- •Аннотация
- •Реферат
- •Содержание
- •Перечень графического материала
- •Введение
- •1 Анализ технического задания
- •2 Структура вычислительной сети ооо «АвиаОк»
- •2.1 Состав лвс
- •2.2 Топология лвс и расположение элементов в помещении.
- •2.3 Информационные потоки
- •3 Анализ угроз безопасности сети
- •3.1 Угрозы внутри сети предприятия
- •3.2 Внешние угрозы предприятия
- •4 Система существующей защиты информации вс на ооо АвиаОк”
- •4.1 Межсетевой экран
- •4.2 Антивирусная защита
- •Безопасность ms sql Server
- •4.9 Резервное копирование
- •5 Рекомендации по улучшению системы защиты информации в лвс предприятия.
- •5.1 Рекомендации по настройкам безопасности в ос Linux Red Hat 7.1, Windows 2000 и ms sql
- •5.2 Реализация и описание программы централизованного управления обновлениями рабочих станций
- •5.2.1 Программная реализация
- •5.2.2 Руководство пользлвателя
- •5.2.3 Пример работы разработанной программы
- •6 Безопасность и экологичночть проекта
- •6.1 Анализ условий труда, степени тяжести и напряженности трудового процесса
- •6.2 Разработка мероприятий по улучшению условий труда
- •6.3 Пожарная безопасность помещения
- •6.4 Охрана окружающей природной среды
- •7 Технико-экономическое обоснование проекта
- •7.1 Постановка задачи и цель разработки
- •7.2 Маркетинговые исследования по разработке
- •7.3 Выбор и обоснование аналога для разработки
- •7.4 Обоснование критериев для сравнения и расчет интегрального показателя качества
- •7.5 Расчет экономического эффекта
- •7.5.1 Ожидаемый экономический эффект
- •7.5.2 Состав эксплуатационных расходов
- •7.5.3 Расчет экономии от увеличения производительности труда пользователя
- •7.5.4. Расчет затрат на этапе проектирования
- •7.6 Определение цены программного продукта
- •7.7 Годовые эксплуатационные расходы потребителя
- •Заключение
- •Список использованных источников
- •Приложение а Листинг программы Corp Tools
5 Рекомендации по улучшению системы защиты информации в лвс предприятия.
В предыдущих главах данного дипломного проекта был описан состав и структура сети отдела, проанализированы угрозы и рассмотрена существующая система защиты информации.
Данная система справляется с большинством указанных угроз, но существует некоторые недостатки в установленном ПО, которые связаны, в основном, с уязвимостями этого ПО (например, в SendMail 8.9 и самой ОС Linux Red Hat 7.1) в отсутствии строгой политики разграничения доступа и четком администрировании, а также с использованием устаревшего ПО (например, SendMail 8.9)
Поэтому возникает необходимость качественного изменения уровня безопасности сети посредством обновления ПО и введения более строгой полити безопасности и переводе рабочих станций предприятия работающих под управлением Windows 2000 с файловой системы NTFS на шифрующую файловую систему (EFS – Encrypting File System). Кроме того, необходимо максимально использовать настройки по безопасности в ОС Windows 2000 и MS SQL. Для осуществления этого даются рекомендации по улучшению безопасности сети средствами Windows 2000 и MS SQL. Для упрощения работ по обновлению устаревшего ПО и его настройки на рабочих станциях разрабатывается специальное ПО для администратора системы – “Централизированное управление обновлением программного обеспечения на рабочих станциях”.
5.1 Рекомендации по настройкам безопасности в ос Linux Red Hat 7.1, Windows 2000 и ms sql
Для повышения защищенности компьютеров с установленной ОС Linux Red Hat 7.1 в отделе рекомендуется предпринять следующие меры [11].
-
Используя TCP_WRAPPERS, необходимо оградить сервер от внешних вторжений. Для того чтобы это осуществить необходимо добавить команду ALL: ALL@ALL, PARANOID в файл /etc/hosts.deny, и определить список тех, кому доступ разрешен, указав их в /etc/host.allow.
TCP_WRAPPERS контролируется двумя файлами. Перебор хостов завершается при первом же совпадении:
-
Доступ будет разрешен, если пара (клиент, демон) найдена в файле /etc/host.allow.
-
Доступ будет запрещен, если пара (клиент, демон) найдена в файле /etc/host. Deny.
-
Если пара (клиент, демон) не найдена ни в одном из файлов (/etc/host.allow, /etc/host.deny), то доступ будет запрещен.
-
Для ограничения числа пользователей которые могут выполнять команду su root, необходимо добавить следующие две строки в начало файла конфигурации su, расположенного в каталоге /etc/pam.d/:
auth sufficient /lib/security/pam_
rootok.so debug
auth required /lib/security/pam_ wheel.so
group=wheel
Теперь только члены группы wheel могут использовать команду su root и все их действия будут регистрироваться. Группа wheel является специальным аккаунтом, который традиционно применяется для этой цели. Подобное ограничение пользователей, способных выполнять команду su root, совместно с ограничением терминалов, с которых root может входить в систему, существенно увеличит безопасность системы.
-
Для того чтобы определить пользователей способных выполнять su root, необходимо отредактировать файл /etc/groups и внести в wheel пользователя.
-
У пользователя, который имеет shell-доступ в систему, есть .bash_history в его домашней папке, в которой может хранится пароль введенный пользователем с командной строки. Для уменьшения числа сохраняемых команд в файле /etc/profile в строках HISTFILESIZE и HISTSIZE нужно указать количество команд, запоминаемых в .bash_history (порядка 20).
Также можно добавить в файл /etc/skel/.bash_logout строку «rm –f $HOME/.bash_history». В результате каждый раз, когда пользователь выходит из системы, его файл .bash_history будет удаляться.
-
Для отключения возможности использования комбинации клавиш «Сtrl+Alt+Del» для перезагрузки компьютера нужно закомментировать строку ca::ctrlaltdel:/sbin/shutdown -t3 -r now, в файле /etc/inittab, добавив в ее начало знак «#» #ca::ctrlaltdel:/sbin/shutdown -t3 -r now. Это чрезвычайно важно, когда нельзя полностью гарантировать физическую не прикосновенность компьютера.
-
Необходимо проверять систему на наличие подозрительных или скрытых файлов для предотвращения сокрытия различных утилит и информации (например, программы взлома паролей, парольные файлы из других систем и другое).
Для повышения безопасности MS SQL-сервера на данном предприятии необходимо предпринять следующие меры:
-
Необходимо включить опцию блокировки учетной записи пользователя базы данных в случае серии неудачных попыток аутентификации.
-
Должно быть отключено использование расширенной хранимой процедуры (extended stored procedure) xp_cmdshell, которая позволяет выполнять приложения с корневыми правами. Для связи с клиентами необходимо использование защищённого канала, например SSH.
-
Необходимо сменить номер слушающего порта (по умолчанию для MS SQL Server 1433) для доступа клиентов к серверу баз данных на любой другой.
-
Необходимо использовать различные пароли пользователя для доступа к компьютеру и к СУБД.
С целью повышения безопасности Windows 2000 необходимо предпринять следующие меры.
Для предотвращения, получения злоумышленником, прав администратора системы или паролей пользователей необходимо соблюдать следующие рекомендации:
-
На компьютерах предприятия не должно быть установлено никаких других систем, кроме той ОС, которая используется в работе (Windows 2000).
-
Системные диски обязательно должны иметь файловую систему NTFS и жестко разграниченные права доступа к каталогам.
-
Нужно запретить загрузку с любых устройств (дисковода, CD-ROM'a, внешних накопителей), кроме системного диска. Для этого нужно оставить в BIOS загрузку только с нужного диска и установить пароль на вход в BIOS. А для исключения сброса CMOS-памяти на материнской плате необходимо опломбировать системный блок или установить его в место, доступ к которому жестко регламентирован (отдельная комната).
-
На сетевых серверах максимально снизить количество перезагрузок компьютера и лишить права на перезагрузку всех групп пользователей, кроме учетной записи администратора.
Для защиты данных, хранящихся на компьютере, кроме простой защиты при помощи пароля применяется шифрующая файловая система (EFS – Encrypting File System) операционной системы Windows 2000.
Шифрующая файловая система шифрует файлы, используя открытый ключ и алгоритм симметричного шифрования, доступные с помощью интерфейса CryptoAPI.
EFS автоматически шифрует файл при сохранении и расшифровывает, когда пользователь открывает его снова. Такие файлы не может прочесть никто, кроме пользователя, который его зашифровал, или пользователя, имеющего статус агента восстановления файлов EFS. Поскольку механизм шифрования встроен в файловую систему, его работа незаметна для пользователя, а атака на него крайне затруднена.
EFS шифрует файлы с помощью симметричного ключа, уникального для каждого файла. Затем шифруется и этот ключ шифрования уже с помощью открытого ключа из сертификата владельца файла. Поскольку владелец файла является единственным лицом, имеющим доступ к своему личному ключу, он единственный, кто может расшифровать ключ шифрования файла, а значит, и сам файл.
Шифрование защищает файлы даже в том случае, когда кто-то сможет обойти систему контроля доступа NTFS и воспользоваться дисковыми утилитами низкого уровня (загрузка MS-DOS с дискеты позволяет считать информацию из разделов NTFS с помощью драйвера NTFSDOS.EXE), чтобы попытаться прочесть данные. Даже если файл будет украден – физически или через сеть – его нельзя будет расшифровать, не располагая личным ключом владельца файла. Поскольку файл не может быть прочитан, он не может быть и тайно изменен.
На уровне операционной системы существует единственный способ противостояния удалению файла SAM. Он заключается в защите паролем системного ключа или установке режима его хранения на гибком диске. Еще один эффективный способ противодействия атакам в автономном режиме - обеспечить физическую защищенность серверов, отключив режим загрузки со съемных носителей или установив пароль BIOS. Кроме того контроллеры доменов Windows 2000 не пострадают от удаления файла SAM, поскольку на этих машинах хэш-коды паролей хранятся в Active Directory.
Для предотвращения атаки на переполнения буфера, средствами межсетевого экрана блокируются порты UDP/TCP/ 138, 139, 445.
Все программное и аппаратное обеспечение имеет свои уязвимые места и находится в состоянии постоянной доводки. Различные дополнения и устранения недочетов выпускаются до тех пор, пока программное обеспечение не выходит из употребления. Так как программное обеспечение постоянно изменяются, крайне важно, чтобы рабочие станции обладали самыми свежими патчами и обновлениями для своих систем. Компания Microsoft оперативно реагирует на сообщения об ошибках в коде ОС Windows и выпускает соответствующие «заплаты» (Hot Fix), которые позднее включаются в новые версии сервисных пакетов (Service Pack). Таким образом своевременное обновление ОС поможет решить проблемы возникающие при эксплуатации.