Автор работы: Пользователь скрыл имя, 17 Января 2015 в 00:16, курсовая работа
Применение вычислительных средств в системе управления государственных и коммерческих структур требует наличия мощных систем обработки и передачи данных. Решение этой задачи привело к созданию единой инфраструктуры. Ее использование позволило людям, имеющим компьютер, получить доступ к информации крупнейших библиотек и баз, данных мира, оперативно выполнять сложнейшие расчеты, быстро обмениваться информацией с другими респондентами сети независимо от расстояния и страны проживания.
ВВЕДЕНИЕ
3
1 Анализ угроз информационной безопасности в корпаративных сетях
5
1.1 Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях
5
1.2 Угрозы информации. Способы их воздействия на объекты защиты информации
8
2 методы и средства защиты информации в корпаративных сетях
13
2.1 Внедрение технологии VLAN для разграничения доступа к ресурсам локальной сети
13
2.1.1 Реализация технологии VLAN в Cisco
20
2.2 Обзор технологии VPN, как средства защиты информации, передаваемой по открытым сетям
23
2.3 Организационные меры защиты информации в корпоративных сетях
30
ЗАКЛЮЧЕНИЕ
33
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- стихийные бедствия и катастрофы.
Внутренними источниками являются:
- противозаконная деятельность политических, экономических и криминальных структур и отдельных лиц в области формирования, распространения и использования информации, направленная в т.ч. и на нанесение экономического ущерба государству;
- неправомерные действия
различных структур и ведомств,
приводящие к нарушению
- нарушения установленных регламентов сбора, обработки и передачи информации;
- преднамеренные действия
и непреднамеренные ошибки
- отказы технических средств
и сбои программного
- каналы побочных
Способы воздействия угроз на объекты защиты информации подразделяются на информационные, аппаратно-программные, физические, радиоэлектронные и организационно-правовые.
К информационным способам относятся:
- нарушение адресности
и своевременности
- несанкционированный доступ к информационным ресурсам;
- незаконное копирование
данных в информационных
- хищение информации из банков и баз данных;
- нарушение технологии обработки информации.
Аппаратно-программные способы включают:
- внедрение компьютерных вирусов;
- установку программных
и аппаратных закладных
- уничтожение или модификацию
данных в информационных
Физические способы включают:
- уничтожение или разрушение средств обработки информации и связи;
- уничтожение, разрушение
или хищение машинных или
- хищение аппаратных или
программных ключей и средств
криптографической защиты
- воздействие на персонал;
- поставку "зараженных"
компонентов информационных
Радиоэлектронными способами являются:
- перехват информации
в технических каналах ее
- внедрение электронных
устройств перехвата
- перехват, дешифрование и внедрение ложной информации в сетях передачи данных и линиях связи;
- воздействие на парольно-
- радиоэлектронное подавление
линий связи и систем
Организационно-правовые способы включают:
- закупки несовершенных
или устаревших информационных
технологий и компьютерных
- невыполнение требований
законодательства Российской
- неправомерное ограничение доступа к документам, содержащим важную для граждан и органов информацию.
Таким образом, надежная защита телекоммуникационных сетей от различного вида угроз возможна только на основе построения комплексной системы безопасности информации на всех этапах разработки, ввода в действие, модернизации аппаратно-программных средств телекоммуникаций, а также при обработке, хранении и передаче по каналам связи информации с широким применением современных средств криптографической защиты, которая бы включала в себя взаимоувязанные меры различных уровней: нормативно-правового; организационного (административного); программно-аппаратного; технического.
2.1 Внедрение технологии VLAN для разграничения доступа к ресурсам локальной сети
В данном разделе рассматривается локальная сеть как базовая составляющая информационной системы. Рассмотрены варианты реализации разграничения доступа к ресурсам сети, приведена таблица для сравнения двух различных способов, рассмотрена технология VLAN и её ответвление - Asymmetric VLAN, которая позволяет наиболее эффективно в экономическом и временном плане организовывать независимые подсети в одной физической локальной сети. При развитии локальной сети очень часто возникает проблема разграничения доступа к её ресурсам пользователей различных категорий, а также объединения работников разных отделов в изолированные группы для решения определенных задач. При уже построенной и функционирующей сети становится довольно проблематичной организация новых точек подключения к компьютерам. В связи с этим рационально использовать технологию виртуальной локальной сети (Virtual Local Area Network - VLAN), разработанную Институтом инженеров электротехники и электроники (IEEE). Внедрение технологии VLAN позволяет эффективно разделять трафик, лучше использовать полосу канала, гарантировать успешную совместную работу сетевого оборудования различных производителей и обеспечить высокую степень безопасности. При этом пакеты следуют между портами в пределах локальной сети. При внедрении технологии нет необходимости менять кабельную структуру сети и клиентские устройства доступа, следует заменить только активное оборудование, коммутирующее трафик.
VLAN обладают следующими преимуществами.
- Гибкое разделение устройств на группы.
Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения.
Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе с лишь одним VLAN находятся в одном широковещательном домене. Создание дополнительных VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN настроен на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен.
- Увеличение безопасности и управляемости сети.
Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики, разрешающие или запрещающие доступ из VLAN в VLAN.
В таблице представлено сравнение плюсов и минусов реализации раздельного доступа на физическом уровне и с помощью виртуальных локальных сетей VLAN.
Сравнение реализации разделения ресурсов
Физическая |
VLAN | ||
Плюсы |
Минусы |
Плюсы |
Минусы |
Надежность – при физическом отключении одного сегмента сети, остальные продолжают работать |
Необходимость прокладки новых кабелей. |
Необходимо заменить только активное коммутирующие оборудование |
Зависимость от физической среды передачи информации. |
Необходимость закупки дополнительного оборудования |
Возможность оперативно изменить топологию сети, не прибегая к материальным затратам |
||
Сложности изменения, при необходимости, топологии сети. |
Простота управления |
||
Увеличение потребления физических ресурсов. |
Масштабируемость |
||
Приоретизация |
Таблица 1.
Из таблицы 1. можно сделать вывод, что применение виртуального разделения сети экономически целесообразно.
На (Рис.1) Представлена типовая схема реализации разделения пользователей с помощью технологии VLAN
Рис. 1
На коммутаторе запрограммирована возможность пересылки пакетов между портами 1, 3 и 6, портами 4, 7, 8, а также между 5 и 2. Пакет из порта 1 никогда не попадет в порт 2, а из порта 8 в порт 6 и т.д. Таким образом, переключатель разделяется на три независимых виртуальных переключателя, принадлежащих различным виртуальным сетям. Управление матрицей переключения возможно через подключаемый извне терминал или удаленным образом с использованием протокола SNMP или WEB
Однако при этом возникает проблема доступа к одному какому-либо общему для всех пользователей физической сети ресурсу, например, шлюзу доступа в глобальную сеть интернет. Если следовать рассмотренной концепции, то для обеспечения работы во всех сегментах сети серверу необходимо иметь столько сетевых интерфейсов и задействовать столько портов коммутатора, сколько в сети запрограммировано виртуальных подсетей. Это нецелесообразно ни в экономическом, ни в ресурсном отношении при реализации системы. Такая задача может быть решена с помощью асимметричных VLAN, построенных на основе меток в дополнительном поле пакета - стандарт IEEE 802.1q. Для определения разрешения проходимости пакета в тот или иной VLAN коммутатор заранее составляет таблицу маршрутизации пакетов на основе ARP и IP.
На (Рис. 2) представлена схема реализации асимметричной виртуальной локальной сети, где VLAN1 - общие локальные ресурсы. VLAN2 - группа пользователей 1. VLAN3 - группа пользователей 2. VLAN2 и VLAN3 могут обмениваться данными с VLAN1, но не могут между собой. При этом пользователи и сервера с ресурсами находятся в одной подсети, но в разных широковещательных доменах.
Рис. 2
На (Рис. 3) компьютеры от A до U не могут обмениваться друг с другом информацией и находятся в разных VLAN, а серверы принадлежат ко всем VLAN одновременно, при этом обмен трафиком между коммутаторами происходит через тегированные порты.
Рис. 3
Основное различие между базовым стандартом 802.lq VLAN или симметричными VLAN и асимметричными VLAN заключается в том: как выполняется отображение адресов. Симметричные VLAN используют отдельные адресные таблицы, т.е. не существует пересечения адресов между VLAN - ами. Асимметричные VLAN могут использовать одну, общую таблицу адресов. Однако использование одних и тех же адресов (пересечение по адресам) происходит только в одном направлении.
В примере, рассмотренном выше. VLAN1, созданная для порта, имела в своем распоряжении полную таблицу адресов, т.е. любой адрес мог быть отображен на ее порт (PVID).
Основными достоинствами рассмотренного варианта построения ЛВС являются следующие.
- Обеспечение высокой степени защищенности информации от несанкционированного доступа за счет создания для каждого подразделения предприятия (или отдельного пользователя) виртуальных локальных сетей (VLAN), ограничивающих трафик в пределах отдельного VLAN.
- Возможность размещения всех основных: вычислительных ресурсов (серверов) в одной аппаратной (серверной) позволяет обеспечить требуемый уровень их защищенности от внешних воздействий и удобство обслуживания.
- Возможность предоставления доступа к любым из имеющихся сетевых ресурсов (серверов, систем хранения информации Internet и т.п.) на каждом коммутаторе уровня распределения без проведения работ по прокладке дополнительных кабельных линий.
- Структурная гибкость сети, позволяющая быстро менять строение сети, наращивая или подстраивая ее под изменяющуюся структуру предприятия без проведения работ по прокладке дополнительных кабельных линий.
- Масштабируемость сети, что дает возможность легко наращивать вычислительные ресурсы сети простым подключением дополнительных серверов и других сетевых элементов к стеку коммутаторов «ядра».
- Возможность подключения локальных средств архивизации в любой удобной точке сети, что позволяет расположить устройства архивизации как с учетом минимизации нагрузки на сеть, так и в месте, наиболее защищенном от пожара, затопления и т.п.
- Невысокая стоимость решения и оптимальное соотношение показателя цена/качество. позволяет при малом бюджете развертывать гибкую, высокозащищенную информационную инфраструктуру.
Дальнейшее развитие рассмотренной архитектуры и методологии должно предусматривать наращивание защищенности информационной инфраструктуры. Вполне очевидно, что для этого требуется наличие дублирующих маршрутов в сети. т.е. сеть рассматривается как граф, причем его связность не должна нарушаться при недоступности какого-либо ребра (при отказе информационного канала) или узла.
Реализацию технологии VLAN в Cisco рассмотрим на примере двух небольших офиса, где необходимо выделить три виртуальные подсети, в рамках одной физической, например, отдел кадров (VLAN10), бухгалтерия (VLAN20) и технический отдел (VLAN30) в каждом из офисов (Рис. 4).
Рис. 4
Информация о работе Методы и средства защиты информации в корпаративных сетях