Разработка комбинированной локальной вычислительной сети для объекта ООО «ПБК»

К средствам и методам криптографической защиты относятся:

шифрование с использованием статических WEP-кпючей, шифрование с использованием протокола TKIP, применение улучшенного алгоритма шифрования (AES).К дополнительным средствам защиты, не предусмотренным производителями оборудования, можно отнести:

создание виртуальных частных сетей (VPN), применение системы обнаружения атак (IDS). В настоящее время существует большое количество полностью открытых беспроводных сетей, в которых не используются средства криптографической защиты, нет фильтрации МАС адресов, не закрыты ESSID, отсутствует фильтрация протоколов и существует возможность управления точкой доступа непосредственно из сети. Причина существования сетей такого вида обусловлена безответственностью пользователей и системных администраторов, не настроивших надлежащим образом параметры встроенных средств защиты. В силу своей высокой уязвимости, сети данного вида наиболее часто подвержены атакам со стороны нарушителей. Беспроводные сети, использующие базовую аутентификацию. Беспроводные сети данного вида являются более защищенными, поэтому их иногда называют закрытыми.

Применяемые средства защиты не являются непреодолимыми для нарушителя. Отключение широковещательной передачи ESSID не исключает возможности его раскрытия нарушителем, в виду того, что в действительности идентификатор удаляется не из всех административных фреймов. Например, во фреймах с запросами на повторную аутентификацию и повторное присоединение идентификатор беспроводной сети присутствует, что является существенной уязвимостью сетей данного класса. Фильтрация МАС адресов также уязвима для квалифицированного нарушителя, которому достаточно проанализировать сетевой трафик и выяснить, какие МАС адреса встречаются. После выхода пользователя из сети нарушитель может присвоить своему сетевому адаптеру его МАС адрес и присоединиться. Сети, использующие систему обнаружения атак в качестве дополнительного средства защиты, будут менее уязвимы, в виду того, что в ряде случаев данная система позволяет информировать администратора сети о факте атаки. Применение фильтрации протоколов в некоторых специфических случаях, когда пользователи беспроводной сети ограничены в своих действиях, может быть достаточно эффективным. Но на рынке представлено недостаточно точек доступа, в которых корректно реализована фильтрация протоколов, причем обычно это дорогие устройства высокого класса, что также ведет к увеличению уязвимости сети. Беспроводные сети с WEP-шифрованием. Беспроводные сети данного класса в дополнение к средствам базовой аутентификации используют протокол шифрования WEP, как средство криптографической защиты. Протокол WEP позволяет осуществлять обмен информацией между пользователями в зашифрованном виде, что затрудняет возможность нарушения несанкционированным пользователем конфиденциальности передаваемых данных. В протоколе WEP выявлен ряд уязвимостей, позволяющих нарушителю получить ключ шифрования, но если нарушитель не в состоянии взломать WEP, то вмешаться в работу сети он может, только проводя DoS-атаки на уровни ниже того, на котором реализован этот протокол. Беспроводные сети, применяющие протокол TKIP (WPA) и аутентификацию с использованием общих PSK-ключей.

Протокол TKIP устраняет существующие уязвимости протокола WEP и в настоящее время считается эффективным криптографическим средством защиты. В сетях данного класса наряду с протоколом TKIP применяется средство аутентификации с использованием предварительно разделенных ключей (PresharedKey PSK). Хотя на каждом клиентском хосте может быть свой PSK, но в большинстве реализаций используется один PSK на каждый ESSID так же, как в протоколе WEP. В отличие от WEP, PSK применяется не для шифрования данных, а для порождения пары временных ключей (TransientKey РТК) для каждого защищенного протоколом TKIP соединения. Беспроводные сети данного класса не используют протокол 805.

1х для распределения и ротации ключей TKIP. К ним относятся сети с устаревшим необновленным беспроводным оборудованием и программно-аппаратным обеспечением, не способным поддержать стандарт 805.

1х, вследствие чего, они могут быть подвержены атакам методом полного перебора или по словарю. Беспроводные сети, применяющие протокол ТК/Р (WPA) и аутентификацию по протоколам IEEE 805.

1х и ЕАР. В сетях данного класса ключи TKIP генерируются, распределяются и ротируются с помощью протокола 805.

1х или RADIUS. В данном случае попытки взломать ключи TKIP малоэффективны, однако, существует возможность атаковать односторонние системы аутентификации 805.

1х, в которых используется протокол ЕАР MD5. Однако у такой атаки ограниченное применение, поскольку современные реализации 805.

1х поддерживают взаимную (клиент сервер и сервер клиент) аутентификацию, а к протоколу ЕАР MD5 прибегают только в крайнем случае. Если в реализации стандарта 805.

1х задействованы протоколы ЕАР-TLS, EAP-TTLS или ЕАР-РЕАР, то взлом сетей использующих данный стандарт маловероятен и нарушитель может применить только DoS-атаки, методы социальной инженерии или атаки со стороны проводной сети на сервер сертификатов. Беспроводные сети, применяющие улучшенный алгоритм шифрования AES и аутентификацию с использованием общих PSK-ключей. AES — улучшенный алгоритм шифрования, используемый в качестве альтернативы алгоритму RC4 протоколов TKIP и WEP. AES не подвержен известным атакам и предлагает более высокий уровень шифрования, чем TKIP и WEP. AES — крайне защищенный криптографический алгоритм: текущие исследования показывают, что для взлома AES-кпюча требуется 2120 операций. Таким образом, беспроводные сети, использующие данный алгоритм являются наименее уязвимыми к атакам взлома ключа шифрования. Вместе с шифрованием в сетях данного класса применяется система аутентификации с использованием предварительно разделенных ключей (PresharedKey PSK).Беспроводные сети, использующие виртуальные частные сети как механизм защиты. В беспроводных сетях данного класса осуществляется шифрование .

5.3 Архетиктура механизмов защиты информации в ЛВСТаким образом, любая защищенная ЛВС должна предусматривать реализацию как минимум следующих механизмов защиты: обеспечение целостности данных; обеспечение безопасного доступа; обеспечение конфиденциальности данных; обеспечение подлинности информации; протоколирование действий пользователей. Для обеспечения безопасности информации используются следующие методы:

административные;

аппаратно-программные;

криптографические.На рисунке 5.1 представлены методы по обеспечению безопасности информации в вычислительных системах и сетях. Рисунок 5.1 — Меры по обеспечению ЗИ вычислительных системах и сетях5.

4 Методы защиты данных, передаваемых в сети.

Аппаратные шифраторы данных.

В данном дипломном проекте решено использовать аппаратные шифраторы данных. Это, как было указано выше, позволит существенно затруднить получение злоумышленником нужной информации. SafeNetEthernetEncryptorПродукты серии SafeNetEthernetEncryptor являются защищёнными высокопроизводительными аппаратными шифраторами канального уровня (шифрование Ethernet, SONET, SDH и FibreChannel до 10 Гбит/с), не уменьшающими реальную пропускную способность канала связи и не увеличивающими задержку при передаче данных и обеспечивают сетевое шифрование при передаче данных на скоростях от 10 Мбит/с до 10 Гбит/с и защищают трафик на втором уровне модели OSI (Ethernet).Аппаратные шифраторы могут применяться для объединения основного офиса компании и удаленных дата-центров, связывания основного и резервного ЦОДов, организации ИТ-систем резервного копирования данных в режиме реального времени, защиты магистральных каналов связи. Преимуществами данной технологии являются повышенная пропускная способность, простота администрирования и высокая защищённость оборудования. Дополнительное преимущество — беспрецедентная для российского рынка скорость шифрования — до 10 Гбит/с. При выборе между Ethernet-шифрованием и IPsec/VPN следует учесть, что при использовании IPsec полезная пропускная способность канала неизбежно снижается (до 50% от номинальной пропускной способности), кроме того возникают задержки (латентность) при передаче пакетов. Данные недостатки отсутствуют при использовании канальных шифраторов серии SafeNetEthernetEncryptor. 5]Рисунок 5.2 — SafeNetEthernetEncryptorТехнические характеристики.

Пропускная способность10 Мбит/с, 100 Мбит/с, 1 Гбит/с, 10 Гбит/сПолнодуплексное шифрование полной пропускной способности канала без потерь пакетов, во всех режимах работы.

Низкая латентность (задержка) пакетов благодаря технологии шифрования «на лету» (в отличие от технологий передачи с промежуточным хранением) Криптография.

Шифрование трафика — AES-256 в режимах CTR или ECB, SHA-256, HMAC-SHA-256Управление шифраторами — RSA-2048.

Опциональное аппаратное хранение закрытого ключа Центра Управления Шифраторами в модуле безопасности SafeNetLuna SAПокинув территорию корпорации, данные могут проходить через физически общедоступную инфраструктуру, инфраструктуру провайдера услуг или через третьих лиц, к которым нет доверия (рисунок 5.12). Поэтому максимально критично, чтобы эти данные были защищены. Рисунок 5.3 — Пример работы аппаратного шифратора данныхканального уровня.

При использовании канала второго уровня данные проходят по каналу в «сыром» виде, т. е. в том же виде, в каком они существуют внутри корпоративной сети. С большой вероятностью они минимально фильтруются или не фильтруются вообще, поскольку максимальная прозрачность необходима для функционирования бизнес-приложений, использующихся в корпорациях. Обычно такие приложения передают конфиденциальную или внутреннюю информацию и очень редко имеют адекватные встроенные средства защиты, поскольку были созданы для функционирования в пределах одной организации. В общем случае шифрование канального уровня (Ethernet в данном случае) целесообразно при наличии двух или более логически связанных корпоративных подсетей, между которыми передаются большие объёмы корпоративной/конфиденциальной информации и которые физически разнесены. При этом связь и адресация осуществляется на уровне фрэймовEthernet и MAC-адресов, а не IP-пакетов и IP-адресов. При использовании канала второго уровня данные проходят по каналу в «сыром» виде, т. е. в том же виде, в каком они существуют внутри корпоративной сети. С большой вероятностью они минимально фильтруются или не фильтруются вообще, поскольку максимальная прозрачность необходима для функционирования бизнес-приложений, использующихся в корпорациях. Обычно такие приложения передают конфиденциальную или внутреннюю информацию и очень редко имеют адекватные встроенные средства защиты, поскольку были созданы для функционирования в пределах одной организации.

[ 12]В наиболее распространённом и стандартном сценарии, когда организация арендует Интернет-канал с сервисом третьего уровня (IP, стандартный Интернет-сервис) шифрование проводится на третьем уровне напрямую между конечными машинами, либо между двумя маршрутизаторами по IPsec (если инфраструктура провайдера позволяет). В том случае, когда есть возможность выбирать уровень, на котором осуществляется шифрование, следует отдать предпочтение шифрованию на втором уровне. Исследования показывают, что в то время как канальное шифрование практически не влияет на пропускную способность канала связи, шифрование на третьем уровне снижает пропускную способность до 5−40% от максимальной пропускной способности линии [1]. В типичной конфигурации SafeNetEthernetEncryptor подключается к одному или нескольким таким же устройствам, находящимся в удалённых офисах организации.

Провайдер должен предоставлять услугу транспорта трафика на втором уровне (канальный уровень, Ethernet). Существуют два способа внедрения SEE: линейный (рисунок 5.13) и множественный (рисунок 5.14). При линейном варианте между двумя шифраторами организуется подключение «точка-точка» и конфигурирование МАК-адресов не поддерживается. При множественном подключении не поддерживается шифрование для фрэймов типа multicast и broadcast, при линейном они возможны в некоторых конфигурациях. Рисунок 5.13 Линейный вариант подключения SafeNetEthernetEncryptorРисунок 5.14 Множественный вариант подключения SafeNetEthernetEncryptorUSB-ключи eTokenЭлектронные USB-ключи eToken представляют собой компактные устройства, предназначенные для обеспечения информационной безопасности корпоративных заказчиков и частных пользователей. Устройства eToken содержат процессор и модули памяти, функционируют под управлением своей операционной системы, выполняют необходимые прикладные программы и хранят Вашу информацию. Рисунок 5.15 — USB-ключиUSB-ключи eToken базируются на высокозащищенной платформе, разработанной для производства смарт-карт — области, в которой традиционно предъявляют повышенные требования к информационной безопасности. Модельный рядeToken разработан таким образом, чтобы удовлетворить потребности большинства пользователей. Линейка USB-ключей eToken включает в себя устройства, выполняющие базовые функции безопасности, а также комбинированные продукты, сочетающие в себе возможности нескольких устройств. Используя продукты eToken, можно решить следующие задачи:

усовершенствовать процесс аутентификации (двухфакторная аутентификация) на локальном компьютере и в корпоративной сети, а также защищенный доступ к бизнес-приложениям;

зашифровать данные на серверах, ноутбуках и рабочих станциях;

обеспечить защиту персональных данных;

защитить электронную почту и взаимодействие с коллегами в системах электронного документооборота;

внедрить электронную цифровую подпись (ЭЦП) и защитить документы в системах сдачи электронной отчетности через Интернет;

Продукты линейки eToken являются основой инфраструктуры информационной безопасности современного предприятия. Они поддерживаются всеми ведущими производителями информационных систем и бизнес-приложений, соответствуют требованиям российских регулирующих органов. 5.5 Межсетевые экраны — брандмауэры (FireWall)Как правило, защита информационных ресурсов сервера осуществляется с помощью программных средств, которые являются переходным звеном между ЛВС и внешней магистралью, например Интернет. Однако, при выходе из строя ПС — информационный канал не блокируется, что порождает возможность информационной атаки. Поэтому на практике используются и другие схемы защиты, к числу которых можно отнести следующие:

Организация двухпортового шлюза. Эта схема обеспечивает двухуровневую защиту ресурсов ЛВС от внешних угроз. Первоначальный уровень защиты существует благодаря фильтрующим маршрутизаторам, а второй — ПС FIREWALL-1 или FireWall/Plus. Конфигурирование системы защиты типа «бастион». При этом способе защиты имеет место работа трех серверов: сервера WEB-страниц, почтового и приема-передачи файлов. Все серверы объединяются в пределах ЛВС при помощи концентратора и защищаются от ненадежной внешней сети фильтрующим маршрутизатором (первый уровень защиты) и компьютером с ПС FireWall/Plus (второй уровень защиты).Система защиты типа «демилитаризованная зона». Эта система защиты ориентирована на отражение информационных атак, как со стороны внешней сети, так и со стороны внутренних пользователей ЛВС. С внешней стороны защита построена по двухуровневой схеме с помощью фильтрующего маршрутизатора и FireWall/Plus (защита типа «бастион»), а со стороны внутренних пользователей сети — только при помощи FireWall/Plus. Этот способ защиты является наиболее надежным, но и более дорогостоящим. Для целей защиты одиночного ПК и АРМ на его основе в настоящее время разработан целый ряд устройств, позволяющих защищать информацию от внешних информационных атак сети. Межсетевые экраны (МСЭ). Основное значение МСЭ и их аналогов — регламентация использования ресурсов одних сетей пользователями других.

Основная идея, положенная в основу этого решения — сосредоточить в одной критической точке все необходимые контрольные функции вместо того, чтобы контролировать доступ и используемые ресурсы на всех компонентах сети. Эта технология защиты наиболее широко используется при реализации принципов открытых систем. МСЭ может регистрировать события, связанные с процессами разграничения доступа. К МСЭ и их аналогам предъявляются целый ряд требований, основными из которых являются:

Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи. Обладать мощными средствами реализации политики ИБ при одновременной гибкости и простоте конфигурации, что необходимо в процессе изменения структуры сети. Быть прозрачным (работать незаметно) для всех авторизированных пользователей ЛВС. Функционировать эффективно и успевать обрабатывать весь входящий и исходящий трафик в «пиковых» режимах. (Это необходимо для того, чтобы экранирующую систему нельзя было заблокировать большим количеством вызовов).Быть надежно защищенным от любых НСД. Обеспечивать проведение единой политики ИБ при наличии нескольких внешних подключений, в том числе и в удаленных ЛВС. Иметь простой пользовательский интерфейс при работе в различных режимах. Обеспечивать централизованный сбор и анализ регистрационной информации, а также получение сигналов о попытках выполнения действий, приравненных к информационным угрозам.

5.6 Примеры систем активного аудита.

Система защиты информации он НСДSecretNetпредназначен для защиты конфиденциальной информации, составляющей коммерческую, государственную тайну или относящейся к персональным данным. Система SecretNet 7 дополняет стандартные механизмы защиты операционных систем функциями защиты от НСД к информационным ресурсам компьютеров. В системах защиты информации одним из основных способов защиты компьютеров от НСД является реализация процедуры идентификации и аутентификации. Идентификация заключается в распознавании субъекта доступа по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности) осуществляется в процессе аутентификации. В настоящее время в системах защиты компьютеров от НСД широко используются аппаратные СИА (Средство идентификации и аутентификации).В состав СИА входят идентификатор, считывающее устройство (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы материнской платы и др.) и соответствующее программное обеспечение. Идентификатор предназначен для хранения уникальных идентификационных признаков. Кроме того, он может хранить и обрабатывать разнообразные конфиденциальные данные. Считывающее устройство обеспечивает обмен данными между идентификатором и защищаемым компьютером. Современные СИА принято классифицировать по следующим особенностям:

по способу считывания идентификационных признаков;

по виду используемых идентификационных признаков. По способу считывания СИА подразделяются на контактные, бесконтактные (дистанционные) и комбинированные. Контактное считывание идентификационных признаков подразумевает непосредственный контакт идентификатора и считывающего устройства. Считывание данных происходит при проведении идентификатора через считыватель или в результате их простого соприкосновения. Бесконтактный (дистанционный) способ считывания не требует четкого позиционирования идентификатора и считывающего устройства. Чтение данных происходит при поднесении идентификатора на определенное расстояние к считывателю. Комбинированный способ подразумевает сочетание нескольких различных способов считывания. По виду используемых идентификационных признаков СИА могут быть электронными, биометрическими и комбинированными. В электронных СИА идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Устройства такого типа разрабатываются на базе идентификаторов iButton, USB-ключей и смарт-карт (контактных и бесконтактных).В биометрических устройствах идентификационными признаками являются индивидуальные физические признаки человека, называемые биометрическими характеристиками.

Например, отпечатки пальцев, форма кисти руки, узор радужной оболочки глаза, рисунок сетчатки глаза, черты лица, параметры голоса и др. В комбинированных сИа для идентификации применяются одновременно несколько идентификационных признаков. В современных системах защиты информации наиболее широко используются электронные СИА в силу их высокой надежности, удобства считывания идентификационных признаков и относительно низкой стоимости. Средства идентификации и аутентификации на базе USB-ключей предназначаются для работы непосредственно с USB-портом компьютера и не требуют аппаратного считывающего устройства. Подключение к USB-порту осуществляется непосредственно или с помощью соединительного кабеля. Идентификаторы конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами.

Каждый USB-ключ имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер. В SecretNet 7 поддерживается применение электронных СИА на базе идентификаторов iButton и USB-ключей eToken PRO, iKey 2032, Rutoken v.1, Rutoken S, Rutoken RF S. Обладает сертификатами ФСТЭК России и может использоваться в автоматизированных системах до класса 1Б включительно и для защиты персональных данных в ИСПДн до класса К1 включительно. Ключевые возможности СЗИ от НСД SecretNet: Аутентификация пользователей. Разграничение доступа пользователей к информации и ресурсам автоматизированной системы. Доверенная информационная среда. Контроль утечек и каналов распространения конфиденциальной информации. Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации. Централизованное управление системой защиты, оперативный мониторинг, аудит безопасности. Масштабируемая система защиты, возможность применения SecretNet (сетевой вариант) в организации с большим количеством филиалов. Рисунок 5.16 — Основные возможности SecretNet 7Система поддерживает усиленную аутентификацию пользователей в том числе и с использованием аппаратной поддержки. В качестве индивидуальных идентификаторов могут быть использованы: — iButton (серия DS199x) — eToken PRO, eToken PRO Java (USB, смарт-карта) — RutokenСетевой режим (с централизованным управлением) — предназначен для развертывания в доменной сети c ActiveDirectory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант SecretNetможет быть успешно развернут в сложной доменной сети (domaintree/forest).Система позволяет эффективно контролировать и разграничивать доступ пользователей к защищенной информации. Рисунок 5.17 — Разграничение прав пользователейSecretNet является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями регулирующих документов: № 98-ФЗ («о коммерческой тайне») № 152-ФЗ («о персональных данных») № 5485−1-ФЗ («о государственной тайне») СТО БР (Стандарт Банка России5.

7 Установка программного обеспечения.

В системах, использующих PKI, возможности eToken позволяют получать безопасный доступ к корпоративной сети, защищать свои персональные файлы и данные, осуществлять электронные сделки, подписывать и шифровать электронные письма и много другое — все это без ограничения мобильности и под надежной защитой. eToken позволяет с легкостью внедрить строгую аутентификацию пользователей и криптографические решения на основе PKI, приспособив их к конкретным условиям и требованиям организации. Ключевые пары генерируются в доверенной среде — защищенной памяти eToken. При этом закрытые ключи никогда не покидают память устройства, а сертификаты открытого ключа доступны для внешних приложений после ввода пароля eToken. Аутентификация с использованием одноразовых паролей (One-TimePassword — OTP) Аутентификация с использованием одноразовых паролей подразумевает использование нового пароля для каждого нового сеанса доступа. Такой способ особенно актуален при доступе из ненадежной среды, например, из интернет-кафе. Рисунок 5.17 — Процедура идентификации.

Архитектура eToken ОТР предполагает наличие сервера аутентификации RADIUS, что делает возможным интеграцию с любыми VPN-шлюзами и приложениями, поддерживающими этот протокол. Сервер RADIUS использует для получения информации о пользователе инфраструктуру ActiveDirectory (с использованием TMS — системы централизованного управления устройствами линейки eToken).Внедрение Token Management System (TMS)eTokenTMSэто решение, предназначенное для построения инфраструктуры безопасного доступа к информационным ресурсам предприятия с централизованным управлением.Назначение.

Централизованное управление средствами аутентификации в течение всего жизненного цикла (инициализация/выпуск сертификата, ввод в эксплуатацию/выдача, обслуживание, вывод из эксплуатации/блокирование).Учет средств аутентификации, аудит их использования. Автоматизация типовых операций и сценариев администрирования в соответствии с политиками безопасности, принятыми в организации. Быстрое и самостоятельное решение проблем пользователей без обращения к администраторам. eToken TMS является связующим звеном между пользователями, средствами аутентификации, приложениями информационной безопасности — основанных как на PKI, так и на традиционной аутентификации с применением регистрационных имен и паролей — и политикой безопасности. Для расширения возможностей TMS доступен комплект разработчика eToken TMS Connector SDK, позволяющий добавить возможность работы со сторонними приложениями в процессе стандартных операций с устройствами eToken (добавление, назначение, отзыв и т. д.).Рисунок 5.18 — Структура TokenManagementSystemПриведем описание действий оператора при работе с аппаратным шифратором данных e-Token. Установку ESET EndpointSecurity можно осуществить одним из четырех способов:

удаленнаяустановкаспомощью ESET Remote Administrator Server 5 и ESET Remote Administrator Console 5;установка при помощи групповых политик безопасности и при помощи специально написанных скриптов (Logon-script);установка по электронной почте. В этом случае пользователю нужно только запустить установку агента, полученного по электронной почте;

локальная установка. Локальная установка проходит в интерактивном режиме, с использованием мастера установки программы. Установка достаточно проста и похожа на установку большинства программ. Для начала следует запустить инсталляционный файл, после чего появится окно мастера установки. Рисунок 5.19 — Главноеокно ESET Endpoint Security Для удобства пользователей, все компоненты безопасности в ESET EndpointSecurity 5 отнесены к одной из трех групп: безопасность компьютера, сети и Интернета. При этом данная идеология присутствует и в пользовательском интерфейсе, и в настройках, и в документации. К защите сети относится персональныйфаервол, который занимается фильтрацией сетевого трафика по заданным правилам. Фаервол может работать в одном из пяти режимов:

автоматический режим. Разрешается весь исходящий трафик и блокируются новые соединения;

автоматический режим с исключениями. То же, что и автоматический режим, только с возможностью задавать правила пользователям или администратору;

интерактивный режим. Фильтрация трафика осуществляется на основе правил пользователей. Если было обнаружено соединение, не попадающее под правило, то будет выведено предупреждение о неизвестном подключении;

режим на основе политик. Блокируются все соединения, для которых нет правил их работы;

режим обучения. Создание правил в процессе работы на основе диалога с пользователем. Назначение ESET EndpointSecurity 5 состоит в защите компьютеров в локальной сети. При разворачивании защиты на компьютеры в сети, администратор может задавать настройки всех компонентов защиты ESET EndpointSecurity 5 и задачи, которые он будет выполнять. Структура ПО ЛВС после внедрения программных средств защиты информации представлена на рисунке 5.20Рисунок 5.20ЗАКЛЮЧЕНИЕВ ходе выполнения данной дипломной работы была разработана ЛВС компании ООО «ПБК». ЛВС, которая состоит из двух частей: программной и аппаратной подсистем. Программная подсистема представляет собой прикладное и платформенное ПО, а также операционные системы рабочих станций и серверов предприятия. Аппаратная подсистема включает в себя аппаратные средства корпоративной сети. Нужно отметить, что корпоративная сеть предприятия базируется на многоуровневой архитектуре, используя принципы иерархичности и модульности. Была введена защита информации за такими основными направлениями:

Технические средства безопасности на предприятии.

Введение

паролей ко всем техническим и программным средствам.

Введение

электронных ключей для всех отделов, филиалов и лиц. Выбор и установления шифраторов потоковых данных. Выбор и установления антивирусных программ. Установка системы контроля доступа пользователей. В организации был проведенный анализ антивирусного программного обеспечения и наилучший вариант был установлено на всех персональных компьютерах; была введена система криптографического кодирования информации, после которого компания перешла на новый уровень защиты при передаче информации. Отличительными особенностями данной ИВС, в сравнении с традиционными комбинированными ЛКС, являются следующие:

Многоуровневое построение ИВС позволяет достичь максимальной производительности на каждом уровне. В сети выделены четыре уровня: уровень доступа, служащий для подключения рабочих станций и пользователей сети, уровень агрегации, предназначенный для объединения рабочих станций в единую сетевую инфраструктуру и обеспечивающий максимальную производительность каждого сегмента сети, уровень ядра, обеспечивающий высокоскоростную передачу данных между компонентами сети, серверной фермой, сетью интернет, серверная ферма, которая обеспечивает надежное хранение данных ЛВС. Организация надежной системы защиты информации в сети от несанкционированного доступа. Система защиты построена с участием как аппаратных так и программных средств. К числу аппаратных средств защиты от НСД относятся шлюз безопасности производства компании Zyxel, обеспечивающий защиту ЛВС от внешнего проникновения, сетевой шифратор данных, обеспечивающий шифрование данных, передаваемых по открытым каналам связи, USB-брелоки eToken, служащие для аутентификации пользователей и защиты данных от НСД. К числу программных — система защиты информации SecretNet 7, современной программное средство для защиты от вредоносных программ ESETEndpointSecurity.

СПИСОК ЛИТЕРАТУРЫ

Бец В. П. Вычислительные сети: понятия, архитектура, протоколы, технологии и средства телекоммуникаций: Учеб.

пособие / Московский гос. ин-т электронной техники (технический ун-т) / В. В. Баринов (общ.

ред.), В. Ф. Шаньгина (общ.

ред.). — М.: МИЭТ, 2000.

Библиотечные компьютерные сети: Россия и Запад / Е. И. Кузьмин (науч.

ред.-сост.), М. Н. Усачев (науч.

ред.-сост.). — М.: Либерия — 200с. Бондаренко М. Ф. Проектирование и диагностика компьютерных систем и сетей: Учеб.

пособие / Харьковский гос. технический ун-т радиоэлектроники. — Х., 2000. — 306с. Ботт Эд, Зихерт Карл.

Локальные сети и безопасность MicrosoftWindows XP. I nsideOut: полное руководство / Я. Майсова (пер.

с англ.). — М.: ЭКОМ, 2007. — 943с. Дядичев В. В. Компьютерные телекоммуникации и сети ЭВМ: Учеб.

пособие / Восточноукраинский национальный ун-т им. Владимира Даля. — Луганск, 2006. — 208с.

: Рисунок — Библиогр.: с. 202−203.Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие. — М.: Логос; ПБОЮЛ Н. А. Егоров, 2001. — 264 с: ил. Закер

Крейг. Компьютерные сети. Модернизация и поиск неисправностей: Наиболее полное руководство / Дмитрий Харламов (пер.

с англ.). — СПб.: БХВ-Петербург, 2003. — 988с. Камер Дуглас Э. Компьютерные сети и Internet. Разработка приложений для Internet / К. А. Птицын (пер.

сангл., ред.). — 3. изд. — М.; СПб.; К.: Издательский дом «Вильямс», 2002.

Куроуз Джеймс Ф., Росс Кит В. Компьютерные сети. Многоуровневая архитектура Интернета. — 2-е изд.

— СПб.: Питер, 2004. — 764 с. Лобунец Евгений Юрьевич, Решетник Наталия Александровна. Компьютерные сети: учеб.

пособие для студ. спец. 7.50 102 «Экономическая кибернетика» / Донбасская гос. машиностроительная академия. — Краматорск: ДГМА, 2008.

Локальные сети, модемы, интернет: ответы и советы / Игорь Грень (сост.). — Минск: ООО «Новое знание», 2004. — 351с. Локальные сети: Полное руководство / В. В. Самойленко (ред.). — К.: Век+, 2002.

— 399с. Мельников Д. А. Информационные процессы в компьютерных сетях. Протоколы, стандарты, интерфейсы, модели. М. Кудиц-образ. 2003 — 256 с. Сквирский Виктор Давыдович, Рубан Алексей Владимирович. Компьютерные сети. Локальные сети: учеб.

метод. пособие для студ. спец. & quot;Информатика" / Государственное учреждение «Луганский национальный ун-т им. Тараса Шевченко». — Луганск: ГУ «ЛНУ им. Т. Шевченко», 2008. — 129с. Специализированные архитектуры ЭВМ.

Устройства для дискретной обработки сигналов: пособие для иностр. студ. спец. 6.91 501 «Компьютерные системы и сети» / Национальный авиационный ун-т / Владимир Яковлевич Краковский (авт.-сост.). — К. :

НАУ, 2006. — 336с. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы. С.Петербург. Питер. 2003 — 668 с. Чернега Виктор, Платтнер Бернард. Компьютерные сети: учеб.

пособие для студ. направления «Компьютерные науки» вузов / Севастопольский национальный технический ун-т. — Севастополь: Сев.

НТУ, 2006. — 500с. Якубайтис Э. А. «Информационные сети и системы», справочная книга, М. Финансы и статистика, 1996.

Строим сеть своими руками, часть вторая: настройка беспроводного оборудования в одноранговой сети,.

http://www.ixbt.com/comm/prac-small-lan2.shtmlРуководство FreeBSD,.

http://www.freebsd.org.ua/doc/ru_RU.KOI8-R/books/handbook/index.htmlСервер Информационных Технологий,.

http://citforum.ru Технические описания аппаратного обеспечения,.

http://www.ixbt.comRequests for comments,.

http://www.rfc-editor.org.