Безопасность корпоративных сетей

В ходе изучения корпоративных сетей, была использована архитектура SAFE компании CISCO, которая рассматривает вопросы безопасности корпоративных сетей. Главная цель архитектуры

Безопасность корпоративных сетей

Отчет по практике

Компьютеры, программирование

Другие отчеты по практике по предмету

Компьютеры, программирование

Сдать работу со 100% гаранией

Министерство образования и науки Российской Федерации

Уфимский Государственный Авиационный Технический Университет

Кафедра: Вычислительной техники и защиты информации

 

 

 

 

 

 

 

 

 

Отчет по производственной практике

на тему: Безопасность корпоративных сетей

 

 

 

Выполнил:

ст. гр.ЗИ-433

Ефимов И.Ю.

Проверил:

Кутдусов Ф.Х.

 

 

 

 

 

 

Уфа - 2012

Введение

 

В период с 28 мая по 7 июля 2012 года я проходил практику в ОАО "УМПО". За мной практически сразу была закреплена тема защиты корпоративных сетей. После ознакомления с международными и российскими стандартами безопасности, я приступил к изучению корпоративных сетей и получил достаточные знания для самостоятельного моделирования сети с использованием сетевых средств защиты.

Построение современных систем обеспечения безопасности информационных ресурсов корпоративных сетей основывается на комплексном подходе, доказавшем свою эффективность и надежность. Комплексный подход ориентирован на создание защищенной среды обработки информации в корпоративных системах, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и технические способы обеспечения информационной безопасности. В тоже время комплексный подход, используемый в современных концепциях информационной безопасности, основывается на практическом опыте компаний, специализирующихся на предоставлении услуг по защите информации.

Для достижения наибольшей эффективности средства защиты должны адекватно защищать информацию, в соответствии с ее ценностью в корпорации. Недостаточная изученность вопросов количественной оценки ценности информации в современной науке не дает возможности оценки и обоснования необходимых затрат на построение систем защиты информационных и телекоммуникационных систем, обоснованных моментах их приложения и составе защитных функций. Одновременно, такая ситуация приводит к растущим затратам на компенсацию действия угроз безопасности информации телекоммуникационных сетей и информационных технологий.

 

1. Сведения о структуре корпоративной сети

 

На рисунке 1 проиллюстрирован общий случай, отличающийся тем, что структуры основного и удаленного фрагментов совпадают (по функциям они различны - в основном фрагменте реализуется централизованное управление сетью связи). Как правило, данные фрагменты имеют различную сложность. При этом следует отметить, что упрощение структуры сети состоит в части уменьшения сложности удаленных фрагментов, с переносом соответствующих функций на элементы основного фрагмента, (соответственно с его усложнением), что, прежде всего, имеет место для следующих элементов:

информационные серверы (с точки зрения обеспечения безопасности сети имеет смысл сконцентрировать все информационные серверы, обеспечивая для них необходимую защиту организационными и техническими мероприятиями);

администрирование всеми функциональными подсистемами для корпоративных сетей, использующих ограниченное число дополнительных средств реализации функциональных подсистем (например, маршрутизаторов) может быть сконцентрировано в основном фрагменте;

подключение к общедоступным сервисам (сеть Интернет) осуществляется с выделенных рабочих мест основного фрагмента (здесь используются соответствующие средства защиты, подключения к глобальным сетям в общем случае отличные от остальных).

 

Рисунок 1 - Обобщенная структура корпоративной сети

 

С учетом сказанного, из рисунка 1 имеем упрощенную структуру корпоративной сети, структура которой приведена на рисунке 2.

 

Рисунок 2 - Система управления корпоративной сетью

 

Замечание

Именно структура корпоративной сети, приведенная на рисунке 2, может быть рекомендована как типовая для большинства мелких и средних корпораций (структура сети, приведенная на рисунке 1 предполагает реализацию сети для очень разветвленной инфраструктуры корпорации).

 

2. Практическая часть

 

В ходе изучения корпоративных сетей, была использована архитектура SAFE компании CISCO, которая рассматривает вопросы безопасности корпоративных сетей. Главная цель архитектуры Cisco для безопасности корпоративных сетей (SAFE) состоит в том, чтобы предоставить заинтересованным сторонам информацию о современном опыте проектирования и развертывания защищенных сетей. SAFE призвана помочь тем, кто проектирует сети и анализирует требования к сетевой безопасности. SAFE исходит из принципа глубоко эшелонированной обороны сетей от внешних атак. Этот подход нацелен не на механическую установку межсетевого экрана и системы обнаружения атак, а на анализ ожидаемых угроз и разработку методов борьбы с ними. Эта стратегия приводит к созданию многоуровневой системы защиты, при которой прорыв одного уровня не означает прорыва всей системы безопасности. SAFE основывается на продуктах компании Cisco и ее партнеров. Вначале мы рассмотрим саму архитектуру SAFE. Затем следует подробное описание модулей, из которых состоит реальная сеть, как крупного предприятия, так и малых сетей, в том числе сетей филиалов предприятий, средних сетей и сетей удаленных и мобильных пользователей. Дизайны малых и средних сетей применяются в двух возможных вариантах. Во-первых, это может быть дизайн основной сети предприятия, которая имеет соединения с другими офисами подобных предприятий. Например, крупное юридическое агентство может построить главную сеть на основе дизайна среднего предприятия, а сети филиалов - на основе малого. Во-вторых, дизайн может быть разработан как сеть филиала, т. е. как часть сети крупного предприятия. В этом случае примером может служить крупная автомобильная компания, где дизайн крупной сети используется в штаб-квартирах, а для прочих подразделений - от филиалов до удаленных работников - применяются дизайны средних и малых предприятий.с максимальной точностью имитирует функциональные потребности современных корпоративных сетей. Решения о внедрении той или иной системы безопасности могут быть разными в зависимости от сетевой функциональности. Однако на процесс принятия решения оказывают влияние следующие задачи, перечисленные в порядке приоритетности:

безопасность и борьба с атаками на основе политики;

внедрение мер безопасности по всей инфраструктуре (а не только на специализированных устройствах защиты);

безопасное управление и отчетность;

аутентификация и авторизация пользователей и администраторов для доступа к критически важным сетевым ресурсам;

обнаружение атак на критически важные ресурсы и подсети;

поддержка новых сетевых приложений.

Во-первых (и это самое главное), SAFE представляет собой архитектуру безопасности, которая должна предотвратить нанесение хакерами серьезного ущерба ценным сетевым ресурсам. Атаки, которые преодолевают первую линию обороны или ведутся не извне, а изнутри, нужно обнаруживать и быстро отражать, чтобы предотвратить ущерб для остальной сети. Однако даже хорошо защищенная сеть должна предоставлять пользователям сервисы, которых от нее ожидают. Нужно одновременно обеспечить и надежную защиту, и хорошую функциональность сети - и это вполне возможно. Архитектура SAFE не является революционным способом проектирования сетей. Это просто система обеспечения сетевой безопасности.

Кроме этого, система SAFE является устойчивой и масштабируемой. Устойчивость сетей включает физическую избыточность, защищающую сеть от любых аппаратных отказов, в том числе отказов, которые могут произойти из-за ошибочной конфигурации, физического сбоя или хакерской атаки. Хотя возможны и более простые проекты, особенно если требования к производительности сети не являются высокими, в настоящем документе в качестве примера используется более сложный дизайн, поскольку планирование безопасности представляет собой более сложную проблему именно в сложной, а не в простой среде. Тем не менее, на всем протяжении этого документа мы рассматриваем возможности ограничения сложности дизайна.

Принцип модульности

Хотя по мере роста требований большинство сетей развивается, архитектура SAFE использует открытый модульный подход. Такой подход имеет два основных преимущества: во-первых, он описывает дизайн с точки зрения защиты взаимодействия отдельных модулей сети, а во-вторых, позволяет проектировщику оценивать защищенность каждого модуля по отдельности, а не только всей системы в целом. Защищенный дизайн каждого модуля можно описать и реализовать по отдельности, а оценить в рамках всей системы.

Хотя многие сети нельзя четко разграничить на отдельные модули, такой подход дает ориентиры при внедрении в сети функций защиты. Сетевым инженерам не предлагается строить свои сети в строгом соответствии с SAFE, но рекомендуется комбинировать описанные здесь модули и использовать их в имеющихся сетях. На рисунке 3 показан первый уровень модульности SAFE. Каждый блок представляет определенную функциональную зону.

 

Рисунок 3 - Первый уровень модульности

 

Модуль Интернет-провайдера (ISP) не устанавливается на предприятии, но включается в общую схему, так как для подавления некоторых атак предприятию необходимо запрашивать у Интернет-провайдера ряд конкретных функций безопасности.

Второй уровень модульности, показанный на рисунке 4, демонстрирует модули в каждой функциональной области. Эти модули выполняют в сети вполне определенную роль и имеют определенные потребности в области безопасности. Размер того или иного моду

Похожие работы

1 2 3 4 5 > >>