Курсовая работа: Обеспечение защиты данных в системе Учет рабочего времени 2
Пароль – это последовательность букв, цифр и других символов, с помощью которой система проверяет, действительно ли это тот самый пользователь, который имеет данную учетную запись и право доступа к ресурсам.
При регистрации нового пользователя администратор дает пользователю пароль по умолчанию, который в обязательном порядке должен меняться пользователем при первом доступе к системе. Пользователь должен помнить о том, чтобы пароль был менее наглядным, что вызывает определённые трудности при его подборе злоумышленниками. Для этого к паролю предъявляются определённые требования:
пароль не должен содержать данных, которые как-то связаны с пользователем (дата рождения, адрес и др.);
пароль должен сочетать в себе как символы, так и числа;
пароль должен быть не слишком длинным и не коротким;
пароль периодически должен меняться в зависимости от политики предприятия.
Защита от угрозы № 1:
Для усложнения доступа к компьютеру и его ресурсам злоумышленников, необходимо предусмотреть пароли BIOS. А также, если компьютер включен, но пользователь отсутствует, необходимо перевести компьютер в режим ожидания, т.е. включить хранитель экрана (screen-saver) c опцией ввода пароля при выходе из этого режима.
Защита от угрозы № 3:
Для предотвращения прослушивания сетевого трафика ЛВС необходимо отказаться от повторителя (Hub-а) и заменить его на коммутатор (Switch). Благодаря этому информация от отправителя будет направляться непосредственно получателю.
Защита от угрозы № 4:
Так как отдел работает с конфиденциальной информацией, которая не должна быть доступной посторонним лицам, то помещение во внерабочее время должно находиться под замком и сигнализацией. Ключ должен выдаваться на основании распоряжения руководителя лицам, оговоренным в нём.
Во избежание от подмены оборудования пользователя необходимо сделать привязку MAC-адреса сетевого интерфейса к коммутатору, т.е. разрешить доступ к данному порту определённому сетевому устройству.
Существует также ряд неявных угроз, которые могут возникнуть в процессе функционирования активного оборудования, например сбой в электропитании, выход из строя винчестеров.
Для предотвращения последствий от сбоя рекомендуется использовать:
Фильтры питания;
Источники бесперебойного питания;
Автономные генераторы.
Возможные механизмы защиты вертикальной структуры сети
Для большей защиты информации, циркулирующей по сети передачи данных, по возможности необходимо защищать на каждом уровне модели OSI.
Физический уровень:
Данный уровень отвечает за кодирование передаваемых сигналов в среде передачи данных. На этом уровне происходит преобразование поступающих со всех остальных уровней битов (0 и 1) в электрические сигналы. В соответствии с этим, для избежание воздействия различных электромагнитных наводок, которые могут привести к искажению передаваемой информации, необходимо использовать для передачи данных специальные экранированный кабель.
Канальный уровень:
Так как на данном уровне семиуровневой модели OSI происходит работа с MAC-адресами сетевых интерфейсов (адресами сетевых карт), то с целью устранения такой угрозы, как подмена рабочего места пользователя, необходимо произвести привязку MAC-адресов к конкретным портам активного оборудования, например, коммутатора.
Привязка MAC-адресов будет выглядеть примерно следующим образом:
[разрешить доступ MAC-1 к порту Port-1]
После выполнения такой операции к порту 1 коммутатора будут иметь доступ только компьютеры с адресами сетевых интерфейсов MAC-1. Устройства с другими сетевыми картами уже не смогут получить доступ к портам данного коммутатора.
Сетевой уровень:
Сетевой уровень отвечает за маршрутизацию, т.е. за выбор оптимального пути и доставку пакета данных адресату. В соответствии с этим необходимо разбить нашу сеть на виртуальные сегменты (сгруппировать в отдельные VLAN-ы), причём каждый такой сегмент будет иметь дело с конфиденциальной информацией, касающейся только пользователей, расположенных в данном сегменте сети (работников бухгалтерии предприятия).