ChSTU repository
ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets
Learn More
Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/8665| Title: | Дослідження системи захисту комп'ютерної мережі ТОВ "Діамаст" |
| Authors: | ШУВАЛОВА, Людмила КУЦЕНКО, Вячеслав |
| Keywords: | КОМП’ЮТЕРНА МЕРЕЖА;ОРГАНІЗЦІЙНА СТРУКТУРА;ТОПОЛОГІЯ КОМП’ЮТЕРНОЇ МЕРЕЖІ;ЗАСОБИ ЗАХИСТУ МЕРЕЖІ;МЕРЕЖЕВЕ ОБЛАДНАННЯ |
| Issue Date: | 2023 |
| Abstract: | Кваліфікаційна робота магістра містить пояснювальну записку на 75 сторінках, 11 рисунків, 1 таблицю. Її структура включає: вступ, 4 розділи, висновки, список скорочень та умовних позначень, список використаних джерел на 4 сторінках та додатки на 2 сторінках. Актуальність теми дослідження обумовлена тим, що на перший план, поряд з питанням ефективної обробки та передачі інформації, вийшло найважливіше питання забезпечення інформаційної безпеки. В роботі багатьох сучасних підприємств порушення безпеки в системах передачі та обробки інформації призводять до значних збитків. Наслідки несанкціонованого доступу до інформації варіюються від нешкідливих пустощів до масштабних економічних втрат і банкрутства компанії.Тому дослідження та розробка систем захисту інформації в комп’ютерних мережах має велике теоретичне та практичне значення. Мета і задачі дослідження. Метою дослідження є забезпечення захисту комп’ютерної мережі від несанкціонованого доступу та надійної передачі даних шляхом розробки проекту системи захисту комп’ютерної мережі для ТОВ «Діамаст». Для досягнення мети кваліфікаційної роботи потрібно вирішити наступні задачі: визначення основних методів захисту інформації; проведення огляду та аналізу існуючих систем захисту комп’ютерних мереж підприємств; проведення аналізу організаційної структури підприємства і на його основі розробка схеми інформаційних потоків; проведення дослідження топології комп’ютерної мережі підприємства; визначення методів та засобів для реалізації системи захисту комп’ютерної мережі; проведення розрахунків параметрів мережі. Об'єктом дослідження є процес синтезу проекту системи захисту комп’ютерної мережі ТОВ «Діамаст». Предметом дослідженняє загальна модель синтезу системи захисту комп’ютерної мережі підприємства. Наукова новизна дослідження, проведеного ході виконання магістерської кваліфікаційної роботи, полягає в розробці загальної моделі синтезу системи захисту комп’ютерної мережі підприємства, яка побудована на основі дослідження структури підприємства. Практичне значення отриманих результатів полягає у підвищенні рівня захисту мережі підприємства від несанкціонованого доступу шляхом створення функціональної моделі комп’ютерної мережі підприємства, вжиття заходів щодо захисту конфіденційних даних від крадіжки, побудови систем захисту комп’ютерної мережі підприємства та підвищення надійності передачі даних. |
| URI: | https://er.chdtu.edu.ua/handle/ChSTU/8665 |
| Appears in Collections: | 123 Комп’ютерна інженерія (Комп'ютерні системи та мережі) |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| 1_ТИТУЛКА___Куценко-merged.pdf Restricted Access | 2.84 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І СИСТЕМ
КАФЕДРА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА КОМП’ЮТЕРНОЇ ІНЖЕНЕРІЇ
Пояснювальна записка
до кваліфікаційної роботи магістра
на тему: «Дослідження системи захисту
комп'ютерної мережі ТОВ "Діамаст"»
ЧДТУ.232283.008 ПЗ
Виконав: студент 2 курсу, групи МКМ-2205
спеціальності 123 – Комп’ютерна інженерія
за освітньою програмою – Комп’ютерні системи
та мережі
Вячеслав КУЦЕНКО
Керівник
к.т.н., доцент
Людмила ШУВАЛОВА
Н. контроль
Світлана ГРЕСЬКО
Рецензент
директор ТОВ «БРОКЕР УКРАЇНА», к.т.н
Олексій СЛИВЕНКО
«ЗАХИСТ ДОЗВОЛЯЮ»
Завідувач кафедри ІБ та КІ
д.т.н., професор ___________ Віра БАБЕНКО
Черкаси 2023 року
Форма № Н-9.01
Черкаський державний технологічний університет
Факультет інформаційних технологій і систем
Кафедра інформаційної безпеки та комп‘ютерної інженерії
Освітньо-кваліфікаційний рівень Магістр
Спеціальність 123 – Комп’ютерна інженерія
Освітня програма Комп’ютерні системи та мережі
«ЗАТВЕРДЖУЮ»
Завідувач кафедри _____ Володимир РУДНИЦЬКИЙ
«10» жовтня 2023 року
ЗАВДАННЯ
на кваліфікаційну роботу магістра студенту
Куценку Вячеславу Юрійовичу
(прізвище, ім‘я, по батькові)
1. Тема роботи Дослідження системи захисту комп'ютерної мережі ТОВ "Діамаст"
Керівник роботи к.т.н., доцент Шувалова Людмила Аркадіївна
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом університету від «06» жовтня 2023 р. № 267/04
2. Строк подання студентом роботи 02.12.2023 р.
3. Вихідні дані до роботи: Провести аналіз існуючих систем захисту комп’ютерних
мереж підприємств. Провести аналіз організаційної структури підприємства, на його основі
розробити схему інформаційних потоків; провести дослідження топології комп’ютерної мережі
підприємства. Визначити методи та засоби для реалізації системи захисту комп’ютерної
мзаебреезжпеіч;ити захист мережі від несанкціонованого доступу.
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити):
Вступ
Розділ 1 Аналіз існуючих систем захисту комп’ютерних мереж
Розділ 2 Концепція проектування системи захисту комп’ютерної мережі ТОВ «Діамаст»
Розділ 3 Вибір засобів захисту мережі.
Розділ 4 Розрахунок параметрів системи захисту комп’ютерної мережі ТОВ «Діамаст»
Висновки
Список використаних джерел
Додатки
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів):
1. Схема інформаційних потоків.
2. Загальна модель синтезу комп’ютерної мережі ТОВ «Діамаст»
6. Консультанти розділів роботи
Підпис, дата
Розділ Прізвище, ініціали та
посада завдання видав завдання прийняв
консультанта
7. Дата видачі завдання 10 жовтня 2023 року
КАЛЕНДАРНИЙ ПЛАН
№ з/п Назва етапів кваліфікаційної роботи магістра Строк виконання
етапів роботи Примітка
1 Збір матеріалу 03.09 – 30.09 виконано
2 Обробка матеріалу 01.10 – 11.10 виконано
3 Обґрунтування актуальності виконання виконано
досліджень 12.10 – 15.10
4 Оцінка стану проблеми, виокремлення виконано
дослідницьких задач, постановка задачі 16.10 – 18.10
дослідження
5 Викладення сутності і результатів дослідження 19.10 – 05.11 виконано
6 Практичне застосування результатів
дослідження 06.11 – 15.11 виконано
7 Оформлення результатів в пояснювальну записку 16.11 – 27.11 виконано
8 Подання роботи на відгук та рецензування 28.11 виконано
Студент-магістрант ____________________________ Вячеслав КУЦЕНКО
(підпис)
Керівник роботи _____________________________ Людмила ШУВАЛОВА
(підпис)
АНОТАЦІЯ
Кваліфікаційна робота магістра містить пояснювальну записку на 75
сторінках, 11 рисунків, 1 таблицю. Її структура включає: вступ, 4 розділи,
висновки, список скорочень та умовних позначень, список використаних
джерел на 4 сторінках та додатки на 2 сторінках.
Актуальність теми дослідження обумовлена тим, що на перший план,
поряд з питанням ефективної обробки та передачі інформації, вийшло
найважливіше питання забезпечення інформаційної безпеки. В роботі багатьох
сучасних підприємств порушення безпеки в системах передачі та обробки
інформації призводять до значних збитків. Наслідки несанкціонованого
доступу до інформації варіюються від нешкідливих пустощів до масштабних
економічних втрат і банкрутства компанії.Тому дослідження та розробка
систем захисту інформації в комп’ютерних мережах має велике теоретичне та
практичне значення.
Мета і задачі дослідження. Метою дослідження є забезпечення захисту
комп’ютерної мережі від несанкціонованого доступу та надійної передачі
даних шляхом розробки проекту системи захисту комп’ютерної мережі для
ТОВ «Діамаст». Для досягнення мети кваліфікаційної роботи потрібно
вирішити наступні задачі: визначення основних методів захисту інформації;
проведення огляду та аналізу існуючих систем захисту комп’ютерних мереж
підприємств; проведення аналізу організаційної структури підприємства і на
його основі розробка схеми інформаційних потоків; проведення дослідження
топології комп’ютерної мережі підприємства; визначення методів та засобів для
реалізації системи захисту комп’ютерної мережі; проведення розрахунків
параметрів мережі.
Об'єктом дослідження є процес синтезу проекту системи захисту
комп’ютерної мережі ТОВ «Діамаст».
Предметом дослідженняє загальна модель синтезу системи захисту
комп’ютерної мережі підприємства.
Наукова новизна дослідження, проведеного ході виконання магістерської
кваліфікаційної роботи, полягає в розробці загальної моделі синтезу системи
захисту комп’ютерної мережі підприємства, яка побудована на основі
дослідження структури підприємства.
Практичне значення отриманих результатів полягає у підвищенні рівня
захисту мережі підприємства від несанкціонованого доступу шляхом створення
функціональної моделі комп’ютерної мережі підприємства, вжиття заходів
щодо захисту конфіденційних даних від крадіжки, побудови систем захисту
комп’ютерної мережі підприємства та підвищення надійності передачі даних.
Ключові слова: КОМП’ЮТЕРНА МЕРЕЖА, ОГАНІЗЦІЙНА
СТРУКТУРА, ТОПОЛОГІЯ КОМП’ЮТЕРНОЇМЕРЕЖІ, ЗАСОБИ ЗАХИСТУ
МЕРЕЖІ, МЕРЕЖЕВЕ ОБЛАДНАННЯ.
ANNOTATION
Master's qualification work contains explanatory note on 75 pages, 11 figures,
1 table. Its structure includes: an introduction, 4 chapters, conclusions, a list of
abbreviations and conventions, a list of used sources on 4 pages and appendices on 2
pages.
The relevance of the research topic is due to the fact that, along with the issue
of effective processing and transmission of information, the most important issue of
ensuring information security came to the fore. In the work of many modern
enterprises, security breaches in information transmission and processing systems
lead to significant losses. The consequences of unauthorized access to information
range from harmless mischief to large-scale economic losses and company
bankruptcy. Therefore, research and development of information protection systems
in computer networks is of great theoretical and practical importance.
The purpose and objectives of the research. The purpose of the research is to
ensure computer network protection against unauthorized access and reliable data
transmission by developing a computer network protection system project for
Diamast LLC. To achieve the goal of the qualification work, the following tasks must
be solved: determination of the main methods of information protection; carrying out
a review and analysis of the existing systems of protection of computer networks of
enterprises; conducting an analysis of the organizational structure of the enterprise
and, on its basis, developing a scheme of information flows; conducting a study of
the topology of the company's computer network; determination of methods and
means for implementing a computer network protection system; carrying out
calculations of network parameters.
The object of the study is the synthesis process of the computer network
protection system project of Diamast LLC.
The subject of the study is a general synthesis model of the company's
computer network protection system.
conducted in the course of the master's qualification work consists in the
development of a general synthesis model of the company's computer network
protection system, which is built on the basis of a study of the company's structure.
The practical significance of the obtained results is to increase the level of
protection of the enterprise network against unauthorized access by creating a
functional model of the enterprise computer network, taking measures to protect
confidential data from theft, building enterprise computer network protection
systems, and increasing the reliability of data transmission.
Keywords: CORPORATE NETWORK, ORGANIZATIONAL STRUCTURE,
CORPORATE NETWORK TOPOLOGY, NETWORK PROTECTION
MEASURES, NETWORKEQUIPMENT.
2
ЗМІСТ
ВСТУП………………………………………………………………….. 4
РОЗДІЛ 1 АНАЛІЗ ІСНУЮЧИХ СИСТЕМ ЗАХИСТУ
КОМП’ЮТЕРНИХ МЕРЕЖ…………………………………………… 8
1.1 Міжнародні стандарти інформаційної безпеки ……………. 8
1.2 Методи та засоби забезпечення безпеки інформації ………. 10
1.3 Організація захисту інформації в комп’ютерних мережах
підприємств малого та середнього бізнесу …………………….. 12
1.3.1 Система захисту комп’ютерної мережі ТОВ
«ІНТЕРФЛОРА-УКРАЇНА» ………………………………... 14
1.3.2 Система захисту комп’ютерної мережі ТОВ
«MECHAN-EI УКРАЇНА» ………………………………….. 16
1.4 Висновки до розділу 1 ……………………………………….. 19
РОЗДІЛ 2 КОНЦЕПЦІЯ ПРОЕКТУВАННЯ СИСТЕМИ ЗАХИСТУ
КОМП’ЮТЕРНОЇ МЕРЕЖІ ТОВ «ДІАМАСТ» ……………………… 20
2.1 Опис підприємства …………………………………………... 20
2.2 Організаційна структура ТОВ «Діамаст» …………………. 23
2.3 Побудова схеми інформаційних потоків …………………… 26
2.4 Аналіз моделі функціонування комп'ютерної мережі ТОВ
«Діамаст» …………………………………………………………. 28
2.5 Обґрунтування необхідності синтезу системи захисту
комп’ютерної мережі ТОВ «Діамаст» ………………………….. 33
2.6 Синтез загальної моделі синтезу системи захисту
комп’ютерної мережі ТОВ «Діамаст» ………………………….. 39
2.7 Висновки до розділу 2 ……………………………………….. 40
РОЗДІЛ 3 ВИБІР ЗАСОБІВ ЗАХИСТУ МЕРЕЖІ ……………………. 42
3.1 Брандмауер …………………………………………………… 42
3
3.2 Network Address Translation …………………………………. 43
3.3 Аркуші доступу ……………………………………………… 47
3.4 Proxy-сервер ………………………………………………….. 49
3.5 Log-сервер ……………………………………………………. 51
3.6 Антивірусний захист поштової системи …………………… 52
3.7 Висновки до розділу 3 ……………………………………….. 54
РОЗДІЛ 4 РОЗРАХУНОК ПАРАМЕТРІВ СИСТЕМИ ЗАХИСТУ
КОМП’ЮТЕРНОЇ МЕРЕЖІ ТОВ «ДІАМАСТ» ……………………… 55
4.1 Розрахунок навантаження на сервер ………………………. 55
4.2 Розрахунок напрацювання на відмову ……………………... 58
4.3 Розрахунок дальності ефективного прийому сигналу …….. 60
4.4 Оцінка стійкості криптографічного захисту ……………….. 62
4.5 Висновки до розділу 4 ………………………………………. 66
ВИСНОВКИ…………………………………………………………….. 67
СПИСОК СКОРОЧЕНЬ ТА УМОВНИХ ПОЗНАЧЕНЬ …………….. 69
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ………………………………. 70
ДОДАТОК А – Схема інформаційних потоків ТОВ «Діамаст»
ДОДАТОК Б – Загальна модель синтезу комп’ютерної мережі
ТОВ «Діамаст»
4
ВСТУП
У сучасному суспільстві, де обмін даними відбувається через
комп'ютерні мережі, виникає проблема активного обміну конфіденційною
інформацією. Захист інформації має важливе значення, оскільки якщо
конфіденційна інформація потрапляє до рук зловмисників, вони можуть
використати її у власних інтересах.
Необхідність забезпечення інформаційної безпеки зумовлює пошук
якісно нових підходів до вирішення великої кількості технічних та
управлінських задач, які пов’язані з використанням інформаційної сфери в
якості сукупності інформаційної інфраструктури та інформаційних ресурсів.
Всеохоплююче впровадження універсальних інформаційних
обчислювальних систем в усі сфери господарської діяльності призвело до
необмеженого виникнення загроз інформаційним ресурсам.
І це незважаючи на важливі теоретичні та прикладні дослідження в
галузі захисту інформації в інформаційних обчислювальних системах,
зокрема методів шифрування, резервного копіювання та контролю
взаємозв’язку. Недостатньо розробленим залишається питання захисту
інформації в мережах зв’язку загального призначення.
У багатьох випадках об’єкти комп’ютерних мереж оснащені різними
типами обчислювальних засобів, тому існуючі методи забезпечення
інформаційної безпеки за допомогою "захисних оболонок" не завжди
ефективні і схильні до деструктивних впливів типу "відмова в
обслуговуванні".
Тому при захисті системи необхідно враховувати всі аспекти і
можливості, в тому числі можливі порушення цілісності системи і можливий
злом.
Актуальність теми дослідження обумовлена тим, що на перший план,
5
поряд з питанням ефективної обробки та передачі інформації, вийшло
найважливіше питання забезпечення інформаційної безпеки. Це пов’язано з
тим, що це особливо важливе питання для розвитку підприємств та їх
інформаційних ресурсів, із зростанням вартості інформації на ринку,
високою вразливістю інформації та часто значними збитками, які виникають
в результаті її неправомірного використання. В роботі багатьох сучасних
підприємств порушення безпеки в системах передачі та обробки інформації
призводять до значних збитків. Наслідки несанкціонованого доступу до
інформації варіюються від нешкідливих пустощів до масштабних
економічних втрат і банкрутства компанії.
Тому дослідження та розробка систем захисту інформації в
комп’ютерних мережах має велике теоретичне та практичне значення.
Мета і задачі дослідження.Метоюдослідженняє забезпечення захисту
комп’ютерної мережі від несанкціонованого доступу та надійної передачі
даних шляхом розробки проектусистеми захисту комп’ютерної мережі для
ТОВ «Діамаст». Для досягнення мети кваліфікаційної роботи потрібно
вирішити наступні задачі:визначення основних методів захисту інформації;
проведення огляду та аналізу існуючих систем захисту комп’ютерних мереж
підприємств; проведення аналізу організаційної структурипідприємства і на
його основі розробка схеми інформаційних потоків; проведення дослідження
топології комп’ютерної мережі підприємства;визначенняметодів та засобів
для реалізації системи захистукомп’ютерної мережі;проведення
розрахунківпараметрів мережі.
Об'єктом дослідження є процес синтезу проекту системи захисту
комп’ютерної мережі ТОВ «Діамаст».
Предметом дослідження є загальна модель синтезу системи захисту
комп’ютерної мережі підприємства.
Наукова новизнадослідження, проведеного ході виконання
магістерської кваліфікаційної роботи, полягає в розробці загальної моделі
6
синтезу системи захисту комп’ютерної мережі підприємства, яка побудована
на основі дослідження структури підприємства.
Практичне значенняотриманих результатів полягає у підвищенні
рівня захисту мережі підприємства від несанкціонованого доступу шляхом
створення функціональної моделі комп’ютерної мережі підприємства, вжиття
заходів щодо захисту конфіденційних даних від крадіжки, побудови систем
захисту комп’ютерної мережі підприємства та підвищення надійності
передачі даних.
Апробаціярезультатівдосліджень:
Куценко В.Ю. Дослідження системи захисту корпоративної мережі /
Л.А. Шувалова, О.О. Курченко, В.Ю. Куценко // ІІ міжнародної науково-
практичної конференції «Інновації та перспективні шляхи розвитку
інформаційних технологій», 6грудня 2023 р. – М-во освіти і науки України,
Черкас. держ. технол. ун-т. – Черкаси : ЧДТУ, 2023.
Інформаційна база.Основні використані джерела інформації:
1. Жураковський Б. Ю. Комп’ютерні мережі. Частина 1. навч. поібн.
[Електронний ресурс] / Б. Ю. Жураковський, І.О. Зенів; КПІ ім. Ігоря
Сікорського. – Електронні текстові дані (1 файл: 8,6 Мбайт). – Київ: КПІ ім.
Ігоря Сікорського, 2020. – 336 с.
2. Задерейко О. В. Комп’ютерні мережі [Електронний ресурс]:
навчальний посібник / О. В. Задерейко, Н. І. Логінова, А. А. Толокнов. –
Одеса, 2022. – 249 с.
3. Остапов С. Е. Технології захисту інформації: навчальний посібник /
С. Е. Остапов, С. П. Євсеєв, О. Г. Король. – Х.: Вид. ХНЕУ, 2013. – 476 с.
4. Писарчук О.О. Основи захисту інформації: навчальний посібник /
О.О. Писарчук, Ю. Г. Даник, С. Г. Вдовенко та ін. – Житомир: ЖВІ ДУТ,
2015. – 226 с.
7
5. Семенов С.Г. Захист інформації в комп’ютерних системах та
мережах: навч. посіб. / С.Г. Семенов, А.О. Подорожняк, О.І. Баленко, С.Ю.
Гавриленко – Х.: НТУ «ХПІ», 2014. – 251 с.
Кваліфікаційна робота магістра містить пояснювальну записку на
75 сторінках, 11 рисунків, 1 таблицю. Її структура включає: вступ, 4 розділи,
висновки, список скорочень та умовних позначень, список використаних
джерел на 4сторінках і додатки на 2сторінках.
8
РОЗДІЛ 1 АНАЛІЗ ІСНУЮЧИХ СИСТЕМ ЗАХИСТУ
КОМП’ЮТЕРНИХМЕРЕЖ
1.1 Міжнародні стандарти інформаційної безпеки
Забезпечення інформаційної безпеки в будь-якій компанії згідно з
міжнародними стандартами передбачає:
визначення мети забезпечення інформаційної безпеки
комп'ютерної системи;
побудова дієвої системи управління безпекою інформації;
розрахунки показників оцінки безпеки інформації;
застосування інструментів оцінки якості безпеки інформації та її
стану;
застосування методів управління безпекою, що
дозволяютьвиконувати оцінку захищеності інформації з об’єктивної точки
зоруі керувати безпекою інформації в мережах компаній.
Розглянемо міжнародні стандарти захисту інформації.
Стандарт ISO/IEC 17799:2002 (BS 7799:2000)
Стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) – «Управління
інформаційною безпекою (Informationsecuritymanagement)» – один з
основних стандартів. При його розробці за основу була взята перша половина
Британського стандарту BS 7799-1:1995 «Informationsecuritymanagement -
Part 1: Codeofpracticeforinformationsecuritymanagement)». [1]
У версіїданого стандарту розглянуто актуальні теми щодо захисту
підприємств:
основні визначення і поняття безпеки інформації;
потреба в забезпеченні безпеки інформації;
політика компаній щодо безпеки інформації;
9
управління та класифікація корпоративних інформаційних
активів;
налаштування безпеки даних підприємства;
кадровий контроль;
управління доступом та захист фізичного доступу до інформації;
контроль за захистом даних в корпоративних системах;
управління захистом інформації бізнес процесів підприємств;
внутрішня перевірка підприємства щодо захищеності даних.
Стандарти BS 7799-2:2000 «(Informationsecuritymanagement - Part 2:
Specificationforinformationsecuritymanagementsystems)» визначаються як
другий розділ специфікацій дляуправління безпекою даних корпоративних
систем і аудиту дотримання вимог першої частини стандартів. Отже стандарт
єпроцедурою перевірки захистуу корпоративних системах.
Згідноз рекомендаціямиз управління безпекою даних -
BritishStandardsInstitution (BSI),який було видано в період з 1995р. по 2003 р.
міститьтакі пункти:
питання проблем управління інформаційної безпеки;
сертифікації щодо вимог стандарту BS 7799 ;
використання BS 7799 для оцінювання та прогнозування ризиків;
рекомендації щодо реалізації захисту інформаційних систем.
Стандарт ISO 17799 (BS7799) булопереглянуто і суттєво доповненов
2002 році. Значну увагу було приділено питанням підвищення захисту
інформації у різних міжнародних компаніях, а також зазначено питання
початковоговпровадження процедур, навчання та механізмів оцінки
іуправління безпекою в інформаційних системах.
Перевидання стандарту ISO 17799 (BS7799) дало змогу контролювати
дії для державних та приватних установ в галузі безпеки даних [17].
Німецький стандарт BSI
На відміну від стандарту ISO 17799, стандарт BSI розглянуто
10
ретельнийаналіз питань інформаційної безпеки в компаніях.
У стандарті BSI представлено опис:
методики управління політикою безпеки інформації (організація
управління у сфері безпеки інформації);
складових елементів у інформаційних технологіях;
головних елементів стосовно встановлення інформаційного
захисту на організаційному та технічному рівнях, а також прогнозування і
планування неординарних випадків, тобто можливих надзвичайних
ситуацій;
параметрів основних інформаційних ресурсів компанії. Ці
ресурси можуть складатися з апаратного і програмного забезпечення;
параметріві можливостей комп'ютерних мереж,що розроблені з
допомогою різноманітних технологій побудови;
параметризації активного та пасивного обладнання для зв'язку від
провідних постачальників даного обладнання;
прикладних баз і журналівймовірних загроз для безпеки та
способів можливої протидії.
Питання щодо захисту інформаційних активів, зазвичай розглядаються
за наступними етапами:
1. Загальний опис інформаційного активу підприємства;
2. Можливі загрози і вразливості безпеки;
3. Можливі засоби тазаходи контролю і захисту в мережі
підприємства [19].
1.2 Методи та засоби забезпечення безпеки інформації
Головним завданням системи захисту є зведення до мінімальної
імовірності загрози безпеки даних. Відділ чи служба забезпечення
інформаційної безпеки компаніїмає відслідковувати повідомлення про
11
виникнення нових чи видозмінених загроз та якомога швидше ліквідувати ці
загрози в мережі, завдяки отриманню чи розробці оновлених версій
програмного забезпечення (ПЗ) або ж вносити зміни до системи захисту
інформації.
Стандарті правила,які дозволяють мінімізувати базові втручання в
роботу комп’ютерної мережі:
1. Перешкоджання –це обмеження доступу осіб на територію та в
приміщення, де можливийвитік інформації.
2.Управління доступом – метод захисту інформації із встановленням
чіткого регламенту використання ресурсів системи (технічні,
обчислювальні, програмні елементи та бази даних). Управління доступом
складається з наступних функцій захисту:
ідентифікація персоналу;
перевірка авторизації сторонніх користувачів;
розділ доступу до ресурсів даної системи;
Під поняттям ідентифікації мається на увазі, що персонал під час
підтвердження за допомогою застосування певного коду, імені чи пароля
проходить процес розпізнання та перевірку повноважень від системи, що
полягає в перевірці таких параметрів:
відповідність дня тижня;
час доби в системі персоналу з часом серверу;
відповідністьдоступу до ресурсів та процедур згідно з
встановленими правами для даного користувача.
Якщо користувач проходить перевірку відповідно до параметрів
ідентифікації, то він отримує дозвіл на проведення маніпуляцій в межах
встановленого регламенту, а якщо ж користувач немає даних прав доступу,
то при спробі несанкціонованого доступу він отримає:
помилку запиту;
затримку у виконанні процедури (у зв'язку із запитом на надання
12
доступу, який надходить до адміністратора комп’ютерної мережі);
відмова, відключення, тощо.
3. Маскування – це спосіб захисту інформації в комп’ютерній мережі
завдяки криптографічному шифруванню даних, він використовується для
передачі інформації з комп'ютерних мереж (з локальних до зовнішніх, тобто
глобальних мереж, зв'язку).
4. Регламентація – спосіб захисту, для якого розробляється чи
застосовується комплекс певних заходів, які утворюють умови для захисту,
при яких усі способи несанкціонованого доступу до мережі можна звести до
мінімуму.
Щоб підвищити ефективність захисту комп'ютерної мережі
підприємства необхідно регламентувати побудовану комп'ютерну мережу,
тобто аналізувати та враховувати всі нюанси:
архітектуру приміщень (офісу чи декількох пов'язаних офісів);
обладнання, яке розташоване в різних приміщеннях (оскільки
зловмисник може отримати доступ до мережі з іншого кабінету);
розташуванняобладнання та доступу до нього;
організацію та виконання поставлених завдань від
персоналуособами відповідальними за обробку інформації.
Примус – це певний набір правил та обов'язків, представлений для
користувачів комп'ютерної мережі, яких вони мають дотримуватись під
загрозою штрафів чи відповідальності, якадміністративної так ікримінальної
[25].
1.3 Організація захисту інформації в комп’ютерних мережах
підприємств малого та середнього бізнесу
Зазвичай, невеликі підприємствавикористовують автоматичні фільтри
для електронних листів та стандартних антивірусів (часто неліцензійних), які
13
здатні впоратися хіба що з самими безневинними шкідливими програмами. В
теперішній час знайти вірус Інтернеті дуже легко. Зараз ситуація набагато
небезпечніша, ніж кілька років тому, оскільки сучасні віруси можуть
потрапляти в комп’ютер вже після виходу користувача в Інтернет, не
очікуючи, поки він клацне по небезпечному посиланню. Але крім них існує
ще безліч загроз для безпеки корпоративних даних. До системи можуть
підключитися хакери, чи інформація може знищитися в результаті виходуз
ладу обладнання або помилки користувача. Чим важливіші інформаційні
технології для роботи підприємства, тим ретельніше потрібнозахищати дані.
Захисні заходи слід вживати постійно, але не заважати бізнес-процесам. І
звичайно, необхідно не допускатинаступних ситуацій:
Коли відбувається шифрування абсолютно всих корпоративних
даних, працівникам забороняється користуватися Інтернетом, використання
програм співробітниками здійснюється під суворим контролем та ін.
Безумовно, цілісність та конфіденційність інформації в такому підприємстві
важко порушити. Однак в таких умовах персонал не зможе ефективно
працювати. Крім того, захист такого рівня вимагає величезних затрат на його
реалізацію та обслуговування системи.
Коли облікові записи не захищені паролями, коженкористувач
має необмежений доступ до даних, які зберігаються на комп'ютерах
співробітників, виявлення вірусів стає буденним явищем. Такепідприємство
не тільки втратить довіру клієнтів (їхні контакти легко дізнаються
конкуренти), а і ризикує зазнати значних фінансових збитків в разі злому
шахраями банківської системи.
Загрози діляться на декілька великих груп за ступенем частоти їх
виявлення та ступеню можливих негативних наслідків:
Висока загроза - великізбитки. Коли в компанії виникає така
ситуація, позбутися від проблем вдається лишеу випадку, якщо попередньо
проводилося резервне копіювання важливих даних.
14
Висока загроза - невеликі збитки. Не потрібні спеціальні заходи
для усунення збоїв у роботі.
Низька загроза - великізбитки. Компенсувати втрати можна
попередньо отримавши страховку.
Низька загроза - невеликі збитки. Подібні випадки можна
залишити без уваги.
Практика показує, що в більш ніж 80% випадків інформація потрапляє
до рук зловмисників через неуважність співробітників. І лише в решті 20%
крадіжка корпоративних даних відбувається навмисно. Якщо причиною
витоку інформації стали неправильні дії персоналу, то навіть найдосконаліші
системи захисту можуть бути безсилі [19]. Тому важливо доводити до відома
працівників про можливі наслідки їхньої халатності та пояснювати, як
потрібно вчинити. Це допоможе позбутися більшої частини потенційних
загроз.
1.3.1 Система захисту комп’ютерної мережі ТОВ «ІНТЕРФЛОРА-
УКРАЇНА».
ТОВ «ІНТЕРФЛОРА-Україна» - підприємство, діяльністю якого є
продаж та доставка рослин, насіння різних культур та іншої продукції,
пов'язаної з рослинництвом.
Перелік категорій продукції підприємства для продажу:
- насіння овочевих культур;
- насіння квітів;
- насіння рослин, які садять з метою покращення та удобрення ґрунту;
- саджанці та цибулини;
- товари для садівництва;
- спеціалізований одяг для садівничих робіт;
- силікатні та мінеральні добрива.
15
Підприємство працює на ринку України з 1997 року, тому має
сформовану мережу з продажу та доставки своєї продукції. Товари ТОВ
«ІНТЕРФЛОРА-Україна» є всесезонними, змінюються щоквартально та
завжди доступні споживачу.
Штат підприємстві ТОВ «ІНТЕРФЛОРА-Україна»налічує велику
кількість різних фахівців:продавці-консультанти; ландшафт дизайнери;
проект-менеджери; менеджери з питань товару; рекламні агенти; мережа
доставки; колцентри та інша адміністрація.
Підприємство має розвинену корпоративну мережу, в ході
дослідження якої було виявлено, що захист інформації в даній комп'ютерній
мережі є комплексним.
Захист містить з наступніскладові:
Міжмережеві екрани (брандмауери), які використовуються для
забезпечення розділення внутрішньої та зовнішньої мережі, тане дозволяють
користувачам порушувати правила безпеки, які налаштовані в комп’ютерній
мережі. Міжмережеві екрани мають зручне налаштування та функціонал,
наприклад додати VPN і не конфліктують з антивірусним програмним
забезпеченням.
Переваги застосуванняміжмережевих екранів:
1. Їхня реалізація за допомогою програмного забезпечення замість
апаратного функціоналу дозволяє знизити вартість та простоту
налаштування(на виході до глобальної мережі налаштовується тільки
міжмережевий екран за допомогою програмного забезпечення, замість
налаштування спеціальної техніки);
2. Для користувачів комп'ютерної мережі налаштовуються
персональні параметри міжмережевих екранів.
Невід’ємною складовою захисту інформації в комп'ютерній мережі є
антивірусне забезпечення.
16
Антивірусне забезпечення захищає робочі станції від вражень
вірусами;закриває від спаму та фішингу поштові порти;захищає від проксі-
серверів, які можуть дати змогу зловмисникам проникнути то мережі, тощо.
Системи виявлення та запобігання вторгнень (IntrusionDetectionSystem
– IDS) – система виявлення спроб отримання чи отримання
несанкціонованого доступу з мереж загального доступу та з приватних
мереж. Відхиляє запит при виявлені спроби отримати несанкціонований
доступ.
Організаційний захист даних є способом врегулювання отримання
доступу до певних ресурсів, що відносяться до комп’ютерної мережі (систем
телекомунікації, певних технічно-програмних засобів, а також програмних
компонентів тощо). Для інформаційного забезпечення в комп’ютерних
мережах необхідно регламентувати порядок виконання робіт для
користувачів, а також встановити права доступу до всіх елементів системи.
Недоліками системи захисту ТОВ «ІНТЕРФЛОРА Україна» є те, що
для підвищення захисту не використовуються на ступні засоби:
- системи аналізу захищеності;
- брандмауер;
- аркуші доступу;
- NetworkAddressTranslation;
- VPN;
- Log-сервер;
- Proxy-сервер.
1.3.2 Система захисту комп’ютерної мережі ТОВ «MECHAN-EI
УКРАЇНА»
ТОВ «MECHAN-EI Україна» надає послуги з продажу ліфтового
обладнання власного виробництва та зарубіжних виробників та
17
консультаціїдля підбору ліфтового обладнання(великогабаритних та
малогабаритних ліфтів), ескалаторів тощо.
На підприємстві виготовляється наступний модельний рядліфтів:
- для житлових будинків чи котеджів;
- панорамні;
- оглядові;
- великогабаритні (вантажні та автомобільні);
- для лікарень тощо.
Підприємствомає розвинену корпоративну мережу, дослідивши яку
виявлено, що захист інформації в даній корпоративній мережі є
комплексним.
Захист складається з наступних складових:
1. Брандмауери. Використовуються для забезпеченнярозділення
внутрішніх і зовнішніх мереж та запобігання порушень користувачами
правил безпеки, встановлених для комп'ютерної мережі. Брандмауери
легконалаштовуються тамають різноманітні функції, такі як додаткові VPN, і
не конфліктують з антивірусним програмним забезпеченням.
Перевагивикористання:
Реалізаціябрандмауерів за допомогою програмного забезпечення
замість, а не апаратнихзасобів, зменшуєвитрати та спрощує
налаштування(один брандмауер налаштовується за допомогою програмного
забезпечення нв точці доступу до глобальної мережі замість налаштування
спеціального апаратного забезпечення;
Для користувачів комп'ютерної мережіможе бути налаштований
персональний міжмережевий екран.
2. Антивірусний захист відіграє важливу роль у захисті даних
комп’ютерної мережі та захисту конфіденційних зон. Антивірусний захист
призначений для підвищення безпеки комп’ютерних мереж, зокрема:
- Захистити робочі станції від зараження вірусами.
18
- Закрити порти електронної пошти для захисту від спаму
та фішингу;
- Захистити від проксі-серверів, які можуть дозволити
зловмисникам проникнути в мережу тощо.
3. Системи виявлення та запобігання вторгненням, також відомі як
«IDS», призначені для виявлення або спроби несанкціонованого доступу з
публічних і приватних мереж. Якщо виявлено спробу отримати доступ
несанкціонованими засобами, система відхилить запит [6].
Використання IDS із механізмом виявлення вторгнень для зупинки
зловмисників під час зловмисної діяльності може зменшити час простою та
заощадити витрати на обслуговування мережі.
4. Організаційний захист даних - це спосіб регулювання доступу
до певних ресурсів, пов’язаних із комп’ютерними мережами (тобто певних
технічних і програмних засобів, телекомунікаційних систем, програмних
компонентів тощо). Для інформаційного забезпечення в комп'ютерних
мережах необхідно стандартизувати процедури виконання робіт персоналом
і встановити права доступу до всіх елементів системи. Недоліком системи
захисту ТОВ «MECHAN-EI УкраїнаУкраїна» є відсутність у ній засобів
підвищення захисту:
- Брандмауер;
- Системи аналізу захищеності;
- аркуші доступу
- VPN;
- NetworkAddressTranslation;
- Log-сервер;
- Proxy-сервер.
Всі недоліки розглянутих аналогів систем захисту буде врахованоу
розробленій системі захисту.
19
1.4 Висновки до розділу 1
В першому розділі кваліфікаційної роботи було виконано аналіз
міжнародних стандартів інформаційної безпеки та розглянутометоди та
засоби для забезпечення захисту інформації.
Також виконано аналіз аналогів існуючих систем захисту інформації в
комп'ютерних мережах на прикладі систем наступних підприємств:
1. ТОВ «ІНТЕРФЛОРА-УКРАЇНА»
2. ТОВ «MECHAN-EI УКРАЇНА»
Оскільки детальна система контролю та захисту в мережі є
конфіденційною, проведено дослідження загальних методі та засобів захисту
на підприємствах.
20
РОЗДІЛ 2 КОНЦЕПЦІЯ ПРОЕКТУВАННЯ СИСТЕМИ ЗАХИСТУ
КОМП’ЮТЕРНОЇ МЕРЕЖІ ТОВ «ДІАМАСТ»
2.1 Опис підприємства
ТОВ «Діамаст» працює на ринку меблів для дому та офісних меблів
України. Компанія розробляє, виготовляє, реалізує та обладнує виробничі та
офісні приміщення різноманітними меблями, обладнанням та аксесуарами в
різних регіонах України. В асортименті компанії є меблі від економ до
елітного класу.
Зараз уже не потрібно переконувати у важливості офісних меблів для
процесу виробництва та іміджу підприємства. Правильно підібрані меблі не
тільки покращують продуктивність праці співробітників, а і є однією з
основних складових дизайну робочого простору. Вони формують у
відвідувачів перше враження про компанію в цілому.
В процесі виробництва продукції компанії використовуються
різноманітні матеріали такі, як деревина різноманітних порід, ЛДСП, метал,
скло, пластик, фурнітура провідних виробників Європи. Виготовлення
продукції виконується на високоякісному сучасному обладнанні
вітчизняного та зарубіжного виробництва та відповідає головним показникам
(ергономічність, надійність та комфорт), які притаманні меблям від
найкращих виробників.
При виробництві меблів використовуються екологічно чисті матеріали
багато з яких мають підвищену зносостійкість. До всіх меблів, виготовлених
на підприємстві, додаються сертифікати відповідності та висновки санітарно-
епідеміологічної експертизи.
Майже щоквартально проводиться перегляд асортименту
продукціївпрайс-листі,компанія приймає рішення про поставку чи
21
виключення ізсписку тих чи інших видів продукції. В цілому доставка
продукції компанії може виконуватись по всій Україні.
На початку розвитку підприємства стратегією роботи компанії була
робота з роздрібнимипоставками. Завдяки тому, що доставка виконується
власним транспортом, співпраця з підприємством являється перспективною,
оскільки умови роботи на сучасному ринку такі, що у випадку, якщо
підприємство не можевиконати поставку в режимі «із сьогоднішнього дня на
завтрашній», то воновтрачає свою репутацію та нових замовників. Тому
швидкістьіякість виконання робіт та доставки, хочі не єдиною, але важливою
складовою для успіху компанії в ринковій конкуренції.
Підприємства відбирають персонал в основному на основі трьох
правил:
1. Інтерес до виконуваної роботи, тобто інтерес до завдань і проблем,
які можуть бути доручені майбутнім працівникам.
2. Професіоналізм, тобто наявність хороших здібностей до ведення
бізнесу та планування.
3. Основним критерієм є бажання працювати, оскільки працівник
враховує не тільки майбутню зарплату, але й результати своєї діяльності або
як найкраще виконати поставлені перед ним завдання, або прийняти
найкращі рішення, з високою ефективністю. Співробітники, які
відповідають цим критеріям, є цінними працівниками для компанії,
оскільки такі працівники виконуватимуть свою роботу краще, ніж
працівники, які зацікавлені лише в зарплаті.
План приміщення офісу ТОВ «Діамаст» складається з 2 поверхів та
зображено на рисунках 2.1 та 2.2.
22
Рисунок 2.1 – План приміщення першого поверхуТОВ «Діамаст»
Рисунок 2.2 – План приміщення другого поверхуТОВ «Діамаст»
23
2.2Організаційна структура ТОВ «ДІАМАСТ»
Організаційна структура ТОВ «Діамаст»зображена на рисунку2.3.
Директор та адміністрація
Відділ маркетингових Відділ регіональних Відділ
досліджень та логістики представництв та реалізації реклами
Регіональні представництва
Рисунок 2.3 – Організаційна структура ТОВ «Діамаст»
В управлінні компанії можна виділити чотири основні функціональні
підрозділи:
1) директор та адміністрація;
2) відділ маркетингових досліджень та логістики;
3) відділ регіональних представництв та реалізації;
4) відділ реклами.
Директор керує всією діяльністю та організовує роботу підприємства.
Він несе відповідальність за результати роботи підприємства,
розпоряджається майном, підписує договори та інші угоди, у межах своєї
компетенції видає накази, згідно з трудовим законодавством приймає на
роботу і звільняє працівників, застосовує заходи заохочення і накладає
дисциплінарні стягнення на працівників.
24
До складу адміністрації окрім інших відділів входять бухгалтерія,
відділ кадрів та фінансовий відділ.
Бухгалтерія - структурний підрозділ суб'єкта господарювання, що
призначений для ведення бухгалтерського обліку. Бухгалтерія забезпечує
відповідних користувачів, в першу чергу керівництво, повною та
неупередженою інформацією про фінансове становище, результати
діяльності та грошових коштів офісного центру.Бухгалтерський облік надає
відповідним користувачам, насамперед керівництву, повну та неупереджену
інформацію про фінансовий стан, результати діяльності та фінансування
офісного центру.
Завдання бухгалтерії: забезпечення правильного ведення
бухгалтерського обліку та фінансової звітності підприємства з урахуванням
специфіки діяльності та технологій обробки облікових даних; надання
користувачам повної та неупередженої інформації про фінансовий стан
компанії, результати діяльності та кошти.
Основними функціями бухгалтерського обліку є: облік безперервності
діяльності; організовувати бухгалтерський облік відповідно до
законодавства та установчих документів та забезпечувати дотримання
встановлених принципів єдиного ведення бухгалтерського обліку;
дотримуватись правил документообігу та техніки обробки облікової
інформації; - контролювати дотримання порядку оформлення основних
документів; - подвійний облік на взаємопов'язаних рахунках
бухгалтерського обліку за період виробництва шляхом систематизації
відомостей, що містяться в основних документах бухгалтерського обліку в
обліковому регістрі та їх аналізу; - з метою забезпечення достовірності
даних бухгалтерського обліку та фінансової звітності проводиться
інвентаризація активів і зобов’язань, під час якої перевіряється та
обліковується їх наявність, стан та оцінка.
25
Відділ кадрів здійснює наступну кадрову роботу: ведення обліку
особового складу, оформлення прийому, переводу і звільнення працівників;
контроль за станом табельного обліку та виконанням керівниками підрозділів
розпорядчої документації з кадрових питань; своєчасне оформлення
трудових книжок, внесення до них записів про прийом, переведення і
звільнення; участь у складанні графіків відпусток; ; ведення та збереження
особистих справ, трудових книжок та іншої кадрової документації; облік
трудового стажу працівників, підготовка документів, необхідних для
призначення пенсій працівникам тощо.
Основним завданням відділу маркетингу:
- аналіз та оцінка ринкової ситуації;
- статистичні дослідження тенденцій розвитку ринку;
- аналіз та подальше прогнозування продажівпродукції;
- вивчення попиту;
- дослідження та статистичний збір даних щодо каналиканалів
розподілу та методів продажу товарів;
- підготовка та надсилання рекомендацій окремим підрозділам,
тобтотим, які виконують функції відділів просування продукції та продукції
(координаціяконкретних дій тауправління діямизі збуту продукції);
- визначення обсягів і термінів просування тавиведення на ринок
нових товарів;
- прогнозування зняття з виробництвазастарілихвиробів;
- координування окремих аспектів дій різних підрозділів, щоберуть
участь у закупівлі новихпродуктів, на які є споживчий попит;
-контролювати заходи, що впливають на поведінку споживачів щодо
придбання товарівкомпанії;
- розробка планів витрат виділених маркетингових бюджетів;
- розробка планівзаходів та промо-акцій для підтримки та покращення
іміджу компанії.
26
Функції відділу регіональних представництв і реалізації:
- визначення актуальних та швидких шляхів доставки товарів;
- узгодженнядоставки зазначеноїпродукції для відділень та
складів;
- реалізація товарів на рівні регіональних представництв;
- логістика доставок продукції між відділеннями, тощо.
Рекламний відділ включає в себе:
рекламних агентів;
текстовиків;
спеціалістів з реклами;
редакторів;
інших рекламних працівників.
Завдання, які виконують працівники рекламного відділу:
розробка та втілення ідеї реклами;
знаходження засобіврозміщення і реалізації реклами.
Роль цього відділу у функціонуванні всього підприємства є
надзвичайно високою, оскільки дляуспішного втілення рекламної ідеї дуже
важливим єпсихологічний чинник,а також необхідністьвраховувати певні
аспекти розміщення реклами для її популяризації.
2.3 Побудова схеми інформаційних потоків
Елементи комп'ютерної мережі можуть виконувати наступні ролі,
залежно від того, які функції розподілені між ними:
- мережеві сервери – це комп’ютери, які лише обробляють та
обслуговують запити від інших елементів (наприклад, потокові
запити від комп'ютерів користувачів);
27
- комп'ютери, якінадсилають запити до іншихкомп’ютерівабо
ресурсів певного елемента комп'ютерної мережі, є клієнтськими
вузлами;
- комп’ютер, який може діяти і як клієнт, і як сервер, є одноранговим
вузлом.
Звичайно, комп'ютерна мережа не може складатися лише із клієнтських
або серверних вузлів.
Кожна організація висуває власні вимоги до конфігурації та безпеки
мережі, які обумовленіхарактером розв'язуваних нею завдань. Перш за все,
необхідно визначити кількістькористувачів, що працюють в комп'ютерній
мережі. Цей параметр визначає всі наступні етапи побудови,налаштування та
захисту мережівід зловмисників.Необхідно також врахувати
потенціалрозширення комп'ютерної системи,тобто кількість робочих станцій
відносно очікуваної кількості співробітників.
Іншим важливим фактором є організаційна ієрархія. Організаційні
ієрархії можна розділити на:
горизонтально структуровані організації;
вертикально структуровані організації.
Горизонтальна організація – структурована організація доступу до
даних, де співробітники зазвичайотримують доступ до даних один одного, а
оптимальним проектним рішеннямє однорангова мережа.
Вертикальна організація– це структурована організація доступу до
даних, де кожен співробітникабо група співробітниківмають доступ до
інформації;такі мережі є більш безпечноюверсією мережіможливості
гнучкого управління правами доступу.
Аналізорганізаційної структуриТОВ «Діамаст», дозволив виділити
основні елементи для побудови структурної схеми інформаційних потоків:
адміністрація;
директор;
28
відділ маркетингових досліджень та логістики;
відділ реклами;
відділ регіональних представництв та реалізації.
Схема інформаційних потоків та швидкості передачі даних наведенав
додатку А.
Головна роль в мережіналежить адміністратору мережі. До його
обов’язків входить:забезпечувати стабільну роботу мережевих служб,
обслуговувати мережевеобладнання та Інтернет-сервіси, забезпечувати
інформаційну безпеку в комп'ютерній мережі підприємства.
2.4 Аналізмоделі функціонування комп'ютерної мережі
ТОВ «ДІАМАСТ»
Для дослідження системи захисту комп'ютерної мережі ТОВ «Діамаст»
необхідно розглянути топологію мережі та виконати моделювання симуляції
роботи даної мережі.
Топологія мережі - це спосіб організації об'єднання комп'ютерів та
різних мережевих елементів у комп'ютерну мережу. Існує три
основнітипитопології мережі: топологія «шина», топологія «зірка», топологія
«кільце».
Модифікації цих топологій також можуть бути використанідля
побудови комп'ютерних мереж.
На підприємстві ТОВ «Діамаст» було вибрано топологію «зірка».
Перевагами цієї топологіїє наступні:
- при виході з ладу однієї з робочих станцій,робота всіх інших
елементів мережі не порушується;
- легшевиявити несправності таперебої вроботі комп'ютерної мережі;
- високапродуктивність комп'ютерів;
- гнучкість та зручність адміністрування комп'ютерної мережі[6].
29
Комп'ютерна мережа ТОВ «Діамаст» складається з:
- 2 серверів;
- 8 комутаторів;
- 1 маршрутизатора;
- 43 робочих станцій;
- 5 принтерів.
Топологія комп'ютерної мережі ТОВ «Діамаст» представлена на
рисунку 2.4.
Для моделювання та дослідження роботи комп'ютерної мережі ТОВ
«ДІАМАСТ» було використано пакет NetCracker Professional, який
призначений для виконання наступних завдань:
- моделювання комп'ютерних мереж;
- імітація роботи та різноманітних процесів у змодельованих
комп'ютерних мережах.
NetCracker Professional можна використовувати для вирішення
наступних задач:
- розрахунок робочого навантаження;
- виконання статистичного аналізу пропускної здатності при зміні
параметрів навантаження певного сегменту або всієї мережі;
- застосування і зміна параметрів протоколів для змодельованої
мережі для оптимальної або максимальної пропускної здатності мережі при:
затвердженому робочому навантажені, змодельованій топології, визначенні
оптимальної топології.
30
Рисунок 2.4 – Топологія комп'ютерної мережі ТОВ «Діамаст»
31
Пакет графічної розробки та проектуванняNetCracker Professional
включає в себеінструменти графічного проектування, які можуть бути
використані для розробки схеми мережі, а бібліотека елементів мережевої
інфраструктури дозволяєвикористовуватиобчислювальні пристрої різних
виробників та широкий спектр моделей комунікаційних пристроїв.
Користувачі також маютьзмогу:
- розробляти моделі пристроїв, що відповідають
визначенимкористувачем вимогам;
- налаштовувати рівень параметризації елементів бібліотеки;
- розробляти моделі, які можна порівняти з реальними пристроями.
Ключовим модулем для взаємодії з цими системами щодо робочих
навантажень і топології мережі є графічний інтерфейс користувача.
NetCrackerдозволяє створювати багаторівневі проекти, включаючи
рівні деталізації проекту, визначені розробником, використовуючи зручний
інтерфейс, а також зручніінструменти для можливого, швидкого доступу до
всіх рівнівпроекту[4].
В програмі NetCracker Professional було розроблено модель
функціонування комп’ютерної мережі ТОВ «Діамаст», яка наведена на
рисунках 2.5 та 2.6.
32
Рисунок 2.5 – Модель функціонуваннямережіТОВ «Діамаст» на першому
поверсі в робочому стані симулятора програми NetCrackerProfessional
33
Рисунок 2.6 – Модель функціонування мережі ТОВ «Діамаст» на другому
поверсі в робочому стані симулятора програми NetCracker Professional
2.5 Обґрунтування необхідності синтезу системи захисту
комп’ютерної мережі ТОВ «Діамаст»
В теперішній час широко використовуються інформаційні технології та
комп'ютерні мережі у різних сферах діяльності, наприклад, бізнесу,
економіки, закладів освіти, банківської справи, виробництватощо.
Цепідняло рівень вимог щодозабезпечення захисту інформації в
комп'ютерних системах.
Питаннязахисту інформації захисту порушуєтьсяу зв'язку із
виникненням так званих кіберзлочинів. Для вирішенняцієї проблемув
34
1994роціприйняли Закон України «Про захист інформації в автоматизованих
системах».
Дія законупоширюється на майже всі дані та інформацію, що
обробляється в комп'ютерних мережах, та в автоматизованих системах.
Також згідно з цим Законом визначаються об’єкти для правового захисту –
інформація, яка знаходиться вобробцізавдяки комп’ютерним мережам, та
права власниківданої інформації, та права користувача [18].
В Законі зазначається, що захисту підлягає будь-яка інформація в
автоматизованій системі, потреба в захисті якої визначається власником цієї
інформації або чинним законодавством.
Він встановлює загальні вимоги до захисту інформації, а також
дисциплінарну, адміністративну, кримінальну та фінансову відповідальність
винних осіб за порушення законодавства про захист інформації.
Розвиток різноманітних засобів і методів, форм обробки певної
інформації та все більш широке використання персональних комп’ютерів
підвищили ризик інформаційної вразливості.
Основними причинами підвищеної інформаційної вразливості є:
– обсяги даних, що зберігаються та використовуються в комп’ютерних
мережах;
– накопичення інформації в базах даних в різному порядку;
– збільшення кількості користувачів з необмеженим доступом до
ключових ресурсів у комп’ютерних системах та сховищах даних;
– незахищений обмін даними між внутрішніми та зовнішніми
мережами.
Певні дії зловмисників, що призводять до порушення роботи
комп'ютерних систем, можуть також призвести до крадіжки даних,
розголошення конфіденційної інформації та підміни даних.
Дії зловмисників можуть включати:
35
1. Переривання – порушення нормального функціонування
встановлених систем обробки даних, що в кінцевому підсумку може мати
серйозні наслідки, навіть якщо інформація не постраждала.
2. Крадіжка або розголошення – коли зловмисник отримує доступ до
даних або цінної інформації, а потім, на власний розсуд, вимагає
нерозголошений викуп, використовує її певним чином або передає третій
стороні.
3. Модифікація – після отримання доступу до інформації зловмисник
може виконати певні операції з нею на свою користь або на користь третьої
особи, а також зашифрувати чи приховати її в мережі з метою отримання
вигоди.
4. Знищення – після отримання доступу до інформації зловмисник
може внести в неї незворотні зміни, наприклад, повністю знищити її без
можливості відновлення.
Загалом, системи забезпечення інформаційної безпеки відіграють
важливу роль, виділяючи наступні засоби захисту:
– Фізичні (фізичне унеможливлення доступу).
– Законодавчі (захист інформації за допомогою законодавчої бази).
– Організаційні (захист забезпечується організацією, тобто правила
захисту корпоративної інформації).
– Програмно-апаратні (захист забезпечується різними програмними та
апаратними засобами захисту).
Фізичні заходи захисту – це заходи, засновані на створенні певних
фізичних бар’єрів для доступу зловмисників до інформації (тобто обладнання
або систем, які контролюють доступ до зон і приміщень, де можна отримати
доступ до інформації за допомогою певних носіїв даних). Такі заходи
захищають дані від зовнішніх зловмисників, але не від тих, хто має право
доступу до приміщення.
36
Наступним є правовий захист, тобто законодавство, яке допомагає
встановити правила доступу до певної інформації, а також може
встановлювати відповідальність за недотримання цих правил.
Організаційний захист даних – це спосіб регулювання доступу до
певних ресурсів, пов’язаних з комп’ютерними мережами (наприклад, певного
обладнання, телекомунікаційних систем та програмних компонентів). Для
інформаційного забезпечення в комп’ютерних мережах необхідно не тільки
встановити права доступу до всіх елементів системи, а й регламентувати
процедури виконання завдань персоналу.
Залежно від конкретного програмно-апаратного рішення для
забезпечення безпеки найбільш ефективними є криптографічні засоби
захисту, які відповідають поставленим вимогам і можуть бути
охарактеризовані як один з найнадійніших методів захисту при
впровадженні.
Під терміном система захисту розуміється комплекс заходів:
- організаційні засоби
- технічних засобів;
- різні методи технічного та деякого криптографічного захисту.
Захист даних в комп’ютерних мережах - це комплексна підсистема, що
складається з наступних рішень і заходів: управлінські, технічні, правові.
Засоби, методи та способи, що використовуються відповідними
суб’єктами інформаційної взаємодії для протидії пошкодженню інформації,
яка може існувати в комп’ютерних мережах, оброблятися, передаватися та
відповідно зберігатися на певних носіях (наприклад, у вигляді баз даних), де
виникають певні прецеденти (злочин підозрюється або встановлюється),
реалізуються певні регламентовані процеси захисту від втручання та
відновлення підозрюваний або встановлений злочин), реалізуються певні
регламентовані процеси захисту від втручання або відновлення попередніх
37
версій. У разі виявлення зловмисника, він несе покарання відповідно до
закону та відшкодовує завдані збитки [17].
Технічний захист інформації (ТЗІ) комп'ютерних мереж можна
розділити на два основні класи:
– Захист даних від несанкціонованого доступу (НСД);
– Захист від витоку або зчитування даних в технічних каналах.
Концепціязахисту від несанкціонованого доступу передбачає, що
зловмисник отримує доступ до даних, якщо порушується політика
управління доступом в системі. Захист технічних каналів здійснюється
шляхом захисту різних каналів електромагнітного випромінювання,
акустичних каналів, оптичних каналів тощо.
Методи запобігання вторгнення в комп’ютерні мережі:
– Різне програмне забезпечення.
– Налаштування технічної частини серверів і ПК.
– Налаштування мережевого обладнання.
– Периметр інформаційних систем.
На програмному рівні використовуються наступні системи:
–контроль доступу до інформації;
–ідентифікація;
–моніторинг;
–аутентифікація;
– антивірусні заходи.
На технічному рівні до них відносяться:
–сигналізація;
– засоби блокування пристроїв;
– апаратні ключі.
Для захисту інформації в підключених системах використовуються
наступні заходи:
38
1. Брандмауери - тобто міжмережеві екрани, що використовуються в
основному для блокування різних атак із зовнішніх мереж.
Приклади брандмауерів:.
– брандмауер Cisco PIX;
–ContivitySecureGateway;
– брандмауер SymantecEnterpriseFirewall TM;
– комутований брандмауер Alteon.
Брандмауери керують і фільтрують мережевий трафік відповідно до
налаштованих правил безпеки. Як правило, міжмережеві екрани
встановлюються на вході у внутрішню мережу і розділяють приватну
(локальну) і публічну (глобальну) мережі;
2. Системи виявлення вторгнень (IDS) виявляють несанкціонований
доступ або спроби несанкціонованого доступу як з публічних, так і з
приватних мереж. Якщо виявлено спробу несанкціонованого доступу, запит
відхиляється.
Приклади систем IDS:
–CiscoSecure IDS;
–IntruderAlert.
–NetProwler.
IDS-системи можуть зменшити час простою після атаки і витрати на
підтримку мережі, використовуючи механізми і системи для виявлення
вторгнень і відключення їх, коли зловмисники намагаються здійснити
зловмисну поведінку.
3. Системи для побудови віртуальних мереж - віртуальні приватні
мережі (VPN) дозволяють створювати безпечні канали для передачі
інформації через незахищені канали зв'язку.
Приклади VPN для мереж:
–SymantecEnterprise VPN;
– Cisco VPN Concentrator;
39
–Cisco IOS VPN.
VPN забезпечують безпеку користувачам при підключенні до мережі, а
рівень конфіденційності та цілісності інформації підтримується за
допомогою динамічного шифрування;
4. Система аналізу безпеки – система, призначена для аналізу та
дослідження безпеки комп'ютерних мереж і вивчення можливих загроз для
інформації.
Приклади систем аналізу:
– SymantecEnterpriseSecurityManager;
– SymantecNetRecon.
Використання систем аналізу безпеки дає користувачам комп’ютерних
мереж можливість прогнозувати атаки на свої мережі і контролювати стан
безпеки своїх мереж, знижуючи при цьому витрати на захист інформації [24].
2.6Синтез загальної моделі синтезу системи захисту комп’ютерної
мережі ТОВ «Діамаст»
Процес проектування системи безпеки комп’ютерної мережі можна
представити у вигляді загальної моделі синтезу системи безпеки
комп’ютерної мережі організаціїяк послідовності етапів синтезу. Вона
показує взаємозв’язок етапів синтезу системи. Також показано чинники
тапараметри, що впливають на той чи інший етап, та результат виконання
кожного з етапів, отриманий на виході цього етапу. Розроблена модель у
загальному вигляді представлена на рисунку 2.7
40
US1.1 US2.1 US2.2 US3.1 US3.2
S1 S2 S3 S4 S5
Рисунок 2.7 – Загальна модель синтезу системи захисту комп’ютерної мережі
підприємства
Si – етапи проектування системи захисту комп’ютерної мережі
підприємства;
S1 – аналіз аналогів комп'ютерних мереж;
S2 – аналіз структури підприємства;
S3 – аналіз топології мережі;
S4 – розрахунок параметрів захисту мережі;
S5 – створення захисту комп'ютерної мережі.
USi – вхідні допоміжні данні на окремому етапі;
US1.1 – збір даних про аналоги;
US2.1 – аналіз роботи відділів;
US2.2 – синтез схеми інформаційних потоків;
US3.1 – аналіз роботи мережі;
US3.2 – вибір засобів захисту мережі.
2.7 Висновки до розділу 2
У другому розділі виконано аналіз організаційної структури
підприємства ТОВ «Діамаст», побудовано схему інформаційних потоків,
розглянуто топологію комп’ютерної мережі, досліджено роботу внутрішньої
комп'ютерної мережі за допомогою програмного забезпечення для
моделювання NetCracker.
41
Результати аналізу аналогів та досліджень, отримані у другому розділі
будуть використані для вдосконалення системи захисту комп’ютерної мережі
підприємства (підвищення цілісності та недоторканості інформації в
комп’ютерній мережі підприємства).
Необхідність синтезу системи захисту комп'ютерної мережі ТОВ
«Діамаст» обґрунтовується шляхом аналізу можливих методологій захисту
інформації та запобігання доступу зловмисників. Запропоновано загальну
модель синтезу системи захисту комп’ютерної мережі ТОВ «Діамаст» як
низку етапів синтезу системи.
42
РОЗДІЛ 3 ВИБІР ЗАСОБІВ ЗАХИСТУ МЕРЕЖІ
Виконавши дослідження аналогівіснуючих систем захисту
корпоративних мереж підприємств, було зроблено висновки, що для
реалізації системи захистукорпоративної мережі ТОВ «Діамаст»від
несанкціонованого доступу необхідно застосувати наступні засоби захисту
мережі: брандмауер;NetworkAddressTranslation; аркуші доступу; Proxy-
сервер; Log-сервер та антивірусний захист поштової системи.
3.1 Брандмауер
Брандмауер – система мережевої безпеки, яка призначена для
попередження несанкціонованого доступу до приватної мережі або з неї.
Іншими словами, це запобігає доступу несанкціонованих користувачів
Інтернету до приватних мереж, підключених до Інтернету. Брандмауери не
завжди є автономними пристроями, але сервери та маршрутизатори
інтегровані зі спеціальним програмним забезпеченням безпеки. Брандмауери
можуть встановлюватися як в програмному, так і в апаратному форматах або
в поєднанні з ними.
Реалізація мережі має бути виконана таким чином, щоб усі вхідні і
вихідні пакети в мережу Інтернет і з неї проходили через брандмауер.
Брандмауер аналізує кожен блок пакетів даних, що надходять в
Інтернет або з головного комп’ютера та виходять з нього. Виходячи з
певного набору правил безпеки, брандмауер може виконувати наступні 3 дії:
Accept – дозволяє відправку пакетів даних.
Блокувати: блокувати пакети даних без відповіді.
Відхилити: блокує пакети даних і надсилає джерелу повідомлення про
«недоступну помилку».
43
Переваги
Постійно підключене широкосмугове з’єднання є точкою входу для
зловмисників, які хочуть проникнути у мережу чи комп'ютер. Політика
брандмауера разом із антивірусними засобами підвищує безпеку вашого
пристрою. Вони виявляють віруси, хробаків, трояни та шпигунські програми
та захищають ваші пристрої від хакерів. Це також зменшує ризик того, що
кейлоггер буде стежити за вами. Окрім блокування шкідливого трафіку,
пристрої брандмауера надають деякі корисні функції для Інтернету.
Наприклад, він може діяти як DHCP-сервер або VPN-сервер для вашої
комп’ютерної мережі. Завдяки передовим технологіям брандмауери стають
все більш і більш складними. Найближчим часом вони зосередяться на більш
високому рівні інформації, щоб краще орієнтуватися в ситуації. Штучний
інтелект дозволяє брандмауерам більш агресивно атакувати зловмисників, не
порушуючи зв'язок між машинами [7].
3.2 NetworkAddressTranslation
NAT (NetworkAddressTranslation) - перетворення мережевих адрес. Ця
технологія використовується досить широко. Дозволяє з одного боку,
протистояти нестачі IPv4 адрес, а з іншого - підвищити захищеність мережі.
Адреси IPv4 можуть бути загальнодоступними та приватними.У двох
словах, приватна адреса може бути використана будь-яким користувачем
мережі.З цієї причини Вам не потрібно орендувати адресний простір або
призначати адресу у свого провайдера. Очевидним недоліком таких адрес є
те, що вони не можуть бути підключені з Інтернету до пристроїв з
приватними адресами - їх власної локальної мережі або це відбувається тому,
що світові провайдери не знають, що ці адреси використовуються мережею,
тому ці мережі не підключені до сторонніх мереж. Зрозуміло, що ви можете
44
зареєструвати всі бажані маршрути на сторонньому маршрутизаторі, а також
використовувати ці адреси. Головна перевага приватних адрес полягає в
тому, що вам не потрібно за них платити, їх можна використовувати на ваш
розсуд, і найголовніше, один і той же адреса використовується в різних
локальних мережах різних організацій, що призводить до економії адресного
простору Ipv4.
Для того щоб організувати можливість виходу в Інтернет з пристроїв,
що мають приватні адреси застосовується технологія трансляції адрес, або
використовується проксі-сервер. Якщо спробувати відправити, наприклад,
запит до веб-сервера, що знаходиться в Інтернеті, з приватного адреси, то сам
запит теоретично дійде, тому що веб сервер має публічний адресу, а ось
відповідь від сервера не повернеться, так як зворотну адресу, на який цей
відповідь треба слати - приватний. Трансляція адрес полягає в тому, що є
деякий NAT-пристрій, наприклад, сервер або маршрутизатор, який має один
або кілька публічних адрес. Клієнти з приватними адресами намагаються
відправити запити безпосередньо одержувачу в Інтернеті, але ip пакети по
шляху потрапляють на такий пристрій. При цьому в пакеті підміняється
адреса відправника: замість приватного адреси клієнта, пристрій ставить в це
поле один зі своїх публічних адрес, після чого пакет відправляється в
мережу. Тепер у нього і адреса відправника та адреса одержувача - публічні.
Одержувач обробляє пакет і повертає на нього відповідь (наприклад, вміст
запитаної з Інтернету сторінки). Ця відповідь, як нескладно здогадатися, йде
на публічний адресу пристрою, що займається NAT-ом. Пристрій пам'ятає,
коли і яку адресу воно підміняла і в цьому пакеті адреса одержувача знову
змінюється: публічний адресу пристрою замінюється на приватний адресу
клієнта, після чого пакет йде далі у внутрішню мережу. Клієнт отримує дані,
як нібито ніякого перетворення адрес не було. Але це все добре в теорії. На
практиці, є ряд протоколів, які не можуть працювати з NAT-ом. На це є свої
причини. Якісь протоколи в даних сьомого рівня можуть містити копію
45
ipадреси, і ця копія, природно не підміняється, так як NAT-пристрій працює
на 3-му і 4-му рівнях моделі OSI. Інші протоколи мають на увазі появу
додаткових з'єднань в процесі роботи, які можу виходити від зовнішньої
сторони. Про такі сполуки NAT-пристрій так само не знає і не буде
передавати їх клієнту. Але, якщо користувачам у вашій мережі треба сидіти в
Інтернеті і читати пошту, то проблем не буде.
Переваги трансляції адрес:
1. Зводить до мінімуму використання публічних адрес.
2. Підвищує гнучкість при використанні адрес.
3. Дає можливість змінювати зовнішні адреси без зміни адресного
плану локальної мережі
4. Підвищує безпеку завдяки тому, що до внутрішніх пристроїв можна
отримати доступ безпосередньо з Інтернету.
Недоліки трансляції адрес:
1. Зниження продуктивності через додаткові дії на маршрутизаторі.
2. Проблеми з роботою деяких протоколів.
3. Труднощі в організації тунелів.
4. Труднощі в організації вхідних підключень ззовні.
В якості NAT-пристрою в розроблюваній мережі виступає
маршрутизатор. Майже кожен маршрутизатор знає, як організувати
трансляцію адрес. Щоб орієнтуватися в термінах, потрібно запам'ятати 4
адреси, які з’являються в процесі трансляції:
- Insidelocal
- Insideglobal
- Outsidelocal
- Outsideglobal
Insidelocal – приватна адреса нашого пристрою, який намагається
надіслати запит в Інтернет. Відправляється пакет на адресу якогось сервера
(outsideglobal). Адреса відправника підміняється на публічну адресу, наявну в
46
розпорядженні NAT-пристрою (insideglobal), коли пакет проходить через
NAT-пристрій. Якщо сервер-одержувач має загальнодоступну адресу і до
нього можна отримати доступ ззовні, то outsideglobal і outsidelocal
збігаються. Якщо сам сервер також прихований за NAT-пристроєм, він
замість цього отримує запит на outsideglobal адресу та перетворює адресу
одержувача уoutsidelocal (у внутрішній мережі одержувача). Втім ситуація,
коли сервер знаходиться за NAT, є рідкісним явищем, і outsidelocalта
outsideglobalяк правило, однакові.
Трансляція адрес NAT
Іншими словами, ви можете описати ці терміни наступним чином:
1. Inside - адреса передавального пристрою, що передається в
широкомовній передачі (від localдоglobal і назад).
2. Outside - адреса одержувача.
3. Local - з точки зору внутрішньої локальної мережі, приватна
адреса пристрою (як відправника, так і одержувача), при якому пряма
взаємодія без перекладу часто неможлива.
4. Global - доступна для пристроїв NAT, що взаємодіють через
глобальний Інтернет.
Таблиця трансляцій
Для забезпечення коректної роботи маршрутизатор повинен мати
таблицю перетворень в пам'яті. Вона містить інформацію про те, коли була
здійснена трансляція. Також вона мстить insidelocal, insideglobal,
outsideglobal і outsidelocal адреси. Ця таблиця необхідна для організації
правильного зворотного перетворення. Наприклад, якщо внутрішній
комп’ютер з адресою «А» надсилає запит на адресу «В», а маршрутизатор
замінює приватну адресу «А» своєю загальнодоступною «С», відповідь з
адреси «В» на адресу «С» надходить з Інтернету, тоді маршрутизатор, який
переглядає цю табличку, знатиме, що потрібно одержувача «С» підмінити на
адресу «А».
47
Все вищеперелічене є загальними принципами роботи NAT. Однак є
різні способи організації цього процесу:
1. Статичнатрансляція NAT. На маршрутизаторі організована
трансляція однієї конкретнїinsidelocal адреси в одину конкретнуinsideglobal
адресу.
2. Динамічна трансляція NAT. На маршрутизаторі існує пул вільних
insidegglobal адрес і налаштування дозволяють клієнтуздійснювати
трансляцію з набору insidelocal.У цьому випадку з наступного клієнтського
пулу для широкомовної розсилки вибирається інша вільна адреса.
Трансляція портів та адрес (PAT) – це механізм NAT, який впливає не
тільки на 3-й, але і на 4-й рівень моделі OSI. Використовується у випадку,
коли кількість клієнтів більша за розмір пулу insideglobal адрес. В цьому
випадку клієнт може транслювати на ту саму insideglobal адресу, але в той же
час може змінювати номер порту (TCP або UDP), щоб отримавши відповідь,
ви могли транслювати цю відповідь одному або іншому клієнту, залежно від
того, до якого порту ви звернулися.PAT вводить додаткові обмеження в
список працюючих протоколів, але HTTP, POP3 і SMTP чудово працюють
поверх PAT.
За допомогою PAT можна заощадити багато адресного простору. Якщо
ви використовуєте протокол ICMP, який не інкапсульований у TCP або UDP і
не допускає поняття "порт", PAT змінює поле ICMP "ідентифікатор черги"
замість номера порту, що призводить до подібних результатів [6].
3.3 Аркуші доступу
Аркуші доступу представляють собою Access ControlList(ACL), тобто
список управління доступом.
Access ControlListє одією із складових комплексної системи безпеки
комп’ютерної мережі. Вони дозволяють заборонити або дозволити певним
48
хостам доступ до ресурсів комп’ютерної мережі. Наприклад, у корпоративній
мережі адміністратори можуть заборонити доступ в Інтернету певним
користувачам та дозволити іншим.Вони можуть заборонити або дозволити
доступ на основі IP-адреси, порту та протоколу, що використовується. За цим
принципом і працюють списки управління доступом (ACL).Інший випадок
використання списку доступу - заборона ICMP-пакетів, що надходять на
маршрутизатор. Як відомо, утиліти Ping і Traceroute/Tracert працюють з
ICMP. За допомогою цих утиліт можна просканувати мережу, а це з точки
зору політики безпеки будь-якої мережі є небажаним. Списки доступу також
дозволяють фільтрувати трафік на вході та виході інтерфейсу
маршрутизатора.
Списки доступу містять набір інструкцій про те, які порти та адреси
блокувати, а які дозволяти. Цих інструкцій може бути від декількох до
десятків.
При надходженні трафіку список доступу перевіряється зверху вниз,
тобто від першої інструкції. Як тільки знайдено збіг, перевірка списку
припиняється та виконується дія, зазначена в інструкції (блокування або
дозвіл).
Внизу списку завжди слідує неявна інструкція з блокування всього
трафіку. Ця інструкція додається системою автоматично. В налаштуваннях її
не видно, але потрібно знати, що вона є.
Основними типами ACL є стандартні списки, розширені списки та
іменовані списки.
За допомогою стандартних списків можна перевірити лише IP-адресу
відправника. Наприклад, стандартні списки можна використовувати для
вибіркового блокування доступу до Інтернету. У цьому випадку блокуються
всі з’єднання через маршрутизатор. Рекомендується налаштовувати
стандартні списки доступу якомога ближче до відправника.
49
За допомогою розширених списків фільтруються пакети на основі
адрес одержувача та відправника, портів та протоколів.
Наприклад, деяким користувачам дозволено користуватися
електронною поштою, але не Інтернетом, деяким користувачам дозволено
користуватися інтернет-дзвінками, але не всіма іншими інтернет-сервісами
тощо.
Електронна пошта працює з протоколом POP/SMTP (порт 110/25).
Тому в списку доступу можуть бути зроблені винятки на основі
вищезазначених умов. Те ж саме стосується IP-телефонії: обираються
відповідні протоколи та порти і додаються до списку доступу.
Розширені списки рекомендується налаштовувати ближче до
одержувача.
Іменовані списки схожі на стандартні та розширені ACL, але надають
гнучкіші можливості для редагування та налаштування користувацьких
функцій[23].
3.4 Proxy-сервер
Proxy-сервер – це технологія, яка може змінювати унікальну адресу
пристрою в мережі. Завдання Proxy-сервера – замінити оригінальну IP-адресу
пристрою користувача на іншу. Однією з причин цього є надання доступу до
веб-сайтів і сервісів, які заблоковані або недоступні.
У Китаї, де доступ до Facebook, Google, YouTube а також інших
популярних веб-сайтів та сервісів заблоковано урядом, третина інтернет-
користувачів використовують Proxy-сервери, щоб обійти блокування.
Proxy-сервери також дозволяють людям залишатися анонімними в
Інтернеті при доступі до різних веб-сайтів та сервісів, де вони не хочуть
показувати свою справжню адресу.
50
Proxy-сервери захищають користувачів від витоку даних на ресурси,
які збирають інформацію про них у комерційних цілях, наприклад, для
показу реклами, надсилання пропозицій або аналізу моделей поведінки.
Якщо потрібен серйозний захист анонімності, Proxy-сервер є не найкращим
вибором.
Анонімні Proxy-сервери.
Поширений тип проксі. Використовується для маскування оригінальної
IP-адреси користувача та збереження анонімності в мережі. Канал зв’язку з
Proxy-сервером може бути зашифрований, що гарантує анонімність, а також
захист персональних даних.
Прозорі Proxy-сервери.
Використовуються компаніями. Вони є "ретрансляторами" між
комп’ютером, з якого надсилається запит до мережі, та кінцевим сервером і
не потребують спеціального програмного забезпечення або налаштування
браузера для з’єднання.
Використовується для наступних цілей:
1. Заборонити співробітникам підключатися до певних веб-сайтів.
Адміністратор створює список дозволених та заборонених доменів,
дозволяючи доступ до перших та забороняючи доступ до других. Зазвичай це
робиться за допомогою брандмауера, що задає перенаправлення всього
трафіку з 80-го порту на порт Proxy-сервера.
2. Стиснення та кешування трафіку. Proxy-сервери стискають
інформацію перед відправкою її користувачам, економлячи мережевий
трафік. Proxy-сервери часто використовуються для кешування даних,
запитуваних користувачами. Наприклад, коли співробітник компанії
заходить на сайт, статична структура ресурсу зберігається на диску Proxy-
сервера, тобто кешується. Коли користувач знову звертається до сайту,
Proxy-сервер надає йому вже збережену інформацію, тим самим
заощаджуючи трафік.
51
Зворотний проксі
Ще один тип Proxy-сервера, який використовується на підприємствах.
Він налаштований на перенаправлення трафіку ззовні всередину, а не
навпаки. Зворотні проксі можуть блокувати небажаних гостей, які
намагаються підключитися до корпоративної мережі. Атаки
перенаправляються на добре захищений Proxy-сервер, де більшість атак
закінчуються [6].
3.5 Log-сервер
Журнал сервера (Server log, також відома їх пряма транслітерація –
«логи сервера») -– це файли, які містять системну інформацію про сервер, які
фіксують всі дії користувачів на сайті та використовуються для аналізу та
оцінки веб-сайту і його відвідувачів.
Обробивши логи, можна:
– Отримати зведені цифри.
– Вивчити закономірності поведінки груп користувачів.Наприклад,
інформацію про користувачів сайту (місцезнаходження відвідувачів, час,
проведений на сайті, переглянутий контент, використані браузери, IP-
адреси).
Журналом сервера операційної системи Windows є Windows EventLog–
спеціальна служба (сервіс) для управління подіями та журналами подій. Він
підтримує наступне:
– Виконання операцій, які записують нові події.
– Читання подій і підписку на події додатками.
– Резервне копіювання і архівування журналів подій тощо.
За замовчуванням служба журналу подій Windows увімкнена і
запускається автоматично під час інсталяції Windows. Цю службу не можна
52
зупиняти або вимикати, зупинка служби журналу подій Windows може
поставити під загрозу стабільність табезпеку системи [24].
3.6 Антивірусний захист поштової системи
Такі проблеми, як постійно зростаюча кількість спаму, DDoS-атак на
електронну пошту та підвищення вимог до надійності найважливішого
інструменту сучасної ділової комунікації - корпоративної електронної пошти
- зазвичай змушують адміністраторів корпоративних поштових серверів
обирати між придбанням і підтримкою власного програмного та апаратного
забезпечення для захисту електронної пошти. та апаратного забезпечення для
захисту від спаму, вірусів та атак, або підписатися на послугу
корпоративного поштового хостингу (SaaS). Не будемо розмірковувати над
перевагами цих двох варіантів і розглянемо випадок адміністратора
поштового сервера, який хоче об'єднати корисні функції обох рішень.
За законами ринку, попит породжує пропозицію. Тому, якщо компанія
з якихось причин не бажає переносити свій корпоративний поштовий сервер
на виділений хостинг, поштовий хостинг пропонує аутсорсингову послугу
антиспам-захисту поштового сервера. Ця послуга є зовнішнім антиспам-
щитом, який захищає корпоративний поштовий сервер клієнта від спаму,
вірусів та інших небажаних комунікаційних потоків, забезпечуючи при
цьому швидке проходження корпоративних бізнес-комунікацій. Потік
електронних листів з Інтернету потрапляє на захищений поштовий хостинг, а
потім на корпоративний сервер замовника Потік електронних листів з
Інтернету потрапляє на захищений поштовий хостинг, а потім на
корпоративний сервер замовника.
Технічним рішенням такого антиспамового щита є використання
захищеного поштового сервера. Це реалізується у вигляді перенаправлення
MX-записів захищеного поштового домену на поштовий сервер
53
постачальника послуг. Поштовий сервер провайдера очищає вхідні
повідомлення від спаму та вірусів, захищає від DDoS-атак і доставляє
відфільтровані листи на корпоративний поштовий сервер замовника по
протоколу SMTP. Потік листів з корпоративного поштового сервера до
поштових скриньок на хостингу та в Інтернет. Вхідні листи можуть
оброблятися і відправлятися так само, як вони обробляються на
корпоративному поштовому сервері. Корпоративний поштовий сервер
клієнта не несе відповідальності за потік електронної пошти. У цьому
випадку корпоративний поштовий сервер клієнта використовує SMTP-сервер
постачальника послуг як SMTP-ретранслятор, тобто як проміжний сервер у
ланцюжку доставки пошти. У цьому випадку поштовий сервер провайдера
потрібен не для захисту корпоративної пошти від спаму, а для підвищення
якості доставки та запобігання помилковому визначенню її як спаму
віддаленими поштовими серверами SMTP-ретранслятор підписує вихідні
повідомлення доменним ключем DKIM прикріплює до повідомлень
повідомлення про відмову від відповідальності та виконує інші операції з
обробки вихідної корпоративної пошти.
Переваги зовнішніх спам-фільтрів корпоративної пошти: економія
коштів на придбання та оновлення додаткових ліцензій на антиспам і
антивірусне програмне забезпечення; простота налаштування: фактично
адміністратору поштового сервера потрібно лише внести зміни в доменну
зону (MX, TXT-записи), спрямовуючи потік повідомлень на сервер
поштового хостингу.
Навченість евристичного аналізатора поштового хостингу набагато
вища за навченість звичайного сервера корпоративної пошти. Як результат,
виявлення спаму є більш точним, а кількість помилкових спрацьовувань -
меншою. Він не залежить від операційної системи, що використовується на
корпоративному поштовому сервері клієнта, і сумісний з будь-яким
програмним забезпеченням поштового сервера, оскільки всі обміни
54
здійснюються за допомогою стандартного, незалежного від платформи
протоколу SMTP [17].
3.7 Висновки до розділу 3
У третьому розділі проведено дослідженняіснуючих засобів захисту
мережі від несанкціонованого доступу, які використано при реалізації
системи захисту комп’ютерної мережі ТОВ «Діамаст». Зроблено висновки,
що для захисту комп’ютерної мережі ТОВ «Діамаст» необхідно застосувати
наступні засоби захисту мережі від несанкціонованого доступу: брандмауер,
NetworkAddressTranslation, аркуші доступу, Proxy-сервер, Log-сервер та
антивірусний захист поштової системи.
Застосування вищезазначених засобів для захисту інформації від
несанкціонованого доступу у внутрішній мережі підвищує її загальну
цілісність та запобігає можливе викраденняданих.
55
РОЗДІЛ4РОЗРАХУНОК ПАРАМЕТРІВ СИСТЕМИ ЗАХИСТУ
КОМП’ЮТЕРНОЇ МЕРЕЖІ ТОВ «ДІАМАСТ»
4.1 Розрахунокнавантаженняна сервер
Персональні комп’ютери в мережі надсилають певні кадри інформації в
глобальну мережу. Цей кадр рухається від персонального комп’ютера до
конкретного маршрутизатора в комп’ютерній мережі із заздалегідь
визначеною швидкістю, з якою працює канал зв’язку в мережі. Після
прибуття до маршрутизатора переданий кадр копіюється з мережевого
каналу в кеш-буфер пристрою, потім перепаковується у другий кадр та
передається через зовнішню мережу (якщо канал доступний). Загальний час
обробки поточного кадру залежить від кількості кадрів, отриманих і
оброблених мережевим пристроєм до поточного кадру. Іншими словами, чим
більше кадрів у черзі, тим довший час обробки.
Скористаємося програмою для розрахунку навантаження на сервер і
часу відгуку. Вікно із заповненими даними та результати роботи програми
показано на рисунках 4.1 та 4.2 відповідно.
56
Рисунок 4.1 – Заповнення даних для обрахунку навантаження на сервер
57
Рисунок 4.2 – Результат розрахуноку навантаження на сервер (вікно
розрахунків)
Яквидно з розрахунків, значення утилізації серверів дорівнює 0,63. Це
означає, що сервери працюють 72 % часу.
Середній час відгуку становить 0,1 сек., що є відмінним показником
продуктивності серверів. Якщо утилізація серверів зростає на 30%, то час
збільшується до 0,13 сек.
58
4.2 Розрахунок напрацювання на відмову
Відмова системи – це порушення функціонування системи, тобто коли
порушується нормальна робота хоча б одного з пристроїв у проектованій
мережі.
MTBF (Meantimebetweenfailures) - це середній час в годинах до
виникнення відмови, тобто час, протягом якого обладнання може працювати
без перерв (збоїв).
Для розрахунку MTBF мережі потрібно розрахувати загальну
інтенсивність відмов λ0 за формулою 4.1.
λ0= λмаршрутизатор+ λсервер*2+λміжмережевий екран+ λкомутатор*8++λточка доступу*4+
λроб.ст.*43+ λконект*117+ λпринтра*5. (4.1)
Таблиця 4.1 – Напрацювання на відмову та інтенсивність відмови
обладнання
Обладнання Т (годин) (год-1)
Маршрутизатор 60000 0,16*10-6
Сервер 70000 0,14*10-6
Точка доступу 50000 0,2*10-6
Міжмережевий екран 60000 0,16*10-6
Комутатор 50000 0,1*10-6
Робоча станція 200000 0,27*10-6
Конектори для скрученої пари 20*106 0,05*10-6
Принтери 120000 0,3*10-6
Виходячи із технічних характеристик обладнання отримано:
λ0=(0,16+0,2+0,14*2+0,16+0,05*117+0,1*8+0,27*43)*10-6= =19,06*10-6
год.
59
Середній час між сусідніми відмовами (тобто напрацювання на
відмову) розраховано за формулою:
(4.2)
Отже, середнє значення часу між сусідніми відмовами становить 52466
тис. годин.
Використавши формулу 4.3 побудуємо графік ймовірності
безвідмовної роботи мережі залежно від часу.Отриманий графік зображено
на рисунку 4.3.
(4.3)
Імовірність безвідмовної роботи p(t) для терміну напрацювання на
відмову p(10000)=0,86, це задовольняє вимоги технічного завдання.
Рисунок 4.3– Залежність імовірності безвідмовної роботи від часу
Наведені розрахунки є статистичними та не означають гарантованої
поломки системних елементів відповідно до графіку.
60
4.3 Розрахунок дальності ефективного прийому сигналу
Передача інформації відбувається також і бездротово, тому виникає
потреба в обчисленнідальності ефективного прийому сигналу.
Формула для обчисленнядальності ефективного прийому
сигналузнаходиться з формули розрахунку втрат у вільному просторі:
b = 33 + 20(lg F + lg D) , (4.4)
де b – втрати у вільному просторі, дБ;
F – центральна частота канала, на якому функціонує система зв'язку,
МГц;
D – відстань між двома точками, км.
Користуючись формулою 4.4 побудовано графік залежності втрат від
відстані, наведений на рисунку 4.4.
Рисунок 4.4 – Залежність втрат від відстані
Розрахунок значення b відбувається за допомогою сумарного
посилення системи:
, (4.5)
де – потужність передавача;
– коефіцієнт посилення антени-передавача;
61
– коефіцієнт посилення антени-приймача;
– чутливість приймача на певній швидкості;
– втрати сигналу у коаксіальному кабелі та роз’ємах
передавального тракту;
– втрати сигналу у коаксіальному кабелі та роз’ємах
приймального тракту.
Щоб було забезпечено стійкий зв’язокмає виконуватись рівність
b = YдБ – SOM , (4.6)
де SOM–операційний запас на завмирання,дБ.
SOM (SystemOperatingMargin) враховує можливі чинники із
негативним впливом на дальність зв’язку:
1. Неузгодженість антени-передавача з антеною-приймачем.
2. Атмосферні явища – сніг, дощ, туман.
3. Температурний дрейфвихідної потужності передавача і чутливості
приймача.
Зазвичай SOM вибирається рівним 10 дБ. Запас в 10 дБз посилення
достатній для інженерної похибки.
Формула дальності зв'язку:
. (4.7)
Оскільки проектована мережа призначена для роботи увідносно
невеликому приміщенні, то відстань від точки доступу до користувачівє
мінімальною, а за межами приміщення робота не планується, тому
розрахунки можна провеститільки для швидкості 300 Мбіт/с.
Для обраного в роботі обладнання =20 дБм, =2 дБі,
=2 дБі, = -94 дБм. Втрати
сигналуприймальноготапередавального тракту незначні, тому ними можна
62
знехтувати. Використавши ці дані у формулі 4.5 знайдено загальне
посилення системи:
YдБ = 118 дБ.
За формулою 4.7 розрахуємо дальність ефективного прийому сигналу:
D =0,3387 км = 339 м.
Для використання у приміщеннях підприємства дана відстань є
прийнятною.
Повна пропускна спроможність точки доступу розділяється порівну
між кількістю користувачів, якіпід’єднанні до неї [4].
4.4 Оцінка стійкості криптографічного захисту
Алгоритми криптографічного захисту інформації, які
використовуються в теперішній час, можуть досягати широкого діапазону
значень криптографічної стійкості.
Значення криптостійкості визначається специфікою даних,що
захищаються, і, перш за все, часом старіння інформації.
Стійкість криптографічно захищеної системи передачі даних можна
оцінити за допомогою математичної стійкості.
Припустимо, що джерело відкритого тексту X генерує інформаційне
повідомлення відповідно до стохастичного процесу з областю значень {X}.
Ключ обирається з масиву потужності K відповідно до іншого стохастичного
процесу. Отже, зашифрований текст також є стохастичним процесом. Далі
розглядається випадок, коли відкритий текст відновлюється на основі
зашифрованого тексту Y=f(x,k), тобто коли криптоаналітику противника
доступний лише зашифрований текст (здійснюється атака на основі
зашифрованого тексту). Доцільно розглядати криптосистему, в якій для будь-
якого ключа k і відкритого тексту x існує тільки одне повідомлення Y =
63
f(x,k), таке, що для різних пар x з X і k з K відповідні шифротексти
відрізняються.
У цьому випадку потужність множиниМk(Y)=М(Х). Коли
криптоаналітик здійснює атаку шифрованого тексту на криптосистему, ключ
вибирається з множини K всіх ключів з однаковою ймовірністю ркл=1/K, а
кількість відкритих текстів, які є прототипом шифрованого тексту, однакова
для будь-якого шифрованого тексту. Шеннон запропонував підхід,
заснований на надмірності природної мови. Під час дешифрування
ймовірність того, що набір відкритих текстів {X} з’явиться в алфавіті
природної мови, приблизно однакова:
, (4.8)
де N– довжина повідомлення;
H– ентропія мови (відкритого тексту).
Існує кінцева імовірність відгадування відкритого тексту за
шифрованим текстомта відгадування ключа за шифр текстом. Ця імовірність
визначається величиною взаємної ентропії:
(4.9)
(4.10)
де – кількість інформації про відкритий текст у
шифрованимутексті;
– кількість інформації про ключ у шифрованому тексті;
– імовірність k по y.
64
Вирази 4.9та4.10 відповідно названі Шеноном “ненадійність відкритого
тексту” та “ненадійність ключа”.
Якщо ненадійність повідомлення (ключ) дорівнює нулю, то лише одне
повідомлення має одиничну апостеріорну ймовірність (один ключ). Тоді
апостеріорна ймовірність всіх інших відкритих текстів або ключів буде
дорівнювати нулю, або дешифрувальник матиме повну інформацію про
повідомлення та ключ. Крім того, умовам 4.9 і 4.10 може задовольняти
відрізок зашифрованого тексту довжиною L.
У цьому випадку L називається умовою єдиності відкритого тексту або
умовою єдиності ключа: якщо X, Y і Z вибрані з одного алфавіту, то відстані
єдиності відкритого тексту і ключа збігаються. У цьому випадку відстань
єдиності обчислюється за наступною формулою:
, (4.11)
де K– розмірність ключового простору,
D–надмірність відкритого тексту,
I – потужність алфавіту повідомлення при M [X] = I.
, (4.12)
де H– ентропія відкритого тексту,
Hmax–максимальна ентропія, за умоврівноімовірного розподілу
символів алфавіту.
Імовірність дешифрування повідомлення більшоїчи рівної за довжиною
відстані єдиності:
. (4.13)
65
Потрібно зазначити, що наведені формули відповідають природним
мовам та включають число осмислених текстів таких, в якихімовірність
множини осмислених повідомлень дорівнюєодиниці.
З формули 4.13 видно, щовідстань єдиності, тобто мінімальна довжина
відкритого тексту, для якої є єдиний ключ, відповідний даному шифрованого
тексту, являється важливим параметром.
Для забезпечення крипостійкості в термін 1 рік необхідно провести
розрахунки за вищезазначеними формулами.
Нехай Н=4 біт/символ, Hmax=5 біт/символ, число двійкових розрядів у
ключі приймаємо 45, потужність алфавіту повідомлення дорівнюватиме 32.
За формулою 4.12 отримаємо значення надмірності відкритого тексту:
.
При цьому відстань єдиності:
.
Це означає, що криптограма може бути розкрита за першими 45
символами шифрованого тексту з великою імовірністю. Імовірність цієї
події:
.
Тоді середня кількість спроб, яка необхідна для дешифрування
дорівнює:
.
При умові, що за 1 секундувиконуєтьсяС=106 переборів ключа, час
злому криптограми дорівнює:
66
Отже, один комп’ютер з продуктивністю перебору ключів, яка
дорівнює 106 ключів за секунду, не забезпечить дешифрування шифрограми
протягом одного року [17].
4.5 Висновки до розділу 4
У четвертому розділі для забезпечення функціонування системи
захисту комп’ютерної мережі підприємства та перевірки її працездатності
були проведені розрахунки навантаження на сервер, розрахунок
напрацювання на відмову, розрахунок дальності ефективного прийому
сигналу та оцінка стійкості криптографічного захисту.
Розрахунок навантаження на сервер визначив відмовостійкість системи
при роботі в комп’ютерній мережі.
Аналіз розрахунків MTBF показав, що середній час напрацювання на
відмову становить 52466 тис. годин.
Розрахунок дальності ефективного прийому сигналу використовувався
для визначення можливості витоку даних за межі підприємства.
Оцінка стійкості криптографічного захисту показала якість
криптографічного захисту від можливих спроб крадіжки комерційної
інформації.
67
ВИСНОВКИ
В ході дослідження було побудовано систему захисту комп’ютерної
мережі ТОВ «Діамаст» для захисту мережі від несанкціонованого доступу та
досягнення високої надійності передачі даних. Проведено аналіз існуючих
підходів до захисту інформації в комп’ютерних системах та виявлено, що
більшість заходів захисту спрямовані на вирішення проблеми захисту
шляхом контролю доступу до інформації. Аналіз сучасних інформаційних
систем показує, що деякі інформаційні системи можуть вирішувати проблему
захисту інформації в комп’ютерних системах методами введення в оману, але
сьогодні їм відводиться роль приманок, які використовуються для
дослідження можливостей зловмисників.
У роботі визначено та проаналізовано додаткові системи, які можуть
бути використані для підвищення надійності захисту у внутрішній мережі
компанії. Такі системи можуть бути використані для забезпечення більш
ефективного захисту мережі в порівнянні з аналогічними системами.
Для дослідження роботи внутрішніх комп’ютерних мереж
використовувався пакет імітаційного моделювання NetCracker. На основі
дослідження структури підприємства було розроблено загальну модель
системи захисту комп’ютерної мережі підприємства.
Досліджено засоби захисту мережі від несанкціонованого доступу
(міжмережеві екрани, NAT, аркуші доступу, Proxy-сервер, Log-сервер,
антивірусний захист поштової системи), за допомогою яких реалізовано
систему захисту комп’ютерної мережі ТОВ «Діамаст». Використання цих
інструментів для захисту інформації у внутрішній мережі від
несанкціонованого доступу підвищує загальну цілісність і запобігає
можливій крадіжці даних.
Для перевірки ефективності розробленої системи захисту комп’ютерної
мережі компанії булопроведено наступні розрахунки параметрів
68
мережі:розрахунки навантаження на сервер, розрахунок напрацювання на
відмову, розрахунок дальності ефективного прийому сигналу та оцінка
стійкості криптографічного захисту.
Розрахунок навантаження на сервер показує стійкість до збоїв у його
роботі, тобто до DoS-атак. Розрахунок ефективної дальності прийому
сигналу - вказує на відстань поширення сигналу. Визначення дальності
сигналу допомагає зрозуміти, чи може зловмисник зламати роутер за межами
підприємства і отримати доступ до мережі. Рейтинг стійкості шифрування
відображає стійкість даних, зашифрованих ключами шифрування, до злому;
розрахунок MTBF вказує на загальну стійкість компонентів мережі до
навантажень під час роботи.
Практичне значення отриманих результатів полягає у підвищенні рівня
захисту мережі підприємства від несанкціонованого доступу шляхом
створення функціональної моделі комп’ютерної мережі підприємства, вжиття
заходів щодо захисту конфіденційних даних від крадіжки, побудови систем
захисту комп’ютерної мережі підприємства та підвищення надійності
передачі даних.
Таким чином, можна сказати, що за період дослідження були вирішені
всі поставлені завдання, досягнута мета дослідження і виконані умови,
поставлені в технічному завданні.
69
69
СПИСОК СКОРОЧЕНЬ ТА УМОВНИХ ПОЗНАЧЕНЬ
НСД – Несанкціонований доступ
СУДБ – система управління базами даних
ТЗІ – Технічний захист інформації
ТОВ – товариство з обмеженоювідповідальністю
ЦП – центральнийпроцесор.
IP – InternetProtocol.
LAN – Local Area Network.
Wi-Fi – Wireless Fidelity.
IT – Information Technology.
IEEE – Institute of Electrical and Electronics Engineers.
FDDI – Fiber Distributed Data Interface.
CSMA/CD – Carrier Sense Multiple Access with Collision Detection.
DSSS – Direct Sequence Spread Spectrum.
FHSS – Frequency Hopping Spread Spectrum.
70
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Антонюк А.Ф. Основизахистуінформації в автоматизованих
системах. Навчальнийпосібник. - К.: Академія, 2003.
2. Буров Є. Комп’ютернімережі / Є. Буров. – Львів: БаК,1999. – 468с.
3. Вітер С.А. Захистобліковоїінформації та кібербезпекапідприємства /
С.А. Вітер, І.І. Світлишин // Економіка і суспільство:
електроннефаховевидання. – 2017. – № 11. – С. 497–502.
4. Городецька О. С., Гикавий В. А.,
Онищук.Комп’ютернімережі :навчальнийпосібник / О. С. Городецька, В.
А. Гикавий, О. В. Онищук. − Вінниця : ВНТУ, 2017. − 129 с.
5. Дронюк І. М. Технологіїзахистуінформації на
матеріальнихносіяхМонографія. Львів :ВидавництвоЛьвівськоїполітехніки,
2017. 200 с.
6. Жураковський Б. Ю. Комп’ютернімережі. Частина 1. навч. поібн.
[Електронний ресурс] / Б. Ю. Жураковський, І.О. Зенів; КПІ ім.
ІгоряСікорського. – Електроннітекстовідані (1 файл: 8,6 Мбайт). – Київ: КПІ
ім. ІгоряСікорського, 2020. – 336 с.
7. Жураковський Б. Ю. Комп’ютернімережі. Частина 2. навч. поібн.
[Електронний ресурс] / Б. Ю. Жураковський, І.О. Зенів; КПІ ім.
ІгоряСікорського. – Електроннітекстовідані (1 файл: 4,73 Мбайт). – Київ: КПІ
ім. ІгоряСікорського, 2020. – 372 с.
8. Карпенко М. Ю.Конспект лекцій з курсу «Комп’ютернімережі» / М.
Ю. Карпенко, Н. В. Макогон. – Харків : ХНУМГ ім. О. М. Бекетова, 2019. –
99 с.
9. Корченко О. Г. Прикладнакриптологія: системишифрування:
підручник / О. Г. Корченко, В. П. Сіденко, Ю. О. Дрейс. – К. : ДУТ, 2014. –
448 сhttps://ela.kpi.ua/handle/123456789/48296
71
10. Кузнецов О.О. Захистінформації в інформаційних системах. / О.О.
Кузнецов, С.П. Євсеєв, О.Г. Король. - Харків: Вид. ХНЕУ, 2011.– 510.
11. Куценко В.Ю.Дослідженнясистемизахистукорпоративноїмережі /
Л.А. Шувалова, О.О. Курченко, В.Ю. Куценко // ІІ міжнародноїнауково-
практичноїконференції «Інновації та перспективні шляхи
розвиткуінформаційнихтехнологій», 6грудня 2023 р. – М-во освіти інауки
України, Черкас. держ. технол. ун-т. – Черкаси : ЧДТУ, 2023.
12. Ляхович Г.І. Захистобліковоїінформації в умовах аутсорсингу
ізвикористаннямінформаційно-комп’ютернихтехнологій / Г.І. Ляхович //
БізнесІнформ. – 2017. – № 12. – С. 408–412.
13. МельникІ., Лунтовский А. «Комп'ютерні мережі та
телекомунікації»: Навчальний посібник для дистанційного навчання. / І.
Мельник, А.Лунтовский. – Київ: Ун-т «Україна», 2007. – 274с.
14. Микитишин А.Г., Митник М.М., Стухляк П.Д., Пасічник
В.В.Комп’ютерні мережі: навчальний посібник. / А.Г.Микитишин, М.М.
Митник, П.Д.Стухляк, В.В. Пасічник. – Львів: «Магнолія 2006», 2013. –
256 с.
15. Остапов С. Е. Технологіїзахистуінформації :навчальнийпосібник /
С. Е. Остапов, С. П. Євсеєв, О. Г. Король. – Х. : Вид. ХНЕУ, 2013. – 476 с.
16. Рамський Ю.С. Адмініструваннякомп’ютерних мереж і систем:
Навч. пос. / Ю.С.Рамський, В.П.Олексюк, А.В. Балик. –Тернопіль: Навчальна
книга – Богдан, 2010. — 196 с.
17. Писарчук О.О. Захистінформації в комп’ютерних системах»: Навч.
посібник . [Електронний ресурс] / Писарчук О.О.–Електроннітекстовідані (1
файла: 1,8 Мбайт). – Київ : КПІ ім. ІгоряСікорського, 2020. – 95 с.
18. Рибальський О.В., Хахановський В.Г., Кудінов В.А.
Основиінформаційноїбезпеки та технічногозахистуінформації. – К.: Вид.
Національноїакадеміївнут. справ, 2012. – 104 с.
72
19. Семенов С.Г. Захистінформації в комп’ютерних системах та
мережах :навч. посіб. / С.Г. Семенов, А.О. Подорожняк, О.І. Баленко, С.Ю.
Гавриленко – Х.: НТУ «ХПІ», 2014.– 251 с.
20. Смірнов О.А. Інформаційнабезпека в комп’ютернихмережах :навч.
посіб. / О. А. Смірнов, О. К. Конопліцька-Слободенюк, С. А. Смірнов [та
ін.] ; М-во освіти і науки України, Центральноукраїн. нац. техн. ун-т. -
Кропивницький : Лисенко В.Ф., 2020. – 295 с.
21. Смірнов О.А.,Євсеєв С.П., Жукарев В.Ю., Король О.Г., Сорокін
В.Є., Мелешко Є.В. Технології істандартикомп’ютерних мереж: навч. посіб.
/О.А.Смірнов, С.П.Євсеєв, В.Ю.Жукарев, О.Г.Король, В.Є.Сорокін, Є.В.
Мелешко. – Кіровоград: КНТУ 2012. – 454 с.
22. Стрихалюк Б. М. Теоріяпобудови та протоколиінфокомунікаційних
мереж: Конспект лекцій / Б. М.Стрихалюк. – Львів: Львівськаполітехніка,
2017. – 121 с.
23. Тарнавський Ю. А., Організаціякомп’ютерних мереж
[Електронний ресурс] :підручник. / Ю. А. Тарнавський, І. М. Кузьменко.
– Електроннітекстовідані (1 файл: 45,7 Мбайт). – Київ : КПІ ім.
ІгоряСікорського, 2018. – 259 с.
24. Тарнавський Ю. А. Технологіїзахистуінформації [Електронний
ресурс]: підручник для студентівспеціальності 122 «Комп’ютерні науки»,
спеціалізацій «Інформаційнітехнологіїмоніторингудовкілля»,
«Геометричнемоделювання в інформаційних системах» / Ю. А. Тарнавський;
КПІ ім. ІгоряСікорського. – Київ : КПІ ім. ІгоряСікорського, 2018. – 162 с.
25. Хоменко В. Г. Комп’ютернімережі: Навчальнийпосібник / В. Г.
Хоменко, М. П. Павленко. – Донецьк: ЛАНДОН-ХХІ, 2011. – 316 с.
26. Хорошко В.А. Методи й засобизахистуінформації / ВА Хорошко,
АА Чекатков - К.: ЮНІОР, 2003.
27. Хорошко В. О. Математичнімоделіінформаційно-комунікаційних
систем і мереж щодозахистуінформації на основітеоріїваріаційно-
градієнтнихметодів / В. О. Хорошко, Т. В. Майсак, Н. Б. Дахно //
73
Моделювання та інформаційнісистеми в економіці. - 2015. - № 91. - С. 246-
255.
28. Шпак В.А. Організаціязахистуобліковоїінформації / В.А. Шпак //
Бухгалтерськийоблік, аналіз та аудит: проблемитеорії, методології,
організації. – 2015. – № 2. – С. 181–187.
29. Шувалова Л. А. Методи захисту даних у WI-FI мережах / Л.А.
Шувалова // Наука і техніка повітряних сил збройних сил України. – Харків.
– Випуск 2 (6). – 2011. – С. 133-135.
30. Шувалова Л. А. Методи стиснення інформації в комп’ютерних
системах/ Л.А. Шувалова, В.В. Гурін // Наука і техніка повітряних сил
збройних сил України. – Харків. – Випуск 2 (6). – 2013. – С. 130-138.
ДОДАТОК А
СХЕМА ІНФОРМАЦІЙНИХ ПОТОКІВ
ТОВ «ДІАМАСТ»
ДОДАТОК Б
ЗАГАЛЬНА МОДЕЛЬ СИНТЕЗУ СИСТЕМИ ЗАХИСТУ
КОМП’ЮТЕРНОЇ МЕРЕЖІ ТОВ «ДІАМАСТ»
US1.1 US2.1 US2.2 US3.1 US3.2
S1 S2 S3 S4 S5
Si – етапи проектування системи захисту комп’ютерної мережі
підприємства;
S1 – аналіз аналогів комп'ютерних мереж;
S2 – аналіз структури підприємства;
S3 – аналіз топології мережі;
S4 – розрахунок параметрів захисту мережі;
S5 – створення захисту комп'ютерної мережі.
USi – вхідні допоміжні данні на окремому етапі;
US1.1 – збір даних про аналоги;
US2.1 – аналіз роботи відділів;
US2.2 – синтез схеми інформаційних потоків;
US3.1 – аналіз роботи мережі;
US3.2 – вибір засобів захисту мережі.