Реферат: Обеспечение защиты данных в подсистеме "Учет распределения товара"

ТЕМА:«Обеспечение защиты данных в подсистеме «Учет распределения товара»»


Содержание

Введение    4

1. Класс защищённостиразрабатываемой подсистемы     5

2. Горизонтальнаямодель сети     6

2.1 Описание возможныхугроз    7

2.2 Меры по устранениюугроз безопасности сети  8

3. Механизмы защитывертикальной структуры сети       11

3.1 Физический уровень       11

3.2 Канальный уровень        11

3.3 Сетевой уровень    11

3.4 Транспортный уровень  12

3.5 Прикладной уровень      12

3.6 Защита операционнойсистемы         12

3.7 Прикладное иобщесистемное программное обеспечение    12

3.8 Защита СУБД        13

4. Организационныемероприятия, направленные на повышение уровня  информационной безопасности напредприятии      14

5. Подсчёт сметнойстоимости оборудования, необходимого для выполнения предложенных мер пообеспечению безопасности сети    15

Заключение         17

Список литературы     19

Приложение………………………………………………………….......20


Введение

В данной курсовойпроекте рассматривается вопрос обеспечения защиты данных в подсистеме «Учетраспределения товара», разрабатываемой для предприятия ООО «Дэл-Трейд»занимающегося оптово-розничной торговлей продуктов питания в г.Ухта. Системасоздается для автоматизации процесса ведения, контроля и учета распределениятовара, формирования сопроводительных документов (накладных, агентскихпрайсов),  информации полученной в процессе работы (заявка).

 В работерассматривается вопрос обеспечения защиты данных в подсистеме, разрабатываемойдля отдела продаж и методы практической реализации обеспечения безопасностиэтих данных.

Целью проекта являетсяповышение эффективности работы офисного персонала.

Кроме этого,предлагаемая система должна позволять: уменьшить затраты времени напредоставление сведений об ассортименте и количестве имеющегося товара,необходимых характеристиках; экономить рабочее время сотрудника и облегчить егоработу в оперативности получения и обработки информации об объеметоварооборота; хранить данные в более удобном компактном виде, что существенноповысит скорость доступа к информационным ресурсам, а также обеспечит надёжнуюзащиту от потери информации и несанкционированного доступа к ней.  

Разработчиком системыявляется студент группы ИСБ-1-00, Веремиенко В.В., Заказчиком системы являетсяООО «Дэл-Трейд» в лице директора Валиулина Сергея Габдулхановича.


1. Класс защищённостиразрабатываемой подсистемы

Все классы оценкиавтоматизируемых систем разделяют на 3 группы, которые различаютсяособенностями обработки информации:

3 группа: классифицирует АС, в которой работает один пользователь, допущенный ко всемуобъёму информации АС, относящейся к одному уровню конфиденциальности  (3А, 3Б).

2 группа: классифицирует АС, в которой пользователи имеют одинаковые права ко всейинформации и вся она размещена на одном уровне конфиденциальности (2А, 2Б).

1 группа: классифицирует многопользовательские АС, в которых одновременно обрабатываетсяи хранится информация разных уровней конфиденциальности, и не все пользователиимеют права доступа ко всей информации (1А, 1Б, 1В, 1Г, 1Д).

Разрабатываемаяподсистема относится к первой группе, т. к. она является многопользовательской.В подсистеме предусматривается разграничение прав доступа пользователей кданным (каждый пользователь имеет доступ только к тем данным, которыенеобходимы только ему). В то же время  информация, с которой работаетподсистема, не имеет ни один из грифов секретности, а носит чистоконфиденциальный характер. Таким образом, классом защиты нашей системы будетявляться 1Г.


 2. Горизонтальнаямодель сети

Все пользователиподсистемы, а также сервера баз данных соединены в сеть (см. Приложение 1«Схема сети»). Компьютеры пользователей соединены между собой  устройством(Switch), которое позволяет объединить компьютеры в небольшую локальную сеть.Один из компьютеров подключен к Интернету с помощью модема.

Данная сеть нуждается взащите информации, передаваемой по сети. Информация может быть подвергнутаизменению, удалению, хищению, что приведет предприятие к потерям. Дляразграничения доступа к информации на сервере будет установлена СУБД иорганизован доступ к серверу со всех клиентов. Следовательно, получение,заполнение и редактирование информации будет происходить средствами сервераСУБД, что позволяет разграничивать доступ к информации средствами самой СУБД.АС будет доступна только офис-менеджерам предприятия и руководителю отделапродаж.

Вся информация будетхраниться на сервере с установленной системой управления базами данных (СУБД) ибудет организован доступ к серверу со всех клиентов посредством локальной сетипредприятия. Таким образом, получение, заполнение и редактирование информациибудет происходить средствами сервера СУБД, что позволяет разграничивать доступк информации средствами самой СУБД.

В разрабатываемойподсистеме в зависимости от используемых ролей настраиваются права конкретногопользователя, при этом оговаривается набор доступных ему подсистем и переченьопераций, которые он может выполнять в каждой из них (Таблица 1).

Табл.1

                  Пользователи Таблица БД Офис менеджер Агент Дисконт ПРДУ ПР Отчет ПРДУ П Контрагенты ПРДУ П Накладная ПРДУ П Счет — фактура ПРДУ П Товар ПРДУ П

Условные обозначения:

П – просмотр данных;

Р – редактирование;

Д – добавление данных;

У – удаление данных;

2.1 Описание возможныхугроз

В общем случае угрозыбезопасности сети предприятия можно разделить на две большие группы: внутренниеи внешние.

Внешние угрозы:

•        Несанкционированныйдоступ к каналам передачи данных. Данная угроза может возникнуть в тех случаях,когда посторонний человек сможет подключиться к сети передачи данных, причемподключение может происходить любым образом.(2)

•        Несанкционированныйдоступ к системе через Internet. Данная угроза может иметь место в тех случаях,когда имеется выход во Всемирную сеть Internet. (5)

Внутренние угрозы:

•        Несанкционированныйдоступ к основным ресурсам: серверы, активное оборудование (1)

•        Несанкционированныйдоступ к персональному компьютеру пользователя (3)

•        Несанкционированныйдоступ к принтерам, работающим с конфиденциальной информацией (6)

•        Подменарабочего места пользователя. Эта угроза возникает в результате заменыкомпьютера пользователя другим и подмены IP-адреса. В этом случае, данные,предназначенные для пользователя, попадают в посторонние руки (7)

Источники потенциальныхугроз безопасности наглядно приведены приложении.

2.2 Меры по устранениюугроз безопасности сети

Для ликвидации угрознеобходимо разработать организационные мероприятия:

•        Для защиты отугроз безопасности сети, исходящих из Internet  и Несанкционированного доступак каналам передачи данных (угрозы № 2,5) целесообразно выделить отдельныйкомпьютер для выхода в Internet, не подсоединённый к сети предприятия, иразрешить доступ к компьютеру сотруднику (руководитель отдела), которыйотвечает за прием почты и материалов необходимых для работы предприятия. Такжеобязательно нужно установить антивирусное ПО. Компьютер должен стоять вотдельном кабинете, ключ должен находиться только у руководителя отдела.

•        Дляобеспечения защиты активного оборудования от несанкционированного доступа кнему (угроза № 1), необходимо его разместить под охрану. Обеспечить доступ кнему и выдачу ключей лицам, обладающим такими полномочиями, напримерруководителю отдела.

•        Для защиты отнесанкционированного доступа к компьютеру пользователей (угроза № 3) необходимоиспользовать пароли. Пароль — это последовательность букв, цифр и другихсимволов, с помощью, кото¬рой система проверяет, действительно ли это тот самыйпользователь, который имеет данную учетную запись и право доступа к ресурсам.

К паролям предъявляютсяопределённые требования:

      пароль недолжен содержать данных, которые как-то связаны с пользователем (дата рождения,адрес и др.);

      парольдолжен сочетать в себе как символы, так и числа;

      парольдолжен содержать от 8-10 символов;

      Дляусложнения доступа к компьютеру и его ресурсам, необходимо предусмотреть паролиBIOS. Также нужно физически заблокировать доступные и не используемые порты.

      Необходимапериодическая смена паролей

•        Несанкционированныйдоступ к принтерам, работающим с конфиденциальной информацией (Угроза № 6).Сетевые принтеры, работающие с конфиденциальной информацией, должны стоятьотдельно. Возможно решение общего использования принтеров при непосредственномприсутствии около принтера: документ, посланный на печать, возможно,распечатать только при идентификации и аутентификации пользователя, пославшегодокумент, на самом принтере.

•        Для тогочтобы  избежать подмены рабочего места пользователя (угроза № 7), помещение вовнерабочее время должно находиться под замком. Ключ должен выдаваться наосновании распоряжения директора лицам, оговоренным в нём.

Во избежание подменыоборудования пользователя необходимо сделать привязку MAC-адреса сетевогоинтерфейса к коммутатору, т.е. разрешить доступ к данному порту определённомусетевому устройству. Существует также ряд неявных угроз, которые могутвозникнуть в процессе функционирования активного оборудования, например сбой вэлектропитании, выход из строя винчестеров, пожар.

Для предотвращенияпоследствий от сбоя рекомендуется использовать:

1.      Фильтрыпитания;

2.      Источникибесперебойного питания;

3.      Автономныегенераторы.

4.      Средствапожаротушения


3. Механизмы защитывертикальной структуры сети

Для повышениянадёжности защиты информации в сети необходимо защищать её на каждом уровнемодели OSI.

3.1 Физический уровень

Данный уровень отвечаетза кодирование передаваемых сигналов. На этом уровне происходит преобразованиебитов в электрический сигнал. В идеале для исключения возможности воздействияразличных электромагнитных наводок, приводящих к искажению передаваемойинформации, для передачи данных необходимо использовать специальныйэкранированный кабель. Вокруг кабеля передачи данных образуетсяэлектромагнитное поле, которое позволяет с помощью специальных устройствсчитывать передаваемую информацию. Для устранения данной угрозы кабельнеобходимо прокладывать как можно дальше от окон, чтобы возможность считыванияданных за пределами здания сводилась к минимуму.

3.2 Канальный уровень

На данном уровнепроисходит работа с МАС-адресами сетевых интерфейсов (адресами сетевых карт).Администратору необходимо осуществить привязку МАС-адреса, как говорилось вышеприменительно к горизонтальной модели, к конкретным портам активногооборудования, например, коммутатора. Такая привязка исключает возможностьподмены рабочего места пользователя.


3.3 Сетевой уровень

Этот уровень отвечаетза маршрутизацию, т. е. за выбор оптимального пути доставки пакета данныхадресату. В соответствии с этим целесообразно разбить сеть на виртуальныесегменты (сгруппировать в отдельные VLAN-ы). Такое разбиение предполагает, чтогруппы пользователей, относящихся к конкретному сегменту, будут иметь делотолько с той конфиденциальной информацией, которая им необходима.

3.4 Транспортныйуровень

Отвечает за доставкуинформации по линиям с коммутацией пакетов. Транспортными протоколами в сетиИнтернет являются протоколы UDP и TCP. Подобно механизму защиты на сетевомуровне, здесь также используются ACCESS-листы, однако в них можно указывать неадреса сетей, а адреса конкретных сервисов. Такие списки доступа настраиваютсяна серверах.

3.5 Прикладной уровень

Данный уровень сетевоймодели отвечает за взаимодействие пользовательского приложения с сетью. Мерамизащиты на данном уровне являются идентификация и аутентификация пользователей.Идентификация заключается в проверке наличия данного пользователя в списке, ааутентификация – в проверки достоверности имени и пароля. Как говорилось вышедля горизонтальной модели, здесь также необходимо предусмотреть периодическуюсмену паролей и исключить наличие «слабых паролей». Пользователя без пароля  всистеме быть не должно.


3.6 Защита операционнойсистемы

На всех пользователяхданной системы желательно установить операционную систему Windows 2000/NT. Приинсталляции и настройке ОС рекомендуется:

•        На сервере сконфиденциальной информацией не должно быть таких сервисов, как telnet, ftp,http, smtp и т.д.

•        Неиспользовать удалённое администрирование.

•        Включитьобнаружение атак.

•        Постоянноследить за появлением угроз в системе.

•        Обязательновыполнять резервное копирование, архивирование.

3.7 Прикладное иобщесистемное программное обеспечение

•        Запретитьвести разработку и эксплуатацию ПО на промышленных ресурсах. Для этих целейдолжны быть выделены отдельные ресурсы;

•        Каждый субъектдолжен иметь доступ только к разрешенным ему объектам;

3.8 Защита СУБД

В качестве серверанеобходимо использовать MS SQL Server 7.0. Необходимо выполнения следующихмероприятий по защите сервера СУБД.

•        Доступ кданным осуществляется только через системы ролей, которые назначаются системнымадминистратором и утверждаются руководством предприятия;

•        Выполняетсярезервное копирование базы данных.

•        Установкаисточника бесперебойного питания, для повышения надежности электропитания насервере.


4. Организационныемероприятия, направленные на повышение уровня информационной безопасности напредприятии

Проведениеорганизационных мероприятий является не только наиболее эффективным, но идешевым средством защиты информации.

Для защиты автоматизируемойсистемы  было бы неплохо утвердить следующие организационные мероприятия:

•        Необходимоосуществлять охрану помещений, в которых находится активное оборудование, атакже организация учета ключей.

•        Должен бытьразработан регламент на использование паролей.

•        Должен бытьразработан регламент на проведение инвентаризации.

•        Должны бытьраспоряжение на выдачу конфиденциальной информации в документальном виде.

•        Должен бытьразработан регламент о резервном копировании, который описывается тем, ктоотвечает за эти действия, а также график их выполнения.

•        Регламент озапрете на выход в Интернет сотрудникам не имеющим на это прав.

•        Должен бытьвыдан запрет на использование переносных устройств информации (Flash – память,диски).

•        Разграничениедоступа к сетевым ресурсам

•        Должен бытьразработан  регламент на  копирование и хранение архивов.

•        Должно бытьпроизведено утверждение политики безопасности.

•        Должен бытьразработан  регламент о получении сведений при перемещении по службе(увольнении): на основании приказов об увольнении служащих или их переводе вдругие подразделения необходимо удалить учётную запись, либо изменить правадоступа соответственно.

•        Должен бытьразработан регламент на использование антивирусного ПО.

•        Регламент напрофилактику: установка patch-ей: при обнаружении уязвимого места в программномобеспечении установить соответствующий patch.

•        Регламент напроведение восстановительных работ и порядок действий.


5. Подсчёт сметнойстоимости оборудования, необходимого для выполнения предложенных мер пообеспечению безопасности сети

В ходе анализа рисковпотери информации и разработки концепции информационной безопасности былирассмотрены возможные угрозы потери информации и методы защиты от этих угроз.

 Перечень программныхпродуктов и оборудований, необходимых для информационной безопасности:

1.      Windows 2000/NT– 4000р.

2.      Антивируснаяпрограмма: Антивирус Касперского Personal – 1400р.

Полностью исключитьвыход в Интернет на предприятии не возможно, так как по электронной почте напредприятие поступает большое количество необходимой для работы информации(прайсы, копии договоров и сертификатов). Подсчёт стоимости покупки новогокомпьютера и его примерная конфигурация приведены в таблице1. Данные приведеныв соответствии с прайс-листом магазина «Дефад» на 20.12.2004 года.

Наименование

Марка

Цена

Процессор Celeron 2000MHz 128k S478 BX80532RC2000B 2550 Материнская плата Asus P4R800-VM / Pentium 4 S478 / UDMA100 / DDR400 / Video / LAN / ATX 2417 Винчестер IDE 40gb HITACHI HDS728040PLAT20 7200rpm ATA-7 UDMA133 1643 Оперативная память DDR DIMM 512mb ( Hyunday-Hynix) PC3200, 400MHz 2578 Монитор 17" Samsung 783 DF (1280x1024-65Гц, 0.23, TCO*03) 4544 Клавиатура Клавиатура BTC 5107/5197 win98 ps/2 200 Мышь Microsoft Basic Optical Mouse ver.1.0a Black (OEM) USB 3bth+Roll 270 Кулер cooler for Socket 478 P4 TITAN TTC-W6TB 257 Сетевой фильтр Vektor COM 450 CD-ROM CD-RW TEAC W552 52/32/52x IDE int. OEM 966 Дисковод FDD 3.5" 1,44mb Mitsumi 230 Корпус Miditower S-506 300W ATX for P3/P4 1700 Модем ZyXEL Omni 56K UNO ext. USB (Retail) 2642 Принтер HP Jet Direct 615N J6057A 10/100Base-TX Int. print server 10635          Источник БП UPS 500VA APC Back (BK500-RS) 2030

Всего:

33112

Установка антивирусногоПО обязательна, так как заражение компьютера вирусами через Интернет и выход изстроя системы, могут повлечь за собой огромные убытки для предприятия в связи спростоем работы. Для устранения угрозы несанкционированного доступа кпринтерам, работающим с конфиденциальной информацией предлагается заменитьпринтер HP LJ 1200 находящийся в отделе продаж на HP Jet Direct 615N J6057A10/100Base-TX Int. print server.


Заключение

В данном курсовомпроекте рассмотрены угрозы безопасности сети предприятия «ООО Дел-трейд» наразличных уровнях в соответствии с классификацией внутренних и внешних угроз.Исходя из этих данных, был проведён анализ возможных угроз, которым моглаподвергнуться персональная информация и пользователи, работающие с ней. Изучив,степень возможного риска появления этих угроз был произведён поиск решений поснижению вероятности появления Построена схема сети для функционированияподсистемы.  Для разрабатываемой подсистемы описаны разграничения правпользователей и предложены меры, как для защиты всей сети предприятия, так идля защиты данных, обрабатываемых подсистемой. Для защиты от внешних угроз,исходящих из Интернета предложено приобрести отдельный компьютер. Рассчитанызатраты на внедрение предложенных мер.

  Таким образом, присоблюдении выполнения всех перечисленных мероприятий  конфиденциальные данныебудут надёжно защищены.

Соответствие классузащищенности 1г:

№ п/п

Подсистемы и требования

Класс 1г

1

 

Подсистема управления доступом

 


1.1 Идентификация, проверка подлинности и контроль доступа субъектов: + в систему + к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ + к программам (процессам) + к томам, каталогам, файлам, записям, полям записей. + 1.2 Управление потоками информации +

2

Подсистема регистрации и учета (аудит)

 

2.1 Регистрация и учет: + входа/выхода субъектов доступа в/из системы (узла сети); + выдачи печатных (графических) выходных документов; + запуска/завершения программ и процессов (заданий, задач); + доступа программ субъектов доступа к защищаемым   файлам, включая их создание и удаление, передачу по линиям и каналам связи; + доступа программ, субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, програм­мам, томам, каталогам, файлам, записям, полям записей; + 2.2 Учет носителей информации. +

4

Подсистема обеспечения целостности

 

4.1 Обеспечение целостности программных средств и обрабатываемой информации. + 4.2 Физическая охрана средств вычислительной техники и носителей информации. + 4.3 Наличие администратора (службы) защиты информации в АС. + 4.4 Использование сертифицированных средств защиты. + 4.5 Периодическое тестирование СЗИ НСД. - 4.6 Наличие средств восстановления СЗИ-НСД. -

Список литературы

1.      Некучаева Н.А. «Курслекций по защите информации».

2.      Основыкомпьютерных сетей.: Пер. с англ. – М.: Издательский дом «Вильямс», 2002. – 656с.


Должность Функция   

Права

Руководитель отдела   Создает,редактирует, удаляет накладные, отчеты. Определяет права доступа дляпользователей.        Чтение, запись, редактирование.

Офис-менеджер            Создает,редактирует, удаляет накладные, отчеты. Чтение, запись, редактирование

Торговый агент  Получаетнеобходимую информацию для работы (долги, оплаты, обороты)   Чтение

еще рефераты
Еще работы по информатике, программированию