В зависимости отприобретенной лицензии данное устройство можетвключать в себя функции IPS и криптошлюза. DPS-4024- это модульное решение уровня ядра. Данная платформа позволяет реализовать в одномустройстве высокопроизводительныймаршрутизатор с поддержкой VPN и системуобнаружения и предотвращения вторженийIPS/IDS. Выбранные устройства представляют собой старшие модели производителей. Стоит отметить, что решение компании Код Безопасности является в первую очередь крипто шлюзом и строит для построения безопасных соединений, но также может использоваться и как МЭ, хоть и уступает представленным аналогам в производительности. Ниже приведено сравнение основных характеристик выбранных устройств и имеющихся особенностей. Осуществим сравнение по значимым характеристикам, приведено в таблице 2.
1.Таблица 2.1Сравнение МСЭХарактеристики.
Рубикон-К Мультипортовый.
АПКШ-«Континент» IPC-3000FAltell NEO 340DPS-4024.
Маршрутизация Мбит/сДо 28 000До 3 500До 18 000До 40 000Встроенные интерфейсы1*RJ45 GbE10*RJ45 GbE4*SFP+ GbE1*RJ45 GbE1*RJ45 GbEМодули расширения8 модулей: 8*RJ45 GbE4*SFPGbE8*SFPGbE 2*SFP+ 10GbОсновныеинтерфейсызаменяемы.
Передняя панель: 8 модулей:
8*RJ45 GbE8*SFPGbE2*SFP+ 10GbEЗадняя панель:
1 модуль: 2ЧQDR 40GbE2*Е1/Т1 1*Е1/Т18*RJ45 GbE8*SFPGbE4*SFP+ 10GbФорм фактор2U2U2U1UОЗУДо 128Gb4GbДо 128GbПроизводительность шифрования Мбит/сНет информации.
До 2 700До 3 500До 2 500Резервный блок питания.
ОпциальноДаДаНет.
Поддержкашифрования ГОСТДополнительныймодуль.
ДаДаДаПроизводительность IPS/IDS Мбит/сДо 12 000Модуль отсутствует.
До 3 200Нет информации.
Однонаправленный шлюз.
ДаНет.
НетНет.
Поддержка мандатных меток.
ДаНет.
НетНет.
ОтказоустойчивостьДаДаДаДаБалансировка.
НетДаДаНет.
Веб-фильтр
НетНет.
ДаНет.
Почтовой фильтр
НетНет.
ДаНет.
Защита от DOSДаДаДаДаСертификаты.
ФСТЭК 3 Класс МЭ (2 Класс**)ФСТЭК 4 Класс НДВ (2 Класс**)ФСТЭК 4 Класс СОВ (2 Класс**) МО (МЭ-2, НДВ-2, РДВ)** ФСБ КС-1ФСТЭК 2 класс НДВФСТЭК 2 класс МЭФСБ 2 класс МЭФСБ КС-3ФСТЭК 2 Класс МЭФСТЭК 2 Класс НДВФСБ 4 Класс МЭФСТЭК 2 Класс МЭФСТЭК 2 Класс НДВФСБ КС-1Цена.
От 70 000.
От 100 000.
От 280 000.
От 95 000.
Как можно заметить каждое из устройств имеет ряд особенностей. Стоит отметить, что среди представленных устройств только «РУБИКОН-К» позволяет закрыть сразу два типа требований приказов от 11.
02.2012 № 17 и от 18.
02.2013 № 21 ФСТЭК России: требования к сертифицированным МЭ и требования к наличию средств обнаружения вторжений (СОВ). В свою очередь Altell NEO обладает рядом дополнительных функции (веб и почтовый фильтры), но при этом обладает гораздо более высокой стоимость. АПКШ «Континент» в свою очередь идеально подойдет для защиты отельных сегментов сети, и организую защищенного канала связи как через сеть Интернет, так и между подсетями одной организации. Оптимальным выбором в данном случае будет выбор оборудования АПКШ «Континент».
2.2. Модернизированная структура сети.
На рис. 2.1 приведена схема модернизированной сети ООО «Major». Новыми элементами корпоративной сети являются:
МСЭ АПКШ «Континент»;Почтовые сервера. МСЭ устанавливаются в каждом сегменте корпоративной сети ООО «Major», они отделяют сегменты сети от публичной сети, также отделяю почтовые сервера подсетей филиалов.Рис. 2.1 — Схема модернизированной сети ООО «Major"2.
3. Экономическая эффективность проекта.
Оценка экономического эффекта от внедрения средств экранирования заключается в минимизации рисков информационной безопасности в ООО «Major».В таблице 2.2 приведено сравнение уровней рисков до и после внедрения средств экранирования в структуру корпоративной сети. Таблица 2.2Таблица рисков ООО «Major"после внедрения межсетевого экранирования.
Описание угрозы.
УщербУщербдо внедрения СЗИВероятность.
Вероятность до внедрения СЗИРиск (=Ущерб*Вероятность)Риск (=Ущерб*Вероятность).
до внедрения СЗИ Физический, несанкционированный доступ в помещения организации, к оборудованию, носителям информации331 133.
Кража или повреждение компьютерного оборудования и носителей информации инсайдерами442 288.
Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками441 144.
Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования или создания возможностей обхода средств защиты441 144.
Злоупотребление средствами аудита332 266.
Злоупотребление средствами обработки информации333 399.
Злоупотребление рисками или активами44 331 212.
Несанкционированное использование программного обеспечения4 413 412.
Использование сетевых средств несанкционированным образом4 413 412.
Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения331 133.
Утечка конфиденциальной информации из сети по каналам связи 4 413 412.
Утечка конфиденциальной информации на мобильных устройствах331 133.
Перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика4 413 412.
Замена, вставка, удаление или изменение данных пользователей в информационном потоке331 144.
Неумышленное раскрытие конфиденциальной информации сотрудниками компании331 133.
Использование чужих пользовательских идентификаторов331 133.
Несанкционированный доступ к ресурсам ЛВС компании со стороны внутренних злоумышленников442 288НСД к журналам и средствам аудита3 315 315НСД к беспроводной сети компании3 315 315НСД к резервным копиям данных3 315 315.
Анализ и модификация ПО333 399.
Использование незадекларированных возможностей ПО441 144.
Внедрение несанкционированного, непроверенного или вредоносного программного кода4 413 412.
Атаки на отказ в обслуживании4 413 412.
Недоступность ИТ сервисов и информации по причине физического или логического сбоя442 288.
Повреждение носителей информации221 122.
Установка непроверенных технических средств331 133.
Нарушение безопасности по причине несоблюдения операционных процедур224 488.
Умышленное разрушение критической для бизнеса информации551 155.
Нарушение целостности данных из-за ошибок пользователей222 244.
Ошибка персонала технической поддержки331 133.
Ошибка в процессах сопровождения114 444.
Изменение конфигурации активного сетевого оборудования112 222.
Фальсификация записей441 144.
Антропогенные катастрофы (взрыв, терроризм, вандализм и т. д.)550000.
Бомбардировка550 000.
Забастовка550 000.
Природные катастрофы550 000.
Молния221 122.
Ураган221 122.
Нарушение прав интеллектуальной собственности111 111.
Нелегальное использование ПО110 000.
Нарушение патентного права110 000.
Нарушение законодательства и номативной базы112 222.
Невыполнение контрактных обязательств55 221 010.
Итого176 232.
Как видно из таблицы внедрение средств межсетевого экранирования приведет к минимизации вероятности угроз ИБ на 30%.Для оснащения сети средствами межсетевого экранирования потребуется приобретение 30 МСЭ. Общая стоимость оборудования составит 3000 т.р. При этом оценка информационных активов показала возможный ущерб от угроз сетевой безопасности в размере 1800 т.р.Таким образом, расчетный период окупаемости составил1 год и 8 месяцев.
Заключение
.
Целью ВКР является обеспечение информационной безопасности корпоративной сети ООО «Major» на основе использования средств межсетевого экранирования. В ходе выполнения ВКР были выполнены следующие задачи:
проанализирована деятельность ООО «Major»;проанализированаструктуры сети ООО «Major»;проанализированы угрозы сетевой безопасности;
проанализирована существующая система сетевой безопасности;
разработаны предложения по совершенствованию системы сетевой безопасности;
осуществлен выбор модели МСЭ;разработана модернизированная структура сети ООО «Major»;дана оценкаэкономической эффективность проекта. Расчетный период окупаемости составил 1 год и 8 месяцев.
Список литературы
Бачило И.Л., Лопатин В. Н., Федотов М. А. Информационное право: Учебник/Под ред. Акад. РАН Б. Н. Топорникова. — СПб.: Издательство «Юридический центр Пресс», 2014.
— 171с. Брейдо В. Л. Вычислительные системы, сети и телекоммуникации. СПб: Питер, 2015. — 221 с. Вильховченко С.
Протоколы информационно-вычислительных сетей. М.: Радио и связь, 2014. — 213 с. Герасименко В. А. Защита информации в автоматизированных системах обработки данных. М.: Энергоатомиздат, 2015. — 98 с. Герасименко В. А., Малюк А. А. Основы защиты информации.
— М.: 2014. — 167с. Гольдштейн Б. С. Протоколы сети доступа, Спб.: БХВ, 2015.
— 176 с. Григорьев В. А. Сети и системы широкополосной передачи данных М.: Эко-Трендз, 2015. — 145 с. Гук М. Аппаратные средства локальных сетей. СПб: Питер, 2014.
— 213 с. Гундарь К. Ю. Защита информации в компьютерных системах. М.: 2014. — 123 с. Девянин П. Н. Теоретические основы компьютерной безопасности.
М.: Радио и связь, 2015. — 145 с. Девянин П. Н., Михальский О. О., Правиков Д. И., Щербаков А. Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. -.
М.: Радио и связь, 2013. — 192 с. Джамса К. Программирование для INTERNET в среде Windows. Санкт-Петербург: ПИТЕР, 2014. -.
256 с. Диева С. А., Шаеаева А. О. Организация и современные методы защиты информации. — М: Концерн «Банковский Деловой Центр», 2014. — 123с. Димарцио Д. Ф. МаршрутизаторыCisco. М.: Радио и связь, 2013. — 234 с. Казаков С. И. Основы сетевых технологий.
СПб.: БХВ-Петербург, 2015. — 202 с. Лаура Ф. Анализатор локальных сетей NetWare. М.: ЛОРИ, 2014. -.
336 с. Мельников В. В. Безопасность информации в автоматизированных системах. — М.: Финансы и статистика, 2013. — 190 с. Мельников В. В., Клейменов С. А., Петраков А. М. Информационная безопасность. — М.: Академия, 2014.
— 336 с. Мерит Максим. Аппаратное обеспечение широкополосных сетей передачи данных М.: Компания, 2014. — 234 с. Новиков Ю. В. Локальныесети. Архитектура, алгоритмы, проектирование. М.: 2015.
— 211 с. Сафронов В. Д. Проектирование цифровой системы коммутации, СПБ.: 2015. — 155 с. Семенов Ю. А. Протоколы и ресурсы INTERNET. М.: Радио и связь, 2014. — 143 с. Семенов Ю. А. Сети Интернет.
Архитектура и протоколы.
М.: СИРИНЪ, 2014. — 167 с. Соловьева Л. Сетевые технологии. М.: 2014. — 214 с. Флинт Д. Локальные сети ЭВМ: архитектура, построение, реализация.
М.: Финансы и статистика, 2014. — 145 с.
