В предыдущей главе данной работы была рассмотрена горизонтальная модель сеть, отличающая от вертикальной тем, что она затрагивает лишь анализ угроз, которые возникают в сети на некотором одном уровне. Это уровень среды функционирования системы, в которой “обитают” конечные пользователи, системные администраторы, программы.
Однако, угрозы для системы могут обнаружится и на разных уровнях, соответствующих семиуровневой сетевой модели (OSI – Open System Interconnection).
“…построение механизмов защиты должно также носить многоуровневый характер. Проще это пояснить на примерах. Если нас интересует только защита конфиденциальности и целостности данных в приложениях, то, обычно, этот вопрос можно решить на верхних уровнях (приложениях или представлениях данных). Если встает вопрос об обеспечении надежности доставки – акценты смещаются к транспортному уровню. Если обмен информацией между системами должен скрывать внутреннюю сетевую структуру систем, то речь идет о сетевом уровне. Если необходимо учесть опасность широковещательных сообщений (например, угрозы использования пассивного прослушивания сегмента), следует говорить о канальном уровне. Физический уровень обычно затрагивается, когда речь идет о защите от побочных электромагнитных излучениях или возможности физического внедрения злоумышленника в канал связи” ([1]-c.107.).
Рассмотрим каждый уровень семиуровневой сетевой модели применив для Системы.
Физический уровень
Данный уровень отвечает за кодирование передаваемых сигналов в среде передачи данных. На этом уровне происходит преобразование поступающих со всех остальных уровней битов (0 и 1) в электрические сигналы. В соответствии с этим, для избегания воздействия различных электромагнитных наводок, которые могут привести к искажению передаваемой информации, необходимо использовать для передачи данных специальные экранированные провода.
Также вокруг проводов передачи данных образуется электромагнитное поле, которое обеспечивает возможность считывания передаваемой информации с помощью специальных устройств. С целью устранения такой угрозы кабели необходимо прокладывать как можно дальше от окон (желательно по центральному коридору). В результате этого злоумышленники не смогут считать передаваемые данные, находясь за пределами здания.
Рекомендуемая топология сети – звезда, где для подключения каждого узла выделен отдельный кабельный сегмент.
Канальный уровень
Так как на данном уровне семиуровневой модели OSI происходит работа с MAC-адресами сетевых интерфейсов (адресами сетевых карт), то с целью устранения такой угрозы, как подмена рабочего места пользователя, необходимо произвести привязку MAC-адресов к конкретным портам активного оборудования, например, коммутатора.
Привязка MAC-адресов будет выглядеть примерно следующим образом:
[привязать MAC - 1 к порту Port - 1]
После выполнения такой операции к порту 1 коммутатора будут иметь доступ только компьютеры с адресами сетевых интерфейсов MAC-1. Устройства с другими сетевыми картами уже не смогут получить доступ к портам данного коммутатора.
Сетевой уровень
Сетевой уровень отвечает за маршрутизацию, т.е. за выбор оптимального пути и доставку пакета данных адресату. В соответствии с этим, необходимо разбить сеть на виртуальные сегменты (сгруппировать в отдельные VLAN-ы), причём каждый такой сегмент будет иметь дело с конфиденциальной информацией, касающейся только пользователей, расположенных в данном сегменте сети (работников бухгалтерии предприятия и кадровиков).
Создадим для каждого отдела свой VLAN.
Бухгалтерия | VLAN – 1 |
Отдел кадров | VLAN – 2 |
Управленец | VLAN – 3 |
Информационные отдел | VLAN – 4 |
Маркетинг | VLAN – 5 |
Настройка портов может в таком случае выглядеть следующим образом:
[Включить Port – (1-6) в VLAN - 4]
[Включить Port – (7-10) в VLAN - 5]
[Включить Port – (11-12) в VLAN – 1]
[Включить Port – 13 в VLAN - 2]
[Включить Port – 14 в VLAN - 3]
Для достижения большего эффекта от такого разбиения сети необходимо использовать листы доступа (ACCESS – листы), которые бы запрещали сетям с конфиденциальной информацией маршрутизироваться в персональной машине пользователей бухгалтерии и отделов кадров должна быть установлена ОС Windows 2000 Professional или Windows XP. Любая из данных ОС должна быть обновлена соответствующими Service Pack. Так, для Win2000 до SP4, а для WinXP до SP2.
На сервере для функционирования системы должно быть инсталлирован сервер-приложение “1С:Предприятие 8.0”, а так же СУБД MS SQL Server Standard Edition SP3a. Требуется установить ОС – Windows 2000 Server или Windows 2003 Server for Small Business. При инсталляции и настройке ОС рекомендуется:
Опускать ненужные сервисы, при этом необходимо периодически проверять включенные сервисы с целью выявления изменений, которые могут произойти, например, при установке нового ПО или АО (На сервере с конфиденциальной информацией не должно быть таких сервисов, как telnet, ftp, http);
По возможности не использовать удалённое администрирование;
Включить обнаружение атак и антивирусную защиту;
Постоянно следить за появлением угроз в системе.
Обязательно выполнять резервное копирование, архивирование, и если это возможно осуществлять контроль целостности и очистку памяти.