Курсовая работа: Обеспечение защиты данных в системе Учет рабочего времени 2

[Включить Port – 2 в VLAN - 1]

[Включить Port – 3 в VLAN – 1]

[Включить Port – 4 в VLAN - 2]

[Включить Port – 5 в VLAN - 2]

[Включить Port – 6 в VLAN - 3]

Для достижения большего эффекта от такого разбиения сети необходимо использовать листы доступа (ACCESS – листы), которые бы запрещали сетям с конфиденциальной информацией маршрутизироваться в общую сеть, где циркулирует информация общего пользования. В результате использования таких листов доступа, конфиденциальная информация из одного виртуального сегмента никогда не попадёт в сегменты с общедоступной информацией.

Транспортный уровень:

На данном уровне необходимо организовать списки доступа (ACCESS – листы) аналогичные листам доступа на сетевом уровне, однако, здесь можно указывать не адреса сетей, а адреса конкретных сервисов. Например:

[Разрешить сервису Service-1 адреса IP-1 доступ к сервису Service-1 адреса IP-2]

[Разрешить сервису Service-2 адреса IP-1 доступ к сервису Service-2 адреса IP-2]

[Разрешить сервису Service-5 адреса IP-3 доступ к сервису Service-5 адреса IP-2]

[Остальное запретить]

Такие списки доступа можно настроить на серверах.

Прикладной уровень:

Это уровень сетевой модели, отвечающий за взаимодействие пользовательского приложения и сетью. На данном уровне необходимо осуществлять идентификацию (проверку наличия данного пользователя в списке) и аутентификацию (проверку достоверности имени и пароля) пользователей. При этом необходимо следить за тем, чтобы пользователи периодически осуществляли смену пароля, причём новый пароль должен значительно отличаться. Беспарольных пользователей в системе быть не должно.

Также на данном уровне необходимо произвести разделение прав доступа пользователей к информации на сервере.

Защита ОС:

На всех пользователях данной системы желательно установить операционную систему Windows XPProfessional. На сервере баз данных для большей защищённости находящейся на нём информации должна быть установлена ОС Windows 2003 Server.

При инсталляции и настройке ОС рекомендуется:

1. Необходимо поставить все существующие для ОС сервиспаки;

2. Опускать ненужные сервисы, при этом необходимо периодически проверять включенные сервисы с целью выявления изменений, которые могут произойти, например, при установке нового ПО или АО (На сервере с конфиденциальной информацией не должно быть таких сервисов, как telnet, ftp, http);

3. По возможности не использовать удалённое администрирование;

4. Постоянно контролировать процессы, запущенные в системе. Администратору необходимо знать каждый процесс и для чего он запускается;

5. Поставить на компьютеры последнюю версию хорошего антивируса (AVP, DrWEB, ...) и регулярно обновлять антивирусные базы. Также необходимо политикой безопасности запретить всем пользователям, кроме администратора, отключать антивирус. Обязательно наличие механизмов регистрации процессов, их анализа и распознавания угроз системе;

6. Выполнять проверку целостности, путем вычисления значения хэш-функции (некий аналог контрольной суммы) от заранее определенного набора критичных файлов системы и сравнения этого значения с эталоном. Проверка может проводиться как программными, так и аппаратными средствами;

7. Все пользователи должны иметь пароли, устойчивые к прямому перебору, т.е. содержать буквенные, цифровые и специальные символы в разных регистрах и иметь длину не менее 10 символов. Таким образом, пароль типа Nb6$iL78@+&67K будет подбираться прямым перебором несколько лет, пароль не должен нести смысловую нагрузку, как, например: quake, doom, password и т.д.;

8. Учитывать социальный фактор: не записывать пароль на бумажках, не сообщать пароль кому-либо, игнорировать письма от якобы системного администратора сообщить логин и пароль и т.д.;

9. Пользователи, не имеющие прав администратора, не должны иметь доступ к системным файлам, реестру и т.д. Например, файл MSV_0.dll, отвечающий за проверку подлинности пароля при локальном входе в систему, может быть скопирован и изменен таким образом, что любой пароль для любого пользователя будет считаться верным.

Прикладное и общесистемное ПО: