(5 оценок, среднее: 4,80 из 5)
Загрузка...
Учебная работа. Курсовая работа: Обеспечение защиты данных в подсистеме Учет распределения товара
Содержание
Введение 4
1. Класс защищённости разрабатываемой подсистемы 5
2. Горизонтальная модель сети 6
2.1 Описание вероятных угроз 7
2.2 Меры по устранению угроз сохранности сети 8
3. Механизмы защиты вертикальной структуры сети 11
3.1 Физический уровень 11
3.2 Канальный уровень 11
3.3 Сетевой уровень 11
3.4 Транспортный уровень 12
3.5 Прикладной уровень 12
3.6 защита операционной системы 12
3.7 Прикладное и общесистемное программное обеспечение 12
3.8 защита СУБД 13
4. Организационные мероприятия, направленные на увеличение уровня информационной сохранности на предприятии 14
5. Подсчёт сметной цены оборудования, нужного для выполнения предложенных мер по обеспечению сохранности сети 15
Заключение 17
Перечень литературы 19
приложение……………………………………………………………….20
Введение
В данной курсовой проекте рассматривается вопросец обеспечения защиты данных в подсистеме «Учет распределения продукта», разрабатываемой для компании ООО «Дэл-Трейд» занимающегося оптово-розничной торговлей товаров питания в г.Ухта. Система создается для автоматизации процесса ведения, контроля и учета распределения продукта, формирования сопроводительных документов (затратных, агентских прайсов), инфы приобретенной в процессе работы (заявка).
В работе рассматривается вопросец обеспечения защиты данных в подсистеме, разрабатываемой для отдела продаж и способы практической реализации обеспечения сохранности этих данных.
Целью проекта является увеличение эффективности работы офисного персонала.
Не считая этого, предлагаемая система обязана позволять: уменьшить Издержки времени на предоставление сведений о ассортименте и количестве имеющегося продукта, нужных свойствах; сберегать рабочее время сотрудника и облегчить его работу в оперативности получения и обработки инфы о объеме товарооборота; хранить данные в наиболее комфортном малогабаритном виде, что значительно повысит скорость доступа к информационным ресурсам, также обеспечит надёжную защиту от утраты инфы и несанкционированного доступа к ней.
Разрабом системы является студент группы ИСБ-1-00, Веремиенко В.В., Заказчиком системы является ООО «Дэл-Трейд» в лице директора Валиулина Сергея Габдулхановича.
1. Класс защищённости разрабатываемой подсистемы
Все классы оценки автоматизируемых систем делят на 3 группы, которые различаются чертами обработки инфы:
3 группа: систематизирует АС, в какой работает один юзер, допущенный ко всему объёму инфы АС, относящейся к одному уровню конфиденциальности (3А, 3Б).
2 группа: систематизирует АС, в какой юзеры имеют схожие права ко всей инфы и вся она расположена на этом же уровне конфиденциальности (2А, 2Б).
1 группа: систематизирует многопользовательские АС, в каких сразу обрабатывается и хранится информация различных уровней конфиденциальности, и не все юзеры имеют права доступа ко всей инфы (1А, 1Б, 1В, 1Г, 1Д).
Разрабатываемая подсистема относится к первой группе, т. к. она является многопользовательской. В подсистеме предусматривается разграничение прав доступа юзеров к данным (любой юзер имеет доступ лишь к тем данным, которые нужны лишь ему). В то же время информация, с которой работает подсистема, не имеет ни один из грифов секретности, а носит чисто секретный нрав. Таковым образом, классом защиты нашей системы будет являться 1Г.
2. Горизонтальная модель сети
Все юзеры подсистемы, также сервера баз данных соединены в сеть (см. Приложение 1 «Схема сети»). Компы юзеров соединены меж собой устройством (Switch), которое дозволяет соединить компы в маленькую локальную сеть. Один из компов подключен к Вебу при помощи модема.
Данная сеть нуждается в защите инфы, передаваемой по сети. информация быть может предана изменению, удалению, хищению, что приведет предприятие к потерям. Для разграничения доступа к инфы на сервере будет установлена СУБД и организован доступ к серверу со всех клиентов. Как следует, получение, наполнение и редактирование инфы будет происходить средствами сервера СУБД, что дозволяет разграничивать доступ к инфы средствами самой СУБД. АС будет доступна лишь офис-менеджерам компании и руководителю отдела продаж.
Вся информация будет храниться на сервере с установленной системой управления базами данных (СУБД) и будет организован доступ к серверу со всех клиентов средством локальной сети компании. Таковым образом, получение, наполнение и редактирование инфы будет происходить средствами сервера СУБД, что дозволяет разграничивать доступ к инфы средствами самой СУБД.
В разрабатываемой подсистеме зависимо от применяемых ролей настраиваются права определенного юзера, при всем этом оговаривается набор доступных ему подсистем и список операций, которые он может делать в каждой из их (Таблица 1).
Табл.1
Кабинет Менеджер
Агент
Дисконт
ПРДУ
ПР
Отчет
ПРДУ
П
Контрагенты
ПРДУ
П
Затратная
ПРДУ
П
Счет — фактура
ПРДУ
П
продукт
ПРДУ
П
Условные обозначения:
П – просмотр данных;
Р – редактирование;
Д – добавление данных;
У – удаление данных;
2.1 Описание вероятных угроз
В общем случае опасности сохранности сети компании можно поделить на две огромные группы: внутренние и наружные.
Наружные опасности:
• Несанкционированный доступ к каналам передачи данных. Данная угроза может появиться в тех вариантах, когда сторонний человек сумеет подключиться к сети передачи данных, при этом подключение может происходить хоть каким образом.(2)
• Несанкционированный доступ к системе через Internet. Данная угроза может иметь пространство в тех вариантах, когда имеется выход во Всемирную сеть Internet. (5)
Внутренние опасности:
• Несанкционированный доступ к главным ресурсам: серверы, активное оборудование (1)
• Несанкционированный доступ к индивидуальному компу юзера (3)
• Несанкционированный доступ к принтерам, работающим с секретной информацией (6)
• Замена рабочего места юзера. Эта угроза возникает в итоге подмены компа юзера иным и замены IP-адреса. В этом случае, данные, созданные для юзера, попадают в посторонние руки (7)
Источники возможных угроз сохранности наглядно приведены приложении.
2.2 Меры по устранению угроз сохранности сети
Для ликвидации угроз нужно создать организационные мероприятия:
• Для защиты от угроз сохранности сети, исходящих из Internet и Несанкционированного доступа к каналам передачи данных (опасности № 2,5) целенаправлено выделить отдельный комп для выхода в Internet, не подсоединённый к сети компании, и разрешить доступ к компу сотруднику (управляющий отдела), который отвечает за прием почты и материалов нужных для работы компании. Также непременно необходимо установить антивирусное ПО . комп должен стоять в отдельном кабинете, ключ должен находиться лишь у управляющего отдела.
• Для обеспечения защиты активного оборудования от несанкционированного доступа к нему (угроза № 1), нужно его расположить под охрану. Обеспечить доступ к нему и выдачу ключей лицам, владеющим таковыми возможностями, к примеру руководителю отдела.
• Для защиты от несанкционированного доступа к компу юзеров (угроза № 3) нужно применять пароли. пароль — это последовательность букв, цифр и остальных знаков, при помощи, кото¬рой система инспектирует, вправду ли это тот юзер, который имеет данную учетную запись и Право доступа к ресурсам.
К паролям предъявляются определённые требования:
пароль не должен содержать данных, которые как-то соединены с юзером (дата рождения, адресок и др.);
пароль должен соединять внутри себя как знаки, так и числа;
пароль должен содержать от 8-10 знаков;
Для усложнения доступа к компу и его ресурсам, нужно предугадать пароли =BIOS. Также необходимо на физическом уровне заблокировать доступные и не применяемые порты.
Нужна повторяющаяся смена паролей
• Несанкционированный доступ к принтерам, работающим с секретной информацией (Угроза № 6). Сетевые принтеры, работающие с секретной информацией, должны стоять раздельно. Может быть решение общего использования принтеров при конкретном присутствии около принтера: документ, посланный на печать, может быть, распечатать лишь при идентификации и аутентификации юзера, пославшего документ, на самом принтере.
• Для того чтоб избежать замены рабочего места юзера (угроза № 7), помещение во внерабочее время обязано находиться под замком. Ключ должен выдаваться на основании распоряжения директора лицам, обсужденным в нём.
Во избежание замены оборудования юзера нужно создать привязку MAC-адреса сетевого интерфейса к коммутатору, т.е. разрешить доступ к данному порту определённому сетевому устройству. Существует также ряд неявных угроз, которые могут появиться в процессе функционирования активного оборудования, к примеру сбой в электропитании, выход из строя винчестеров, пожар.
Для предотвращения последствий от сбоя рекомендуется применять:
1. Фильтры питания;
2. Источники бесперебойного питания;
3. Автономные генераторы.
4. средства пожаротушения
3. Механизмы защиты вертикальной структуры сети
Для увеличения надёжности защиты инфы в сети нужно защищать её на любом уровне модели OSI.
3.1 Физический уровень
Данный уровень отвечает за кодирование передаваемых сигналов. На этом уровне происходит преобразование битов в электронный сигнал. В эталоне для исключения способности действия разных электромагнитных наводок, приводящих к искажению передаваемой инфы, для передачи данных нужно применять особый экранированный кабель. Вокруг кабеля передачи данных появляется электромагнитное поле, которое дозволяет при помощи особых устройств считывать передаваемую информацию. Для устранения данной опасности кабель нужно прокладывать как можно далее от окон, чтоб возможность считывания данных за пределами строения сводилась к минимуму.
3.2 Канальный уровень
На данном уровне происходит работа с МАС-адресами сетевых интерфейсов (адресами сетевых карт). Админу нужно выполнить привязку МАС-адреса, как говорилось выше применительно к горизонтальной модели, к определенным портам активного оборудования, к примеру, коммутатора. Таковая привязка исключает возможность замены рабочего места юзера.
3.3 Сетевой уровень
Этот уровень отвечает за маршрутизацию, т. е. за выбор рационального пути доставки пакета данных адресату. В согласовании с сиим целенаправлено разбить сеть на виртуальные сегменты (сгруппировать в отдельные VLAN-ы). Такое разбиение подразумевает, что группы юзеров, относящихся к определенному сектору, будут иметь дело лишь с той секретной информацией, которая им нужна.
3.4 Транспортный уровень
Отвечает за доставку инфы по линиям с коммутацией пакетов. Транспортными протоколами в сети веб являются протоколы UDP и TCP. Подобно механизму защиты на сетевом уровне, тут также употребляются ACCESS-листы, но в их можно указывать не адреса сетей, а адреса определенных сервисов. Такие списки доступа настраиваются на серверах.
3.5 Прикладной уровень
Данный уровень сетевой модели отвечает за взаимодействие пользовательского приложения с сетью. Мерами защиты на данном уровне являются идентификация и аутентификация юзеров. Идентификация заключается в проверке наличия данного юзера в перечне, а аутентификация – в проверки достоверности имени и пароля. Как говорилось выше для горизонтальной модели, тут также нужно предугадать повторяющуюся смену паролей и исключить наличие «слабеньких паролей». Юзера без пароля в системе быть не обязано.
3.6 защита операционной системы
На всех юзерах данной системы лучше установить операционную систему Windows 2000/NT. При установки и настройке ОС рекомендуется:
• На сервере с секретной информацией не обязано быть таковых сервисов, как telnet, ftp, HTTP, smtp и т.д.
• Не применять удалённое администрирование.
• Включить обнаружение атак.
• Повсевременно смотреть за возникновением угроз в системе.
• Непременно делать запасное копирование, архивирование.
3.7 Прикладное и общесистемное программное обеспечение
• Запретить вести разработку и эксплуатацию ПО на промышленных ресурсах. Для этих целей должны быть выделены отдельные ресурсы;
• Любой субъект должен иметь доступ лишь к разрешенным ему объектам;
3.8 защита СУБД
В качестве сервера нужно применять MS SQL Server 7.0. нужно выполнения последующих мероприятий по защите сервера СУБД.
• Доступ к данным осуществляется лишь через системы ролей, которые назначаются системным админом и утверждаются управлением компании;
• Производится запасное копирование базы данных.
• установка источника бесперебойного питания, для увеличения надежности электропитания на сервере.
4. Организационные мероприятия, направленные на увеличение уровня информационной сохранности на предприятии
Проведение организационных мероприятий является не только лишь более действенным, да и дешевеньким средством защиты инфы.
Для защиты автоматизируемой системы было бы хорошо утвердить последующие организационные мероприятия:
• нужно производить охрану помещений, в каких находится активное оборудование, также организация учета ключей.
• должен быть разработан регламент на внедрение паролей.
• должен быть разработан регламент на проведение инвентаризации.
• Должны быть распоряжение на выдачу секретной инфы в документальном виде.
• должен быть разработан регламент о запасном копировании, который описывается тем, кто отвечает за эти деяния, также график их выполнения.
• Регламент о запрете на выход в Веб сотрудникам не имеющим на это прав.
• должен быть выдан запрет на внедрение переносных устройств инфы (Flash– память, диски).
• Разграничение доступа к сетевым ресурсам
• должен быть разработан регламент на копирование и хранение архивов.
• Обязано быть произведено утверждение политики сохранности.
• должен быть разработан регламент о получении сведений при перемещении по службе (увольнении): на основании приказов о увольнении служащих либо их переводе в остальные подразделения нужно удалить учётную запись, или поменять права доступа соответственно.
• Должен быть разработан регламент на внедрение антивирусного ПО .
• Регламент на профилактику: установка patch-ей: при обнаружении уязвимого места в программном обеспечении установить соответственный patch.
• Регламент на проведение восстановительных работ и порядок действий.
5. Подсчёт сметной цены оборудования, нужного для выполнения предложенных мер по обеспечению сохранности сети
В процессе анализа рисков утраты инфы и разработки концепции информационной сохранности были рассмотрены вероятные опасности утраты инфы и способы защиты от этих угроз.
Список программных товаров и оборудований, нужных для информационной сохранности:
1. Windows 2000/NT – 4000р.
2. Антивирусная программка: антивирус Касперского Personal – 1400р.
Вполне исключить выход в веб на предприятии не может быть, потому что по электрической почте на предприятие поступает огромное количество нужной для работы инфы (прайсы, копии договоров и сертификатов). Подсчёт цены покупки новейшего компа и его примерная конфигурация приведены в таблице1. Данные приведены в согласовании с прайс-листом магазина «Дефад» на 20.12.2004 года.
Наименование
Марка
Стоимость
Микропроцессор
Celeron 2000MHz 128k S478 BX80532RC2000B
2550
Материнская плата
asus P4R800-VM / Pentium 4 S478 / UDMA100 / DDR400 / Video / LAN / ATX
2417
винчестер
IDE 40gb HITACHI HDS728040PLAT20 7200rpm ATA-7 UDMA133
1643
Оперативная память
DDR DIMM 512mb ( Hyunday-Hynix) PC3200, 400MHz
2578
монитор
17″ Самсунг 783 DF (1280×1024-65Гц , 0.23, TCO*03)
4544
клавиатура
Клавиатура BTC 5107/5197 win98 ps/2
200
Мышь
Microsoft Basic Optical Mouse ver.1.0a Black (OEM) USB 3bth+Roll
270
кулер
cooler for Socket 478 P4 TITAN TTC-W6TB
257
Сетевой фильтр
Vektor COM
450
CD-ROM
CD-RW TEAC W552 52/32/52x IDE int. OEM
966
дисковод
FDD 3.5″ 1,44mb Mitsumi
230
Корпус
Miditower S-506 300W ATX for P3/P4
1700
модем
ZyXEL Omni 56K UNO ext. USB (Retail)
2642
Принтер
HP Jet Direct 615N J6057A 10/100Base-TX Int. print server
10635
Источник БП
UPS 500VA APC Back (BK500-RS)
2030
Всего:
33112
установка антивирусного ПО неотклонима, потому что инфецирование компа вирусами через веб и выход из строя системы, могут повлечь за собой большие убытки для компании в связи с простоем работы. Для устранения опасности несанкционированного доступа к принтерам, работающим с секретной информацией предлагается поменять принтер HP LJ 1200 находящийся в отделе продаж на HP Jet Direct 615N J6057A 10/100Base-TX Int. print server.
Заключение
В данном курсовом проекте рассмотрены опасности сохранности сети компании «ООО Дел-трейд» на разных уровнях в согласовании с систематизацией внутренних и наружных угроз. Исходя из этих данных, был проведён анализ вероятных угроз, которым могла подвергнуться индивидуальная информация и юзеры, работающие с ней. Исследовав, степень вероятного риска возникновения этих угроз был произведён поиск решений по понижению вероятности возникновения Построена схема сети для функционирования подсистемы. Для разрабатываемой подсистемы описаны разграничения прав юзеров и предложены меры, как для защиты всей сети компании, так и для защиты данных, обрабатываемых подсистемой. Для защиты от наружных угроз, исходящих из Веба предложено приобрести отдельный комп. Рассчитаны Издержки на внедрение предложенных мер.
Таковым образом, при соблюдении выполнения всех перечисленных мероприятий секретные данные будут надёжно защищены.
Соответствие классу защищенности 1г:
№ п/п
Подсистемы и требования
Класс 1г
1
Подсистема управления доступом
1.1
идентификация, проверка подлинности и контроль доступа субъектов:
+
в систему
+
к терминалам, ЭВМ , узлам сети ЭВМ , каналам связи, наружным устройствам ЭВМ
+
к программкам (действиям)
+
к томам, каталогам, файлам, записям, полям записей.
+
1.2
Управление потоками инфы
+
2
Подсистема регистрации и учета (аудит)
2.1
Регистрация и учет:
+
входа/выхода субъектов доступа в/из системы (узла сети);
+
выдачи печатных (графических) выходных документов;
+
пуска/окончания программ и действий (заданий, задач);
+
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;
+
доступа программ, субъектов доступа к терминалам, ЭВМ , узлам сети ЭВМ , каналам связи, наружным устройствам ЭВМ , программам, томам, каталогам, файлам, записям, полям записей;
+
2.2
Учет носителей инфы.
+
4
Подсистема обеспечения целостности
4.1
Обеспечение целостности программных средств и обрабатываемой инфы.
+
4.2
Физическая охрана средств вычислительной техники и носителей инфы.
+
4.3
Наличие админа (службы) защиты инфы в АС.
+
4.4
Внедрение сертифицированных средств защиты.
+
4.5
Периодическое тестирование СЗИ НСД.
—
4.6
наличие средств восстановления СЗИ-НСД.
—
Перечень литературы
1. Некучаева Н.А. «Курс лекций по защите инфы».
2. Базы компьютерных сетей.: Пер. с англ. – М.: Издательский дом «Вильямс», 2002. – 656 с.
Должность Функция
права
Управляющий отдела Делает, редактирует, удаляет затратные, отчеты. Описывает права доступа для юзеров. Чтение, запись, редактирование.
Кабинет-МенеджерДелает, редактирует, удаляет затратные, отчеты. Чтение, запись, редактирование
Торговый агент Получает нужную информацию для работы (долги, оплаты, обороты) Чтение
]]>