Проектирование вычислительной системы предприятия

Выбор в пользу Антивируса Касперского  был сделан по следующим причинам, отображенным в таблице 4.1.

 

Таблица 4.1

Антивирусный программный продукт	Стоимость, тен/год	Эффективность поиска вирусов	Скидка при продлении  лицензии	Удобство интерфейса
ESET NOD32	27500.00	хорошо	нет	хорошо
Антивирус Касперского	23100	отлично	есть	отлично
Dr.Web	20900.00	хорошо	нет	хорошо

 

4.7 Выбор ПО для резервного копирования данных

Известно, что даже самое надежное оборудование может в любой момент выйти из строя, поэтому нужно  всегда быть готовым к этому.Не смотря на то, что на нашем сервере установлен RAID-массив жестких дисков, обеспечивающих резервирование находящихся на нем данных, необходимо обеспечить резервное копирование информации с помощью программного обеспечения. Заменив сервер на рабочую станцию, при возможной поломке сервера, и восстановив на ней сохраненные данные, мы обеспечим действительно бесперебойную работу предприятия.

Среди широкого спектра данного  программного обеспечения стоит  присмотреться к программам, распространяющимся на основе «freeware», - то есть бесплатно. Данное решение принято исходя из экономической целесообразности, а также ввиду того что некоторые бесплатные программные продукты такого направления не уступают своим платным аналогам по функционалу и возможностям.

Протестировав несколько программ для резервного копирования данных и проставив оценки по критериям отбора в порядковой шкале (таблица 4.2), мы можем сделать однозначный выбор данного программного обеспечения.

Из данной таблицы мы видим, что  наилучшим выбором будет программа  Cobian Backup 10.0.3.759

 

Таблица 4.2

Программа	Критерии отбора	Значимость критерия	Оценка	Результат
Cobian Backup 10.0.3.759	Надежность работы программы	10	5	50
	Создание пароля на архив	8	5	40
	Тестирование созданного архива	6	4	24
	Наличие планировщика	10	5	50
	Завершение работы ПК	8	5	40
	Удобство интерфейса	4	5	20
Итого	224
SyncBackup 2.1 RC1	Надежность работы программы	10	4	40
	Создание пароля на архив	8	5	40
	Тестирование созданного архива	6	5	30
	Наличие планировщика	10	4	40
	Завершение работы ПК	8	0	0
	Удобство интерфейса	4	3	12
Итого	162
File Backup Watcher Free Edition 2.8.18	Надежность работы программы	10	5	50
	Создание пароля на архив	8	3	24
	Тестирование созданного архива	6	0	0
	Наличие планировщика	10	5	50
	Завершение работы ПК	8	4	32
	Удобство интерфейса	4	4	16
Итого	172

 

5. Обеспечение безопасности работы сети предприятия

До недавнего времени сеть Интернет использовалась в основном для обработки  информации по относительно простым  протоколам: электронная почта, передача файлов, удалённый доступ. Сегодня, благодаря широкому распространению технологий WWW, всё активнее применяются средства распределённой обработки мультимедийной информации. Одновременно с этим растёт объём данных, обрабатываемых в средах клиент/сервер и предназначенных для одновременного коллективного доступа большого числа абонентов. Разработано несколько протоколов прикладного уровня, обеспечивающих информационную безопасность таких приложений, как электронная почта (PEM, PGP и т.п.), WWW (Secure HTTP, SSL и т.п.), сетевое управление (SNMPv2 и т.п.). Однако наличие средств обеспечения безопасности в базовых протоколах семейства TCP/IP позволит осуществлять информационный обмен между широким спектром различных приложений и сервисных служб.

5.1 Примеры атак на TCP/IP

Пассивные атаки на уровне TCP

При данном типе атак крэкеры никаким образом не обнаруживают себя и не вступают напрямую во взаимодействие с другими системами. Фактически все сводиться к наблюдению за доступными данными или сессиями связи.

Подслушивание

Атака заключаются в перехвате  сетевого потока и его анализе. Англоязычные термин – «sniffing».

Для осуществления подслушивания  крэкеру необходимо иметь доступ к машине, расположенной на пути сетевого потока, который необходимо анализировать; например, к маршрутизатору или PPP-серверу на базе UNIX. Если крэкеру удастся получить достаточные права на этой машине, то с помощью специального программного обеспечения сможет просматривать весь трафик, проходящий через заданные интерфейс.

Второй вариант – крэкер получает доступ к машине, которая расположена  в одном сегменте сети с системой, которой имеет доступ к сетевому потоку. Например, в сети «тонкий Ethernet» сетевая карта может быть переведена в режим, в котором она будет получать все пакеты, циркулирующие по сети, а не только адресованной ей конкретно. В данном случае крэкеру не требуется доступ к UNIX - достаточно иметь PC с DOS или Windows (частая ситуация в университетских сетях)

Другой вариант решения - использование  интеллектуальных свитчей и UTP, в  результате чего каждая машина получает только тот трафик, что адресован ей.

Активные атаки на уровне TCP

При данном типе атак крэкер взаимодействует  с получателем информации, отправителем и/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимое TCP/IP-пакетов. Данные типы атак часто кажутся технически сложными в реализации, однако для хорошего программиста не составляет труда реализовать соответствующий инструментарий.Возможность формирования произвольных IP-пакетов является ключевым пунктом для осуществления активных атак.

Детектирование и защита

Простейшим сигналом IP-spoofing будут служить пакеты с внутренними адресами, пришедшие из внешнего мира. Программное обеспечение маршрутизатора может предупредить об этом администратора. Однако не стоит обольщаться - атака может быть и изнутри Вашей сети.

В случае использования более интеллектуальных средств контроля за сетью администратор  может отслеживать (в автоматическом режиме) пакеты от систем, которые в  находятся в недоступном состоянии. Впрочем, что мешает крэкеру имитировать  работу системы B ответом на ICMP-пакеты?

Какие способы существуют для защиты от IP-spoofing? Во-первых, можно усложнить  или сделать невозможным угадывание sequence number (ключевой элемент атаки). Например, можно увеличить скорость изменения sequence number на сервере или выбирать коэффициент увеличения sequence number случайно (желательно, используя для генерации случайных чисел криптографически стойкий алгоритм).

Если сеть использует firewall (или  другой фильтр IP-пакетов), следует добавить ему правила, по которым все пакеты, пришедшие извне и имеющие обратными адресами из нашего адресного пространства, не должны пропускаться внутрь сети. Кроме того, следует минимизировать доверие машин друг другу. В идеале не должны существовать способа, напрямую попасть на соседнюю машину сети, получив права суперпользователя на одной из них. Конечно, это не спасет от использования сервисов, не требующих авторизации, например, IRC (крэкер может притвориться произвольной машиной Internet и передать набор команд для входа на канал IRC, выдачи произвольных сообщений и т.д.).

Шифрование TCP/IP-потока решает в общем  случае проблему IP-spoofing'а (при условии, что используются криптографические стойкие алгоритмы).

Для того, чтобы уменьшить число  таких атак, рекомендуется также  настроить firewall для фильтрации пакетов, посланных нашей сетью наружу, но имеющих адреса, не принадлежащие нашему адресному пространству. Это защитит мир от атак из внутренней сети, кроме того, детектирование подобных пакетов будет означать нарушение внутренней безопасности и может помочь администратору в работе.

Пассивное сканирование

Сканирование часто применяется  крэкерами для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта крэкеру.

Данный способ легко детектируются  по сообщениям демонов, удивленных мгновенно  прерванным после установки соединением, или с помощью использования  специальных программ. Лучшие из таких программ обладают некоторыми попытками внести элементы искусственного элемента в отслеживание попыток соединения с различными портами.

Однако крэкер может воспользоваться  другим методом - пассивным сканированием (английский термин «passive scan»). При его использовании крэкер посылает TCP/IP SYN-пакет на все порты подряд (или по какому-то заданному алгоритму). Для TCP-портов, принимающих соединения извне, будет возвращен SYN/ACK-пакет, как приглашение продолжить 3-way handshake. Остальные вернут RST-пакеты. Проанализировав данные ответ, крэкер может быстро понять, на каких портах работают программа. В ответ на SYN/ACK-пакеты он может также ответить RST-пакетами, показывая, что процесс установки соединения продолжен не будет (в общем случае RST-пакетами автоматический ответит TCP/IP-реализация крэкера, если он не предпримет специальных мер).

Метод не детектируется предыдущими  способами, поскольку реальное TCP/IP-соединение не устанавливается. Однако (в зависимости от поведения крэкера) можно отслеживать

1. резко возросшее количество сессий, находящихся в состоянии SYN_RECEIVED. (при условии, что крэкер не посылает в ответ RST)
2. прием от клиента RST-пакета в ответ на SYN/ACK.

К сожалению, при достаточно умном  поведении крэкера (например, сканирование с низкой скоростью или проверка лишь конкретных портов) детектировать пассивное сканирование невозможно, поскольку оно ничем не отличается от обычных попыток установить соединение.

В качестве защиты можно лишь посоветовать закрыть на firewall все сервисы, доступ к которым не требуется извне.

Угрозы информационной безопасности

Обеспечение сохранности конфиденциальной информации (КИ ) необходимо начинать с  определения системы угроз, то есть негативных процессов, способствующих утечке информации.

 По цели воздействия различают три основных типа угроз безопасности автоматизированным системам обработки информации (АСОИ ): 

1)Угрозы нарушения конфиденциальности направлены на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ.

 2)Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, направлены на её изменение или искажение, приводящее к нарушению её качества или полному уничтожению. Целостность информации может быть нарушена умышленно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекоммуникации.

 3)Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определённые преднамеренные действия либо снижают работоспособность АСОИ, либо блокируют доступ к некоторым её ресурсам.

В общем виде все угрозы делятся  на две группы: внутренние и внешние.  

Внутренние угрозы инициируются персоналом объекта, на котором установлена  система, содержащая КИ. Из-за неудовлетворительной зарплаты или отношения руководства, отдельные сотрудники с высоким уровнем самооценки могут предпринять действия по выдаче информации лицам, заинтересованным в её получении.

 Внешние угрозы возникают благодаря непосредственной деятельности недобросовестных конкурентов, преступных элементов, иностранных разведывательных служб, из-за неумелой постановки взаимоотношений с представителями государственных структур, общественных организаций, средств массовой информации. Действия извне могут быть направлены на пассивные носители информации следующими способами: 

1. похищение или снятие копий с различных носителей информации;
2. снятие информации в процессе коммуникации;
3. снятие информации в процессе её передачи по сети связи;
4. уничтожение информации или повреждение ее носителей;
5. случайное или преднамеренное доведение до сведения конкурентов документов и материалов, содержащих секретную информацию.

Действия извне могут быть также  направлены на персонал компании и  могут выражаться в формах:

1. подкупа,
2. угроз,
3. шантажа,
4. выведывания с целью получения информации, переманивания ведущих специалистов на конкурирующую фирму и т. п.

 Внешние угрозы (в случае коммерческой информации), как правило, выступают в форме промышленного шпионажа. В ходе конкурентной борьбы использование промышленного шпионажа нельзя отнести к этическим видам деловых взаимоотношений предпринимателей. Однако любая предпринимательская деятельность, как показывает зарубежная практика, без него немыслима.

Самый благоприятный общественно-экономический  климат для развития предпринимательства  не сможет предотвратить банкротства, если в результате удачной шпионской акции будут похищены секретные для фирмы сведения.

5.2 Общие сведения о брандмауэре подключения к Интернету

Брандмауэр – сочетание программного и аппаратного обеспечения, образующее систему защиты, как правило, от несанкционированного доступа из внешней глобальной сети во внутреннюю сеть (интрасеть). Брандмауэр предотвращает прямую связь между внутренней сетью и внешними компьютерами, пропуская сетевой трафик через прокси-сервер, находящийся снаружи сети. Прокси-сервер определяет, следует ли разрешить файлу попасть во внутреннюю сеть. Брандмауэр называется также шлюзом безопасности; это система безопасности, действующая как защитный барьер между сетью и внешним миром. Брандмауэр подключения к Интернету (Internet Connection Firewall, ICF) – это программное средство, используемое для настройки ограничений, регулирующих обмен данными между Интернетом и домашней или небольшой офисной сетью.