Личный кабинетuser
orange img orange img orange img orange img orange img
Дипломная работаПраво и юриспруденция
Готовая работа №51092 от пользователя Успенская Ирина
book

Разработка безопасной сетевой инфраструктуры в управлении МВД России по городу УФЕ

2 050 ₽
Файл с работой можно будет скачать в личном кабинете после покупки
like
Гарантия безопасной покупки
help

Сразу после покупки работы вы получите ссылку на скачивание файла.

Срок скачивания не ограничен по времени. Если работа не соответствует описанию у вас будет возможность отправить жалобу.

Гарантийный период 7 дней.

like
Уникальность текста выше 50%
help

Все загруженные работы имеют уникальность не менее 50% в общедоступной системе Антиплагиат.ру

file
Возможность снять с продажи
help

У покупателя есть возможность доплатить за снятие работы с продажи после покупки.

Например, если необходимо скрыть страницу с работой на сайте от третьих лиц на определенный срок.

Тариф можно выбрать на странице готовой работы после покупки.

Не подходит эта работа?
Укажите тему работы или свой e-mail, мы отправим подборку похожих работ
Нажимая на кнопку, вы соглашаетесь на обработку персональных данных

содержание

Введение 3
1 Основы обеспечения сетевой безопасности 6
1.1 Общие понятия и принципы защиты сетевой инфраструктуры 6
1.2 Базовые меры на основе сетевого оборудования 10
1.3 Применение дополнительных мер 25
2 Сетевая инфраструктура УМВД России по г. Уфе 35
2.1 Организационно-правовая характеристика ОИТСиЗИ 35
2.2 Анализ состояния сетевой безопасности 38
3 Разработка безопасной сетевой инфраструктуры 46
3.1 Обоснование применения дополнительных механизмов защиты 46
3.2 Экономическое обоснование 50
Заключение 57
Список использованной литературы 60
Приложение А 66
Приложение Б 80
Приложение В 82

Весь текст будет доступен после покупки

ВВЕДЕНИЕ

В настоящее время, с развитием информационных технологий и все более широким использованием интернета в различных сферах жизни, становится все более актуальной проблема обеспечения безопасности сетевых инфраструктур.
С каждым днем количество угроз нарастает и становится труднее им противостоять компаниям и учреждениям. В связи с этим, возникает необходимость разработки и применения эффективных мер защиты, которые были бы способны обеспечить безопасность и надежность сетей и информационных систем.
Изучение проблем разработки безопасной сетевой инфраструктуры как никогда актуально в современном мире, особенно для органов МВД России. В связи с постоянным ростом киберугроз и киберпреступлений становится все сложнее обеспечить безопасность информационных технологий и систем, используемых МВД России. Одной из ключевых проблем является наличие уязвимостей в инфраструктуре, способных быть использованы киберпреступниками для получения доступа к защищенной информации.
Другой важной проблемой является быстрая адаптация к технологическим изменениям, угрозам и в недостаточной квалификации сотрудников МВД в области информационной безопасности. На фоне быстрого развития технологий, необходимо не только закупать новое оборудование и программное обеспечение, но также поддерживать высокий уровень квалификации сотрудников, занимающихся информационной безопасностью, чтобы обеспечить превентивные меры безопасности.
Таким образом, проблемы безопасной разработки сетевой инфраструктуры являются крайне важными для обеспечения безопасности деятельности МВД России в сфере информационных технологий.
В данной работе будет рассмотрен текущий уровень проблем, связанных с разработкой безопасной сетевой инфраструктуры, а также предложены методы и решения для их решения.

Весь текст будет доступен после покупки

отрывок из работы

Сетевая инфраструктура, сервисы и данные, которые содержатся в устройствах, подключенных к сетям, представляют собой важные личные и корпоративные активы.
Под сетевой безопасностью подразумевается обеспечение защиты данных в момент передачи по каналам связи в сетевой инфраструктуре и ее защита от несанкционированного доступа. Обеспечение безопасности инфраструктуры сети включает в себя физическую защиту всех устройств, которые необходимы для сетевых подключений, и предотвращение несанкционированного доступа к установленному на них ПО управления .
Нужно понимать, что защита должна осуществляться на каждом уровне топологии сети будь это модель OSI или самая известная и практикующая модель стека TCP/IP на рисунке 1.

Рисунок1 - Сравнение модели OSI и стека TCP/IP

Основной целью безопасности сетевой инфраструктуры являются конфиденциальность, целостность и доступность.
Конфиденциальность – это гарантия, что информация может быть прочитана и проинтерпретирована только теми людьми и процессами, которые авторизованы это делать. Обеспечение конфиденциальности включает процедуры и меры, предотвращающие раскрытие информации неавторизованными пользователями. Информация, которая может считаться конфиденциальнои?. Примером может являться почтовое сообщение, которое защищено от прочтения кем бы то ни было, кроме адресата .
Целостность – это гарантирование того, что информация остается неизменнои?, корректнои? и аутентичнои? в процессе передачи. Обеспечение целостности предполагает предотвращение и определение неавторизованного создания, модификации или удаления информации. Примером могут являться меры, гарантирующие, что почтовое сообщение не было изменено при пересылке.
Доступность – это гарантирование того, что авторизованные пользователи могут иметь доступ и работать с информационными активами, ресурсами и системами, которые им необходимы, при этом обеспечивается требуемая производительность. Обеспечение доступности включает меры для поддержания доступности информации, несмотря на возможность создания помех, включая отказ системы и преднамеренные попытки нарушения доступности. Примером может являться защита доступа и обеспечение пропускнои? способности почтового сервиса .
Уязвимость – слабое место в системе, с использованием которого может быть осуществлена атака.
Общей уязвимостью, существующих как в проводных, так и в беспроводных сетях, является «несанкционированный доступ» к сети, так как злоумышленник может подключить свое устройство к сети через незащищенный порт сетевого оборудования.
Угроза – это потенциально возможное событие, явление или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба.
Риск – вероятность того, что конкретная атака будет осуществлена с использованием конкретнои? уязвимости. В конечном счете, каждая организация должна принять решение о допустимом для нее уровне риска. Это решение должно наи?ти отражение в политике безопасности, принятои? в организации .
Атака - это любое действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы.
Классификация сетевых атак подразделяется на следующие варианты по механизму реализации:
1. Пассивное прослушивание. Механизм, при котором со стороны нарушителя не производится каких-либо активных действий (например, в сеть вообще не передается какой-либо трафик). Поэтому обнаружение таких атак – сложная задача. Пример: перехват трафика сетевого сегмента и последующий поиск в нем конфиденциальной информации. Кстати, один из методов сбора информации о сети (так называемый «passive fingerprinting») основан на анализе перехватываемого трафика. В этом случае цель – построить карту сети, сделать предположение о роли в сети отдельных узлов, определить установленные на них операционные системы ;
2. Подозрительная активность, сканирование. Этот механизм, как правило, используется для сбора информации о предполагаемом объекте атаки (топология сети, активные хосты и их операционные системы, номера версий для всего обнаруженного ПО). Но, в отличие о предыдущего механизма, подразумевает какие-то действия со стороны нарушителя. Пример: сканирование портов (служб) объекта атаки, попытки определения операционной системы путем анализа стека TCP/IP, появление в сети нестандартных пакетов (нетипичный размер, неиспользуемый протокол и т. д.). Использование данного механизма в большинстве случаев легко может быть обнаружено;
3. Бесполезное расходование вычислительного ресурса. Для этого механизма характерно отсутствие уязвимости, послужившей причиной атаки (особенность проектирования). Пример: исчерпание ресурсов атакуемого узла путем выполнения многократных подключений к нему с использованием ложного адреса отправителя. Часто этот механизм называют «отказ в обслуживании» (DDoS-атака) ;
4. Нарушение навигации (создание ложных объектов и маршрутов), подмена доверенного объекта сети (spoofing). Изменение маршрута сетевых пакетов таким образом, чтобы они проходили через узел нарушителя, изменение соответствия информации различных уровней стека TCP/IP. Пример: ARP-spoofing, DHCP snooping, IP snooping, MAC-spoofing;
5. Выведение из строя. Механизм, направленный на выключение какой-либо службы, вызов перезагрузки узла и т. п. В отличие от бесполезного расходования вычислительного ресурса, здесь основная причина – ошибки реализации (т. е. к выведению из строя приводят не многократные подключения, а посылка специальным образом построенного запроса). Пример: посылка запроса определенного типа на атакуемый узел, приводящая к отказу узла или работающей на нем службы (WinNuke и др.);
6. Запуск кода на объекте атаки. При использовании этого механизма на объекте атаки запускается программа (присутствующая в памяти или загруженная с диска). Пример: передача управления враждебной программе путем переполнения стека, выполнение вредоносного мобильного кода, встроенного в Web-страницу.
1.2 Базовые меры на основе сетевого оборудования
Прежде чем прибегать к таким средствам защиты как: системы мониторинга и управления инцидентами/анализа трафика (SIEM/NTA), обнаружения утечки данных (DLP), обнаружения/предотвращения вторжений (IDS/IPS). Нужно задуматься какими меры можно предпринять своими усилиями для построения или укрепления сетевой безопасности, отсюда следует фундамент безопасности – это грамотно построенная архитектура сети и настроенное сетевое оборудование, а также правильно выстроенный процесс сопровождения сети.
Основными базовыми мерами для сетевой безопасности являются:
- контроль доступа (ИАФ, ACL, ограничение, защита удаленного доступа);
- отказоустойчивые механизмы;
- резервное копирование;
- сегментация сети;
- применение антивирусов, межсетевых экранов;
- создание DMZ-зон, включающая в себя защиту почтовых серверов
- port-security;
- использование VPN.
Разберем каждую меру подробно. Контроль доступа разделяется на:
- ограниченный доступ;
- защиту границ сети .
Ограниченный доступ реализуется такими процедурами как идентификация, аутентификация, авторизация.
Защита границ сети подразумевает фильтрацию доступа из сетей, конечных точек (АРМ), за это в основном отвечает межсетевой экран.
Ограничение доступа к сетевым устройствам играет немаловажную роль, является одним из первых шагов для реализации сетевой безопасности. Так как компрометация сетевых устройств приводит к выходу из строя сети. Можно использовать современные технологии для комплексной безопасности сети, так и для отдельных серверов и приложений, но забывать о таком важном аспекте как контроль доступа и авторизация, категорически не стоит. Как, например, нельзя оставлять без внимания пользовательский режим на сетевых устройствах.
Злоумышленники могут получить доступ к консоли и узнать информацию о сети, такую как ip-адреса, модели устройств и их версии прошивки, даже не зная пароль от привилегированного режима, используя пользовательский режим. Причина заключается в том, что версии прошивки могут иметь известные уязвимости, о которых злоумышленники могут знать. Также, не стоит рассчитывать на ограничение через удаленный доступ, поскольку проведенный выше пример может быть реализован физически, например, в самом серверном помещении. Злоумышленники имеют задачу создания своих настроек для удаленного подключения и могут пройти дальше пользовательского режима.
Здесь речь идет о правильном зашифрованном пароле. В некоторых сетевых устройствах используется алгоритм MD5-хеш, который обеспечивает повышенную безопасность. Этот алгоритм представляет собой одностороннюю функцию хеширования, что делает невозможным восстановление исходного пароля при наличии только хеш-значения. Данный алгоритм представляет собой удобный и эффективный способ предотвращения попыток несанкционированного доступа к сетевым ресурсам.
Для эффективной защиты сети, в которой присутствует большое количество устройств и пользователей, рекомендуется использование централизованной аутентификации. Данный подход может быть реализован с помощью технологий RADIUS и Kerberos, которые позволяют хранить пользовательскую информацию в едином месте и хорошо интегрированы с системами управления учетными записями. К примеру, в Astra Linux ALD-pro имеется возможность настройки данных технологий, таких как LDAP, Kerberos 5 и CIFS.
Ограничение доступа к оборудованию также можно реализовать следующими способами:
1. Out-of-band (СОВ) - управление сетью по выделенному каналу, когда управляющий трафик изолируется от пользовательского. При этом не обязательно под управляющим трафиком понимается SSH или Telnet сессия, но и такой трафик, работающий с протоколами SNMP и Log.
Существуют два способа изолировать трафик от общего:
- физически – это когда маршрутизаторами и коммутаторами можно управлять через выделенный порт – management port (mgmt). Отсюда следует, что сетевым оборудованием может управлять только тот АРМ, находящийся физически в управляющейся сети;
- логически - управляющии? трафик отделяется от пользовательского посредством выделения в отдельныи? логическии? сегмент - VLAN. Но логическое изолирование не приемлимо в распределенной сети, если при этом невозможно «проникнуть» управляющий VLAN до удаленного порта.
2. In-band (IB) – управление оборудованием по общим каналам. Такой способ является часто используемым и подвергается несанкионированным доступам. Единственное решение такой проблемы – это использование списка контроля доступа.
Говоря о списках контроля доступа (Access Control List - ACL), то в данном случае подразумевается список с авторизованными пользователями, точнее имена их хостов или IP-адреса, к сетевым оборудованиям, многие из них могут быть настроены со списками доступа.
Списки контроля доступа – это сетевые фильтры, которые устанавливаются на интерфейсах маршрутизаторов. Списки доступа обеспечивают базовый уровень безопасности и определяют, к каким доменам сети открыт доступ, а к каким закрыт. Его можно использовать в случаях, когда нет возможности вынести управляющий трафик в VLAN.
Стоит отметить важность защиты удаленного доступа к оборудованию, так как это один из самых важных пунктов в любой политике безопасности.
По умолчанию используется протокол telnet, который использовать категорически не стоит, поскольку все данные передаются в открытом виде. Очевидное решение – это использование протокола SSH. Протокол создает виртуальный информационный канал между двумя устройствами. Существует две версии протокола: SSHv1, SSHv2. Рекомендуется использовать 2 версию так как он более безопасен засчет алгоритмов 3DES/AES .
Для удаленной защиты первое что необходимо сделать – это четко определить с каких компьютеров будет возможно удаленное подключение к устрои?ствам. Как правило это компьютер системного администратора. Разумеется IP-адрес этого компьютера должен быть статическим. При этом, если использовать в сети DHCP сервер, следует заранее зарезервировать данныи? адрес, чтобы он не был случаи?но выдан другому пользователю .
Не рекомендуется использовать удаленное подключение из сети интернет, даже если сессия использует такой защищенный протокол, как SSH. Гораздо безопаснее если организация VPN- соединения, где АРМ удаленного пользователя будет возможен доступ к оборудованию. Но надо иметь ввиду, что удаленное подключение не во всех организациях практикуется, если говорить о правоохранительных органах, то такой способ работы запрещен. Таким образом, если злоумышленник будет удаленно несанкционированно получать доступ к информации, необходимо в правильно настроить списки контроля доступа
Следующая базовая мера сетевой безопасности - это аутентификация. Если в сети используется больше 10 АРМ, то необходимо использовать AAA- сервер (Аутентификация, авторизация, учет). Перечислим его преимущества:
1. Удобное администрирование, простое добавление нового пользователя. Безопасность учетных записеи?. В случае с локальнои? базои? пользователеи? (login local), при несанкционированном доступе к устрои?ству, злоумышленник потенциально получает доступ ко всем паролям, которые как правило одинаковы для всех коммутаторов и маршрутизаторов. При использовании AAA-сервера, все пароли хранятся централизованно, а на устрои?ствах отсутствуют какие-либо записи. Здесь есть и свои нюансы. Если злоумышленник сможет получить доступ к AAA-серверу, то вся сеть окажется скомпрометирована. Поэтому безопасность AAA-серверу тоже необходимо уделять ;
2. Простота соблюдения парольнои? политики. Смена паролей (обязательна согласно парольной политике) занимает малость во времени.
Процесс работы с AAA-сервером выглядит следующим образом:
1. Пользователь пытается подключиться к маршрутизатору по telnet или ssh;
2. Маршрутизатор запрашивает у пользователя учетные данные - username и password;
3. Пользователь вводит свои учетные данные;
4. Маршрутизатор обращается к серверу AAA с вопросом: «Разрешать доступ этому пользователю?». Далее передает введенные данные;
5. ААА-сервер ищет учетные данные пользователя. Находит (или нет) их. В данном случае пользователь прошел (или не прошел) аутентификацию (authentication);
6. ААА-сервер также находит уровень привилегии? для данного пользователя, которыи? определяет его права. Это уже авторизация (authorization);
7. Маршрутизатору дается ответ: «Можно пустить этого пользователя с уровнем привилегии? Х?», где Х - от 0 до 15;
8. Маршрутизатор разрешает пользователю доступ к команднои? строке с определенным уровнем привилегии?.

Весь текст будет доступен после покупки

Список литературы

1. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 08.06.2020) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 08.06.2020) [Электронный ресурс] // КонсультантПлюс: справочно-правовая система / Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения 10.05.2023). – Текст: электронный.
2. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 24.04.2020) «О персональных данных» (с изм. и доп., вступ. в силу с 24.04.2020) [Электронный ресурс] // КонсультантПлюс: справочно-правовая система / Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения 10.05.2023). – Текст: электронный.
3. Постановление Правительства РФ от 01.11.2012 №1119 ««Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс] // КонсультантПлюс: справочно-правовая система / Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_61238/ (дата обращения 10.05.2023). – Текст: электронный.
4. Приказ ФСТЭК России от 11.02.2013 № 17 (ред. от 28.05.2019) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (Зарегистрировано в Минюсте России 31.05.2013 № 28608) [Электронный ресурс] // КонсультантПлюс: справочно-правовая система / Режим доступа: URL: http://www.consultant.ru/document/cons_doc_LAW_147084/ (дата обращения 10.05.2023). – Текст: электронный.
5. Приказ Управления МВД России по городу Уфе от 30.08.2017 г. № 1200 «Об утверждении положения об отделе информационных технологий, связи и защиты информации Управления МВД России по городу Уфе». URL: https://base.garant.ru/72120666/ (дата обращения 15.05.2023). – Текст: электронный.

Весь текст будет доступен после покупки

Почему студенты выбирают наш сервис?

Купить готовую работу сейчас
service icon
Работаем круглосуточно
24 часа в сутки
7 дней в неделю
service icon
Гарантия
Возврат средств в случае проблем с купленной готовой работой
service icon
Мы лидеры
LeWork является лидером по количеству опубликованных материалов для студентов
Купить готовую работу сейчас

не подошла эта работа?

В нашей базе 78761 курсовых работ – поможем найти подходящую

Ответы на часто задаваемые вопросы

Чтобы оплатить заказ на сайте, необходимо сначала пополнить баланс на этой странице - https://lework.net/addbalance

На странице пополнения баланса у вас будет возможность выбрать способ оплаты - банковская карта, электронный кошелек или другой способ.

После пополнения баланса на сайте, необходимо перейти на страницу заказа и завершить покупку, нажав соответствующую кнопку.

Если у вас возникли проблемы при пополнении баланса на сайте или остались вопросы по оплате заказа, напишите нам на support@lework.net. Мы обязательно вам поможем! 

Да, покупка готовой работы на сайте происходит через "безопасную сделку". Покупатель и Продавец финансово защищены от недобросовестных пользователей. Гарантийный срок составляет 7 дней со дня покупки готовой работы. В течение этого времени покупатель имеет право подать жалобу на странице готовой работы, если купленная работа не соответствует описанию на сайте. Рассмотрение жалобы занимает от 3 до 5 рабочих дней. 

У покупателя есть возможность снять готовую работу с продажи на сайте. Например, если необходимо скрыть страницу с работой от третьих лиц на определенный срок. Тариф можно выбрать на странице готовой работы после покупки.

Гарантийный срок составляет 7 дней со дня покупки готовой работы. В течение этого времени покупатель имеет право подать жалобу на странице готовой работы, если купленная работа не соответствует описанию на сайте. Рассмотрение жалобы занимает от 3 до 5 рабочих дней. Если администрация сайта принимает решение о возврате денежных средств, то покупатель получает уведомление в личном кабинете и на электронную почту о возврате. Средства можно потратить на покупку другой готовой работы или вывести с сайта на банковскую карту. Вывод средств можно оформить в личном кабинете, заполнив соответствущую форму.

Мы с радостью ответим на ваши вопросы по электронной почте support@lework.net

surpize-icon

Работы с похожей тематикой

stars-icon
arrowarrow

Не удалось найти материал или возникли вопросы?

Свяжитесь с нами, мы постараемся вам помочь!
Неккоректно введен e-mail
Нажимая на кнопку, вы соглашаетесь на обработку персональных данных