категории относится информация, не отнесенная к категории «Строго конфиденциальная», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);
– «Открытая» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.
Сведения составляющие коммерческую тайну:
– Ф.И.О., адрес проживания, данные паспортного и медицинского учета
– сведения о работниках, содержащиеся в их личных делах, учетных карточках,
– материалы по аттестации и проверкам;
– сведения о штатном расписании, заработной плате работников, условиях оплаты труда;
– материалы персонального учета работников (Ф.И.О., адрес проживания, состав семьи, домашний телефон, данные паспортного и медицинского учета);
Организационно-распорядительная информация:
внутренние приказы, распоряжения, инструкции; протоколы совещаний и переговоров.
К критическим для ИС объектам можно отнести:
– Сервера и хранящаяся на них информация.
– Сведения конфиденциального характера (коммерческая, служебная тайны), персональные данные.
– Хранящаяся в базе данных информация.
– Процедуры доступа к информационным ресурсам.
1.3 Категории пользователей , режимы использования и уровни доступа к информации
Так как в «АйТиПартнёр» проявляется произвольное управление доступом, то все права доступа пользователей устанавливаются администратором. Администратор имеет неограниченные права доступа ко всем компьютерным ресурсам предприятия
Администратор предоставляет директору предприятия права суперпользователя, поэтому директор имеет широкий доступ к документам предприятия, но не имеет доступа к системным ресурсам, к программным файлам и базам паролей.
Главный бухгалтер имеет пользовательский доступ только к документам бухгалтерии.
Сотрудник по работе с кадрами имеет доступ к персональным данным сотрудников компании, а так же к различным кадровым документам.
Менеджеры имеют доступ пользователей только к документам, необходимым для их работы.
Продавцы магазинов имеют пользовательский доступ к документам и программам, позволяющим им осуществлять торговые операции.
2 . Ан ализ политики информационной безопасности ОАО  « АйтиПартнёр»
Ресурсы - это то, что имеет ценность для организации, ее деловых операций и их непрерывности. Поэтому ресурсы необходимо защищать для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет ресурсов являются жизненно важными и должны являться основной обязанностью для руководства всех уровней.
Важные ресурсы организации должны быть четко идентифицированы и должным образом оценены, а реестры этих ресурсов должны быть собраны вместе и поддерживаться в актуальном состоянии. Объединение похожих или связанных ресурсов в управляемые наборы позволяют облегчить усилия, затрачиваемые на процесс оценки рисков.
Подотчетность за ресурсы позволяет обеспечить поддержание адекватной информационной безопасности. Для каждого из идентифицированных ресурсов или группы ресурсов должен быть определен их владелец, и ответственность за сопровождение соответствующих механизмов безопасности должна быть возложена на этого владельца.
В любой организации, требования безопасности происходят из трех основных источников:
· Уникальный набор угроз и уязвимостей, которые могут привести к значительным потерям, в случае их реализации.
· Применимые к организации, ее коммерческим партнерам, подрядчикам и сервис провайдерам требования законодательства, нормативной базы и договоров.
· Уникальный набор принципов, целей и требований к обработке информации, который организация разработала для поддержки своих деловых операций и процессов, и который применяется к информационным системам организации.
После того, как требования законодательства и бизнес требования были определены, необходимо рассмотреть их в процессе определения стоимости ресурсов и сформулировать их в терминах конфиденциальности, целостности и доступности.
Основные факторы в оценке риска - идентификация и определение стоимости ресурсов, исходя из потребностей бизнеса организации. Для определения требуемого уровня защиты ресурсов, необходимо оценить их стоимость исходя из степени их важности для бизнеса или их ценности для различных возможностей деловой деятельности. Также необходимо учитывать идентифицированные законодательные требования, требования бизнеса и последствия нарушения конфиденциальности, целостности и доступности.
Одним из способов выражения стоимости ресурса является использование последствий для бизнеса, возникающих в отношении ресурса и связанных с ним деловых интересов, которым будет нанесен прямой или косвенный ущерб в результате нежелательных инцидентов, таких как раскрытие, модификация, недоступность и / или уничтожение ресурсов. Эти инциденты могут, в свою очередь, привести к потере дохода или прибыли, поэтому эти соображения должны быть отражены в стоимости ресурсов.
Исходные данные для определения стоимости ресурсов должны быть предоставлены владельцами и пользователями этих ресурсов, которые могут авторитетно рассуждать о стоимости ресурсов и конкретной информации для организации и ее бизнеса. Для того чтобы единообразно определять стоимость ресурсов, должна быть определена шкала стоимости ресурсов.
Для каждого из ресурсов должна быть определена его стоимость, отражающая потенциальные последствия для бизнеса в случае нарушения конфиденциальности, целостности, доступности или любых других важных свойств этого ресурса. Для каждого из этих свойств должно быть определено отдельное значение стоимости, так как они являются независимыми и могут варьироваться для каждого из ресурсов.
Информация и другие ресурсы должны быть соответствующим образом классифицированы в соответствии с идентифицированной стоимостью ресурсов, законодательными и бизнес требованиями и уровнем критичности. Классификация показывает потребность, приоритеты и ожидаемый уровень защиты при обращении с информацией. Определение классификации, а также ее пересмотр с целью предоставления гарантий того, что классификация остается на соответствующем уровне, входит в обязанности владельца ресурса.
Ресурсы являются объектом для многих видов угроз. Угроза может стать причиной нежелательного инцидента, в результате которого организации или ее ресурсам будет причинен ущерб. Этот ущерб может возникнуть в результате атаки на информацию, принадлежащую организации, например, приводящей к ее несанкционированному раскрытию, модификации, повреждению, уничтожению, недоступности или потери. Угрозы могут исходить от случайных или преднамеренных источников или событий. При реализации угрозы используется одна или более уязвимостей используемых организацией систем, приложений или сервисов с целью успешного причинения ущерба ресурсам. Угрозы могут исходить как изнутри организации, так и извне.
Уязвимости представляют собой слабости защиты, ассоциированные с ресурсами организации. Эти слабости могут использоваться одной или несколькими угрозами, являющимися причиной нежелательных инцидентов, которые могут привести к потере, повреждению или ущербу для ресурсов и бизнеса организации. Идентификация уязвимостей должна определять связанные с ресурсами слабости в:
· персонале, процедурах управления, администрирования и механизмах контроля;
· деловых операциях и предоставлении сервисов;
· технических средствах, программном обеспечении или телекоммуникационном оборудовании и поддерживающей инфраструктуре.
После идентификации угроз и уязвимостей необходимо оценить вероятность их объединения и возникновения риска. Это включает в себя оценку вероятности реализации угроз, а также того, насколько легко они могут использовать имеющиеся уязвимости.
Оценка вероятности угроз должна учитывать следующее:
· Преднамеренные угрозы. Вероятность преднамеренных угроз зависит от мотивации, знаний, компетенции и ресурсов, доступных потенциальному злоумышленнику, а также от привлекательности ресурсов для реализации изощренных атак.
· Случайные угрозы. Вероятность случайных угроз может оцениваться с использованием статистики и опыта. Вероятность таких угроз может зависеть от близости организации к источникам опасности, таким как автомагистрали и железнодорожные пути, а также заводы, имеющие дело с опасными материалами, такими как химические вещества или бензин. Вероятность человеческих ошибок (одна из наиболее распространенных случайных угроз) и поломки оборудования также должны быть оценены.
· Прошлые инциденты. Это инциденты, происходившие в прошлом, которые иллюстрируют проблемы, имеющиеся в существующих защитных мерах.
· Новые разработки и тенденции. Это включает в себя отчеты, новости и тенденции, полученные из Интернет, групп новостей или от других организаций, которые помогают оценивать ситуацию с угрозами.
Вероятность реализации угроз должна оцениваться на основе такой оценки и на базе шкалы, выбранной для оценки угроз и уязвимостей. Общая вероятность инцидента также зависит от уязвимостей ресурсов, т.е. насколько легко уязвимости могут быть использованы.
Вычисление уровней рисков производиться путем комбинирования стоимости ресурсов, выражающей вероятные последствия нарушения конфиденциальности, целостности и / или доступности, с оценочной вероятностью связанных с ними угроз и величиной уязвимостей, которые при объединении становятся причиной инцидента.
Организация сама должна определить метод оценки рисков, наиболее подходящий для ее бизнес требований и требований безопасности. Вычисленные уровни рисков позволяют ранжировать риски и идентифицировать те риски, которые являются наиболее проблематичными для организации.
Существуют различные способы установления отношений между стоимостью, присвоенной ресурсам, вероятностью угроз и величиной уязвимостей для получения единиц измерения рисков.
Риск определяется двумя факторами, один их них выражает последствия, наступающие в случае осуществления риска, а другой выражает вероятность того, что это событие может произойти.
Фактор, определяющий последствия риска, основан на определении стоимости ресурса, а вероятностный фактор риска, базируется на угрозах и уязвимостях и их оценочных величинах.
Следующей частью оценивания риска является сравнение вычисленных уровней риска со шкалой уровня риска. Уровни риска должны быть выражены в терминах потерь для бизнеса и времени восстановления, как, например, «серьезный ущерб для бизнеса организации, от которого организация не может восстановиться раньше, чем за полгода». Установление связи между уровнями риска и бизнесом организации необходимо для того, чтобы реалистично оценивать влияние, которое вычисленные риски оказывают на бизнес организации, и доносить смысл уровней риска до руководства.
Оценивание рисков должно также идентифицировать приемлемые в большинстве случаев уровни риска, т.е. те уровни риска, при которых оцениваемый ущерб настолько мал, что организация справляется с ним не прерывая своего повседневного бизнеса, и при которых, поэтому, дальнейшие действия не требуются.
Модель нарушителя представляет из себя некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе. Чаще всего они подразделяются на внешних, внутренних и прочих (соответственно, категории А, В и C). Однако такое деление не является достаточным. Поэтому ранжирование проводится с диверсификацией указанных категорий на подкатегории.
Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступ к информационному ресурсу.
Зарегистрированный пользователь информационного ресурса, имеющий ограниченные права доступа к данным.
Программные закладки («Троянский конь», специальные программы: клавиатурные шпионы, программы подбора паролей удаленного доступа и др.)
В качестве объектов информационной системы, к которым применялся обзор угроз, были выбраны основные компоненты сети:
Компьютеры рабочих мест центрального офиса и магазина были объединены в группы Рабочее место центрального офиса и Рабочее место магазина соответственно, в виду схожести рабочих мест, отдельное их рассмотрение нецелесообразно. Также в группы были объединены Маршрутизаторы и Коммутаторы. Для каждого сервера организации составлялся собственный список угроз и оценка рисков.
Был выбран обобщенный список угроз, для их устранения на данном, начальном этапе. Ряд перечисленных угроз включает в себя определенный перечень (BS 7799-3:2006).
Угроза получения полного удаленного контроля над системой включает в себя:
· несанкционированный доступ к журналам аудита;
· присвоение идентификатора пользователя;
· доступ к сети неавторизованных лиц;
Угроза нарушения целостности, правильного функционирования системы включает в себя:
· внедрение несанкционированного или не протестированного кода;
Угроза нарушения доступности системы включает в себя:
· отказ в обслуживании, недоступность системных ресурсов, информации;
Физическое повреждение аппаратных средств включает в себя:
· сбой системы кондиционирования воздуха;
· повреждение носителей информации;
· бедствия (стихийные или вызванные действиями людей);
· несанкционированный физический доступ;
Возможность негласного получения и разглашение (публикация) защищаемой информации включает в себя:
· несанкционированное раскрытие информации.
Стоимость ресурса ( Asset Value, AV ). Характеристика ценности данного ресурса. 1 - минимальная стоимость ресурса, 2 - средняя стоимость ресурса, 3 - максимальная стоимость ресурса.
Мера уязвимости ресурса к угрозе ( Exposure Factor, EF ). Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе. 1 - минимальная мера уязвимости, 2 - средняя мера уязвимости, 3 - максимальная мера уязвимости.
Оценка вероятности реализации угрозы ( Annual Rate of Occurrence, ARO ) демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени, и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая).
На основании полученных данных выводится оценка ожидаемых потерь (уровень риска):
Оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы ( Single Loss Exposure, SLE ) рассчитывается по формуле: SLE = AV x EF;
Итоговые ожидаемые потери от конкретной угрозы за определенный период времени ( Annual Loss Exposure, ALE ) характеризуют величину риска и рассчитывается по формуле: ALE = SLE x ARO.
Конечная формула расчета рисков представляет собой произведение: ALE = ((AV x EF = SLE) x ARO). [17]
Определение значение ущерба и вероятностей производилась техническими специалистами и заместителем директора по информационной безопасности ОАО «АйТиПартнер», в составе 3-х человек.
Таблица 2 - Перечень угроз, представляющих потенциальную опасность для данных
Угроза получения полного удаленного контроля над системой
Угроза нарушения целостности, правильного функционирования системы.
Угроза нарушения доступности системы
Физическое повреждение аппаратных средств.
Угроза получения полного удаленного контроля над системой
Возможность негласного получения и разглашение (публикация) защищаемой информации.
Угроза нарушения целостности, правильного функционирования системы.
Угроза нарушения доступности системы.
Физическое повреждение аппаратных средств
Угроза получения полного удаленного контроля над системой.
Возможность негласного получения и разглашение (публикация) защищаемой информации.
Угроза нарушения целостности, правильного функционирования системы.
Угроза нарушения доступности системы.
Физическое повреждение аппаратных средств
Угроза получения полного удаленного контроля над системой.
Угроза нарушения целостности, правильного функционирования системы.
Угроза нарушения доступности системы.
Физическое повреждение аппаратных средств
Угроза получения полного удаленного контроля над системой
Угроза нарушения целостности, правильного функционирования системы.
Угроза нарушения доступности системы
Физическое повреждение аппаратных средств.
Угроза получения полного удаленного контроля над системой
Угроза нарушения целостности, правильного функционирования системы.
Угроза нарушения доступности системы
Физическое повреждение аппаратных средств.
Угроза получения полного удаленного контроля над системой.
Угроза нарушения целостности, правильного функционирования системы.
Угроза нарушения доступности системы.
Физическое повреждение аппаратных средств
Угроза нарушения целостности, правильного функционирования системы.
Физическое повреждение аппаратных средств
Угроза перехвата сетевого трафика с целью дальнейшего анализа
Технические и организационные меры устранения информационных угроз:
Таблица 3 - Меры по устранению информационных угроз Серверов
Угроза получения полного удаленного контроля над системой
Своевременное обновление операционной системы
Развертывание лицензионного антивирусного ПО
Фильтрация сетевого трафика, доверенный список портов.
Применение более жестких шаблонов безопасности.
Периодическая проверка уровня безопасности (использование специализированных сканеров)
Настройка системы обнаружения вторжений (на уровне маршрутизатора cisco)
Инструкция по обновлению серверных систем.
Инструкция по антивирусной защите серверных систем.
Угроза нарушения целостности, правильного функционирования системы.
Своевременное обновление операционной системы
Развертывание лицензионного антивирусного ПО
Тестирование обновлений на специализированных компьютерах для выявления возможных проблем
Инструкция по обновлению серверных систем.
Инструкция по антивирусной защите серверных систем.
Инструкция по резервному копированию серверных систем.
Угроза нарушения доступности системы
Контроль доступа в серверное помещение.
Внедрение системы сертификатов (настройка аутентификации на уровне коммутаторов для аутентификации рабочих станций).
Физическое повреждение аппаратных средств.
Контроль температуры, влажности серверного помещения.
Контроль доступа в серверное помещение.
Инструкция по эксплуатации оборудования
Таблица 4. Меры по устранению информационных угроз Маршрутизаторов
Угроза получения полного удаленного контроля над системой
Вывод управляющего интерфейса в отдельный сегмент сети.
Угроза нарушения целостности, правильного функционирования системы.
Регулярное резервное копирование конфигурации
Инструкция по обновлению серверных систем.
Инструкция по резервному копированию.
Угроза нарушения доступности системы
Резервирование конфигурации оборудования.
Физическое повреждение аппаратных средств.
Таблица 5. Меры по устранению информационных угроз Коммутаторов
Угроза нарушения целостности, правильного функционирования системы.
Фильтрация трафика по доверенному списку портов.
Угроза нарушения доступности системы
Резервирование конфигурации оборудования.
Физическое повреждение аппаратных средств.
Таблица 6. Меры по устранению информационных угроз Рабочих мест центрального офиса
Угроза получения полного удаленного контроля над системой
Своевременное обновление операционной системы.
Развертывание лицензионного антивирусного ПО.
Настройка персонального межсетевого экрана.
Инструкция по обновлению операционных систем.
Угроза нарушения целостности, правильного функционирования системы.
Своевременное обновление операционной системы.
Развертывание лицензионного антивирусного ПО.
Инструкция по обновлению операционных систем.
Инструкция по резервному копированию.
Угроза нарушения доступности системы
Внедрение системы сертификатов (настройка аутентификации на уровне коммутаторов для аутентификации рабочих станций).
Настройка аутентификации по протоколу eap на базе сетевого оборудования и рабочих станций.
Настройка portsecurity на коммутаторах.
Физическое повреждение аппаратных средств.
Инструкция по эксплуатации рабочего места.
Правильное расположение мониторов на рабочих местах.
Принудительное включение заставок экрана
Таблица 7. Меры по устранению информационных угроз Рабочих мест магазинов
Угроза нарушения целостности, правильного функционирования системы.
Своевременное обновление операционной системы
Развертывание лицензионного антивирусного ПО
Настройка персонального межсетевого экрана.
Инструкция по обновлению операционных систем.
Внедрение системы сертификатов (настройка аутентификации на уровне коммутаторов для аутентификации рабочих станций).
Настройка аутентификации по протоколу eap на базе сетевого оборудования и рабочих станций.
Настройка portsecurity на коммутаторах.
Физическое повреждение аппаратных средств.
Инструкция по эксплуатации рабочего места.
Правильное расположение мониторов на рабочих местах.
Таблица 8. Меры по устранению информационных угроз Каналов связи
Угроза перехвата сетевого трафика с целью дальнейшего анализа
Инструкция по подключению удаленных мест и филиалов.
Организация резервного канала связи
Инструкция по подключению удаленных мест и филиалов.
Для уменьшения рисков угроз безопасности коммерческой информации в ОАО «АйТиПартнер» необходимо принять следующие меры по защите информации:
1. Изменение информационной сети Центрального офиса - Выведение основных серверов в отдельную подсеть; Выведение рабочих компьютеров сотрудников и принтеров в отдельную подсеть (Рисунок 5).
2. Изменение информационной сети Магазинов - Разделение сети на рабочую и гостевую подсети; настройка ACL листов на маршрутизаторах; обеспечение резервного канала связи.
3. Система цифровых сертификатов - Внедрение сервера сертификатов x. 509; Внедрение Radius сервера для проверки подлинности сертификатов.
4. Организационные меры по защите информации - Описание регламентов информационной безопасности; составление инструкции по парольной защите; составление инструкции по антивирусной защите.
Рисунок 5-Структурная схема организации
3.1 Проект по изменению информационной сети Центрального офиса
В настоящее время в сети ОАО «АйТиПартнер» все сервера, а также компьютеры пользователей и принтеры в центральном офисе компании находятся вместе в одной подсети (192.168.100.0/24). Данное обстоятельство не является обязательным для функционирования рабочих процессов и, кроме того, негативно сказывается на безопасности серверов. Например, включение через патчкорд (через который был подключен принтер или компьютер сотрудника) принесенного «левого» ноутбука позволяет получить последнему по DHCP адрес из подсети, в которой находятся все сервера компании.
Принято решение разработать данный план, согласно которому вывести важные для бизнеса сервера в отдельную подсеть, а также отделить рабочие компьютеры сотрудников и принтеры в отдельную подсеть (Рисунок 6).
Таблица 9-Адресация серверов центрального офиса.
Таблица 10-план разделения центрального офиса на подсети.
vlan100 (DEFAULT) - 192.168.100.0/24
Рисунок 6-Схема сети центрального офиса
Данный проект предусматривает модернизацию существующей информационной сети, с одновременным решением вопроса безопасности подразделения (Рисунок 7).
В рамках проекта решаются следующие задачи:
· работа сотрудников-менеджеров в бизнес-приложении, осуществление ими рабочей деятельности;
· работа сторонних сотрудников (кредитные инспекторы), их оборудования (POS-терминалы, специализированное ПО);
· повышение безопасно
Разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия ОАО "АйТиПартнер" дипломная работа. Программирование, компьютеры и кибернетика.
Эссе По Истории 912 969 Год
Экономическая Эффективность Использования Земли Курсовая
Как Правильно Пишется Сочинение По Русскому
Современные Тахеометры
Реферат: Проектирование систем радиоавтоматики
Реферат: Электротельфер типа Т, Т2. Скачать бесплатно и без регистрации
Реферат На Тему Организационно Правовые Формы
Сочинение Описание Человека 7 Класс Русский Язык
Реферат: Финансово-Промышленные Группы
Курсовая работа: Психология розыскной деятельности
Чацкий Это Дон Кихот Сочинение Рассуждение
Контрольная работа: Приложения Windows: графический редактор Paint
Литературные Произведения О Войне Для Сочинения
Нагибин Собрание Сочинений Скачать
Курсовая работа по теме Современная уголовная политика
Реферат На Тему Places Of Interest In Kyiv
Реферат по теме Неопределенность и риск
Реферат: Розвиток аптечної справи в Україні
Современное Спортивное Оборудование Реферат
Курсовая работа по теме Жанровое своеобразие военных повестей В. Быкова
Анализ современных тенденций на фармацевтическом рынке труда в России - Менеджмент и трудовые отношения курсовая работа
Разработка стенда "Оператор на наборно-компьютерной технике" - Журналистика, издательское дело и СМИ дипломная работа
Современные проблемы управления предприятием - Менеджмент и трудовые отношения курсовая работа