Построение системы обеспечения безопасности с заданными показателями качества отдела информатизации завода

ВВЕДЕНИЕ
Исследование вопросов эффективного обеспечения безопасности населения и предприятий в современных условиях является особенно актуальным в связи с ростом квалифицированных преступных посягательств, экономической нестабильностью, компьютерными преступлениями и промышленным шпионажем.
Решение задач построения системы обеспечения безопасности предприятия основано на применении комплекса технических средств защиты, которые должны зафиксировать приближение или начало действий различных угроз – от пожара и аварий до попыток проникновения на объект или в компьютерную сеть.
Таким образом, проектирование эффективной системы сигнализации с учетом программно-аппаратных средств ее защиты от обхода злоумышленником является актуальной и сложной многоплановой задачей, решение которой невозможно без глубоких и исчерпывающих знаний о структуре, функциональных возможностях и принципах работы системы.
Проектирование комплексных систем безопасности (КСБ) является одним из определяющих факторов, способных сократить убытки от наступления противоправных действий, чрезвычайных ситуаций, стихийных бедствий, а также расходы на устранение последствий указанных событий.
Таким образом, целью данного курсового проекта является исследование проблемы обеспечения безопасности предприятия за счет использования системы контроля и управления доступом, а также системы видеонаблюдения.
Для достижения поставленной цели курсового проекта необходимо решить следующие задачи:
1. Провести анализ основ построения систем обеспечения безопасности с использованием систем контроля и управления доступом, а также систем видеонаблюдения.
2. Провести анализ угроз безопасности объектов информатизации предприятия.
3. Провести выбор системы контроля и управления доступом.
4. Провести выбор системы видеонаблюдения.
5. Провести расчет стоимости подобного проекта.
 
1. Выбор и создание архитектуры сети
Архитектура локальной вычислительной сети включает в себя проводные и беспроводные соединения (по необходимости). В этом документе мы рассмотрим основные аспекты построения проводной сети предприятия.
Представленная архитектура является комплексом решений, которые необходимы для обеспечения безопасности, а также устойчивости и масштабируемости.
Главные цели планируемой архитектуры локальной вычислительной сети предприятия:
– Простота внедрения - развертывание решения в кратчайшие сроки.
– Гибкость и масштабируемость – модульная архитектура позволяет внедрять только те решения, которые необходимы в данный момент, с возможность последующего роста информационной инфраструктуры.
– Отказоустойчивость и безопасность – защита пользовательского трафика, отказоустойчивое исполнение гарантирующее стабильную работу сети даже во время различного рода воздействий.
– Простота управления – централизованное управление всей сетевой инфраструктурой.
– Готовность к новым технологиям – планируемая архитектура позволяет легкое внедрение новых технологий и сервисов (например, Cisco Collaboration).
Разбив архитектуру сети на модули можно сконцентрироваться на функционале каждого из них по отдельности, что существенно упрощает дизайн, внедрение и управление. Созданные модули, как детали конструктора, из которых вы можете собрать сеть, соответствующую вашим требованиям. Эти же детали можно применять повторно (репликация), сильно сокращая время проектирования. Принцип репликации (повторения) элемента упрощает масштабируемость сети и ускоряет ее развертывание. На рисунке 1 представлен процесс модернизации сети. Можно заметить, что масштабирование сводится к простому добавлению дополнительных модулей.

Рисунок 1 – Масштабируемость модульной сети
Иерархическая модель представляет собой фундамент для сетевой инфраструктуры: подключение пользователей, принтеров, сканеров, WAN маршрутизаторов, устройств безопасности, серверов и т.д. Иерархическая модель делит сеть на три основных уровня/модуля. Уровни иерархической модели:
– уровень доступа (Access Layer) – предоставляет пользователям или устройствам (принтер, сканер, ip-телефон) доступ к сети;
– уровень распределения (Distribution Layer) – агрегирует/объединяет уровни доступа и предоставляет доступ к различным сервисам предприятия;
– уровень ядра/базовый уровень (Core Layer) – агрегирует/объединяет уровни распределения в больших сетях.
Эти три уровня предоставляют различные функции и возможности. В зависимости от необходимости могут применяться один, два или все три уровня. Для огромных сетей, объединяющих несколько зданий необходимы все три уровня: уровень доступа, уровень распределения и уровень ядра.
Уровень доступа включает в себя следующие технологии защиты:
– DHCP-snooping – защищает пользователей от получения адреса от неизвестного DHCP-сервера, а также не позволяет злоумышленнику захватить все IP-адреса;
– IP Source guard – защита от IP spoofing-а, т.е. от подмены IP-адреса источника;
– Port security – устанавливается ограничение на кол-во MAC адресов, поступающих на порт коммутатора. Защищает от подмены MAC адреса и от атак, направленных на переполнение таблицы коммутации;
– Dynamic ARP inspection – защита от ARP spoofing-а, т.е. от перехвата трафика между компьютерами.
Уровень распределения обслуживает множество важных сервисов сети. Главной задачей уровня распределения является агрегация/объединение всех коммутаторов уровня доступа в единую сеть. Это позволяет существенно уменьшить количество соединений. Как правило, именно к коммутаторам распределения подключаются самые важные сервисы сети, другие модули сети: модуль сети Internet, модуль WAN сети, модуль дата-центра (рис. 2).

Рисунок 2 – Уровень распределения
Уровень распределения включает в себя следующие технологии защиты:
– контроль доступа – атаки на корпоративные ресурсы ограничиваются политиками безопасности (списки доступа);
– защита от IP-spoofing-а.
Дизайн больших сетей доступа обязывает использование уровня ядра. Главной задачей уровня ядра является агрегация/объединение всех коммутаторов уровня распределения в единую сеть. Это позволяет существенно уменьшить количество соединений.
Коммутаторы уровня ядра не должны выполнять каких-либо сложных действий. Их основная функция – это маршрутизация трафика между модулями сети. Уровень ядра это, как правило, два коммутатора, подключение к которым осуществляется только на третьем уровне модели OSI, т.к. время сходимости на L3 уровне гораздо меньше чем на L2.
Что касается угроз, то обеспечение безопасности не входит в основные задачи уровня ядра [10]. Основная и главная функция уровня ядра – это маршрутизация трафика.
К уровню ядра подключаются все модули сети (все коммутаторы уровня распределения). В общем виде схема подключения представлена на рисунке 3.

Рисунок 3 – Подключение модулей сети к уровню ядра
Трудно представить современную архитектуру сети доступа без наличия доступа к сети Internet. Огромное количество процессов завязаны на использование интернет ресурсов (web-сайты, электронная почта и т.д.). Именно для этого используется модуль сети Интернет (или, как еще его называют – Internet Edge). Модуль сети Интернет в свою очередь разбивается на несколько функциональных блоков, обеспечивающих работу определенных сервисов. Таким образом вероятный противник может внедрять данные блоки исходя из своих потребностей. Современный модуль сети Интернет должен включать в себя следующие функциональные блоки:
– межсетевой экран (МЭ) – осуществляет контроль доступа между различными сегментами сети (сегмент серверов, сегмент пользователей и т.д.), а также предоставляет другие сетевые сервисы, такие как NAT и организация DMZ;
– система предотвращения вторжений (IPS) – проверяет (инспектирует) трафик на предмет подозрительной и аномальной активности;
– удаленный доступ (Remote access или RA VPN) – предоставление безопасного удаленного доступа к локальным корпоративным ресурсам, не зависимо от местонахождения пользователя;
– защита электронной почты – защита от спама и писем, содержащих вредоносный код.
– веб-защита – контроль использования интернет ресурсов и обеспечение безопасности пользователя в сети Интернет.
Будем рассматривать задачу построения обеспечения безопасности предприятия следующими основными элементами: