Разработка комплексной системы защиты информации (КСЗИ) предприятия стадион

Создать правила аутентификации и авторизации, используя ссылки Policy>Authentication и Policy>Authorization. Для создания правил определяем используемую базу пользователей (внешняя или внутренняя), типы устройств, MAC адресов и протоколов, используемых в сети.Для объединения двух устройств CiscoIdentityServiceEngine в отказоустойчивый кластер нужно пройти по ссылке Administration>System>Deployment и определить сервер, на котором были совершенны настройки, Primary. На резервном сервере на вкладке Administration>System>Deployment>Register>RegisterISENode определяем имя или ip адрес primary сервера, логин и пароль администратора.Мониторинг и поиск неисправностей устройств, производится на домашней странице CiscoISE.2.3.2 Контроль работы системы управленияСистема управления CiscoPrimeInfastructure (PI) представляет собой программное решение для конфигурации, контроля, устранения неполадок и администрирования сети стадиона. Основные функции программы – это мониторинг, инвентаризация, настройка, предоставление отчетов, управление DeviceWorkCenter, которое обеспечивает сбор данных о состоянии лицензирования, изменениях в конфигурационном файле устройств. Представление сетевых устройств на основе графического пользовательского интерфейса с отображением в реальном времени данных о состоянии позволяет упростить диагностику и устранение неисправностей устройств в реальном времени.Система управления CiscoPrimeInfastructureустанавливается на виртуальной платформе VMWare.После установки программного обеспечения и успешной авторизации на устройстве пользователю открывается окно начала работы GettingStartedwithPI (рис. 2.17).Рисунок 2.17– Окно начала работы CiscoPrimeInfrastructureСледующим шагом добавляем устройства в систему управления на вкладке Operate > DeviceWorkCenter> AddDevice (рис. 6.9). Для добавления необходимо выполнить следующие действия:Определить логин и пароль для аутентификации на устройствах.Определить параметры SNMP или HTTP протоколов для сбора информации о состоянии устройства.Добавить устройства.Для автоматического обнаружения устройств переходим на вкладку Operate> DeviceWorkCenter> Discovery>DiscoverySettings нажимаем New. Здесь определяем протоколы обнаружения, на втором и третьем уровнях модели OSI. Доступные протоколы на уровне 3: ARP, BGP, OSPF, RoutingTable; на уровне 2 CDP; также можно использовать PingSweep и HSRP (рис. 2.18-2.19). Далее следуя по запросам меню, настраиваем критерии для выбранных протоколов, определяем конфигурацию SNMP, применяем настройки. После этого выполняем поиск устройств. Для успешного обнаружения устройств системой PI на всех устройствах должен быть настроен протокол SNMP с соответствующими параметрами как на PI.Рисунок 2.18 – Порядок добавления устройств в систему Cisco PI.Рисунок 2.19 – Протоколы обнаружения.Для просмотра отчетов нужно перейти на вкладку Reports > ReportsLaunchPad (рис. 2.20). Для настройки получения отчетов по почте нужно создать задачу, которая будет формировать отчет по времени и дню недели, указанном в расписании, и отправлять на необходимый электронный адрес. Настройки необходимые для почты рассмотрены выше.Системное время синхронизировано с сервером времени и даты, который настроен на маршрутизаторе стадиона.Рисунок 2.20 – Вид панели отчетов в системе Cisco PI.Система мониторинга и управления событиями позволяет объединять данные о событиях, угрозах и рисках, обеспечивая своевременное реагирование на инциденты. Система мониторинга и управления событиями представляет собой программно-аппаратный комплекс компании Lancope, осуществляющих сбор, анализ и корреляцию событий. На рисунке 2.21 схематически изображена работа системы мониторинга и управления событиями.Рисунок 2.22– Схема работы системы мониторинга и управления событиями.Все события, генерируемые различными системами в локальной сети, собираются коллектором StealthWatchFlowCollector (FC) и передаются на менеджмент устройство StealthWatchManagementConsol (SMC). Устройство SMC осуществляет анализ, корреляцию собранной информации коллектором и ее последующую обработку. Каждое из устройств имеет внутреннее хранилище для обеспечения хранения журналов событий исходных и обработанных. С целью устранения единичной точки отказа все устройства системы дублируются.Устройство StealthWatchManagementConsol обеспечивает сбор, анализ и хранение больших объемов NetFlow, IPFIX и других видов данных о потоках в течении длительного периода времени. Тем самым предоставляя полный аудиторский отчет всех сетевых операций для криминалистического расследования. В устройство SMC интегрирован модуль StealthWatchLabsIntelligenceCenter (SLIC), обеспечивающий данными о репутациях IP-адресов, ботнет сетях в реальном времени. Для быстрого реагирования администратора на определение кому принадлежит соединение, какому пользователю, устройству? SMC интегрируется с сервером аутентификации и авторизации стадиона –CiscoISE.Устройство StealthWatchFlowCollector, используется для сбора журналов событий от устройств систем стадиона, осуществляет их предварительную обработку и передачу далее для анализа и корреляции на устройство SMC. Обработка осуществляется на скорости 30 000 потоков в секунду. Устройство FC для взаимодействия использует такие протоколы как SNMP, Netflow (genericNetflow, sFlow), NSEL, IPFIX, J-Flow, NetStream.Для вычисления необходимой производительности системы мониторинга и управления событиями использовался калькулятор, на сайте производителя http://Lancope.com, с такими входными данными как в таблице 2.27.Таблица 2.27 – Входные данные для расчета производительности системы мониторинга и управления событиями.Тип хостаКоличествоСервер32Рабочие станции150Устройства LAN101Смартфон или Планшет150Принтер50IP телефон150Исходя из данных приведенных выше в таблице 6.2 получаем выходные данные 490.20 потоков в секунду. Также нужно учитывать рост количество устройств и пиковой нагрузки во время мероприятий, которая может варьироваться от 500 до 30000 потоков в секунду. Исходя из этого было принято решение использовать модели устройств, приведенных ниже в таблице 2.28.и 2.29.Таблица 2.28 – Система мониторинга и управления событиями (Коллектор) StealthWatchFlowCollector.МодельMax кол-во потоков/секMax количество NetFlow устройств (Коммутаторы, Маршрутизаторы и др.)Max кол-во контролируемых устройствЕмкость внутренней памятиFlowCollector 100030,000500250,0001 TBТаблица 2.29 – Система мониторинга и управления событиями (Менеджмент консоль) StealthWatchManagementConsol.МодельMax кол-во FlowCollectorЕмкость внутренней памятиStealthWatch Management Console 100051 TB2.3.3 Требования к сопутствующим системамТребования к сети электропитания, размеры (RU) оборудования приведены в таблице 2.30.Таблица 2.30 – Требования к сопутствующим системам№ОборудованиеМощность, ВтКоличестворозеток на устройствоРазмер (RU)1Межсетевой экран ASA5555-X134212Межсетевой экран ASA5545-X108213Межсетевой экран ASA5585-S40-2A770224Сервер ААА ISE 3415650115Система безопасности EmailIronPort ESA C170 400116Система мониторинга и управления событиями (Коллектор)StealthWatchFlowCollector750217Система мониторинга и управления событиями (Менеджмент консоль) StealthWatchManagementConsol750213 Обоснование экономической эффективности проекта3.1Выбор и обоснование методики расчёта экономической эффективностиДля большинства объектов проблема выбора и построения наиболее эффективной системы информационной безопасности является одной из самых актуальных. Эта задача требует грамотного и научно обоснованного решения.Внедрение компьютерной системы в деятельность организации кроме положительных аспектов имеет и некоторые негативные, связанные с риском уже и в сфере информационной системы. В качестве субъекта компьютерных атак выступает экономическая ИС и происходящая в ней деятельность, научная, коммерческая информация. В качестве экономической информационной системы выступает различная совокупность внутренних и внешних информационных связей объекта, прямых и обратных, методов и средств, личных данных специалистов, которые участвуют в процессе работы и обработки информации, разработке определённых управленческих решений. Таким образом взаимосвязь различных информационных потоков в прямой и обратной информационных связях, средства обработки и передачи, хранения данных, сотрудников управления, которые выполняют операции по переработке данных, составляют информационную систему экономического объекта. Любой системе внутреннего управления объектом соответствует своя информационная система, которая называется экономической информационной системой. Современный уровень компьютерной информатизации предопределяет возможность использование новейших технических и технологических, программных средств в различных информационных системах экономических объектов. Поэтому экономический объект это объект, связанный с производством материальных и/или нематериальных благ и который имеет свою собственную систему управления. Система управления может представлять собой совокупность объекта управления, например стадиона, и субъекта управления управленческого аппарата, который может объединить в себе и сотрудников объекта.3.2Расчёт показателей экономической эффективности проектаРассчитаем постоянные и переменные затраты на внедрение комплексной системы информационной безопасности, определим экономическую эффективность внедрения и срок окупаемости предлагаемых мер.В ходе проектирования, внедрения и работы КСЗИ возможны разовые и постоянные затраты. К разовым затратам относятся следующие:Заработная плата персонала при проектировании и внедрении КСЗИ;Затраты на приобретение материалов, аппаратного и программного обеспечения.К постоянным затратам отнесем такие затраты, как:Заработная плата сотрудников, обслуживающих КСЗИЗатраты на электроэнергию.Разовые затраты оценены в таблице 3.1Таблица3.1 — Содержание и объем разового ресурса, выделяемого на защиту информации№Выполняемые действияСредняя зарплата специалиста (руб./час)Трудоемкость операции (чел.час)Стоимость, всего (тыс.руб.)1Разработка ТЗ1254052Разработка технического предложения115242,763Согласование и утверждение ТЗ115202,3Продолжение таблицы 3.1 — Содержание и объем разового ресурса, выделяемого на защиту информации4Разработка проекта СЗИ115121,785Расчет потребности в оборудовании 115505,756Планирование кабельной системы СЗИ115252,8757Разработка подсистемы электрообеспечения115343,918Внедрение СЗИ1159010,359Разработка инструкций и других руководящих документов115303,45В таблице 3.2 отображается спецификация необходимого оборудования и материалов для построения комплексной системы защиты информационной безопасности объекта.Таблица 3.2 - Спецификация оборудования и материалов№Наименование и характеристикаТип, маркаИзготовительКоличество (шт.)1Межсетевой экран ASA5555-2SSD120ASA5555-2SSD120-K9Cisco22Межсетевой экран ASA5545-2SSD120ASA5545-2SSD120-K9Cisco23Межсетевой экран ASA5585-S40-2AASA5585-S40-2A-K9Cisco24Сервер ААА SNS-3415SNS-3415-K9Cisco2Продолжение таблицы 3.2 - Спецификация оборудования и материалов5Система безопасности EmailIronPort ESA C170ESA-C170-K9Cisco26Система мониторинга и управления событиями (Коллектор)LC-FC-NF-1000-K9Lancope27Система мониторинга и управления событиями (Менеджмент консоль)LC-SMC-1K-K9Lancope28Виртуальная система централизованного управления устройствами FirePowerFireSightManagementCenterFS-VMW-SW-K9Cisco19Антивирусное ПО KasperskyEndpointSecurity для бизнеса - РАСШИРЕННЫЙKaspersky20010Оптический модуль SFP-10G-SRSFP-10G-SR=Cisco1В ходе выполнения работы по проектированию комплексной системы обеспечения информационной безопасности и защиты информации стадиона на территории, прилегающей к ул. Восточно-Кругликовской в г. Краснодаре было установлено, что наиболее ценными и вместе с тем уязвимыми являются информационные активы: данные на сервере и компьютерах пользователей, первичные документы, персональные компьютеры, электронные формы документов, оптические диски с данными, flash-память с данными.Анализ угроз и уязвимостей информационных активов показал, что наибольшему риску подвержены персональные компьютеры, электронные формы документов, первичные документы и данные. Поэтому, основные мероприятия по защите информационных активов направлены на создание организационных мероприятий по защите информационных активов, выборе инженерно-технических средств для предотвращения возможных угроз, а также выборе необходимого программного обеспечения для защиты данных на компьютере сервере и компьютерах пользователей.4 Безопасность и охрана труда4.1 Теоретические основы охраны труда Безопасность жизнедеятельности - это деятельность, при которой с определенной вероятностью исключаются потенциальные опасности, влияющие на здоровье и жизнь человека.Безопасность следует принимать как комплексную систему мер защиты человека и среды его обитания от различных опасностей на конкретной деятельности.Для обеспечения безопасности конкретной деятельности на объекте должны быть решены три задачи:1)произведен полный и детальный анализ возможных опасностей;2)разработаны эффективные меры защиты человека и среды деятельности от выявленных опасностей. Под эффективными можно подразумевать меры у которых при минимуме материальных затрат эффект максимальный;3)разработаны эффективные меры защиты от возможного риска деятельности на объекте.Обеспечением безопасности жизнедеятельности человека (персонала) на предприятиях и объектах занимается "охрана труда". Охрана труда - это свод законодательных актов и правил, соответствующих им гигиенических, организационных, технических, и социально-экономических мероприятий, обеспечивающих безопасность, сохранение здоровья и работоспособность человека в процессе труда (ГОСТ 12.0.002-80).Охрана труда и здоровье рабочих при строительстве нового объекта, когда особое внимание уделяется человеческому фактору, становится одной из наиболее важных задач. При решении задач обеспечения безопасности необходимо четко представлять себе сущность процессов работы и отыскать способы, которые смогут устранить влияние на организм вредных и опасных факторов и исключить возможность травмирования и профессиональных заболеваний.При работе над улучшением и оздоровлением условий работы труда важным моментом, является комплексная механизация и автоматизация технологических процессов, применение новых средств ВТ и ИТ в научных исследованиях и на производстве.Осуществление различных мероприятий по уменьшению производственного травматизма и профессиональной заболеваемости, а также стабилизации условий работы труда приводят к профессиональной активности работников, росту производительности и снижению потерь при работе. В следствии того, что охрана труда наиболее широко осуществляется на базе новых технологий и научной организации труда, при разработке и проектировании объекта стадиона используются новейшие разработки техники.4.2 Оценка безопасности и охраны труда на объектеПри выполнении монтажных работ и ремонтных работ необходимо соблюдать основные требования СНиП и ССБТ, а также согласовывать все работы со стандартами, нормами и правилами. К работам по монтажу оборудованияи конструкций допускаются рабочие не моложе 18 лет, прошедшие вводныйинструктаж по технике безопасности и получившие удостоверение на правопроизводства указанных работ. А также монтажник обязан использовать всесредства индивидуальной защиты: спецодежду, спецобувь, предохранительныйпояс, каску и другие средства в соответствии с выполняемой работой.При монтаже оборудования или конструкций запрещается:работать без средств индивидуальной защиты или использовать средства,предназначенные для других работподнимать конструкции, вес которых превышает грузоподъемность крана илилебёдкиподнимать конструкции, засыпанные землёй, заложенные другими предметами илипримёрзшие к землепоправлять ударами молота или лома канаты и загонять стропы в зёв крюкаудерживать руками или клещами соскальзывающие с оборудования (конструкции)при их подъёме канатынаходится на оборудовании (конструкции) во время подъёманаходится под поднимаемым оборудованием, а также находится внепосредственной близости от негоосвобождать краном защемленные конструкцией канатыоставлять груз в подвешенном состояние во время перерыва в работемонтировать или демонтировать оборудование, находящееся под напряжениеммонтировать или ремонтировать оборудование без принципиальной монтажнойсхемы, разработанной предприятием-производителем или проектной организациеймонтировать или ремонтировать оборудование не обученным специально персоналомПри проектировании были приняты во внимание возможности максимально упростить монтаж и эксплуатацию.Для безопасной эксплуатации оборудования, на основеприборов автоматического контроля применяют три вида извещения персонала:Контрольную - для сообщения о работе или остановке всего оборудованияначиная от вентилятора и заканчивая запорными клапанами.Предупредительную - для извещения персонала о возникновении каких-либоизменений и отклонений в оборудовании систем вентиляции и кондиционирования,которые могут привести к аварийной ситуации.Аварийную - для извещения персонала об отключении оборудования ивключении устройств автоматической защиты и о возникновенииаварийной ситуации.Автоматическая защита останавливает оборудование и включает оборудование,специально разработанное для различных ситуаций. Например, при пожаре включается система пожаротушения, а также включаются заслонки ивентиляторы дымоудаления и пламяподавляющие устройства. Наибольшаявероятность возникновения опасных ситуаций возникает при работе систем вентиляции икондиционирования возникает при работе холодильной техники. Пожар-это горение вне специального очага, наносящий материальный ущерб исоздающий опасность для жизни людей. Так как количество пожаров из года в годувеличивается то, создается необходимость создавать на предприятиях условия,при, которых возникновение и распространения пожара становится минимальным(повышать пожарную безопасность здания).Пожарная безопасность-это состояние объекта, при котором с установленнойвероятностью исключается возможность возникновения и развития пожара (до такойстепени, когда контроль уже невозможен) и воздействия на людей опасных факторовпожара, а также обеспечивается защита людей и материальных ценностей.При неправильном устройстве и эксплуатации установок систем вентиляции икондиционирования воздуха, они могут стать причиной возникновения ираспространения пожаров.По воздуховодам могут перемещаться горючие вещества и смеси горючих газов,паров, пыли, которые при наличии теплового источника могут загораться илидаже взрываться и тем самым распространять пожар по системе вентиляции икондиционирования воздуха и далее по всему зданию. Большую опасностьпредставляет пыль органического происхождения, которая в смеси с воздухомможет привести к пожарам и взрывам. Нижний концентрационный пределвзрываемости органической пыли в воздухе составляет 15-65 г/мЗ. Призапыленности, значительно превышающей допустимую санитарными нормами,возможно загорание отложившейся пыли. Концентрация пыли и других веществ ввоздуховодах местных вытяжных систем не должна превышать 50%.Источником воспламенения при этом может быть искрение от электродвигателя,чрезмерный нагрев от трения вала вентилятора, искры от ударов лопатоквентилятора о кожух, статическое электричество, самовозгорание пыли и другихисточников возгорания. Пожарную опасность представляют воздуховоды, а такжесам центральный кондиционер (воздухоохладители, фильтры, воздухонагреватели)и другие аппараты, в которых может скапливаться значительное количество пылии горючих веществ.Огнестойкость-это способность конструкций сохранять свои рабочие функциипод действием высоких температур пожара.Все технологические помещения предприятия основаны дверьми с пределамиогнестойкости 1-1,5 часа (закрывающимися по сигналу от центрального пунктауправления), для уменьшения скорости распространения или возможнойлокализации пожара в перекрытом помещении.Особое внимание необходимо уделять эвакуации людей из помещений. Эвакуацияповодится по заранее спланированным путям, которые стараются сделатьминимальными для прохождение людьми до безопасного места. Схемы эвакуациирасположены в доступных для взгляда человека местах. Все люди находящиеся вздании должны строго соблюдать эти разработанные инструкции для того, чтобыво время экстренной ситуации не произошло давки, травм, повреждений илидругих нелицеприятных вещей.Рассчитаем время эвакуации людей из зданий и помещений при пожаре.1. Расчетное время эвакуации людей определяют как сумму времени движения людского потока по отдельным участкам пути 2. Время движения людского потока по первому участку пути: 3. Плотность потока на этом участке пути D определяют по формуле , где число людейна первом участке; f- средняя площадь горизонтальной проекции человека:взрослого в летней одежде – 0,1; взрослого в зимней одежде – 0,125; подростка –0,07 м2.4. ; ; ; 5. Пропускная способность потока Q=D*V*; Q=0.04*100*3=12 м2/мин6. 7. На всех участках общее время Полученное время эвакуации людей из здания объекта является допустимым.ЗаключениеДля того, чтобы достичь наиболее эффективных результатов по защите информации необходимо грамотно сочетать правовые, организационные и технические меры защиты. Это сочетание можно определить конфиденциальностью защищаемой информации и характером возможных опасностей. В общем случае технические меры информационной безопасности составляют всего одну часть от общих мер защиты (правовых и организационных). Безусловно одну из наиболее важных и значимых. Каждая мера защиты дополняет друг друга и недостаток либо отсутствие какой-либо защиты в дальнейшем может привести к нарушениям защищённости.В результате дипломной работы были проанализированы принципы построения системы информационной безопасности, выбраны наиболее эффективные программные и аппаратные средства защиты информации. Выбран подход по обеспечению сетевой безопасности серверных частей сервисов стадиона, расположенных в центре обработки данных. Разработан принцип обеспечения сетевой безопасности демилитаризованной зоны локальной вычислительной сети, в том числе и публичных сервисов. Спроектирована система мониторинга и управления событиями, система обеспечения аутентификации, авторизации, учета и управления доступом пользователей. Средства обеспечения защиты трафика беспроводных клиентов на участке проводной сети и выхода в Интернет. Описан принцип работы и конфигурирования системы информационной безопасности стадиона.Все описанные решения основаны на документации RFC и рекомендациях производителя оборудования CiscoSystems и Lancope.Список использованной литературыАвтоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. - М.: ЮНИТИ, 2005 г.- 399 с. Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб. пособие. Воронеж: Воронеж. гос. техн. ун-т, 2006.-193 с.Бузов Г.А., Калинин СВ., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие.- М.- Горячая линия-Телеком.-2005.-416 с.Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2002г.-272с.Домарев В.В. "Безопасность информационных технологий. Системный подход" - К.:ООО ТИД «Диасофт», 2004.-992 с. Казарин О.В. Безопасность программного обеспечения компьютерных систем, Москва, МГУЛ, 2003, 212 с.Карпунин М.Г., Моисеева Н.К. «Основы теории и практики функционально-i стоимостного анализа». — М. Высшая школа, 1988.Кнорринг Г.М. Справочная книга для проектирования электрического освещения / Г.М.Кнорринг, И.М.Фадин, Сидоров В.Н. — 2-е изд., перераб. и доп. — СПб.: Энергоатомиздат, 1992 .— 448с.Кульгин М. В.,Технология корпоративных сетей. Энциклопедия. СПб, Питер, 2001, 300 с.Лапонина О. Р., Межсетевое экранирование, Бином,  2007 г.-354с. Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2002 г, 304 с.Малюк А.А., Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. -2004.-280 с.Медведовский И.Д., Семьянов П.В., Платонов В.В., Атака через INTERNET. Под ред. проф. Зегжды П.Д. - СПб: Мир и семья-95, 1998. - 296с.: ил.Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф., Защита информации в компьютерных системах и сетях. Под ред. В.Ф.Шаньгина. - М.: Радио и связь, 1999. - 328с. Самойлова Дарья Викторовна, Системный структурный анализ - основа методологии проектирования ЭИС.http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.htmlIETF – NAT, PAT Port mapping protocol http://datatracker.ietf.org/doc/draft-cheshire-nat-pmp/RFC 6101 – The Secure Sockets Layer Protocol http://datatracker.ietf.org/doc/rfc6101/?include_text=1RFC 2401 – IPsec architecture http://datatracker.ietf.org/doc/rfc2401/RFC 2821 – Simple Message Transport Protocol (SMTP) http://datatracker.ietf.org/doc/rfc2821/?include_text=1RFC 6158 – Radius Design Guidelines http://datatracker.ietf.org/doc/rfc6158/?include_text=1http://www.microsoft.com/rus/windows2000/library/security/w2k_IPSecurity.asphttp://developer.netscape.com/docs/manuals/security/sslin/contents.htmПриложение 1 - Структурная схема информационной системы стадиона