Безопасность функционирования информационных систем. БФИС1. Составление плана мероприятий для организации безопасного функционирования ис на базе ос
Скачать 216.82 Kb.
|
безопасность функционирования информационных системПрактическая работа № 1Тема: Составление плана мероприятий для организации безопасного функционирования ИС на базе ОС ________________Исходные данныеТопология и составляющие исходной распределенной информационной системыРаспределенная информационная система (РИС) развернута в удаленных друг от друга помещениях. Исходя из того, что РИС обладает большим масштабом и находится в не одном помещении, классифицируем ее как РИС, состоящую из локальных вычислительных сетей (ЛВС), каждая из которых построена на базовой топологии звезда. Топология звезда представляет собой сеть, в которой все компьютеры сети присоединены к центральному узлу (коммутатору), топология звезда представляется, как физический сегмент сети. Оконечные устройства в ЛВС подключены непосредственно к управляемому коммутатору CISCO серии WS-2960-24tc-l и находятся в одном широковещательном домене. Для физического подключения узлов к сетевому оборудованию используется витая пара UTP 5e. Доступ в интернет обеспечивается через маршрутизатор CISCO серии 3745. Оконечные устройства для получения сетевых настроек используют протокол DHCP. Протокол DHCP сконфигурирован в режиме динамического распределения адресов. Внутренний адрес подсети – 192.168.1.0/24, что соответствует категории С частных адресов. Максимальное количество узлов в данной сети: -2 = 254. Минимальный IP-адрес узла – 192.168.1.1, максимальный IP-адрес – 172.16.1.30, широковещательный (broadcast) 192.168.1.255. В состав каждой ЛВС входят до 8 автоматизированных рабочих мест (АРМ) и 2 выделенных сервера. Из 8 указанных АРМ в изолированный сегмент сети вынесены 4 АРМ и 1 выделенный сервер. В выделенных АРМ создается, хранится и распространяется конфиденциальная информация. Конфиденциальная информация так же циркулирует в сегменте сети, в котором функционируют АРМ. Сегмент сети, в котором циркулирует конфиденциальная информация, изображен на рисунке 1. Рис.1.1 Изолированный сегмент сети ЛВС (как части РИС) АРМ функционируют на базе свободной операционной системы (ОС)______________________________________. Данная операционная система ОС базируется на ядре Linux версии 3.2.0-4 с симметричной многопроцессорной обработкой (SMP), что обеспечивает поддержку многоядерных и многопроцессорных систем (SMP) и с поддержкой расширения физического адреса (PAE), что позволяет использовать объем оперативной памяти более 4GB с учетом 32-х битной архитектуры. Особенности наличия изолированного сегмента распределенной информационной системыКорпоративные сети превратились в сложные, высоконагруженные системы. Они состоят из множества серверов различных типов, а также различных рабочих групп, которые нуждаются в связи друг с другом. Если в такой среде не разделить сеть на сегменты, получится хаос, который невозможно контролировать. По мере роста масштаба такой сети надежность и безопасность корпоративной системы будет стремиться к нулю. Для решения задачи быстрого создания сегмента сети (изолированного сегмента сети) используются виртуальные локальные сети (VLAN). VLAN – группа узлов сети, траффик такой сети изолирован от трафика другой сети на канальном уровне. Основное назначение технологии VLAN – это облегчение процесса создания изолированного сегмента сети. Такие сегменты сети связываются между собой с помощью коммутатора. Таким образом создается достаточно мощный барьер, препятствующий попаданию нежелательного трафика из одной сети в другую. До появления технологии VLAN для создания сегмента сети использовались физически изолированные сегменты коаксильного кабеля, или же несвязанные между собой элементы. Которые были построены на повторителях и мостах. Такие сети связывались между собой в единую с помощью маршрутизаторов. Этот способ построения сети с изолированным сегментом является достаточно неудобным, затратным. Для его реализации требуется физическое перестроение сети, и использование дополнительно оборудования. Существует несколько способов создания изолированного сегмента с помощью технологии VLAN: С помощью 1 коммутатора; С помощью 2 и более коммутаторов. В первом случае к одному коммутатору подключено несколько хостов, находящихся в различных виртуальных сетях (рис.2). Рис. 1.2 Две виртуальные сети на одном коммутаторе После подключения хост-компьютера к порту коммутатора, на коммутатор передается фрейм от хоста, т.е. набор рабочей информации, таким образом в коммутаторе создается таблица коммутации. В простейшем виде она имеет следующий вид (табл. 1.1). Таблица 1.1 Таблица коммутации
В первом столбце таблицы указывается порт коммутатора, а в соответствующем ему втором столбце указывается MAC-адрес хоста (условно A, B, C, D), полученный во фрейме. Как правило, в настройках по умолчанию все порты коммутатора принадлежат одной виртуальной сети – VLAN 1. В настройках коммутатора можно разделить порты коммутатора, присвоив их к разным виртуальным сетям VLAN1 и VLAN2. Например, первый и второй порт отнести к VLAN 1, а третий и четвертый к VLAN2. В таком случае таблица коммутации будет выглядеть следующим образом (табл. 1.2). Таблица 1.2 Таблица коммутации для нескольких VLAN
При использовании двух коммутаторов заполнение таблицы коммутации происходит аналогичным образом, но для того чтобы хосты, подключенные к разным коммутаторам, но отнесенные к одному сегменту сети увидели друг друга требуется соединить и настроить коммутаторы следующим образом (рис. 1.3) Рис. 1.3 Две виртуальные сети на двух коммутаторах Свободный порт на коммутаторе 1 и на коммутаторе 2 необходимо добавить в 1 сегмент сети, такой же VLAN, как и хосты, требующие объединения в 1 сегмент, и соединить эти порты между собой. По организации работы VLAN можно сделать вывод, что изолированный сегмент в РИС обладает рядом достоинств: Увеличение безопасности в сети; Позволяет осуществить гибкое деление устройств на группы. ВЫПОЛНЕНИЕ практической работы: Шаг 1 Выберите ОС для работы в рассматриваемой РИС Microsoft Windows XPWindows VistaWindows 7Linux GNU/Linux Debian версии 7.8. Или Вами предлагаемая Шаг 2 Опишите основные характеристики ядра выбранной операционной системы Особое внимание уделите информации: Работа ядра ОС Добавление пакетов в репозиторий Поддержание архитектур Поддержание работы периферийных устройств Возможности перезаписи буфера; Улучшения совместимости в РИС; Добавление новых драйверов ; Возможность пересбори а установщика системы; Экранирование HTML элементов системы; Решение проблем совместимости и корректной обработки пользовательских запросов. Шаг 3 Решите для себя : К какой категории требований ФСТЭК РФ к безопасности в распределенной информационной системе относится работа Вашей РИС Определите требования класса защищенности из руководящих документов ФСТЭК http://fstec.ru/component/attachments/download/636 ГОСТ Р 56546- 2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» ГОСТ Р 56545- 2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» Шаг 4. Определите действия и работы для обеспечения централизованного хранения критически важных резервных копий системы (например, использование Удаленной синхронизации резервных копий с помощью утилиты) Решения, используемые при выполнении шагов, занесите в оформленный отчет о практической работе. Напишите вывод о работе . |