Защита офиса нефте-газовой корпорации

Министерство Образования и Науки Украины

Национальный авиационный университет

Институт Информационно-Диагностических Систем

Факультет Телекоммуникаций и Защиты Информации

Кафедра Компьютеризированных Систем Защиты Информации

Курсовой проект по дисциплине

«Основы информационной безопасности»

Защита офиса нефте-газовой корпорации

Выполнил:

студент IIІ-го курса

группы 304-ФТЗИ

Абасова В.Р.

                                  ________

                                                     (подпись)

Проверил:

Щербак Т.Л.

_________________________

(оценка, дата сдачи работы)                                        (подпись)

Киев-2006

Содержание:

Вступление………………………………………………………………………...3

Список используемых терминов и обозначений………………………………..4

Часть І. Теория…………………………………………………………………….6

          Основные понятия, термины и определения……………………………..6

                   Информация и информационные отношения. Субъекты информационных отношений, их безопасность………………………………...6

                   Определение требований к защищенности информации………...10

          Комплексные меры по защите информации……………………………13

                   Принцип «слабейшего звена»……………………………………...13

                   Экономическая целесообразность защиты………………………..13

                   Категоризация информации ……………………………………….14

                   Комплекс мер защиты………………………………………………15

Часть ІІ. Практика………………………………………………………………..19

          Объект……………………………………………………………………...19

         Физическая защита. Защита серверной комнаты……………………….21

          Организационная защита…………………………………………………24

                     Реализация политики безопасности………………………………25

          Программная защита……………………………………………………...33

                     Безопасная настройка FreeBSD…………………………………...35

                     Атрибуты файла и файловой системы…………………………...47

                     Способы защиты от флуда и DDoS атак…………………………47

                     Другие средства защиты…………………………………………..51

Вывод……………………………………………………………………………..52

Литература……………………………………………………………………….53

Приложение

Вступление

В первую очередь, хочу вкратце пояснить структуру данной работы и причины выбора именно такой структуры. В дальнейшем, по ходу дела я буду к ним возвращаться, но мне показалось важным собрать их все воедино, и дать объяснение именно вначале.

Итак, работа состоит из дувух частей. В первой приведена общая теория защиты информации, оценки рисков и т.д. На ней я не буду подробно останавливаться, так как она, в общем-то стандартная и представляет интерес только с точки зрения целостности и законченности данной работы. Вторая часть намного более интересна, так как в ней заключается основная суть работы.

В качестве объекта защиты я вбрала офис крупной нефте-газовой корпорации по двум причинам:

     во-первых, я имела возможность получить некоторую информацю о нем;

     во-вторых, такой объект защиты показался мне очень интересным.

Защита информации на каком-либо объекте это комплекс самых разнообразных мер, которые очень стесно связаны между собой. Каждая из них очень важна, потому что прочность цепи, как изветно, равна прочности самого слабого ее звена. Поэтому бесполезно уделять все внимание и деньги какому-либо одному аспекту защиты. С другой стороны, раработка десйтвительно защиты с учетом всех необходимых мера для меня сейчас невозможна по следующим причинам:

     объем курсовой работы получился слишком велик;

     требовалось бы учесть многие особенности деятельности данной корпорации и данного офиса, с которыми я не знакома;

     мои знания об современном защитном аппаратном и программном обеспечении ограничено моими финансовыми возможностями, моим опытом, моим доступом к информаиции. Например, чтобы рекомендовать какую-нибудь дорогостоящую аппаратно-программную систему защиты, а тем более описывать ее практическое применение и настройку для данной конкретной ситуации (что очень важно!), мне нужно по крайней мере иметь возможность с ней ознакомиться.

Исходя из вышесказанного, я решила описать самые, по моему мнению, важные меры защиты, подробно останавливаясь лишь на некоторых деталях.

Список используемых терминов и обозначений

SSH – Secure Shell можно использовать и вместо таких приложений как telnet и ftp. У SSH много возможностей, но его по большей части используют для шифрования соединения;

ГУИКБ – группа улаживания инцидентов с компьютерной безопасностью;

ЛВС – локальная вычислительная сеть;

ОС – операционная система;

НСД - несанкционированный доступ, доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа;

администратор безопасности – лицо или группа лиц, ответст-венных за обеспечение безопасности системы, за реализацию и непрерыв-ность соблюдения установленных административных мер защиты и осущест-вляющих постоянную организационную поддержку функционирования при-меняемых физических и технических средств защиты;

безопасность информации - защищенность информации от нежелательного (для соответствующих субъектов информационных отноше-ний) ее разглашения (нарушения конфиденциальности), искажения (наруше-ния целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования;

доступ к информации - ознакомление с информацией (копиро-вание, тиражирование), ее модификация (корректировка) или уничтожение (удаление);

защита информации - непрерывный процесс построения, под-держки нормального функционирования и совершенствования системы защи-ты информации;

интернет – две или более сетей, соединенных друг с другом;

организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования сис-темы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реали-зации угроз безопасности циркулирующей в ней информации;

физические меры защиты - это разного рода механические, электро- или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам АС и защищаемой информации, а также технические средства визуального наблю-дения, связи и охранной сигнализации;

узел – устройство с уникальным адресом в сети; и протокол, означающий электронный язык, на котором общаются узлы между собой.

Часть І. Теория

ОСНОВНЫЕ ПОНЯТИЯ, ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Цель данного раздела - дать определения основных понятий в области безопасности информационных технологий, сформулировать цели обеспечения безопасности.

Прежде всего необходимо разобраться, что такое безопасность информационных отношений, определить что (кого), от чего, почему и зачем надо защищать. Только получив четкие ответы на данные вопросы, можно правильно сформулировать общие требования к системе обеспечения безопасности и переходить к обсуждению вопросов построения соответствующей защиты.

Информация и информационные отношения. Субъекты информационных отношений, их безопасность

В данной работе под информацией будем понимать сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, используемые (необходимые) для оптимизации принимаемых решений в процессе управления данными объектами.

Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т.п.) на носителях различных типов. В связи с бурным процессом информатизации общества все большие объемы информации накапливаются, хранятся и обрабатываются в автоматизированных системах, построенных на основе современных средств вычислительной техники и связи. В данной работе будут рассматриваться только те формы представления информации, которые используются при ее автоматизированной обработке.

В дальнейшем субъектами будем называть государство (в целом или отдельные его органы и организации), общественные или коммерческие организации (объединения) и предприятия (юридических лиц), отдельных граждан (физических лиц).

В процессе своей деятельности субъекты могут находиться друг с другом в разного рода отношениях, в том числе, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Такие отношения между субъектами будем называть информационными отношениями, а самих участвующих в них субъектов - субъектами информационных отношений.

Под автоматизированной системой обработки информации (АС) будем понимать организационно-техническую систему, представляющую собой совокупность следующих взаимосвязанных компонентов:

   технических средств обработки и передачи данных (средств вычислительной техники и связи);

   методов и алгоритмов обработки в виде соответствующего программного обеспечения;

   информации (массивов, наборов, баз данных) на различных носителях;

   персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

Под обработкой информации в АС будем понимать любую совокупность операций (прием, сбор, накопление, хранение, преобразование, отображение, выдача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС.

Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно):

   источников (поставщиков) информации;

   пользователей (потребителей) информации;

   собственников (владельцев, распорядителей) информации;

   физических и юридических лиц, о которых собирается информация;

   владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т.д.

Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:

   своевременного доступа (за приемлемое для них время) к необходимой им информации;

   конфиденциальности (сохранения в тайне) определенной части информации;

   достоверности (полноты, точности, адекватности, целостности) информации;

   защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);

   защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.);

   разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

   возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.

Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных требований субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию и ее носители либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности (конечно в различной степени в зависимости от величины ущерба, который им может быть нанесен).

Для удовлетворения законных прав и перечисленных выше интересов субъектов (обеспечения их информационной безопасности) необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:

   доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость;