Защита локальной сети. Анализ потенциальных угроз оперативнотехнологической информации в локальной сети
Скачать 1.08 Mb.
|
Глава 3. Реализация комплекса мер по защите информации в локальной сети 3.1. Информационная модель системы управления предприятием ОАО «Лига Вкуса» Компания изначально была создана как ООО фирма "Продиндустрия". Весной 1998 года приобретено оборудование от немецких фирм - "Eberhard Ernst" и "Theegaten Pactec" для производства жевательных конфет. Первая продукция была выпущена в августе 1998г. Современное оборудование позволило впервые в России получить качественную жевательную конфету, не уступающую мировым аналогам, таким как: "Frutella" (Голландия) и "Mamba" (Германия). С февраля 2000г. ООО фирма "Продиндустрия" изменила название на ООО "Лига Вкуса", ставшую полным правопреемником по производству жевательных конфет "Кнопик". Юридический адрес: 141300 г.Сергиев Посад-14,Ярославское ш.25 Рисунок 3.1. Структура подразделения бухгалтерии ОАО «Лига Вкуса» Главный бухгалтер несет ответственность за формирование Учетной политики, ведение бухгалтерского учета, своевременное представление полной и достоверной бухгалтерской отчетности, обеспечивает соответствие 55 1 2 3 4 5 6 хозяйственных операций законодательству Российской Федерации, контроль за движением имущества и выполнением обязательств. Для построения информационной модели системы управления необходимо четко представлять структуру информационных потоков организации. Составим схематически существующую структуру информационной модели предприятия, основываясь на организационно- штатной структуре, рисунок №5. (сервер кассы) (торговый отдел) (бухгалтер) (секретарь) (модем) (Intranet) (Internet) Рис. 3.2. Существующая информационная модель предприятия. 56 В таблице №1 используя документооборот предприятия, составим подробное описание информационных потоков на базе имеющихся источников информации и получателей с указанием характера передаваемой информации. Таблица 3.1. Информационные потоки. Код потока Источник информации Получатель информации Характер информации А Б В С 1/2 сервер кассы торговый отдел Товарные чеки, налоговые накладные 1/3 сервер кассы бухгалтер - 1/4 сервер кассы секретарь - 1/5 сервер кассы Intranet - 1/6 сервер кассы Internet - 2/1 торговый отдел сервер кассы Товарные остатки, цены 3/1 бухгалтер сервер кассы - 4/1 секретарь сервер кассы - 5/1 Intranet сервер кассы - 6/1 Internet сервер кассы - 2/3 торговый отдел бухгалтер Отчеты о продажах по кассе, расходные накладные, приходные накладные, реестр налоговых накладных, товарные остатки подразделения А Б В С 2/4 торговый отдел секретарь Маркетинговые отчеты 2/5 торговый отдел Intranet Маркетинговые отчеты, товарные остатки подразделения, возвратные накладные, заявки-заказы 57 Внешними информационными потоками в данной структуре являются потоки информации поступающие из Intranet, этот источник представляет собой связь посредством модема с локальной сетью головного предприятия. Данный подход обмена информацией дает возможность передавать информацию, имеющую статус коммерческой тайны, по мере необходимости и с максимальной защищенностью, и сократить расходы связи, так как стоимость выделенной линии в Internet является дорогостоящим удовольствием. 2/6 торговый отдел Internet Деловая переписка 3/2 бухгалтер торговый отдел Распоряжения по ценообразованию и проведению инвентаризаций 4/2 секретарь торговый отдел Распоряжения, приказы 5/2 Intranet торговый отдел Товарные остатки головного предприятия, расходные накладные головного предприятия 6/2 Internet торговый отдел Деловая переписка, коммерческая информация для проведения анализа рынка и товаров 3/4 бухгалтер секретарь Отчеты о деятельности подразделения 3/5 бухгалтер Intranet Бухгалтерская отчетность для головного предприятия 3/6 бухгалтер Internet Деловая переписка 4/3 секретарь бухгалтер Распоряжения, приказы 5/3 Intranet бухгалтер Бухгалтерская отчетность головного предприятия 6/3 Internet бухгалтер Деловая переписка 4/5 секретарь Intranet - 4/6 секретарь Internet Деловая переписка 5/4 Intranet секретарь - 6/4 Internet секретарь Деловая переписка, распоряжения головного предприятия 58 Так же Internet является внешним информационным потоком, здесь используется система on line, т.е. почтовый сервер. Смысл такого подхода заключается в том, что почта передается не зависимо от состояния междугородней связи. Почта выгружается на сервер провайдера по городской телефонной линии, а далее без участия отправителя доставляется в почтовый ящик получателя, это весьма эффективно в условиях существующего качества телефонной связи, так как отправка почтового пакета занимает очень мало времени. Этот подход позволяет сократить расходы на Internet и получить весьма эффективный канал связи в свое распоряжение. Анализируя данные таблицы 3.1. составим более универсальную структуру информационной модели предприятия. ( рис.3.3.) Полученная совокупность информационных потоков послужит основой для разработки локальной информационной сети подразделения, с целью повышения эффективности управленческого процесса. 59 1 ( сервер кассы) 2 (торговый отдел) 3. бухгалтер 4. (секретарь) 5 6 Рис. 3.3. Разработанная информационная модель предприятия. 3.2. Характеристика решаемых управленческих задач Использование локальной компьютерной сети на предприятии позволяет сократить бумажный документооборот, имеющийся на предприятии, повысить производительность труда, сократить время на обработку информации, что существенно влияет на качество выполнения управленческих задач. На выбранном предприятии, работы по созданию и внедрению информационной системы выполняются в условиях наличия разрозненной компьютерной техники, используемой каждым отделом самостоятельно. На предприятии принято решение о создании единой информационной системы с целью организации оперативного и эффективного учета товарно- 60 материальных ценностей, проведения оперативного бухгалтерского учета, маркетингового анализа и интеграции бухгалтерской отчетности подразделения в бухгалтерский учет головного предприятия. Рис. 3.4. Дерево целей. Внедрение компьютерной информационной системы на предприятии направленно на эффективное решение ряда управленческих задач (на рисунке 3.4 приведено дерево целей): - управление материально-техническим снабжением, т.е. осуществлять своевременное и комплексное обеспечение потребностей предприятия в товаре; Эффективное управление Сбыт Анализ продаж Прогнозирование спроса Анализ структуры реализации Анализ структуры прибыли Технико-экономическое планирование Расчет объемов закупки Обоснование товарного ассортимента Разработка методик продаж товара Мотивация персонала Материально-техническое снабжение Анализ товарных остатков Составление заказов необходимого товара Поиск поставщиков и заключение договоров поставки 61 - управление сбытом, т.е. проводить оперативное управление реализацией товара, на основе оперативного учета сбыта, прогнозирования спроса, структуры реализации и прибыли; - технико-экономическое планирование – комплекс расчетов, основное назначение которых - это обоснование рациональных объемов закупки, ассортимента, разработки эффективных методик реализации товара и создания предпосылок для эффективной деятельности персонала. 3.3. Выбор и описание локальной компьютерной сети В штатной структуре предприятия имеется четыре отдела, самостоятельно выполняющие функции учета и оперативного управления. Они и послужат основой структуры будущей локальной информационной системы подразделения. Каждая структурная единица имеет минимальное необходимое оборудование, т.е. процесс внедрения сети будет заключаться в объединении имеющейся оргтехники на основе выбранной оптимальной типологий сети. В таблице 3.2 приведен состав имеющейся оргтехники по каждой структурной единице. Таблица 3.2 Имеющаяся оргтехника подразделений. Название отдела Наименование оргтехники Количество, шт. Торговый зал Касса 1 Компьютер 1 Торговый отдел Компьютер 1 Принтер 1 Бухгалтерия Компьютер 1 Принтер 1 Секретарь Компьютер 1 Принтер 1 Модем 1 62 Четко представляя информационную структуру предприятия, перейдем к рассмотрению вопроса выбора наиболее эффективного типа сети. Наиболее эффективной будет сеть в виде «звезда» на основе сервера. Ее преимущество в том, что: - сервер обеспечивает высокопроизводительную обработку запросов клиентов; - обеспечивает работу компьютеров отделов в качестве клиента сети; - внутренние вычисления клиентов не влияют на скорость процессора сервера; - поломка клиента не влияет на работу всей сети; - имеется единое лицо отвечающие за администрирование ресурсов сети; - обеспечивает возможность ограничения и контроля доступа к сетевым ресурсам; - устанавливаемый на сервер брэндмауэр, защищает локальную сеть от доступа через внешние каналы связи; - при выходе из строя сервера, имеется возможность замкнуть сеть в «звезду» без сервера (что правда скажется на производительности сети) или «шину». Из всего множества имеющихся видов сетевого кабеля, наиболее эффективным будет использование экранированной витой пары, ее преимущества в том, что: - низкая стоимость; - высокая помехозащищенность; - высокая производительность в скорости передачи данных; - простата установки; - размеры площадей позволяют уложиться в минимальную эффективную длину кабеля. 63 Сетевые платы необходимы с поддержкой подключения витой пары, желательно известных производителей с целью их высокой надежности и возможностью обновления драйверов для этих плат. Также необходимо установит на кассу адаптер для автоматической регистрации компьютером продаваемого товара, что позволит производить автоматическое списание проданного через кассу товара с остатков в режиме реального времени, т.е. остатки предприятия будут соответствовать действительности после пробития чека по кассе. Сопоставляя имеющуюся оргтехнику с разработанной информационной моделью (рисунок 3.3) и выбранного типа сети, определим недостающие оборудование для построения законченной структуры локальной информационной системы, таблица 3.3. Таблица 3.3. Необходимое оборудование. Наименование оргтехники Количество, шт. Сервер 1 Концентратор 1 Адаптер для кассы 1 Сетевая плата 4 Сетевой кабель Количество определяется схемой размещения оргтехники и планом помещений предприятия 3.4. Сетевое программное обеспечение ОАО «Лига Вкуса» В качестве основной операционной системы сети подразделения, предполагается использование ОС Windows ХР встроенные возможности этой ОС позволяют реализовать: организацию локальной сети, взаимодействие с другими операционными системами и интегрировать в сеть, встроенные в эту операционную систему, технологии Internet, защиту информации от несанкционированного доступа. Использование ОС Windows 64 ХР также позволяет применять в работе пользователей сети весь спектр программного обеспечения производимого корпорацией Microsoft. В состав операционной системы Windows ХР входят все программные продукты необходимые для организации и эксплуатации сети: - транспортные протоколы NetBEUI, IPX/SPX, TCP/IP; - сервер IIS; - Internet Explorer – интернет броузер; - Outlook Express – почтовый клиент; - Route, Netwatch и Winipcfg – программы маршрутизации, администрирования и конфигурирования сети; - Web Publish и FrontPage – программы организации локального Intranet-а и сайтов; - Wscript – сервер сценариев. На всех имеющихся компьютерах предприятия уже установлена операционная система Windows ХР, что позволит сократить расходы на внедрение новой операционной системы. 3.5. Пользовательское программное обеспечение. Построение схемы сети Как указывалось выше, операционная система позволяет использовать все программные продукты корпорации Microsoft, но нас более всего интересует пакет Microsoft office. Программный пакет Microsoft office, данной корпорации, позволяет решать все задачи связанные с организацией учета, оперативным планированием, организацией и ведением документооборота. Программы этого пакета имеют высокую степень интеллектуальности и полностью интегрированы с сетевыми технологиями, технологиями безопасности информации, также программы имеют полную внутреннею совместимость на уровне протоколов обмена данными, что очень важно при создании сложных 65 систем обработки информации (взаимодействие текстовых документов, электронных таблиц и баз данных между собой). Также, привлекательным является тот факт, что корпорация Microsoft поддерживает открытую архитектуру программного обеспечения и с использованием прикладного пакета Visual studio, производимого этой же корпорацией, появляется возможность на уровне программирования производить настройку существующих программ по критериям конкретной решаемой задачи. В состав пакета входят такие программы как: - Microsoft Access – организация и управление базами данных; - SQL Server – сервер управления базами данных; - Microsoft Word – текстовый редактор; - Microsoft Excel – электронные таблицы; - Microsoft Expert – система анализа. Для организации учета, будет использоваться система СКАТ использующая систему баз данных Microsoft Access. Эта система позволяет вести приходные и расходные документы, товарные чеки, налоговые накладные, товарные остатки и различные отчеты для оперативного планирования и прогнозирования. Система СКАТ позволяет интегрировать имеющуюся информацию в систему бухгалтерского учета 1С бухгалтерия. 1С бухгалтерия позволяет вести оперативные бухгалтерский учет. Данный пакет и 1С бухгалтерия также установлены на компьютерах предприятия, что также позволит сократить расходы на приобретение и внедрение программного обеспечения необходимого для организации учета и эффективного управления предприятием. 66 Построение схемы сети Рис. 3.5. Схема разработанной локальной информационной сети внедряемой на предприятии ОАО «Лига Вкуса» 67 4. Анализ затрат на организацию и обслуживание локальной компьютерной сети и эффективности системы безопасности Фирма понесет затраты на приобретение недостающего для организации локальной информационной сети оборудования и программного обеспечения, в таблицах 4.1 и 4.2 приведен расчет необходимых денежных средств. Таблица 4.1. Расчет затрат на приобретение оборудования. Наименование оргтехники Количество, шт. Цена за ед., руб. Сумма, руб. Сервер 1 45833 45833 Концентратор 1 1146 1146 Адаптер для кассы 1 688 688 Сетевая плата 4 275 1100 Сетевой кабель 200 м.п. 5 1000 Система СКАТ на 5 клиентов 5730 28650 Итого: 78417 Таблица 4.2 Стоимость услуг. Наименование оргтехники Количество Цена за ед., руб. Сумма, руб. Прокладка и настройка сети 25000 25000 Обучение персонала 5 человек 417 2085 Абонентская плата по обслуживанию 1 месяц 62 341 Итого: 27426 Общая стоимость внедрения сети составит 105843 рубля. Произведем расчет эффективности от внедрения ЛВС: Cэ Ci э i = = 1 7 , где 68 Сi э - основная и дополнительная зарплата с отчислениями на соцстрах (принимается равным 6% от суммы основной и дополнительной зарплаты), - амортизация, ремонт (3-4% от стоимости ТС), - затраты на аренду КС, прочие расходы (принимаются в размере 0,7 - 1% от стоимости ТС варианта КТС). Заработная плата - 40840 руб. * 6% = 2450 руб. 40840 – 2450 = 38390 руб. Амортизация основных фондов = 12688 руб. Электроэнергия = 530 руб. Ремонт = 3167 руб. Прочие = 1058 руб. С э = 58283 руб. Затраты на приобретение средств ВТ для одного АРМ: Кивс = К1 + К2 + К3, где К1 - производственные затраты; К2 - капитальные вложения; К3 - остаточная стоимость ликвидированного оборудования. К Ki i 2 1 6 = = k , где Ki - затраты на приобретение ЭВМ, АП, Т, помещений, прокладку КС, служебных площадей и т.д. К Ki Ti b э i m 3 1 1 = − = ( ) , где Ki b - первоначальная стоимость действующего i - го вида оборудования; - годовая норма амортизации (12% от стоимости ТС); Ti э - длительность эксплуатации i - го вида оборудования. К з = 105843(1-0,12*5) = 42337 руб. К 2 = 105843 руб. 69 К ивс = 105843+42337+20833 = 169013 руб. Затраты на приобретение средств ВТ для одного АРМ: R Кивс Тн С э С п N = + + / , где Кивс - общие затраты на проектирование и создание ИВС; Тн - нормативный срок жизненного цикла технического обеспечения (6 - 8 лет); Сэ - текущие ежегодные эксплуатационные расходы; Сп - теукщие ежегодные расходы на развитие программных средств. R = 5067 руб. Ежегодный экономический эффект определяется по формуле: H X K C P = − * * *( ) 100 100 , где Х - число ИТР и служащих, пользующихся одним АРМ (обычно 2-4); К - средневзвешенное число смен (1 - 2,5); С - средние ежегодные затраты на одного сотрудника; Р - относительная средняя производительность сотрудника, пользующегося АРМом (140 - 350%). Н = 3458*250/100 = 8645 руб. Экономические эффект от внедрения одного АРМ Z = H - R, где H - ежегодный экономический эффект; R - приведенные к одному АРМ затраты на приобретение средств ВТ и системы передачи данных и т.д. Z = 8645 – 5067 = 3578 руб. Годовая экономия от внедрения ЛВС определяется по формуле: Э = N * Z, где N - количество автоматизированных рабочих мест (АРМ); Z - прямой экономический эффект от внедрения одного АРМ. Э= 4*3578 = 14312 руб. 70 Срок окупаемости: 169013/14312 = 12 месяцев Выводы: - внедрение ЛВС целесообразно; - срок окупаемости составит 1 год. На данный момент получены следующие результаты: - спроектирована, смонтирована и введена в эксплуатацию исследуемая корпоративная сеть; - намечены мероприятия по организации информационной безопасности; Планируется получение математической модели универсальной корпоративной сети, оснащенной современными средствами защиты от внешних и внутренних угроз, которая могла бы удовлетворить самым требовательным запросам. Проектирование сети проходило в следующем порядке: 1) Сделан выбор среды передачи. Проведенные исследования возможных сред передачи (витая пара, оптоволокно, беспроводные технологии) показали, что оптоволокно обладает наилучшими показателями по надежности, скорости и помехозащищенности. В качестве среды передачи был выбран одномодовый оптоволоконный кабель. 2) Сделан выбор топологии сети. Были проанализированы различные топологии (звезда, кольцо, общая шина), и в качестве физической выбрана гибридная топология двойное кольцо, а в качестве логической – топология звезда. Для большей надежности проброшен линк от крайнего узла сети в центральный. 3) Выбрана технология передачи. Технология Gigabit Ethernet отвечает всем требованиям по скорости и надежности передачи. Эта технология является наиболее распространенной и поддерживается оборудованием всех производителей. Но в этом есть и свои недостатки: чем популярнее 71 технология, тем легче злоумышленнику организовать вторжение или нарушить работу сети. Для предотвращения вторжения необходимо правильно подобрать средства защиты периметра сети, а также продумать комплекс мер по защите от внутренних угроз. 4) Выбраны активные компоненты сети. В качестве вендора выбрана фирма Cisco Systems, т.к. они предлагают комплексный подход к организации сетей различной степени сложности. Для организации подсистемы защиты выбраны следующие основные средства: 1) Средства разграничения доступа. Будут организованы виртуальные локальные сети (VLAN). Кроме того, будут настроены права доступа индивидуально каждому работнику (рис. 4.1). Рис. 4.1. Организация виртуальных локальных сетей 72 2) Установка межсетевых экранов. Firewall (брендмауэр) будет установлен на границе между внутренней сетью и Интернет для противодействия несанкционированному межсетевому доступу. 3) Система обнаружения вторжений Intrusion Detection System, IDS - служит для обнаружения попыток несанкционированного доступа путем фонового сканирования трафика. 4) Защита информация при передаче по каналам связи, которые не контролируются или контролируются лишь частично (например - Интернет). Распространенные способы защиты - криптография, физические средства защиты. 5) Системы идентификации, аутентификации и авторизации. • Идентификация – процедура предоставления субъектом (пользователем, компьютером) своего уникального идентификатора • Аутентификация – процедура подтверждения субъектом предоставленного идентификатора Способы аутентификации: • Программные • Парольные • Аппаратно-программные • С предоставлением уникального идентификатора (смарт-карты, token) • Биометрические (отпечатки пальцев, радужная оборочка глаза) Авторизация - процедура определения прав доступа субъекта 6) Организация системы поиска уязвимостей следующими путями: 1) Выявление уязвимостей путем a) анализа настроек (пассивный поиск) b) имитацией атак (активный поиск) 2) Область сканирования a) Сетевой сканер b) Системный сканер c) Сканер уязвимости приложений (СУБД, WEB-сервер) 73 3) Результат сканирования a) Выдача списка уязвимостей b) Выдача рекомендаций (экспертные системы) c) Устранение уязвимостей в автоматическом/полуавтоматическом режиме 7) Антивирусная защита. Для защиты сети от всевозможных вредоносных программ, червей и спама наряду с техническими средствами (активное оборудование фирмы Cisco Systems имеет функции обнаружения вредоносного кода) используются стандартные антивирусные программы. При создании математической модели надежной и безопасной корпоративной сети использована реальная сеть предприятия ОАО «Лига Вкуса». На ее примере рассмотрены аспекты технической надежности топологии сети, а также аспекты информационной безопасности корпоративной сети предприятия. Будет выбран комплекс средств по организации средств защиты. Для самого предприятия ОАО «Лига Вкуса» данная разработка будет важным шагом по автоматизации процесса производства и по защите конфиденциальной информации от злоумышленников. Кроме того, данная модель может быть использована для определения степени защищенности любого предприятия, а также для организации подсистемы защиты информации на предприятии. Задача оценки эффективности контрмер является не менее сложной, чем оценка рисков. Причина в том, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические), в конкретной информационной системе – методологически чрезвычайно сложная задача. По этой причине обычно используются упрощенные, качественные оценки эффективности контрмер. 74 Примером является следующая таблица типичных значений эффективности контрмер, применяемых в методе анализа рисков RiskWatch. Таблица 4.3. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment – возврат вложений) Разработка и внедрение политики информационной безопасности 2 Мероприятия по работе с персоналом (наведение справок, контроль за поведением и т. п.) 3 Совершенствование организационной структуры 4 Анализ рисков 5 Управление жизненным циклом (управление рисками) 5 Совершенствование должностных инструкций и условий контрактов 5 Меры контроля за посетителями 6 Управление имуществом компании 7 Обучение персонала и контроль за соблюдением режима ИБ 9 Меры контроля за работой приложений 10 Указанные в таблице значения являются ориентировочными оценками эффективности вложений в различные классы мероприятий в области защиты информации. В ряде случаев используются более сложные таблицы, в которых эффективность зависит от определенных факторов. На основе подобных таблиц делаются качественные оценки эффективности контрмер. Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков 75 учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами (например, при определении стоимостных характеристик), так и качественными (например, учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды). Таким образом, анализ и управление информационными рисками позволяет обеспечить экономически оправданную безопасность компании. |