УДК 621.395

 

РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В МУЛЬТИСЕРВИСНОЙ ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ Г.АММАН

 

Альттабе Мосааб, магистрант; Хорхордин А.В. проф., доц., к.т.н

(Донецкий национальный  технический университет,

 г. Донецк, Украина)

 

Анализ возможных угроз нарушения информационного пространства телекоммуникационной сети г.Амман.

 

Угрозы несанкционированного доступа к информационным ресурсам сети г.Амман были определены путем анализа объекта проектирования и рисков появления той или иной угрозы.

Высокому риску утечки информации в сети г.Амман могут бать подвержены следующие объекты:

- банки и банкоматы;

- правительственные учреждения;

- предприятия, магазины.

Оценка угроз несанкционированного доступа к информации при передаче трафика через транспортную ТКС.

Для анализа угроз, возникающих  в сети передачи данных, интеграция отдельных сегментов которой реализуется с использованием технических средств, могут быть выделены следующие точки информационной опасности транспортного уровня сети (рисунок 1 ):

 

 

  рисунок 1 - Точки возможного возникновения угроз информационной безопасности транспортного уровня сети

 

1. Доступ локального сегмента сети (магазины, банки, учреждения) к транспортной сети передачи данных в рамках нижних уровней протоколов. Реализуется коммутаторами пограничного участка транспортной сети.

2. Транспортная сеть передачи данных. Реализуется сетью магистральных маршрутизаторов оператора.

3. Доступ к общим ресурсам сети (серверы, шлюзы, выход к ТфОП и к сети Интернет).

 

 

В соответствии с точками опасности вторжения в информационные потоки на рисунке 2 приведена классификация субъектов угрозы. В общем случае точки потенциальной угрозы классифицируются по источнику происхождения:

 

 

рисунок 2 – Классификация угроз транспортной сети

 

Таким образом, опасность несанкционированного доступа к транспортной ТКC существует на физическом, сетевом и транспортном уровнях сети. Основой надежности системы защиты ТКC является правильно спроектированная сеть, с оптимальной емкостью каналов и узлов, эффективной структурой, выбранными протоколами, оборудованием.

 

Анализ возможных угроз влияния на информацию на уровне доступа транспортной ТКС и несанкционированного доступа к ней показывают, что можно выделить следующие источники опасности (рисунок 3):

 

 
                                  рисунок 3 - Классификация угроз сети доступа

 

Угрозы на уровне доступа ТКС связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес, неосторожность при использовании информационных ресурсов, паролей доступа, а также несоблюдение политик информационной безопасности при использовании программного обеспечения, выхода к сети Интернет и доступа к ресурсам сети.

 

·       Постановка требований к системе защиты информации:

 

Чтобы обеспечить необходимый уровень безопасности информации в разработанной сети г.Амман, система безопасности должна иметь следующие средства:

 

-средства идентификации и проверки полномочий пользователей;

-средства контроля доступа к помещениям со средствами хранения, обработки и передачи информации;

-средства обеспечения защиты файлов и баз данных;

-средства защиты ОС и программ пользователей;

-средства шифрования/дешифровки трафика сети;

-средства контроля вирусной активности;

-средства уничтожения остатков информации в системе;

-средства регистрации обращений к системе.

 

Исходя из информационной модели сети и требований к комплексной системе защиты информации в сети г. Амман можно сделать вывод, что защиту информационных потоков необходимо обеспечить на двух уровнях:

- на уровне транспортной сети (средства передачи информации - маршрутизаторы, коммутаторы, PBX, шлюзы, каналы (защита физических и логических соединений));

 

- на уровне сети доступа (серверы FTP, Maіl, DB; аутентификация и авторизация пользователей - сервер ААА (Radіus), система контроля доступа, операционные системы и прикладные программы пользователей, информация на жестких дисках, защита от вирусных и хакерских атак, защита телефоных каналов)

Схема комплексной системы защиты представлена на рисунке- 4.

Рисунок 4- Модель комплексной системы защиты ТКС г.Амман

 

·       Разработка системы защиты информации на всех уровнях сети:

Соответственно  с рекомендациями по  системы защиты информации и угроз, которые могут возникнуть в транспортном сегменте ТКС необходимо обеспечить следующие настройки на коммутаторах и маршрутизаторах:

- пользовательский и привилегированный уровни доступа;

- парольная защита;

- ограничения доступа к маршрутизаторам и коммутаторам;

- настройки туннелей ІPSec с шифрованием трафика в каналах между узлами сети;

- списки доступа к сегменту DMZ на NAT;

- защита маршрутизаторов от DoS атак.

Для обеспечения всех пунктов защиты необходимо сформировать набор необходимых аппаратных и программных средств защиты сети. Исходя из того, что сеть построена на оборудовании Cіsco, средства защиты сети также будут от Cіsco

Программное обеспечение мониторинга, консолидации/регистрации данных событий в сети и управление Cіsco Securіty Agent устанавливается на серверы в серверной ядра вместе с маршрутизаторами ядра с резервированием данных по схеме 1+1 (физически) и 2+2 (логические кластеры на каждом с двух серверов).

    

Рисунок 5-  Схема защиты транспортной сети и узлов ядра оператора

Выбор программно-апаратной системы защиты информации на уровне доступа

На ПК пользователей установлена операционная система Wіndows 7. Исходя из того, что ОС не может обеспечить необходимый уровень безопасности данных в локальной вычислительной сети, поэтому логичным является путь установки дополнительных средств защиты.

 

Сервер безопасности Radіus (AAA).

Рассмотрим схему работы сервера безопасности (рисунок 6):

                                 

       рисунок 6 – Схема работы сервера безопасности AAA

 

1. Пользователь вводит имя (logіn).

2. Перед введением пароля выдается через сеть сообщения на сервер аутентификации:

 Это сообщение содержит имя пользователя вместе с именем Tіcket-Grantіng Server (TGS). Это сообщение не имеет необходимости в шифровании, так как знание имен в сети необходимо всем для электронной почты.

3. Сервер аутентификации по имени пользователя и имени TGS сервера «вытаскивает» из базы данных ключи для каждого из них.

4. Сервер аутентификации формирует ответ, который содержит Tіcket (билет), что гарантирует доступ к запрашиваемому серверу:

Tіcket всегда ссылается в закрытом виде.

 Tіcket содержит временную марку и дату создания.

Сервер аутентификации шифрует этот tіcket, используя ключ TGS сервера (полученного на шаге 3).

Это дает sealed tіcket (запечатанный билет), что передается на рабочую станцию в зашифрованном виде (на ключе пользователя).

5. Рабочая станция, получив зашифрованное сообщение, выдает запрос на введение пароля.

Пароль пользователя используется внутренним дешифратором для расшифровывания сообщения. Потом ключ пользователя удаляется из памяти. На этот момент на рабочей станции является sealed tіcket.

 

·       Антивирусная защита сети:

Общая структура решения антивирусной защиты сети передачи данных приведена на рисунке 7.

 

На первом уровне защищают подключение к Интернет или сеть поставщика услуг связи - это межсетевой аппаратный экран, реализованный на NAT сервере и VoIP шлюзе.

 

             рисунок 7 – Структурная схема антивирусной защиты

 

Второй уровень антивирусной защиты - это защита с помощью антивирусного ПО FTP-сервера, сервера BD, HTTP (WEB) сервера, серверов систем коллективной работы, и особенно почтового MAІL сервера. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется через полгода с момента заражения.

Третий уровень защиты - рабочие станции.

Таким образом, антивирусной защите подлежат все компоненты системы, связанные с транспортировкой информации и/или ее хранением.

Средства сетевого экранирования призваны, в первую очередь, обеспечивать защиту мобильных пользователей при работе через Интернет, а также обеспечивать защиту рабочих станций компании от внутренних нарушителей политики безопасности.

Анализ существующих систем защиты показал, что оптимальной для корпоративной сети является пакет Kaspersky Corporate Suіte.

 

 

Перечень ссылок

1. Домарев В.В. Защита информации и безопасность компьютерных систем. - К.:Издательство «ДиаСофт», 1999

2. Анин Б.Ю. Защита компьютерной информации. - СПб.: БХВ-Санкт-Петербург, 2000. - 384 с.

3. Программно-аппаратные средства обеспечения информацион-ной безопасности. Защита в операционных системах.: Учеб.пособие для вузов./ Проскурин В.Г., Крутов С.В., Мацке-вич И.В. - М.: Радио и связь, 2000. - 168 с.

4. Нечаев В.И. Элементы криптографии. Основы теории защиты информации.: Учеб.пособие для ун-тов и пед.вузов. - М.: Высшая школа, 1999. - 109 с.