Обеспечение безопасного удаленного соединения при построении корпоративной распределенной системы

При этом становится недоступной для перехвата из сети, в том числе для участников VPN, и любая парольная информация различных приложений, баз данных, почтовых серверов и др., что существенно повышает безопасность этих прикладных систем.

7. Защиту управляющего трафика для систем и средств удаленного управления объектами сети: маршрутизаторами, межсетевыми экранами, серверами и пр., а также самих средств удаленного управления от возможных атак из глобальной или корпоративной сети.

8. Контроль доступа к любому узлу (рабочая станция, сервер, маршрутизатор и т. д.) и сегменту сети (ЛВС, сегмент ЛВС, группа сегментов сети и т. д.), включая фильтрацию трафика, правила которой могут быть определены для каждого узла отдельно, как с помощью набора стандартных настроек, так и с помощью индивидуальной настройки.

9. Защиту от НСД к информационным ресурсам корпоративной сети, хранимым на рабочих станциях (мобильных, удаленных и локальных), серверах (WWW, FTP, SMTP, SQL, файл-серверах и т. д.) и других хранилищах группового доступа.

10. Оперативное управление распределенной VPN-сетью (включая систему распределенных сетевых экранов) и политикой информационной безопасности на сети из одного центра с возможностью делегирования части полномочий локальным администраторам.

11. Исключение использования недекларированных возможностей операционных систем и приложений для совершения информационных атак, кражи секретных ключей и сетевых паролей.

Технология ViPNet представляет собой сертифицированныйпрограммный комплекс, позволяющий организовать виртуальнуюсеть, защищенную от НСД по классу 1 В для автоматизированныхсистем и 3 классу для МЭ.

ПО функционирует в операционных средах Windows 95/98/ME/NT/2000/XP, Linux.

Производительность работы драйвера зашиты трафика в зависимости от ОС и мощности компьютера — от 6 до 32 Мбит/с и практически не ограничивает работу компьютеров даже в 100-мегабитных сетях.

Параметры работы VipNet представлены в таблице 5.

Таблица 5.

Характеристики работы VipNet

Параметр Значение Пропускная способность ОС Windows NT

Канал 10 Мбит

Pentium III/ 450 — 9.5 Мбит/с Канал 100 Мбит

Pentium III/450 — 20 Мбит/с Pentium III/700 — 28 Мбит/с

ОС Linux (без ViPNet [Turbo 100])

Канал 10 Мбит

Pentium 166 — 7 Мбит/с

Канал 100 Мбит

Pentium III/ 700 — 40Мбит

ОС Linux (с ViPNet (Turbo 100]) Канал 100 Мбит

Pentium III/700−92Мбит Накладные расходы на поддержание туннеля 30 — 80байт Увеличение размерив пакета 40 — 80 байт Максимальное количество сетевых интерфейсов 32 Снижение трафика LAN 5- 10% Максимальное число клиентов в одной VPN-сети Не ограничено

3.

3.3. Аппаратно-программный комплекс защиты информации «Коитинент-К»

Аппаратно-программный комплекс (АПК) «Континент-К» сертифицирован в Гостехкомиссии по 3 классу защищенности.

АПК «Континент-К» предназначен для построения VPN на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP (например, Internet), и обеспечивает:

эффективную защиту конфиденциальной информации, передаваемой по сетям общего пользования;

полную «прозрачность» для конечных пользователей;

защиту информационных систем от атак со стороны сетей общего пользования;

безопасный доступ к ресурсам сетей общего пользования.

В качестве составных частей VPN могут выступать ЛВС организации, их сегменты и отдельные компьютеры (в том числе переносные или домашние компьютеры руководителей и сотрудников).

Аппаратно-программный комплекс «Континент-К» отличает:

эффективная и надежная зашита информации в гетерогенных сетях;

полная прозрачность для приложений и пользователей;

централизованное управление настройками системы и оперативный мониторинг ее состояния;

совмещение в одном устройстве функций межсетевого экрана и криптографического маршрутизатора;

возможность разграничивать доступ от нескольких внутренних защищаемых сегментов;

защита в случае динамического распределения IP-адресов;

удобный графический интерфейс программы управления;

простота в настройке и обслуживании;

АПК «Континент-К» обладает широким спектром возможностей:

надежная криптографическая защита передаваемых данных по ГОСТ 28 147–89;

маршрутизация сетевого трафика (статическая);

фильтрация сетевого трафика;

обеспечение доступа мобильных и удаленных пользователей;

обеспечение высокой пропускной способности;

низкие накладные расходы;

низкая стоимость эксплуатации корпоративной сети за счет использования сетей общего пользования вместо собственных или арендуемых линий связи;

возможность сжатия передаваемой информации;

скрытие внутренней структуры защищаемой сети;

создание информационных подсистем с разделением доступа на физическом уровне;

высокая надежность комплекса (в т.ч. за счет «горячего», т. е. аппаратного резервирования);

поддержка до 15 внутренних интерфейсов;

простота установки и настройки;

централизованное управление сетью;

ведение системных журналов;

необслуживаемый режим работы;

поддержка динамического распределения адресов при доступе удаленных пользователей;

абсолютная прозрачность для всех приложений;

возможность организации доступа к ресурсам сетей общего пользования из защищаемых сетей;

В состав комплекса входят:

центр управления сетью (ЦУС);

криптошлюз (КШ);

программа управления сетью (ПУ);

абонентский пункт (АП);

сервер доступа (СД);

программа управления сервером доступа (ПУ СД).

3.

3.4. Сравнение российских продуктов Приведем сравнительную таблицу (табл. 6) рассмотренных выше российских продуктов для создания VPN.

Таблица 6.

Сравнительные характеристики российских VPN-продуктов

Шип Застава VipNet Коитинент-К 1 2 3 4 5 Общие сведения Производитель, поставщик МО ПНИЭИ Элвис+ Инфо-Текс Информ-защита Используемые ОС FreeBSD Win

NT/95/98 Sparc/Intel Solaris Win NT/ 95/98/ ME/2000 Linux Win NT (Service Pack 5.0 и выше) Использование отечественных криптографических стандартов для организации VPN-сервисов ГОСТ

28 147−89 ГОСТ 28 147–89 ГОСТ

28 147−89 ГОСТ

28 147−89 Максимальное количество сетевых интерфейсов 5 5 32 16 Фильтрация пакетов служебных протоколов (для диагностики и управления работой сетевых устройств) Да Да Да Да Фильтрация с учетом входного и выходного интерфейса (для проверки подлинности адресов) Да Да Да Да Фильтрация с учетом любых значимых полей сетевых пакетов Да Да Да Да Фильтрация с учетом даты/времени Нет Нет Нет Нет Трансляция номеров портов/сетевых адресов -./+ -/+ -/+ -/+ Возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети Да Да Да Да Возможность скрытия межсетевого экрана Нет Нет Нет Her Идентификация и аутентификация сетевого трафика Возможность аутентификации трафика Да (хэш-функции ГОСТ

P34.ll-94) Да (хэш-функаии по алгоритму MD5) Нет ГОСТ

28 147−89 в режиме имитов-ставки Возможность централизованного управления Да Да (telnet + графическая оболочка)_ Да Да Регистрация действий администратора ИЖ по изменению правил фильтрации Да Да Н/д Да Графический интерфейс удаленного управления (GUI) Нет (только текстовый) Есть (Java) Н/д Специальное ПО ОС поддерживающие GUI — Любой Java browser Н/д Win NT 4.0 (Servise Pack от 4 или WIN 9x Сигнализация в центре управления о событиях на удаленных МЭ Да Да Н/д Да Протоколирование событий/формирование отчетов Учет использования Да Да Н/д Н/д Сортировка/ фильтрация сообщений +/+ +/+ Н/д Н/д Форматы экспорта журнала регистрации Текст Текст Н/д Н/д Параметры VPN Применение отечественных алгоритмов (ГОСТ) для построения VPN Да Да Да/нет (зависит от настроек) Да Возможность сжатия трафика Да Нет Нет Да Наличие клиентских частей Да (Windows NT) Да (Solaris Windows 95/98/ NT) Да Да (Windows 95/ 98/NT) Количество одновременно поддерживаемых независимых туннелей Н/д 1400 Windows

— 50, Linux ;

300 не более 500 на каждый КШ Возможность вложенности VPN-туннелей друг в друга (каскадирование) Да Да Н/д Н/д Возможность VPN-поддержки каналов управления пограничными маршрутизаторами Нет Да

Нет Нет Возможность VPN-взаимодействия с VPN других организаций Да (при использовании ими SKIP) Да (при использовании ими SKIP) Нет (если не VipNet) Нет (если не «Континент») Собственная безопасность Защита целостности среды Нет Нет Нет Нет Защита целостности ПО Да — контроль ные суммы Да — контроль ные суммы Нет Да — ЭЗ Соболь Разграничение полномочий обслуживающего персонала Да-средства FreeBSD Нет Да — по паролю Нет Защита используемой ключевой информации Да (главные ключи грузятся с дискеты) Да (средствами ОС Solaris) Да (собственными средствами) Да (на диске в зашифр. виде, ключ хранения в ЭЗ Соболь) Аутентификация программных модулей/ дополнений Нет Нет Нет Нет Характеристики производительности (пропускная способность), Мбит/с В режиме шифрования 8 (Pentium 200) 8 (Pentium 200) 9.5 (Pentium III/450) 17,4 (Celeron/500)

В качестве примера для обеспечения безопасного удаленного соединения корпоративной системы в дальнейшем будем использовать аппаратно-программный комплекс шифрования «Континент».

3.

4. Конфигурирование средств организации VPN и защиты данных

3.

4.1. Конфигурация распределенной системы Рассмотрим конфигурацию распределенной системы на основе аппаратно-программного комплекса «Континент». За основу возьмем простейшую конфигурацию распределенной системы, представленную на рисунке 12, включающую:

локальную сеть центрального офиса;

два удаленных сегмента сети филиалов.

Рис. 12. Структура защищенной распределенной сети.

Связь между данными ЛВС осуществляется по каналам связи общих сетей передачи данных. К общим сетям каждая ЛВС подключена через криптографический шлюз. Подключение ЛВС через криптографический шлюз обеспечивает скрытие внутренней структуры защищаемого сегмента сети. При этом IP-адреса компьютеров в защищаемых сегментах должны быть уникальными только в рамках данной корпоративной сети. Криптографический шлюз может содержать несколько сетевых интерфейсов, к которым можно подключить несколько независимых локальных сетей.

При подключении компьютеров к криптографическому шлюзу может осуществляться их аутентификация. При отсутствии прямого доступа к сети передачи данных предусмотрена возможность подключения криптографического шлюза к телефонной коммутируемой или выделенной линии с помощью модема. Криптографический шлюз осуществляет маршрутизацию проходящего через него трафика IP-пакетов, поэтому дополнительный маршрутизатор в общем случае не требуется. [10, стр.

11]

При необходимости использования дополнительного маршрутизатора он может быть размещен как перед криптографическим шлюзом (в защищаемом сегменте сети), так и после (вне защищаемого сегмента сети). Если маршрутизатор находится в защищаемом сегменте сети, никаких дополнительных действий по защите маршрутизатора не требуется.

Если же маршрутизатор находится вне защищаемого сегмента сети, то предусмотрена возможность защищенного управления маршрутизатором.

Кроме маршрутизации трафика криптографический шлюз осуществляет обработку входящих и исходящих IP-пакетов: фильтрацию и криптографическое преобразование данных, передаваемых по общим каналам связи.

Для организации доступа пользователей корпоративной сети к узлам общей сети используется механизм трансляции сетевых адресов (Network Address Translation — NAT).

Автоматическое управление криптографическими шлюзами осуществляет ЦУС, размещающийся на одном из криптографических шлюзов. Этот криптографический шлюз можно использовать как любой другой рядовой шлюз в корпоративной сети для приема и передачи IP-пакетов, их фильтрации, маршрутизации и криптографического преобразования.

Администратор комплекса управляет криптографическими шлюзами через ЦУС с помощью Программы управления. Программа управления устанавливается на выделенном компьютере, входящем в состав защищаемого сегмента корпоративной сети (АРМ управления сетью КШ).

Представленный выше вариант использования комплекса «Континент» применим только для небольших сетей (2−5 КШ). При использовании в комплексе более пяти КШ рекомендуется КШ с ЦУС и АРМ управления сетью КШ вынести в отдельный защищаемый сегмент. В этом случае КШ с ЦУС используется только для управления сетью КШ.

Подключение КШ к телефонной коммутируемой или выделенной линии осуществляют с помощью модема. Модем к криптографическому шлюзу подключают через COM-порт или USB-разъем. Подключение КШ с помощью модема возможно только к внешней сети. Выбор варианта подключения к внешней сети осуществляют при регистрации КШ. В дальнейшем изменение варианта подключения невозможно.

Возможность модемного подключения отсутствует у следующих криптографических шлюзов:

КШ с установленным ЦУС;

КШ с установленным сервером доступа.

При подключении к коммутируемой линии соединение устанавливается автоматически при поступлении на КШ IP-пакета, предназначенного для отправки через внешний интерфейс. При подключении к выделенной линии соединение устанавливается автоматически при включении КШ. Имеется возможность установки модемного соединения с КШ по инициативе сервера удаленного доступа (RAS).

Управление настройками может осуществляться как централизованно из Программы управления, так и локально на КШ. Настройки модемного подключения, выполненные локально, в Программе управления не отображаются.

3.

4.2. Защищенное управление маршрутизатором Защищенное управление маршрутизатором, размещенным после криптографического шлюза (вне защищаемого сегмента сети), организуется следующим образом (рис. 13):

на криптографическом шлюзе КШ 2 определяют защищенную сеть из одного маршрутизатора;

на криптографических шлюзах КШ 1 и КШ 2 создают правила фильтрации, разрешающие прохождение управляющего трафика;

на маршрутизаторе добавляют правило маршрутизации для отсылки IP;

пакетов к консоли управления через криптографический шлюз КШ 2.

Таким образом, исходный управляющий трафик от консоли управления зашифровывается криптографическим шлюзом КШ 1 и по общей сети передается в зашифрованном виде на КШ 2. Криптографический шлюз КШ 2 расшифровывает трафик и передает его в открытом виде на маршрутизатор. IP-пакеты, отсылаемые маршрутизатором к консоли управления, идут тем же путем в обратном порядке.

Защищенное управление маршрутизатором возможно только при прямом подключении КШ 2 к общим сетям. Защищенное управление маршрутизатором при подключении КШ 2 через модем не поддерживается. [10, стр. 14]

Рис. 13. Защищенное управление маршрутизатором.

3.

4.3. Обработка IP — пакетов.

Обработка IP-пакетов осуществляется криптографическими шлюзами (рис. 14). Режим обработки зависит от статуса абонента сети по отношению к данному криптографическому шлюзу. Абонент — любой компьютер, отправляющий и получающий IP-пакеты.

Рис. 14. Обработка IP-пакетов.

Абоненты IP-сети классифицируются следующим образом:

внутренний абонент, если он входит в состав сегмента сети, защищаемого данным КШ;

внешний абонент, если он относится к сегменту сети, защищаемому любым другим (отличным от данного) КШ комплекса;

сторонний абонент — любой абонент IP-сети, не входящий в состав защищаемых сегментов.

Все IP-пакеты, проходящие через криптографический шлюз, подвергаются фильтрации (рис. 15). Каждый КШ имеет два фильтра. Фильтрация выполняется дважды, до и после обработки IP-пакетов блоком криптографической защиты. Фильтрация IP-пакетов осуществляется в соответствии с правилами, сформированными на основе IP-адресов отправителя и получателя, названия протокола, номеров портов UDP/TCP и имен сетевых интерфейсов. Проверяются также время, факт аутентификации (для защищаемого сегмента), а при фильтрации прикладных протоколов — содержимое пакетов. По умолчанию прохождение любого IP-пакета запрещено, если это не разрешено явно соответствующим правилом фильтрации.

Правила фильтрации IP-пакетов подразделяются на два типа:

правила, сформированные комплексом автоматически;

правила, заданные администратором.

IP-пакет, успешно прошедший фильтр IP-пакетов, поступает на обработку блоком криптографической защиты. Если IP-пакет поступил от внутренних абонентов защищаемого сегмента, блок криптографической защиты обеспечивает его сжатие, шифрование и имитозащиту. [10, стр. 15]

Предусмотрена возможность выбора степени сжатия, а также отключения этого режима. Применение сжатия позволяет увеличить скорость передачи IP-пакетов по низкоскоростным каналам связи. Так, при пропускной способности линии 64 Кбит/с скорость передачи IP-пакетов после сжатия возрастает в 1,5 раза. Кроме того, сжатие IP-пакетов обеспечивает дополнительную защиту при попытке их несанкционированного перехвата во время передачи по общим каналам связи.

Сжатые IP-пакеты шифруются и инкапсулируются в новый IP-пакет, в котором в качестве IP-адреса источника выступает внешний IP-адрес КШ;

отправителя, а в качестве IP-адреса приемника — внешний IP-адрес КШполучателя. Список адресов, для которых осуществляется шифрование пакетов, определяется списком связанных КШ и их защищаемых сетей.

Имеется возможность осуществлять проверку всего трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого к одному из сетевых интерфейсов КШ подключают выделенный компьютер с установленной на нем системой обнаружения атак.

Система обнаружения атак получает копии всех IP-пакетов, проходящих через КШ, и анализирует их на наличие неавторизованных или подозрительных действий.

При работе комплекса «Континент» используется симметричная криптографическая система.

Рис. 15. Организация криптографической системы.

Криптографическое соединение между двумя КШ в сети осуществляется на ключах парной связи. Шифрование каждого IP-пакета производится на индивидуальном ключе — ключе шифрования пакета, который формируется из ключа парной связи. Для шифрования данных используется алгоритм ГОСТ 28 147–89 в режиме гаммирования с обратной связью. Имитозащита данных осуществляется с использованием алгоритма ГОСТ 28 147–89 в режиме имитовставки. [10, стр. 18]

Управление криптографическими ключами осуществляется централизованно из ЦУС. Средствами ЦУС выполняются следующие операции:

генерирование главных ключей КШ и ключей парной связи;

передача ключей на КШ;

смена главных ключей и ключа связи с ЦУС.

Ключи парной связи генерируются для каждого КШ сети в ЦУС. Передача ключей с ЦУС на КШ производится по защищенному каналу связи на ключе связи с ЦУС. Парные ключи связи, зашифрованные на главном ключе КШ, хранятся на жестком диске КШ. Главные ключи КШ и ключ связи с ЦУС, зашифрованные на ключе хранения (главном ключе ЦУС), хранятся в энергонезависимой памяти ПАК «Соболь» КШ, а также на жестком диске ЦУС. Ключ хранения находится в энергонезависимой памяти ПАК «Соболь», установленного на ЦУС. Главные ключи и ключи парной связи генерирует ЦУС из исходного ключевого материала («исходная ключевая информация»).

3.

4.4. Настройка операционной системы В системе регистрируется один пользователь, обладающий правами администратора, на которого возлагается обязанность конфигурировать ОС Windows 2000/XP/2003/Vista, настраивать безопасность ОС Windows 2000/XP/2003/Vista, а также конфигурировать ПЭВМ, на которую установлена ОС Windows 2000/XP/2003/Vista.

Для всех пользователей выбирается надежный пароль входа в систему, удовлетворяющий следующим требованиям: длина пароля не менее 6 символов, среди символов пароля встречаются заглавные символы, прописные символы, цифры и специальные символы, срок смены пароля не реже одного раза в месяц, доступ к паролю должен быть обеспечен только администратору и владельцу пароля.

На компьютере устанавливается только одна ОС Windows 2000/XP/2003/VISTA. На всех жестких дисках следует установить файловую систему NTFS.

На все каталоги, содержащие системные файлы ОС Windows и модули из комплекта СКЗИ, а также файлы boot. ini, autoexec. bat, config. sys, ntdetect.com и ntldr, должны быть установлены права доступа, запрещающие запись и изменение всем пользователям, кроме Администратора (Administrator) и Системы (System).

На компьютере с установленным СКЗИ необходимо удалить все общие ресурсы, в том числе и создаваемые по умолчанию при установке ОС Windows2000/XP/2003/VISTA. Запрещается создавать общие ресурсы, содержащие каталоги с установленным ПО СКЗИ, а также каталоги с системными файлами.

Необходимо исключить возможность удаленного редактирования системного реестра.

Необходимо отказаться от использования SMB-протокола либо — в случае необходимости использования SMB-протокола — установить в ключе HKLMSystemCurrentControlSetServicesLanManServerParametrs параметр EnableSecuritySignature (REG_DWORD) со значением 1 и параметр RequareSecuritySignature (REG_DWORD) со значением 1.

Необходимо отключить учетную запись для гостевого входа (Guest/Гость).

Необходимо исключить использование режима автоматического входа пользователя (без запроса пароля) в операционную систему при ее загрузке.

Необходимо отключить сервисы удаленного запуска программ и функций (DCOM, RPC).

В случае подключения ПЭВМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX), полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых из сети.

Необходимо запретить вход в ОС Windows 2000/XP/2003/VISTA через сеть группе Administrators.

Необходимо закрыть доступ к неиспользующимся портам.

Необходимо отключить возможность удаленного администрирования, выполнив следующие настройки:

Сбросить флажки «разрешить удаленное управление компьютером», «разрешить отправку приглашения удаленному помощнику», «разрешить удаленный доступ к компьютеру» во вкладке «Удаленное использование» свойств системы.

Применяемые политики локальной безопасности должны исключить возможность подключения к компьютеру с помощью консоли управления.

Запрещается проводить модификацию ОС Windows 2000/XP/2003/VISTA через общедоступные каналы передачи данных (Windows Update, Remote Assistance и т. п.).

После установки ОС Windows 2000/XP/2003/VISTA необходимо установить последний официальный Service Pack фирмы Microsoft, существующий на момент установки ОС Windows 2000/XP/2003/VISTA.

Следует своевременно устанавливать обновления фирмы Microsoft, направленные на защиту от сетевых вирусов типа MSBLAST (Windows 2000/XP/2003/VISTA). [10, стр. 24]

3.

4.5. Установка программы управления Для работы программы управления необходимо наличие функционирующей базы данных Microsoft SQL Server, установленной на локальном или удаленном компьютере в защищенном сегменте сети.

На начальном этапе установки ПУ ЦУС необходимо выбрать компоненты для установки. Набор компонентов зависит от конфигурации защищенной корпоративной системы. При этом для организации взаимодействия между защищаемыми сегментами или сетями достаточно выбрать следующие компоненты:

«ПУ ЦУС»;

«Агент ЦУС и СД»;

«Отчеты ЦУС».

В случае подключения удаленных индивидуальных пользователей, в том числе мобильных, добавить компонент «Программа управления СД».

На следующем этапе следует указать тип, размещение базы данных и учетную запись пользователя, имеющего права администратора базы данных. Кроме того следует ввести и настроить параметры подключения агента к СУБД.

3.

4.6. Настройка ЦУС и КШ.

Одним из важных этапов является установка соединения с ЦУС путем указания адреса КШ и других параметров. Для запуска программы управления ЦУС необходимо наличие ключевого носителя, а также ключи на нем. В процессе настройки ЦУС проверяются параметры сетевых интерфейсов в соответствии с конфигурацией сети, маршруты и правила фильтрации пакетов.

Далее выполняется аналогичная настройка удаленного криптошлюза средствами программы управления. По окончании конфигурирования КШ конфигурация сохраняется на переносном носителе и переносится на удаленный КШ. Удаленный КШ при первом запуске инициализируется и считывает конфигурационную информацию со съемного носителя, после чего устанавливаются требуемые настройки КШ.

После конфигурирования КШ можно установить соединение ПУ с КШ и задать правила для обработки пакетов.

По окончании конфигурирования ЦУС и КШ корпоративная распределенная система готова к работе. При этом вся информация, проходящая в публичной сети между защищенными сетями будет зашифрована, а данные направленные к ресурсам открытой сети не подвергаются преобразованию.

ГЛАВА 4. ЭКОНОМИЧЕСКАЯ ЧАСТЬ

4.1 Постановка задачи

В данном разделе приводится расчет затрат на разработку технического задания, внедрение и эксплуатацию средств обеспечения безопасного удаленного доступа распределенной корпоративной системы, определение экономического эффекта от внедрения средств.

4.2 Определение затрат труда на разработку

4.

2.1. План выполнения работ Процесс внедрения разбит на две стадии: разработка ТЗ, внедрение. Каждая стадия состоит из нескольких этапов. Трудоемкость каждого этапа разработки приведена в таблице 7:

Таблица 7.

Трудоемкость этапов проектирования Стадия Этап Трудоемкость, часы Трудоемкость, % 1. Разработка ТЗ 1.

1. Исследование и анализ предметной области 50 30 1.

2. Изучение технологии, возможных вариантов реализации 40 23 1.

3. Разработка и утверждение ТЗ 50 30 2. Внедрение 3.

1. Подготовка и ввод системы в эксплуатацию. 30 17 Итого 170 100

4.

2.2. Определение времени реализации проекта

Определим сначала количество рабочих дней (РД), требующихся на разработку. Для этого воспользуемся формулой:

(4.1)

где Tчас — общее время на разработку в часах;

tрд — коэффициент, показывающий количество рабочих часов в одном дне. Для дальнейших расчетов примем tрд = 8 час.

(4.2)

Для определения времени реализации проекта требуется перевести рабочие дни в календарные дни (КД). Для перевода используется следующая формула:

(4.3)

где d — доля дополнительных работ, порученных другой группе работников попутно с основной работой (от 0,1 до 0,3). В нашем случае процесс разработки системы зависит от степени наполненности базы данных, наполнение которой предполагается поручить оператору; а также от работы консультантов по предметной области. Учитывая это, примем d = 0,2.

g — коэффициент перевода (в зависимости от выходных и праздничных дней) — 0,73.

(4.4)

4.

3. Определение финансовых затрат на разработку Затраты на разработку информационной системы можно представить в виде сметы, включающей в себя следующие статьи:

затраты на оборудование и программное обеспечение;

затраты на оплату труда;

накладные расходы;

затраты на услуги сторонних организаций.

4.

3.1. Расчет затрат на оборудование

Затраты на оборудование, которое необходимо приобрести для средств защиты системы, приведены в таблице 8:

Таблица 8.

Затраты на оборудование и программное обеспечение Наименование Количество Сумма, руб. АПКШ «Континент» ЦУС с программой уравления 1 75 000

Криптошлюз «Континент» 2 70 000

Системное программное обеспечение Windows XP Professional SP3 1 5000

Итого 150 000

4.

3.2 Затраты на оплату труда Затраты на оплату труда состоят из затрат на основную (ЗПОСН) и дополнительную (ЗПОСН) заработную плату, отчислений на единый социальный налог (ЕСН) и отчислений в фонд обязательного социального страхования от несчастных случаев на производстве (ОСС):

ЗП = ЗПОСН + ЗПДОП + ЕСН + ОСС (4.5)

4.

3.2.

1. Основная заработная плата специалиста Основная заработная плата рассчитывается по формуле:

ЗПОСН = TКД x LСР. ДН (4.6)

где TКД — трудоемкость разработки, календарные дни;

LСР.ДН. — среднедневной заработок специалиста.

Среднедневной заработок находится по формуле:

(4.7)

где L0 — среднемесячная заработная плата;

F — среднее количество рабочих дней в месяце.

Среднемесячная заработная плата специалиста составляет 25 000 руб.

Среднее количество рабочих дней в месяце вычисляется по формуле:

(4.8)

где NРАБ — количество рабочих дней в месяце;

n — число месяцев.

(4.9)

Тогда

(4.10)

Расходы на основную заработную плату специалиста составят:

ЗПОСН.ПР = 36×1191 = 42 876 (4.11)

4.

3.2.

2. Дополнительная заработная плата специалиста Дополнительная заработная плата составляет примерно 20% от основной заработной платы, отсюда:

(4.12)

4.

3.2.

5. Основная заработная плата консультанта На начальном этапе разработки необходимо воспользоваться помощью консультанта по предметной области и выплатить каждому по договору основную заработную плату в размере 5000.

ЗПОСН.КОНС = 5000 (4.16)

4.

3.2.

6. Дополнительная заработная плата консультанта Дополнительная заработная плата составляет примерно 20% от основной заработной платы, отсюда:

(4.17)

4.

3.2.

7. Отчисления на единый социальный налог От общей суммы основной и дополнительной заработной платы 26% отчисляется в следующие фонды:

в пенсионный фонд (20%);

в фонд социального страхования (2,9%);

в фонд обязательного медицинского страхования (3,1%).

В итоге для специалиста:

(4.18)

для консультанта:

(4.20)

4.

3.2.

8. Отчисления в фонд обязательного социального страхования от несчастных случаев на производстве Отчисления в фонд обязательного социального страхования от несчастных случаев на производстве (0,2%) рассчитываются от общей суммы основной и дополнительной заработной платы.

Для специалиста:

(4.21)

для консультантов:

(4.23)

4.

3.4. Затраты на услуги сторонних организаций В таблице 9 приведены затраты на услуги сторонних организаций:

Таблица 9.

Затраты на услуги сторонних организаций для одной подсети Вид услуги Цена за месяц, руб. Количество месяцев Сумма, руб. Подключение интернет — - 1500

Доступ в интернет (4 Мбит/сек) 12 000 6 72 000

Итого 73 500

Суммарные расходы на подключение и доступ в Интернет на 6 месяцев для 3 подсетей корпоративной системы в рублях составит:

73 500*3=220 500

4.

3.5. Общая сумма затрат на внедрение средств защиты распределенной системы.

Общая сумма затрат на внедрение средств определяется суммированием по статьям затрат и отражена в таблице 10:

Таблица 10.

Общая сумма затрат на внедрение средств обеспечения безопасности Статья затрат Сумма, руб. 1. Затраты на оборудование 150 000 2. Затраты на оплату труда — всего, 72 503 в том числе: 2.

1. Основная заработная плата специалиста 42 876 2.

2. Дополнительная заработная плата специалиста 8575 2.

5. Основная заработная плата консультанта 5000 2.

6. Дополнительная заработная плата консультанта 1000 2.

7. Отчисления на единый социальный налог — всего 14 937 в том числе: 2.

7.1. Для специалиста 13 377 2.

7.3. Для консультанта 1560 2.

8. Отчисления в фонд обязательного социального страхования от несчастных случаев на производстве — всего, 115 в том числе: 2.

8.1. Для специалиста 103 2.

8.3. Для консультанта 12 3. Затраты на услуги сторонних организаций — всего, 40 500 в том числе: 3.

1. Подключение Интернет (для 3 подсетей) 4500 4.

1. Доступ в Интернет (для 3 подсетей на 1 мес) 36 000

Общая сумма затрат на разработку информационной системы 263 003

4.

4. Затраты на внедрение По окончании разработки безопасного подключения распределенной системы, она полностью готова к эксплуатации, дополнительных затрат на покупку оборудования и программного обеспечения не требуется.

4.5 Определение финансовых затрат на эксплуатацию

На этапе эксплуатации средств защиты затраты на оборудование, услуги специалистов и консультантов не предполагаются. Система функционирует в заданной конфигурации без дополнительного вмешательства.

4.

5.2. Расходы на услуги сторонних организаций

Расходы на услуги сторонних организаций приведены в таблице 11:

Таблица 11.

Затраты на услуги сторонних организаций Вид услуги Сумма, руб./мес. Доступ в Интернет (для 3 подсетей в месяц) 36 000

Итого 36 000

4.

5.3. Общая сумма затрат на эксплуатацию информационной системы

Общая сумма затрат на эксплуатацию информационной системы приведена в таблице 12:

Таблица 12.

Общая сумма затрат на эксплуатацию системы за месяц Статья затрат Сумма, руб./мес. Доступ в Интернет 36 000

Общая сумма затрат на эксплуатацию информационной системы 36 000

4.

6. Определение срока окупаемости системы Информация, проходящая межу удаленными абонентами и сетями, может иметь очень большое значение для организации. Средства защиты информации предназначены для предотвращения доступа посторонних лиц и злоумышленников к этим данным. Попытка получения несанкционированного доступа к корпоративной информации может произойти в любой момент времени, а может не произойти вообще никогда. Никто точно не может сказать что происходит с данными, проходящими по каналам публичной сети. Однако важно, чтобы в любой момент времени была обеспечена должная защита передаваемым данным и исключены факторы риска. Насколько ценны передаваемые данные и какой ущерб может нанести нарушение конфидециальности определяется характером деятельности компании или организации, передаваемыми данными и другими факторами. В связи с этим можно говорить о достаточно скорой окупаемости разработки и внедрения средств обеспечения безопасности распределенной корпоративной сети.

ЗАКЛЮЧЕНИЕ

По результатам дипломного проекта можно сделать следующие выводы:

Был дан аналитический обзор существующих технологий построения сетей, включая классификацию сетей, обзор способов и средств защиты сетей и описание принципов построения распределенных систем.

Были сформулированы понятие, специфика построения VPN.

Был проведен выбор публичной сети и платформы для организации защищенной распределенной корпоративной системы.

Проведен обзор средств обеспечения безопасности данных в VPN.

Проведен выбор технологии подключения удаленного доступа и средств защиты VPN.

Было определено экономическое обоснование разработки.

Запечников С.В., Милославская Н. Г., Толстой А. И., Основы построения виртуальных частных сетей, Учебное пособие, Москва, Горячая линия-Телеком, 2003 г.

Браун С., Виртуальные частные сети, Москва: Лори, 2001 г.

Романец Ю.В., Тимофеев П. А., Шаньгин В. Ф., Защита информации в компьютерных сетях, 2-е издание, Москва: «Радио и связь», 2001 г.

Завгородний В.И., Комплексная защита информации в компьютерных сетях, Учебное пособие. — М.: Логос, 2001 г.

Биячуев Т.А., Безопасность корпоративных сетей. — СПб: СПб ГУ ИТМО, 2004 г.

Лаем Куни, Ричард Рассел, Fast Ethernet-К.: Издательская группа BHV, 1998 г.

Вишневский В.М., Теоретические основы проектирования компьютерных сетей. — М.: Техносфера, 2003 г.

Сэм Хелеби, Принципы маршрутизации в Internet, 2-е издание. М.: Издательский дом «Вильямс», 2001 г.

Олифер В.Г., Олифер Н. А., Компьютерные сети. Принципы, технологии, протоколы: Учебник для ВУЗов. 3-е издание — СПб.: Питер, 2006 г.