Содержание
| Введение Часть 1 Основные сведения о системе 1.1 Информационные ресурсы и пользователи системы 1.2 Среда функционирования системы Часть 2 Политика безопасности 2.1 Определение класса безопасности 2.2 Горизонтальная модель сети 2.3 Вертикальная модель сети 2.4 Организационные мероприятия Заключение Список используемой литературы |
Введение
Целью курсовой работы является разработка политики информационной безопасности для системы "Учет ремонта и ТО автотранспорта", разрабатываемой для подразделения автоуправления "Северстальресурс" в г. Воркуте. Система создается для автоматизации процесса ведения, контроля, учета ремонта и технического обслуживания автотранспортного хозяйства. В данной работе будет проведен анализ информации, циркулирующей в автоматизированной информационной системе, обоснован выбор класса защищенности для разрабатываемой системы, определен периметр безопасности, с указанием не защищенных областей системы, приведены примеры по предотвращению угроз, проведено горизонтальное проектирование и вертикальное проектирование, разработаны организационные мероприятия.
Безопасность данных означает их конфиденциальность, целостность и доступность. Критерии безопасности данных могут быть определены следующим образом. Конфиденциальность данных предполагает их доступность только для тех лиц, которые имеют на это соответствующие полномочия. Целостность информации предполагает ее неизменность в процессе передачи от отправителя к получателю. Под доступностью можно понимать гарантию того, что злоумышленник не сумеет помешать работе законных пользователей. В частности, в задачу обеспечения доступности входит исключение возможности атак, вызывающих отказ в обслуживании.
.
Информационные ресурсы и пользователи системы
База данных создаваемой системы будет содержать данные конфиденциального характера, требующие жесткого контроля при доведении сведений до служб, которые имеют право на использование такой информации. В связи с этим информацию и систему в целом необходимо защитить от нанесения ущерба в результате сознательных либо случайных противоправных действий, такие как неправомерный доступ, уничтожение, модифицирование, блокирование, копирование, распространение, а также иные действия в отношении такой информации.
Ниже перечислены данные, которые будут использоваться в данной системе:
― информация о наличии подвижного состава автотранспортного хозяйства;
― факты выполненных работ по ремонту и техническому обслуживанию (ТО) автотранспорта;
― показатели количества обслуживания за месяц и рабочий день;
― простой автомобилей в ТО, ремонте и его ожидании;
― планирование работ по ТО и ремонту подвижного состава.
К выделенным ресурсам в подсистеме "Учета ремонта и ТО автотранспорта" имеют доступ следующие группы пользователей:
Начальник управления и главный инженер (осуществляет общее руководство производством через непосредственно подчиненного ему начальника производства) имеют право только на просмотр всех данных, выпуск отчетов;
Начальник производства (руководит всеми работами по ТО и ремонту подвижного состава) имеет право на просмотр данных, выпуск отчетов;
Диспетчер производства (оперативное руководство производством работ на постах обслуживания и ремонта автотранспорта) имеет право на просмотр, редактирование и ввод данных;
Инженер планового отдела получает необходимые выходные данные системы.
Системный администратор, наделяет пользователей (группы пользователей) необходимыми для работы правами, имеет право на просмотр журнала событий (регистрационный журнал) системы, обязан делать резервные копии системы.
Рассмотрим правила разграничения доступа всех пользователей информационной системы (Таблица 1).
Таблица 1 – правила разграничения доступа всех пользователей информационной системы.
| Объект Субъект | информация о наличии подвижного состава автотранспортного хозяйства | факты выполненных работ по ремонту и ТО автотранспорта | показатели количества обслуживания за месяц и рабочий день | простой автомобилей в ТО, ремонте и его ожидании | планирование работ по ТО и ремонту подвижного состава | Права и группы | Регистрационный журнал |
| Начальник управления и главный инженер | П | П | П | П | П | Н | Н |
| Начальник производства | ПР | ПР | П | П | ПРДУ | Н | Н |
| Диспетчер производства | ПРДУ | ПРДУ | П | П | ПРДУ | Н | Н |
| Инженер планового отдела | П | П | П | П | ПРДУ | Н | Н |
| Системный администратор | Н | Н | Н | Н | Н | ПРДУ | ПУ |
В данной таблице приведены следующие условные обозначения:
Н – нет доступа;
П – просмотр данных;
Р – редактирование;
Д – добавление данных;
У – удаление данных;
Среда функционирования системы
В настоящий момент сеть УАТХ построена на базе сервера-контроллера домена uath, сервера баз данных, коммутаторов Intel inBusiness 10/100 Switch 16, маршрутизатора Cisco 1800. Общая пропуская способность сети составляет 10/100 Мбит/с и позволяет осуществлять полноценную загрузку сервера системы и использовать современное программное обеспечение. Это осуществляется с помощью сетевых кабелей неэкранированная витая пара(UTP — Unshielded twisted pair) пятой категории и экранированная витая пара(STP — Shielded twisted pair).
Витая пара (англ. twisted pair) — вид кабеля связи, представляет собой одну или несколько пар изолированных проводников, скрученных между собой (с небольшим числом витков на единицу длины), для уменьшения взаимных наводок при передаче сигнала, и покрытых пластиковой оболочкой.
Экранированная витая пара - витая пара, окруженная заземленной металлической фольгой, которая служит экраном и обеспечивает защиту от электромагнитных помех.
Неэкранированная витая пара - витая пара, не имеющая металлического экрана. Различают пять категорий неэкранированных витых пар. Первая и вторая категории используются при низких частотах. Третья и четвертая - при частотах 16 и 20 МГц соответственно. Пятая категория обеспечивает передачу данных при 100 МГц, так как имеет 4 витые пары, т.е. 8 проводников и учитывает перспективу перехода на высокие скорости передачи данных (Fast Ethernet 100Mbps 100Base-TX).
Экранированные кабели витой пары используются для линий внешней прокладки (подвески), а неэкранированные кабели витой пары используются для линий, находящихся в нутрии помещений. Использование таких кабелей учитывает перспективу перехода на высокие скорости передачи данных (Fast Ethernet 100Mbps 100Base-TX).
В общей сети УАТХ функционирует около сорока рабочих станций, которые распределены особым образом.
Разбиение сети на различные участки (VLAN) необходимо для разграничения предаваемого трафика, что повысит безопасность, а также поставит барьер на пути широковещательного трафика.
Разработчики для изоляции от других элементов ЛВС выделены в отдельный VLAN и подключены к Коммутатору1. Серверная, в котором находятся сервера БД и Контроллер д, и администраторская выделены в отдельный VLAN и подключены к Коммутатору2.
Отделы подключены в отдельный VLAN с помощью Коммутатора6 т.к. они работают с одним набором данных, а также для разграничения сетевого трафика между другими элементами сети. Рассмотрим данный сегмент более подробно. Производственно-технический отдел (ПТО) подключен к Коммутатору3. Отдел эксплуатации (ОЭ) подключен к Коммутатору4. Начальство, в том числе и главный инженер, подключено к Коммутатору5.
Управляющая сеть выделена в отдельный третий VLAN. Маршрутизатор подключен к Коммутатору7 и настроен для разграничения доступа в общую ЛВС.
Поскольку Коммутатор1, Коммутатор2 и Коммутатор6 соединены с Коммутатором7 через отдельные порты, то Маршрутизатор и Коммутатор7 составляют “Управляющую сеть”.
Данная структура с выделением ЛВС в виртуальные локальные сети приведена на схеме структуры сети ниже.
|
