Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Меры по разграничению доступа

Читайте также:
  1. Глазные сигналы доступа
  2. Глазные сигналы доступа (ГСД)
  3. Диаграмма № 2. Глазные сигналы доступа
  4. Иные сигналы доступа
  5. Каналы доступа к сознанию
  6. Ключи доступа
  7. Концепция построения систем разграничения доступа

Обеспечение мер по разграничению доступа и защите конфиденциальных данных производится согласно классу FOA (пользовательские активы).

Матрица доступа (таблица 4) будет определять порядок доступа с соответствующими правами на запись (W), чтение (R), и полный доступ (RWX) к информации различных пользователей в сети.

 

Таблица 4. Матрица доступа

Сотрудники Хранилище Руководства Хранилище Отдела Кадров Хранилище Бухгалтерии Хранилище Отдела Сбыта Хранилище Конструкторского Бюро
Генеральный директор RWX R R R R
Бухгалтерия - R RWX R R
Отдел кадров - RWX - - -
Отдел сбыта - R - RWX R
Сотрудники ИТ RWX* RWX* RWX* RWX* RWX*
Конструкторское бюро - R - R RWX

 

* - сотрудники ИТ отдела имеют полный доступ, только при согласовании с руководителями структурных подразделений.

 

3.2 Обеспечение мер безопасности на уровне сетевых сервисов

 

Развертывание прокси-сервера Squid на FreeBSD

Для реализации нижеизложенных требований, в качестве подсистемы фильтрации контента выбран прокси-сервер Squid.

Подсистема фильтрации контента должна:

– предотвращать утечку ценной конфиденциальной информации из ЛВС по протоколам HTTP, FTP и SMTP путем ее блокирования и задержания до утверждения отправки руководством;

– обеспечивать увеличение производительности труда сотрудников путем уменьшения рекламы, рассылок и прочих, не имеющих отношения к делу, сообщений. Обнаружение спама, рассылаемого и получаемого сотрудниками предприятия;

– обеспечивать помощь в выявлении неблагонадежных сотрудников, рассылающих свои резюме и посещающих Web-сервера в поисках работы;

– обеспечивать контроль электронной почты, работающей через WEB-интерфейсы;

– обеспечивать русскоязычный поиск и фильтрацию почтовых сообщений;

– обеспечивать контроль использования корпоративного выхода в Интернет в личных целях;

– разграничивать доступ сотрудников предприятия к интернет-ресурсам и обеспечивать блокирование обращений к нежелательным сайтам;

– вести журнал доступа пользователей к интернет-ресурсам (модуль SARG).

 

Реализация разграничения и фильтрации контента:

- для всех сотрудников ограничен доступ в Интернет вне рабочее время;

- для всех сотрудников (кроме директора и ИТ отдела) блокированы ресурсы с нежелательным содержанием;

- для всех сотрудников (кроме директора и ИТ отдела) предоставляется доступ к Интернет только после авторизации, с ведением журнала;

- в случае обнаружения неправомерного использования интернет-ресурсов, перекрыть доступ, и провести разъяснительную работу.

 

3.3 Обеспечение мер безопасности на уровне баз данных

 

Классическая схема защиты баз данных (БД) подразделяется на следующие обязательные процедуры, описанные в классе FOS (системы ИТ), класс FOA (пользовательские активы):

– защита доступа – доступ к данным может получить пользователь, прошедший процедуру идентификации и аутентификации;

– разграничение доступа — каждый пользователь, включая администратора, имеет доступ только к необходимой ему согласно занимаемой должности информации;

– шифрование данных — шифровать необходимо как передаваемые в сети данные для защиты от перехвата, так и данные, записываемые на носитель, для защиты от кражи носителя и несанкционированного просмотра/изменения нештатными средствами системы управления БД (СУБД);

– аудит доступа к данным — действия с критичными данными должны протоколироваться. Доступ к протоколу не должны иметь пользователи, на которых он ведется;

Всеми перечисленными функциями безопасности в той или иной мере оснащены СУБД и приложения 1С:Предприятие 8.

Разграничение доступа осуществляется в соответствии с матрицей доступа (см. таблицу 4).

 

3.4 Обеспечение мер безопасности на уровне сетевого оборудования

 

Меры по обеспечению безопасности на уровне сетевого оборудования регламентируется согласно классу FOP (инфраструктура и оборудование).

Для построения корпоративной сети в основе лежит «звезда». Она является одной из наиболее распространённых топологий. «Звезда» организуется с явно выделенным центром, к которому подключаются все остальные абоненты. Никакие конфликты в сети с топологией «звезда» невозможны, так как управление полностью централизовано. В основном используется в сетях, где носителем выступает кабель витая пара UTP категории 3 или 5 (в нашем случае UTP Cat5e).

Достоинства топологии «Звезда»:

– выход из строя одной рабочей станции не отражается на работе всей сети в целом;

– хорошая масштабируемость сети;

– лёгкий поиск неисправностей и обрывов в сети;

– высокая производительность сети (при правильном проектировании);

– гибкие возможности администрирования.

 

Недостатки топологии «Звезда»:

– выход из строя центрального коммутатора обернётся неработоспособностью сети (или сегмента сети) в целом;

– для прокладки сети требуется больше кабеля, чем для большинства других топологий;

– конечное число рабочих станций в сети (или сегменте сети) ограничено количеством портов в центральном концентраторе.

В качестве базового сетевого протокола в корпоративной сети используется протокол TCP/IP.

В адресном пространстве используется сеть класса С – 192.168.0.0/24 определенная документом IETF RFC 1597 для частных IP-сетей.

Используемая схема распределения адресного пространства маркируется следующим образом 192.168.x.y, где: x – номер кабинета; y – номер устройства.

Чтобы уменьшить загрузку серверной машины и рабочих станций, ограничения доступа в интернет, упрощения поиска и устранения неполадок, установить на все компьютеры статические IP-адреса.

Установка коммутаторов D-Link

В качестве коммутатора выбран неуправляемый коммутатор фирмы D-Link DES-1050G

Данный коммутатор имеет металлический 19” корпус, подходящий для закрепления в монтажные шкафы и стойки. Наличие 48-х портов 10/100 Мбит/с для подключения рабочих станций и двух гигабитных портов для подключения серверов позволяют удовлетворить потребности в большой пропускной способности сети и снизить время отклика.

 


Дата добавления: 2015-10-13; просмотров: 180 | Нарушение авторских прав


Читайте в этой же книге: Общие сведения | Анализ угроз информационной безопасности | Идентификация риска | Класс FOS: системы ИТ | Класс FOP: инфраструктура и оборудование | Генеральный директор |
<== предыдущая страница | следующая страница ==>
Организационное обеспечение информационной безопасности| Установка аппаратного межсетевого экрана D-Link

mybiblioteka.su - 2015-2024 год. (0.008 сек.)