Организация защиты информации в локальной вычислительной сети (на примере ОАО "Марийский машиностроительный завод")

Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.
Краткое сожержание материала:

Размещено на

Размещено на

АНО ВПО «МЕЖРЕГИОНАЛЬНЫЙ ОТКРЫТЫЙ СОЦИАЛЬНЫЙ ИНСТИТУТ»

Кафедра экономики и информационной безопасности

Специальность 090104

«Комплексная защита объектов информатизации»

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

на тему:

Организация защиты информации в локальной вычислительной сети (на примере ОАО «Марийский машиностроительный завод»)

Научный руководитель: доктор ф.-м. н.,

кандидат т.н., профессор А.Н. Леухин

Рецензент: к.т.н., доцент В.Н. Парсаев

Выполнил: студент 4 курса з/о

группы: КЗ 4СП А.А. Смелов

Йошкар-Ола, 2014

Содержание

Введение

1. Теоритическая часть организации защиты информации на предприятии

1.1 Организация компьютерной безопасности и защиты информации

1.2 Средства защита информации от несанкционированного доступа

1.3 Защита информации в компьютерных сетях

1.4 Криптографическая защита информации

1.5 Электронная цифровая подпись

1.6 Защита информации от компьютерных вирусов

1.7 Применение локальных вычислительных сетей

1.8 Характеристики локально-вычислительных сетей

1.9 Основные функции локально-вычислительных сетей

1.10 Разделение локальных сетей в зависимости от административных взаимоотношений между ЭВМ

1.11 Структуры функционирования локальных сетей

1.12 Способы построения локальных сетей

1.13 Монтаж локально-вычислительных сетей

1.14 Условия обработки персональных данных

2. Аналитическая часть исследования защиты ЛВС на ОАО «Марийский машиностроительный завод»

2.1 Краткая характеристика ОАО «Марийского машиностроительного завода»

2.2 Характеристика локально-вычислительной сети ОАО «Марийского машиностроительного завода»

2.3 Анализ возможных типов атак и модели нарушителя осуществляющего атаки на локальную сеть ОАО «Марийского машиностроительного завода»

3. Разработка мер и выбор средств обеспечения информационной безопасности локальной вычислительной сети ОАО «Марийский машиностроительный завод»

3.1 Организационные меры. Политика безопасности

3.2 Мероприятия по повышению защищенности ЛВС

3.3 Внедрение комплексной системы защиты информации

4. Экономическая часть. Оценка стоимости предлагаемых мер

4.1 Расчет затрат

4.2 Расчет заработной платы исполнителей

Заключение

Список использованной литературы

Приложения

Введение

Обеспечение информационной безопасности является сегодня одним из основных требований к информационным системам. Причина этого - неразрывная связь информационных технологий и основных бизнес-процессов в любых организациях, будь то государственные службы, промышленные предприятия, финансовые структуры, операторы телекоммуникаций.

Безопасность в сфере информационных технологий -- это комплекс мер, и она должна восприниматься как система. Компьютерная безопасность имеет различные аспекты, среди которых нельзя выделить более значимые или менее. Здесь важно все. Нельзя отказаться от какой-либо части этих мер, иначе система не будет работать.

Обеспечение внутренней информационной безопасности является не только российской, но и мировой проблемой. Если в первые годы внедрения корпоративных локальных сетей головной болью компаний был несанкционированный доступ к коммерческой информации путем внешнего взлома (хакерской атаки), то сегодня с этим научились справляться.

Анализ актуальных угроз конфиденциальной информации, на основе которого строится система информационной безопасности предприятия, начинается с понимания и классификации этих угроз. В настоящий момент теория информационной безопасности рассматривает несколько классификаций информационных рисков и угроз защиты информации. Мы остановимся на генерализированном разделении угроз информационной безопасности интеллектуальной собственности организации на две категории - внешние и внутренние угрозы. Данная классификация предусматривает разделение угроз по локализации злоумышленника (или преступной группы), который может действовать как удалённо, пытаясь получить доступ к конфиденциальной информации предприятия при помощи сети интернет, либо же действовать посредством доступа к внутренним ресурсам IT-инфраструктуры объекта.

Появление международного стандарта ГОСТ Р ИСО/МЭК 15408-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» явилось новым этапом в развитии нормативной базы оценки информационной безопасности в нашей стране.

Настоящий стандарт устанавливает структуру и содержание компонентов функциональных требований безопасности для оценки безопасности. Он также включает каталог функциональных компонентов, отвечающих общим требованиям к функциональным возможностям безопасности многих продуктов и систем ИТ.

В данной работе будет спроектирована система защиты информации локальной вычислительной сети на примере ОАО «Марийский машиностроительный завод».

1. Теоритическая часть организации защиты информации на предприятии

1.1 Организация компьютерной безопасности и защиты информации

Информация является одним из наиболее ценных ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных задач.

Безопасность информационной системы - это свойство, заключающее в способности системы обеспечить ее нормальное функционирование, то есть обеспечить целостность и секретность информации. Для обеспечения целостности и конфиденциальности информации необходимо обеспечить защиту информации от случайного уничтожения или несанкционированного доступа к ней.

Под целостностью понимается невозможность несанкционированного или случайного уничтожения, а также модификации информации. Под конфиденциальностью информации - невозможность утечки и несанкционированного завладения хранящейся, передаваемой или принимаемой информации.

Известны следующие источники угроз безопасности информационных систем:

- антропогенные источники, вызванные случайными или преднамеренными действиями субъектов;

- техногенные источники, приводящие к отказам и сбоям технических и программных средств из-за устаревших программных и аппаратных средств или ошибок в ПО;

- стихийные источники, вызванные природными катаклизмами или форс-мажорными обстоятельствами.

В свою очередь антропогенные источники угроз делятся:

- на внутренние (воздействия со стороны сотрудников компании) и внешние (несанкционированное вмешательство посторонних лиц из внешних сетей общего назначения) источники;

- на непреднамеренные (случайные) и преднамеренные действия субъектов.

Существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях:

- перехват информации;

- модификация информации (исходное сообщение или документ изменяется или подменяется другим и отсылается адресату);

- подмена авторства информации (кто-то может послать письмо или документ от вашего имени);

- использование недостатков операционных систем и прикладных программных средств;

- копирование носителей информации и файлов с преодолением мер защиты;

- незаконное подключение к аппаратуре и линиям связи;

- маскировка под зарегистрированного пользователя и присвоение его полномочий;

- введение новых пользователей;

- внедрение компьютерных вирусов и так далее.

Для обеспечения безопасности информационных систем применяют системы защиты информации, которые представляют собой комплекс организационно - технологических мер, программно - технических средств и правовых норм, направленных на противодействие источникам угроз безопасности информации.

При комплексном подходе методы противодействия угрозам интегрируются, создавая архитектуру безопасности систем. Необходимо отметить, что любая системы защиты информации не является полностью безопасной. Всегда приходиться выбирать между уровнем защиты и эффективностью работы информационных систем.

К средствам защиты информации ИС от действий субъектов относятся:

- средства защита информации от несанкционированного доступа;

- защита информации в компьютерных сетях;

- криптографическая защита информации;

- электронная цифровая подпись;

- защита информации от компьютерных вирусов.

1.2 Средства защита информации от несанкционированного доступа

Получение доступа к ресурсам информационной системы предусматривает выполнение сразу трех процедур: идентификация, аутентификация и авторизация.

Идентификация -...