Министерство образования Российской Федерации
МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
им. Н.Э. БАУМАНА
Факультет: «Информатика и системы управления»
Кафедра: «Информационная безопасность»
(ИУ-8)
Задание: Разработка ПИБ корпоративной сети
Преподаватель: Пристанский В.Л
Студент: Мекекечко В.В.
группа ИУ8-51
Москва 2010
I. Исходные данные:
ЛС-1 – 10 мест (персональные данные);
ЛС-2 – 20 мест (конфиденциальные данные);
ЛС-3 – 4 мест (секретная информация);
На всех машинах используется ОС WindowsXP
Политика информационной безопасности предприятия:
Необходимость согласования и подтверждения законности действий заказчика в соответствии с
федеральным законом о безопасности законодательства РФ. Тот или иной атрибут информационной безопасности определяется заказчиком в соответствии со своими потребностями и финансами.
Существование: администратора ИТ и администратора копмлексной безопасности (желательно выпускников Бауманки), веб-программиста, охранной системы и постов охраны на входе в предприятия с соответствующей аутентификацией и логированием посетителей, системы пожарной охраны.
Общая сетевая безопасность:
Межсетевой экран или Файрвол
:
Устанавливается аппаратно и администрируется локально администратором ИБ, находится в комнате администратора безопасности; доступ к установкам МЭ имеется только у администратора ИБ. По необходимости, должен осуществлять фильтрацию, контроль трафика и управление демилитаризованной зоной.
Маршрутизатор
:
Администрируется локально или удаленно администратором ИБ использованием средств шифрования и защитой от атаки "перебором", находится в комнате администратора, доступ к установкам маршрутизатора имеется только у администратора ИБ.
На каждом PC требуется использование лицензированного ПО и антивирусных систем.
Обеспечение защиты от шпионажа извне.
Все PC должны быть защищены персональным файрволом.
Веб-сервер
:
Администрируется веб-администратором под контролем администратора ИБ.
Анонимный доступ из Интернет запрещен.
Разрешен авторизованный FTP-доступ администратору веб-сервера только из сегмента административного управления (с приватного ИП-адреса администратора)
Из приватной сети, только из сегмента административного управления (с ИП-адреса администратора) возможен удаленный терминальный доступ по протоколу rsh на веб-сервер
Защищенный доступ в Интернет изнутри сети разрешен, исключая ЛС-3.
Мэйл-сервер
:
Администрируется веб-администратором
Разрешен авторизированный доступ изнутри сети к сервису POP3, исключая ЛС-3.
Разрешен доступ к SMTP сервису - только из изнутри сети, исключая ЛС-3.
Защищенный доступ в Интернет изнутри сети разрешен, кроме ЛС-3.
Дополнительная ИБ:
Наличие общего резервного питания для PC, доступ к которому имеется только у соответствующих инженеров обслуживания и администратора безопасности.
Наличие сервера хранения резервных копий ценных файлов и файлов логирования, доступ к которым имеет администратор ИБ, администратор безопасности и соответствующие инженеры обслуживания и веб-программист.
Логирование действий ЛС-1,2,3, МЭ и администраторов.
Видеонаблюдение в определенных местах.
Информационная безопасность ЛС-1:
Расположение в отдельной комнате или защита от мониторинга экранированием.
Имеется доступ в интернет через соответствующие протоколы.
Существует своя локальная сеть, а также сеть с ЛС-2 через соответствующую защиту(МС)
Доступ в помещение свободный.
Доступ к личным PC ограничен собственными паролями пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных).
Доступ к резервному хранилищу имеется только через соответствующих инженеров обслуживания.
Информационная безопасность ЛС-2:
Расположение в отдельной комнате и защита от мониторинга экранированием.
Имеется доступ в интернет через соответствующие протоколы.
Существует своя локальная сеть(еще сильнее чем у ЛС-1), а также сеть с ЛС-1 через соответствующую защиту(МС)
Доступ в помещение только пользователям ЛС-2 и админам. Обслуживание производится в конце рабочего дня с логированием.
Доступ к личным PC по смарт-картам пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных).
Доступ к резервному хранилищу имеется только через соответствующих инженеров обслуживания.
Информационная безопасность ЛС-3:
Расположение в отдельной экранированной комнате и защита от мониторинга экранированием.
Доступа в интернет нет(или имеется, но по специальному очень защищенному кабелю(прямому)).
Имеется свое резервное защищенное хранилище. Обслуживание производится в конце рабочего дня с строгим логированием.
Существует своя локальная сеть(проводная), если это предусмотрено заказчиком.
Доступ в помещение только пользователям ЛС-3 и админам(кроме веб и определяется заказчиком). Обслуживание производится в конце рабочего дня с строгим логированием, после того как вся секретная информация переместится в защищенное резервное хранилище.
Доступ к личным PC по флеш носителям с хеш-ключом пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных). Ведется логирование действий администраторов.
Доступ к резервному хранилищу имеется лично.
Помимо специального видеонаблюдения, ведется специальное скрытое видеонаблюдение.
Имеется своя станция резервного питания и свой черный ход.