Разработка ПИБ корпоративной сети

Министерство  образования Российской Федерации

МОСКОВСКИЙ  ГОСУДАРСТВЕННЫЙ  ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

им. Н.Э. БАУМАНА 

Факультет: «Информатика и системы управления»

     Кафедра: «Информационная безопасность»

(ИУ-8) 
 

Задание: Разработка ПИБ корпоративной  сети 
 
 
 
 
 

Преподаватель: Пристанский В.Л

Студент: Мекекечко В.В.

группа ИУ8-51 
 
 
 
 
 
 
 

Москва 2010

1. Исходные данные:

ЛС-1 – 10 мест (персональные данные);

ЛС-2 – 20 мест (конфиденциальные данные);

ЛС-3 – 4 мест (секретная информация);

На всех машинах используется ОС WindowsXP 
 
 
 
 
 
 

      Политика  информационной безопасности предприятия:

      Необходимость согласования и подтверждения законности действий заказчика в соответствии с федеральным законом о безопасности законодательства РФ. Тот или иной атрибут информационной безопасности определяется заказчиком в соответствии со своими потребностями и финансами.

      Существование: администратора ИТ и администратора копмлексной безопасности (желательно выпускников Бауманки), веб-программиста, охранной системы и постов охраны на входе в предприятия с соответствующей аутентификацией и логированием посетителей, системы пожарной охраны.

      Общая сетевая безопасность:

      Межсетевой  экран или Файрвол:

            Устанавливается аппаратно и администрируется локально администратором   ИБ, находится в комнате администратора безопасности; доступ к установкам   МЭ имеется только у администратора ИБ. По необходимости, должен    осуществлять фильтрацию, контроль трафика и управление      демилитаризованной зоной.

      Маршрутизатор:

            Администрируется локально или удаленно администратором ИБ     использованием  средств шифрования и защитой от атаки "перебором",    находится в комнате  администратора, доступ к установкам     маршрутизатора имеется только у  администратора ИБ.

      На  каждом PC требуется использование  лицензированного ПО и антивирусных систем.

  Обеспечение защиты от шпионажа извне.

      Все PC должны быть защищены персональным файрволом.

      Веб-сервер:

              Администрируется веб-администратором под контролем администратора ИБ.

Анонимный доступ из Интернет запрещен.

Разрешен  авторизованный FTP-доступ администратору веб-сервера только из сегмента административного управления (с приватного ИП-адреса администратора)

Из  приватной сети, только из сегмента административного управления (с  ИП-адреса администратора) возможен удаленный терминальный доступ по протоколу rsh на веб-сервер

Защищенный  доступ в Интернет изнутри сети разрешен, исключая ЛС-3. 

      Мэйл-сервер:

             Администрируется веб-администратором

Разрешен  авторизированный доступ изнутри сети к сервису POP3, исключая ЛС-3.

Разрешен доступ к SMTP сервису - только из изнутри сети, исключая ЛС-3.

Защищенный  доступ в Интернет изнутри сети разрешен, кроме ЛС-3. 

Дополнительная  ИБ: 

      Наличие общего резервного питания для PC, доступ к которому имеется только у соответствующих инженеров обслуживания и администратора безопасности.

      Наличие сервера хранения резервных копий ценных файлов и файлов логирования, доступ к которым имеет администратор ИБ, администратор безопасности и соответствующие инженеры обслуживания и веб-программист.

      Логирование действий  ЛС-1,2,3, МЭ и администраторов.

      Видеонаблюдение в определенных местах. 

Информационная  безопасность ЛС-1: 

      Расположение  в отдельной комнате или защита от мониторинга экранированием.

      Имеется доступ в интернет через соответствующие  протоколы.

      Существует  своя локальная сеть, а также сеть с ЛС-2 через соответствующую защиту(МС)

      Доступ  в помещение свободный.

      Доступ  к личным PC ограничен собственными паролями пользователей, но не ограничен  администраторам (так как все  пользователи до этого подписали  бумагу о использовании своих личных данных).

      Доступ  к резервному хранилищу имеется  только через соответствующих инженеров  обслуживания. 

Информационная  безопасность ЛС-2: 

      Расположение  в отдельной комнате и защита от мониторинга экранированием.

      Имеется доступ в интернет через соответствующие  протоколы.

      Существует  своя локальная сеть(еще сильнее чем у ЛС-1), а также сеть с ЛС-1 через соответствующую защиту(МС)

      Доступ  в помещение только пользователям  ЛС-2 и админам. Обслуживание производится в конце рабочего дня с логированием.

      Доступ  к личным PC по смарт-картам пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных).

      Доступ  к резервному хранилищу имеется  только через соответствующих инженеров  обслуживания. 

Информационная  безопасность ЛС-3: 

      Расположение  в отдельной экранированной комнате  и защита от мониторинга экранированием.

      Доступа в интернет нет(или имеется, но по специальному очень защищенному кабелю(прямому)).

      Имеется свое резервное защищенное хранилище. Обслуживание производится в конце  рабочего дня с строгим логированием.

      Существует  своя локальная сеть(проводная), если это предусмотрено заказчиком.

      Доступ  в помещение только пользователям ЛС-3 и админам(кроме веб и определяется заказчиком). Обслуживание производится в конце рабочего дня с строгим логированием, после того как вся секретная информация переместится в защищенное резервное хранилище.

      Доступ  к личным PC по флеш носителям с хеш-ключом пользователей, но не ограничен администраторам (так как все пользователи до этого подписали бумагу о использовании своих личных данных). Ведется логирование действий администраторов.

      Доступ  к резервному хранилищу имеется  лично.

      Помимо  специального видеонаблюдения, ведется  специальное скрытое видеонаблюдение.

      Имеется своя станция резервного питания и свой черный ход.