Проектирование ЛВС в предприятии

Система позволяет использовать:

• реализацию всех функциональных компонент информационной системы на единой платформе с предоставлением выбора самой платформы, наиболее оптимально соответствующей таким потребностям банка: MS SQL Server, Btrieve/Pervasive SQL, DB2 for AS/400 (в перспективе - Oracle, Informix);
• 16-разрядные и 32- разрядные версии клиентских приложений системы;
• наиболее популярные настольные операционные системы для клиентских рабочих станций;
• универсальную “Словарную систему”, построенную на основе методологии UML и являющеюся основой функционирования корпоративного инструментария DiasoftSYSTEM 4x4 и системы программирования DiasoftSCRIPT (универсального средства для функционального развития системы);
• внешние средства групповой работы и широко распространенные офисные приложения.

Среди ON-LINE возможностей системы:

• контроль значений типовых и настраиваемых по договорам обслуживания лимитов непосредственно в момент выполнения банковских операций;
• возможность формирования отчета на любую дату в произвольный момент времени;
• использование модели обработки потоков документов в режиме “активного словаря”;
• отсутствие дублирования ввода и обработки информации: все пользователи системы работают с единым актуальным набором данных;
• аутентификация, аудит и мониторинг работы пользователей системы;
• как одновременное, так и распределенное функционирование пакетных и интерактивных процессов в системе.

Среди REAL-TIME возможностей системы:

• бухгалтерский учет оборотно-сальдовой информации по счетам в момент выполнения проводок;
• одновременный учет проводимой операции во всех областях плана счетов кредитной организации, а также по всем позициям внесистемного учета, используемого банком;
• многостадийная обработка банковских операций с возможностью разграничения этапов ввода, обработки и учета, а также организации динамических очередей отложенных операций в случае временного невыполнения лимитов на их проведение.
• Для работы с физическим лицами в отделе будет использоваться Diasoft FA# Retail.5NT.

Для работы с документами будет использоваться Microsoft Office Pro 2007 Win32. Windows Server 2003 включает в себя ряд новых и расширенных возможностей управления хранением данных, которые упрощают и делают более надежными управление и обслуживание дисков и томов, резервное копирование и восстановление данных, а также подключение к системам сетевых хранилищ.

Для рабочих  станций выбираем ОС – Microsoft Windows XP Professional.

Системные требования к операционным системам серверов и рабочих станций представлены в таблицах 7 и 8 соответственно.

 

Таблица 10

 Системные требования для Windows Server 2003

 

Минимальная частота процессора	133 МГц
Рекомендуемая частота процессора	от 550 МГц
Минимальный объем оперативной памяти	128 МБ
Рекомендуемый объем оперативной  памяти	от 256 МБ
Максимальный объем оперативной  памяти	4 ГБ
Поддержка нескольких процессоров	До 4
Пространство на диске для установки	1,5 ГБ

 

Таблица 11

 Системные требования для Microsoft Windows XP Professional

 

Минимальная частота процессора	233 МГц
Рекомендуемая частота процессора	от 300 МГц
Минимальный объем оперативной памяти	64 МБ
Рекомендуемый объем оперативной  памяти	от 128 МБ
Максимальный объем оперативной  памяти	4 ГБ
Пространство на диске для установки	1,5 ГБ

 

5.4   Планирование информационной безопасности ЛВС

 

Защита информации включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и если необходимо конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и  передачи данных. Информационная безопасность - это защищенность данных и поддерживающей инфраструктуры от случайных или  преднамеренных воздействий естественного  или искусственного характера, чреватых нанесению ущерба владельцам или  пользователям.

Проведем  анализ угроз и их оценку с точки  зрения вероятности реализации и  ущерба от реализации угрозы (таблица 2.13).

Оценка вероятности  реализации угрозы:

• очень вероятна – 9-10 баллов,
• вероятна  - 5-8 баллов,
• маловероятна  -3-5 баллов.
• практически невероятна 1-2 балла.

Оценка степени  ущерба от реализации угрозы:

• полная потеря данных – 9-10 баллов,
• частичная потеря данных  - 3-8 балла,
• возможная потеря данных  - 1-2 балла.

 

Таблица 15

Оценка  угроз

 

Угроза	Вероятность реализации	Ущерб	Общая оценка угрозы
Отказы источников питания и скачки напряжения	9	2	18
Природные явления (бури, молнии и т.п.)	1	4	4
Пожары	3	6	18
Ошибки пользователей	5	5	25
Воровство, вандализм	2	7	14
Несанкционированный доступ к ресурсам	9	9	81
Компьютерные вирусы	7	9	63
Сбои программного обеспечения	3	9	27
Сбои аппаратного обеспечения	4	9	36
Механические повреждения кабеля	5	2	10

 

Для обеспечения  информационной безопасности будем  использовать следующие методы:

• источники бесперебойного питания,
• пароли и шифрование,
• защиту от вирусов с помощью специальных программных средств,
• предупреждение несанкционированного доступа к данным.

Начнем с  настройки компьютеров, входящих в  локальную сеть.

• На всех компьютерах должно быть установлены все программные обновления, доступные на данный момент.
• Также должно быть установлено и настроено антивирусное ПО со свежими антивирусными базами.
• Файловая система должна быть NTFS, она намного безопаснее, чем FAT32. Хотя известны случаи сбоев и восстановления ntfs систем.
• Отключить неиспользуемые службы, это закроет неиспользуемые открытые порты и немножко ускорит компьютер.
• Ограничить права доступа пользователя, это снизит риск проникновения вредоносного ПО в компьютер. Также следует запретить удаленный доступ к компьютеру. Сменить все пароли, которые были установлены по умолчанию (пароль администратора и т.д.).
• Настроить подключение, желательно оставить только TCP/IP. Все остальные отключить.

Это необходимый  минимум, который должен быть сделан на всех компьютерах входящих в локальную сеть. В качестве защиты от вирусов используем выделенный сервер, на который установлен антивирус Trend Micro.

Для защиты от неправомерного доступа к данным из внешней сети необходимо использовать аппаратный брандмауэр.

Аппаратные  брандмауэры построены на базе специально разработанных для этой цели собственных  операционных систем. Брандмауэр - это  устройство, предотвращающее доступ во внутреннюю сеть пользователей извне. Он не является отдельной компонентой, а представляет собой целую стратегию  защиты ресурсов организации. Основная функция брандмауэра - централизация  управления доступом. Он решает многие виды задач, но основными являются анализ пакетов, фильтрация и перенаправление  трафика, аутентификация подключений, блокирование протоколов или содержимого, шифрование данных.

До определённой степени межсетевые экраны должны быть прозрачными для внутренних пользователей  сети и запрещать доступ других пользователей  извне. Такая политика обеспечивает достаточно хорошую защиту.

Также используем специальный сегмент внутренней сети, защищённый извне и изолированный  от остальных, так называемая демилитаризованная зона (DMZ).

DMZ (демилитаризованная зона) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам с помощью межсетевого экрана. При этом не существует прямых соединений между внутренней сетью и внешней: любые соединения возможны только с серверами в DMZ, которые (возможно) обрабатывают запросы и формируют свои, возвращая ответ получателю уже от своего имени.

Организуем  DMZ двумя брандмауэрами (рис.2.23). В конфигурации с двумя файрволами DMZ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в DMZ, а второй контролирует соединения из DMZ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из файрволов или серверов, взаимодействующих с внешней сетью — до тех пор, пока не будет взломан внутренний файрвол, злоумышленник не будет иметь произвольного доступа к внутренней сети, а взлом внутреннего файрвола не возможен без взлома внешнего файрвола.

Схема с двумя  файрволами может быть организована как с общим подключением (когда между внешним и внутренним файрволами есть соединение), так и с раздельным (когда сервера имеют два сетевых порта, один из которых связан с внешним файрволом, а второй с внутренним). В последнем случае прямое взаимодействие между внешним и внутренним файрволами отсутствует.

 

Рис.2.23 DMZ двумя брандмауэрами

 

Брандмауэр  и DMZ не является абсолютной гарантией защиты внутренней сети от удалённых атак, несмотря на то, что осуществляют сетевую политику разграничения доступа к определённым ресурсам.

Во множестве  случаев достаточно вывести из строя  лишь один межсетевой экран, защищающий определённый сегмент, чтобы отключить  всю сеть от внешнего мира и при  этом нанести достаточный ущерб, вызвав большие сбои в работе организации  или компании.

Не стоит  игнорировать тот факт, что брандмауэры  никогда не решали внутренних проблем, связанных с физическим доступом к серверам и рабочим станциям неуполномоченных лиц, слабыми паролями, вирусами с дискет пользователей  и многим другим. Но из всего вышесказанного отнюдь не следует, что их использование  абсолютно бессмысленно и неэффективно. Наоборот, применение брандмауэров - необходимое  условие обеспечения безопасности сети, однако нужно помнить, что всех проблем они не решат.

Следует обратить внимание на размещение сервера (серверов) и ограничить физический доступ пользователей к нему. Необходимо предпринимать меры по защите отдельных  рабочих станций. Особое внимание нужно  уделить тем компьютерам, на которых  хранится важная информация. Использование  стойких к перебору паролей является неотъемлемой частью защиты сетей от неправомерного доступа к данным. Пароль должен содержать не менее 8 символов в верхнем и нижнем регистре, цифры и неалфавитные символы.

Следует контролировать запущенные процессы и  периодически проверять журнал подключений  сервера.