Информационная система для авиапредприятия

Автор работы: Пользователь скрыл имя, 10 Мая 2014 в 17:08, курсовая работа

Описание работы

Разработать корпоративную сеть для авиапредприятия.
Предусматривается наличие филиалов: один из них в другом городе, другой в этом же, для обоих необходимо обеспечить удаленный доступ к корпоративной сети. Кроме того, должны быть учтены выход в Интернет, организация почтового сервера, Web-сервера, прокси-сервера, серверов баз данных, файл-серверов (PDC,BDC) и серверов для других сетевых приложений, и так далее.
Предприятие занимает первый и второй этажи трех двухэтажных зданий. Их размеры – 20×220, оба здания имеют разную форму. Высота каждого этажа, чердака и подвала равняется 3 метрам. Расстояние между зданиями – 180 метров. Парк вычислительных машин превышает или равен 100 штук.

Файлы: 1 файл

ТКС курсач.docx

— 308.68 Кб (Скачать файл)

 

3.Проектирование  структурной схемы корпоративной  сети.

Исходя из схемы информационных потоков, разделения этих потоков, и схемы информационной потоков с учетом серверов,  также зная расположение зданий и их габариты составим структурную схему корпоративной сети (В ПРИЛОЖЕНИИ) и приводим ее краткое описание.

Произведем описание с помощью таблицы, в которой укажем что где находится  и количество компьютеров в каждом отделе.

 

Таблица 3.1                                         

 

Расположение отделов         

Здание

Этаж

Отдел

Количество компьютеров

Сервер

1

1

Отдел охраны

 

4

FS2, FS3

2

Плановый отдел

15

2

 

    1

Отдел АСУ

Юридический отдел

Администрация

Бухгалтерия

16

10

15

15

FS1, FS4

3

 

     1

Отдел продаж

Отдел кадров

12

14

FS5, FS6


 

4.Разработка защиты  сети от несанкционированного  доступа.

4.1. Постановка проблемы  и методы ее разрешения

       Несанкционированный доступ (НСД) злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия:

- Читать и/или модифицировать электронные документы, которые в дальнейшем будут храниться или редактироваться на компьютере.

- Осуществлять перехват различной ключевой информации, используемой для защиты электронных документов.

- Использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети.

- Уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения.

      Защита компьютеров от НСД является одной из основных проблем защиты информации, поэтому в большинство операционных систем и популярных пакетов программ встроены различные подсистемы защиты от НСД. Например, выполнение аутентификации в пользователей при входе в операционные системы семейства Windows. Однако, не вызывает сомнений тот факт, что для серьезной защиты от НСД встроенных средств операционных систем недостаточно. К сожалению, реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из-за регулярно обнаруживаемых уязвимостей, позволяющих получить доступ к защищаемым объектам в обход правил разграничения доступа. Выпускаемые же производителями программного обеспечения пакеты обновлений и исправлений объективно несколько отстают от информации об обнаруживаемых уязвимостях. Поэтому в дополнение к стандартным средствам защиты необходимо использование специальных средств ограничения или разграничения доступа.

Политика сетевой безопасности каждой организации должна включать две составляющие:

  • Политика доступа к сетевым сервисам.
  • Политика реализации межсетевых экранов.

Политика доступа к сетевым сервисам обычно основывается на одном из следующих принципов:

1) запретить доступ из  Internet во внутреннюю сеть, но разрешить доступ из внутренней сети в Internet;

2) разрешить ограниченный  доступ во внутреннюю сеть  из Internet, обеспечивая работу только отдельных "авторизированных" систем, например почтовых серверов.

В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Прежде всего, необходимо установить, насколько "доверительной" или "подозрительной" должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

1) запрещать все, что не  разрешено в явной форме;

2) разрешать все, что не  запрещено в явной форме.

Реализация межсетевого экрана на основе первого принципа обеспечивает значительную защищенность. Однако правила доступа, сформулированные в соответствии с этим принципом, могут доставлять большие неудобства пользователям, а кроме того, их реализация обходится достаточно дорого. При реализации второго принципа внутренняя сеть оказывается менее защищенной от нападений хакеров, однако, пользоваться ей будет удобнее и потребуется меньше затрат.

Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональности выбора и использования основных компонентов межсетевого экрана.

Система безопасности любой сети в основном держится на 3 составляющих:

1). Аутентификация – проверка  подлинности пользователя. Позволяет  определить, является ли пользователь  тем за кого себя выдает.

2). Авторизация – проверка  прав пользователя. Позволяет определить  имеет ли пользователь права  на доступ к тому или иному  общему ресурсу.

3). Аудит – запись действий  пользователя. Позволяет определить, кто, в какое время и что  делал.

Необходимо разработать политику безопасности на основном контроллере домена. Таким образом, необходимо разделить всех пользователей на группы, дать каждой группе определенный набор прав на доступ к ресурсам сети. У каждого пользователя должен быть свой профиль и личный каталог на файл-сервере. В данном проекте логично будет разделить пользователей на группы по отделам.

Основные виды политики безопасности:

1). Политика учетных записей  – определяет режим использования паролей для всех учетных записей, а также необходимость блокировки учетных записей при превышении заданного числа неудачных попыток входа в систему за определенное время.

2). Политика прав пользователей  – определяет права, присваиваемые группам и отдельным пользователям.

Учетные записи позволяют пользователям получать доступ к сетевым ресурсам, это однозначно определенный набор учетных данных, который распознается сетью.

Далее разграничим права доступа группам пользователей. Примечание: «чт» – только чтение; «зп» – только запись; «+» – полный доступ; «-» – нет доступа.

Доступ к  ресурсам

Отдел

Сервер №1

Сервер №2

Сервер №3

Сервер №4

БД бухгалтерии

БД сотруд-ников

БД номенк-латуры

БД контр-агентов

Видео-сервер

Web-сервер

DNS-внешний

Mail-сервер

Администрация

чт

чт

чт

чт,зп

чт, зп

чт

чт

+

Бухгалтерия

чт, зп

чт

чт

чт

-

чт,

чт

+

Отдел кадров

-

чт, зп

-

-

-

чт

чт

+

Юрид. отдел

-

-

-

-

-

чт

чт

+

Плановый отд.

-

-

чт,зп

чт,зп

-

+

чт

+

Отдел АСУ

+

+

+

+

+

+

+

+

Отдел охраны

-

-

-

-

+

-

-

+

Отдел продаж

-

-

чт,зп

чт,зп

-

чт

-

+

Филиал 1

-

-

-

-

-

чт

-

+

Филиал 2

-

-

-

-

-

чт

-

+


 

Отдел

Сервер №5

Сервер №6

Proxy-сервер

Сервер приложений

DNS внутренний

Print-сервер

Exchange-сервер

File-сервер

Администрация

чт

чт

чт

+

+

+

Бухгалтерия

чт

чт,зп

чт

+

+

чт,зп

Отдел кадров

чт

чт, зп

чт

+

+

чт,зп

Юрид. отдел

чт

чт

чт

+

+

чт,зп

Плановый отд.

чт

чт

чт

+

+

чт,зп

Отдел АСУ

+

+

чт

+

+

+

Отдел охраны

чт

-

чт

+

+

чт,зп

Отдел продаж

чт

-

чт

+

+

чт,зп

Филиал 1

-

-

-

-

-

-

Филиал 2

-

-

-

-

-

-


 

4.2.Защита от внешнего НСД

Благодаря использованию Proxy-сервера, для внешних пользователей виден только один компьютер, что исключает возможность внешнему пользователю исследовать структуру корпоративной сети и иметь доступ к другим ее узлам.

Обеспечить защиту сетей может межсетевой экран – firewall (брандмауэр). Из-за несовершенства защиты операционных систем семейства Windows, сеть без брандмауэра становится открыта для несанкционированного доступа извне.

Межсетевой экран – это система межсетевой защиты, позволяющая разделить каждую сеть на две и более части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет, хотя ее можно провести и внутри корпоративной сети предприятия. Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты.

Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности.

Межсетевой экран может реализовать ряд политик доступа к сервисам. Но обычно политика доступа к сетевым сервисам основана на одном из следующих принципов:

1). Запретить доступ из  Интернета во внутреннюю сеть  и разрешить доступ из внутренней  сети в Интернет;

2). Разрешить ограниченный  доступ во внутреннюю сеть  из Интернета, обеспечивая работу  только отдельных авторизованных  систем, например информационных  и почтовых серверов.

В настоящее время не существует единой и общепризнанной классификации межсетевых экранов. Выделяют следующие классы межсетевых экранов:

1). Фильтрующие маршрутизаторы;

2). Шлюзы сеансового уровня;

3). Шлюзы уровня приложений.

Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов.

Информация о работе Информационная система для авиапредприятия