«Кто владеет информацией владеет миром»


Рекомендации по выбору ПЭВМ



Download 0,81 Mb.
bet16/16
Sana19.04.2022
Hajmi0,81 Mb.
#562132
1   ...   8   9   10   11   12   13   14   15   16

3.3.3 Рекомендации по выбору ПЭВМ


При подборе вычислительной техники следует отдавать предпочтение мониторам с низкими уровнями излучений, отвечающим стандартам ТСО 95, ТСО 99, ТСО 2001, MPR II и повышенными визуальными характеристиками.
На мониторы рекомендуется устанавливать защитные фильтры класса полной защиты (Total shield), обеспечивающие практически полную защиту от всех вредных воздействий монитора в электромагнитном спектре и позволяющие уменьшить блик от электронно-лучевой трубки, а также повысить читаемость символов.
Вывод: Используемые методы и способы по защите от воздействия опасных и вредных факторов и соблюдение эргономических требований обеспечивают безопасность разработчика и пользователей.
4. Заключение

В дипломном проекте рассмотрены вопросы организации системы защиты информации в локальной сети предприятии.


Данная тема имеет большое значение для развития предприятия. На сегодняшний день разработка и внедрение сетевых информационных систем является одной из самых интересных и важных задач в области информационных технологий. В процессе дипломного проектирования была изучена структура локально-вычислительной сети предприятия, проанализированы потоки информации циркулирующие во внутренней сети предприятия, а так же потоки информации циркулирующие между филиалами. Также была представлена электронная модель обращения и хранения информации и хранения документации.
В дипломном проекте были предложены дополнительные меры защиты информации, разработана архитектура системы защиты безопасности и ограничения доступа в ЛВС предприятия.
В качестве базисного решения для охраны конфиденциальной информации передаваемой между филиалами использована технология виртуальной корпоративной сети предприятия, позволяющая реализовать защиту канала передачи данных от перехвата и подмены информации. Для защиты внутренней информационной структуры предприятия использованы Антивирусные решения.
В разделе охраны труда проведена оценка возможных опасных и вредных факторов при разработке программного продукта и их влияние на разработчика, а также предложены меры по защите от них воздействия.
Приложение 1

Защита информации в IP сетях


Конфигурация брандмауэра
Конфигурация iptables
Любое правило iptables записывается в виде:


iptables [-t таблица] команда [критерий] [действие \ переход в другую цепочку]

Использованные команды



Команда

Описание

-A, --append

Добавляет новое правило в конец заданной цепочки.

-D, --delete

Удаление правила из цепочки.

-L, --list

Вывод списка правил в заданной цепочке

-F, --flush

Сброс (удаление) всех правил из заданной цепочки

-N, --new-chain

Создание новой цепочки с заданным именем

-X, --delete-chain

Удаление заданной цепочки из заданной таблицы

-P, --policy

Задает политику по-умолчанию для заданной цепочки
В качестве политики по умолчанию допускается использовать DROP и ACCEPT.

Общие критерии



Критерий

Описание

-p, --protocol

Этот критерий используется для указания типа протокола

-s, --src, --source

IP-адрес(а) источника пакета.

-d, --dst, --destination

IP-адрес(а) получателя.

-i, --in-interface

Интерфейс, с которого был получен пакет.

-o, --out-interface

Задает имя выходного интерфейса.

-j –jump

Переход на другую цепочку




Действие

Описание

ACCEPT

Данное действие прекращает движение пакета по цепочке

DROP

Данное действие просто "сбрасывает" пакет и iptables "забывает" о его существовании.

LOG

Данное действие, служит для журналирования отдельных пакетов и событий.

-j –jump

Переход на другую цепочку

Для удобства используются элементы программирования bash.


#!/bin/sh
start_fw()
{
Задаем статическую информацию, такую как используемые интерфейсы и IP адреса:
# IPTables Configuration.
#
IPTABLES="usr/sbin/iptables"
INET_IFACE="eth0"
LAN_IFACE="eth1"
LAN_VIFACE="eth2"
LAN_IP_RANGE ="192.168.100.0"
LAN_IP="192.168.100.254"
LAN_PROXY_IP="192.168.100.250"
LAN_TERM_IP="192.168.150.100"
LAN_VIP="192.168.150.1"
IP_FIL = "212.111.80.21"
BASE_IP= ="192.168.100.3"
DOMEN_IP = "192.168.100.2"
LO_IP="127.0.0.1"
LO_IFACE="lo"
Активируем необходимые нам модули:
#
# Module loading.
# Needed to initially load modules
#
/sbin/depmod -a
#
# Required modules
#
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
#
#Required proc configuration
#
echo "1" > /proc/sys/net/ipv4/ip_forward
Задаем политики на сброс всех пакетов:
#
# policies
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
Цепочка bad_tcp_packets предназначена для фильтрования пакетов с "неправильными" заголовками и решения ряда других проблем. Здесь отфильтровываются все пакеты, которые распознаются как NEW, но не являются SYN пакетами, а так же обрабатываются SYN/ACK-пакеты, имеющие статус NEW. Эта цепочка использована для защиты от вторжения и сканирования портов.
#
# rule bad_tcp_packets
#
$IPTABLES -N bad_tcp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
Цепочка allowed используется как дополнительная проверка после цепочки bad_tcp_packets. Первое правило проверяет, является ли пакет SYN пакетом, т.е. запросом на соединение. Такой пакет мы считаем допустимым и пропускаем.
#
# ICMP rules
#
$IPTABLES -N icmp_packets
$IPTABLES -A icmp_packets -i $INET_IFACE -p ICMP -j DROP
$IPTABLES -A icmp_packets -i $LAN_IFACE -p ICMP -s $LAN_IP_RANGE -j ACCEPT
#
# Rules for special networks not part of the Internet
#
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
Это правило отвечает за трафик который идет с сети интернет, зависимости от протокола идет переключению на соответствующую цепочку
#
# Rules for incoming packets from the internet.
#
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state –state \ ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j bad_tcp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#
# FORWARD chain
# Bad TCP
#
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

#
# OUTPUT chain


# Bad TCP
#
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
#
# Special OUTPUT rules to decide which IP's to allow.
#
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
Здесь задаем правила доступа для создания VPN шлюза.
#
# Internet IPsec connect
# key
$IPTABLES -A INPUT -p udp --sport 500 --dport 500 –s $IP_FIL -j ACCEPT
$IPTABLES -A OUTPUT -p udp --sport 500 --dport 500 –d $IP_FIL -j ACCEPT
# esp
$IPTABLES -A INPUT -p 50 –s $IP_FIL-j ACCEPT
$IPTABLES -A OUTPUT -p 50 –d $IP_FIL -j ACCEPT
# ah
$IPTABLES -A INPUT -p 51 –s $IP_FIL -j ACCEPT
$IPTABLES -A OUTPUT -p 51 –d $IP_FIL -j ACCEPT
Разрешаем доступ Прокси сервера в сеть интернет.
#
# PRX to Internet
#
$IPTABLES -A FORWARD -i $LAN_IFACE -s $LAN_PROXY_IP –o $INET_IFACE -j ACCEPT
Разрешаем доступ Терминал сервера в локальную сеть.
#
# TSRV to LAN
#
$IPTABLES -A FORWARD -i $LAN_VIFACE -o $LAN_IFACE –d $BASE_IP -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_VIFACE -o $LAN_IFACE –d $DOMEN_IP -j ACCEPT
}
case "$1" in
start) echo -n "Starting"
start_fw
echo "."
;;
stop) echo -n "Stopping"
iptables -F
iptables -X
echo "."
;;
save) echo -n "Saving"
iptables-save > /etc/rules-save
echo "."
;;
restart) echo -n "Restarting"
iptables -F
iptables -X
cat /etc/rules-save | iptables-restore
echo "."[C
;;
*) echo "Usage: iptables start|stop|save|restart"
exit 1
;;
esac
exit 0
Приложение 2

Защита информации в IP сетях


Конфигурация VPN шлюза
# /etc/ipsec.conf - конфигурационный файл FreeS/WAN
# Примеры конфигурационных файлов находятся в каталоге
# doc/examples исходных кодов.
config setup
# Сетевой интерфейс, используемый IPSec
interfaces="IPSEC0=eth0"
# Запрет на выдачу отладочных сообщений
# all - включение выдачи отладочных сообщений
klipsdebug=none
plutodebug=none
# Автоматическая установка соединений и аутентификация
# при запуске IPSec
plutoload=%search
plutostart=%search
# Параметры соединения между локальными сетями
# Название соединения (произвольная строка)
conn Moscow_Fil
# Исходные данные для шлюза в Москвe
# IP адрес
left=212.45.28.123
# Описание локальной сети
leftsubnet=192.168.150.0/24
# IP ближайшего к шлюзу в Москве роутера
# (может быть определен с помощью traceroute)
leftnexthop=62.117.82.145
# Исходные данные для шлюза в филиале
# IP адрес
right=212.111.80.21
# Описание локальной сети
rightsubnet=192.168.1.0/24
# IP ближайшего к шлюзу в филиале роутера
rightnexthop=212.111.78.1
# Количество попыток проверки ключей
# 0 - до достижения положительного результата
keyingtries=0
# Тип аутентификации(AH или ESP)
auth=ah
#Опции устанавливаемые для использования RSA-ключей
authby=rsasig
leftrsasigkey=
rightrsasigkey=
# Устанавливать соединение при запуске IPSec
auto=start


1SMTP [Simple Mail Transfer Protocol] простой протокол электронной почты, протокол SMTP (основной протокол электронной почты в сети Internet)

2 POP3 [Post Office Protocol v. 3] почтовый протокол Internet, позволяющий осуществлять динамический доступ к почтовому ящику с рабочей станции

3 IMAP [Interactive Mail Access Protocol] протокол интерактивного доступа к электронной почте

4 NNTP [Network News Transfer Protocol] сетевой протокол передачи новостей

5 SKIP команда подготовки следующей команды

6 DES [Data Encription Standard] стандарт шифрования данных, шифровальный стандарт (широко используемый высоконадежный алгоритм для шифрования и дешифрования данных, разработанный U.S. National Bureau of Standards)

7 AH [Authentication Header] – Аутентифицирующий заголовок

8 SPI [Secutity Parameter Index] Индекс параметра безопасности

9 PPTP сетевая технология, которая поддерживает многопротокольные виртуальные частные сети (VPN), позволяя удаленным пользователям безопасно обращаться к корпоративным сетям с помощью коммутируемого соединения, предоставляемого поставщиком услуг Internet (ISP) или с помощью прямого соединения к Internet

Download 0,81 Mb.

Do'stlaringiz bilan baham:
1   ...   8   9   10   11   12   13   14   15   16




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish