Министерство образования Российской Федерации

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

им. Н.Э. БАУМАНА
Факультет: «Информатика и системы управления»

Кафедра: «Информационная безопасность»

(ИУ-8)
Задание: Разработка ПИБ корпоративной сети
Преподаватель:   Пристанский В.Л

Студент:     Мекекечко В.В.

группа ИУ8-51
Москва 2010

I.      Исходные данные:



ЛС-1 – 10 мест (персональные данные);

ЛС-2 – 20 мест (конфиденциальные данные);

ЛС-3 – 4 мест (секретная информация);

На всех машинах используется ОС WindowsXP
         Политика информационной безопасности предприятия:

            Необходимость согласования и подтверждения законности действий заказчика в соответствии с федеральным законом о безопасности законодательства РФ. Тот или иной атрибут информационной безопасности определяется заказчиком в соответствии со своими потребностями и финансами.

            Существование: администратора ИТ и администратора копмлексной безопасности (желательно выпускников Бауманки), веб-программиста, охранной системы и постов охраны на входе в предприятия с соответствующей аутентификацией и логированием посетителей, системы пожарной охраны.

         Общая сетевая безопасность:

            Межсетевой экран или Файрвол:

                        Устанавливается аппаратно и администрируется локально администратором                     ИБ, находится в комнате администратора безопасности; доступ к установкам                 МЭ имеется только у администратора ИБ. По необходимости, должен                                   осуществлять фильтрацию, контроль трафика и управление                                                         демилитаризованной зоной.

            Маршрутизатор:

                        Администрируется локально или удаленно администратором ИБ                                          использованием       средств шифрования и защитой от атаки "перебором",                          находится в комнате          администратора, доступ к установкам                                          маршрутизатора имеется только у             администратора ИБ.

            На каждом PC требуется использование лицензированного ПО и антивирусных систем.

            Обеспечение защиты от шпионажа извне.

            Все PC должны быть защищены персональным файрволом.

            Веб-сервер:

                    Администрируется веб-администратором под контролем администратора ИБ.

Анонимный доступ из Интернет запрещен.

Разрешен авторизованный FTP-доступ администратору веб-сервера только из сегмента административного управления (с приватного ИП-адреса администратора)

Из приватной сети, только из сегмента административного управления (с ИП-адреса администратора) возможен удаленный терминальный доступ по протоколу rsh на веб-сервер

Защищенный доступ в Интернет изнутри сети разрешен, исключая ЛС-3.
            Мэйл-сервер:

                   Администрируется веб-администратором

Разрешен авторизированный доступ изнутри сети к сервису POP3, исключая ЛС-3.

Разрешен доступ к SMTP сервису - только из изнутри сети, исключая ЛС-3.

Защищенный доступ в Интернет изнутри сети разрешен, кроме ЛС-3.
Дополнительная ИБ:
            Наличие общего резервного питания для PC, доступ к которому имеется только у соответствующих инженеров обслуживания и администратора безопасности.

            Наличие сервера хранения резервных копий ценных файлов и файлов логирования, доступ к которым имеет администратор ИБ, администратор безопасности и соответствующие инженеры обслуживания и веб-программист.

            Логирование действий  ЛС-1,2,3, МЭ и администраторов.

            Видеонаблюдение в определенных местах.
Информационная безопасность ЛС-1:
            Расположение в отдельной комнате или защита от мониторинга экранированием.

            Имеется доступ в интернет через соответствующие протоколы.

            Существует своя локальная сеть, а также сеть с ЛС-2 через соответствующую защиту(МС)

            Доступ в помещение свободный.

            Доступ к личным PC ограничен собственными паролями пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных).

            Доступ к резервному хранилищу имеется только через соответствующих инженеров обслуживания.
Информационная безопасность ЛС-2:
            Расположение в отдельной комнате и защита от мониторинга экранированием.

            Имеется доступ в интернет через соответствующие протоколы.

            Существует своя локальная сеть(еще сильнее чем у ЛС-1), а также сеть с ЛС-1 через соответствующую защиту(МС)

            Доступ в помещение только пользователям ЛС-2 и админам. Обслуживание производится в конце рабочего дня с логированием.

            Доступ к личным PC по смарт-картам пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных).

            Доступ к резервному хранилищу имеется только через соответствующих инженеров обслуживания.
Информационная безопасность ЛС-3:
            Расположение в отдельной экранированной комнате и защита от мониторинга экранированием.

            Доступа в интернет нет(или имеется, но по специальному очень защищенному кабелю(прямому)).

            Имеется свое резервное защищенное хранилище. Обслуживание производится в конце рабочего дня с строгим логированием.

            Существует своя локальная сеть(проводная), если это предусмотрено заказчиком.

            Доступ в помещение только пользователям ЛС-3 и админам(кроме веб и определяется заказчиком). Обслуживание производится в конце рабочего дня с строгим логированием, после того как вся секретная информация переместится в защищенное резервное хранилище.

            Доступ к личным PC по флеш носителям с хеш-ключом пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных). Ведется логирование действий администраторов.

            Доступ к резервному хранилищу имеется лично.

            Помимо специального видеонаблюдения, ведется специальное скрытое видеонаблюдение.

            Имеется своя станция резервного питания и свой черный ход.