При подборе вычислительной техники следует отдавать предпочтение мониторам с низкими уровнями излучений, отвечающим стандартам ТСО 95, ТСО 99, ТСО 2001, MPR II и повышенными визуальными характеристиками.
На мониторы рекомендуется устанавливать защитные фильтры класса полной защиты (Total shield), обеспечивающие практически полную защиту от всех вредных воздействий монитора в электромагнитном спектре и позволяющие уменьшить блик от электронно-лучевой трубки, а также повысить читаемость символов.
Вывод: Используемые методы и способы по защите от воздействия опасных и вредных факторов и соблюдение эргономических требований обеспечивают безопасность разработчика и пользователей.
4. Заключение
В дипломном проекте рассмотрены вопросы организации системы защиты информации в локальной сети предприятии.
Данная тема имеет большое значение для развития предприятия. На сегодняшний день разработка и внедрение сетевых информационных систем является одной из самых интересных и важных задач в области информационных технологий. В процессе дипломного проектирования была изучена структура локально-вычислительной сети предприятия, проанализированы потоки информации циркулирующие во внутренней сети предприятия, а так же потоки информации циркулирующие между филиалами. Также была представлена электронная модель обращения и хранения информации и хранения документации.
В дипломном проекте были предложены дополнительные меры защиты информации, разработана архитектура системы защиты безопасности и ограничения доступа в ЛВС предприятия.
В качестве базисного решения для охраны конфиденциальной информации передаваемой между филиалами использована технология виртуальной корпоративной сети предприятия, позволяющая реализовать защиту канала передачи данных от перехвата и подмены информации. Для защиты внутренней информационной структуры предприятия использованы Антивирусные решения.
В разделе охраны труда проведена оценка возможных опасных и вредных факторов при разработке программного продукта и их влияние на разработчика, а также предложены меры по защите от них воздействия.
Приложение 1
Защита информации в IP сетях
Конфигурация брандмауэра
Конфигурация iptables
Любое правило iptables записывается в виде:
iptables [-t таблица] команда [критерий] [действие \ переход в другую цепочку]
Использованные команды
Команда
|
Описание
|
-A, --append
|
Добавляет новое правило в конец заданной цепочки.
|
-D, --delete
|
Удаление правила из цепочки.
|
-L, --list
|
Вывод списка правил в заданной цепочке
|
-F, --flush
|
Сброс (удаление) всех правил из заданной цепочки
|
-N, --new-chain
|
Создание новой цепочки с заданным именем
|
-X, --delete-chain
|
Удаление заданной цепочки из заданной таблицы
|
-P, --policy
|
Задает политику по-умолчанию для заданной цепочки
В качестве политики по умолчанию допускается использовать DROP и ACCEPT.
|
Общие критерии
Критерий
|
Описание
|
-p, --protocol
|
Этот критерий используется для указания типа протокола
|
-s, --src, --source
|
IP-адрес(а) источника пакета.
|
-d, --dst, --destination
|
IP-адрес(а) получателя.
|
-i, --in-interface
|
Интерфейс, с которого был получен пакет.
|
-o, --out-interface
|
Задает имя выходного интерфейса.
|
-j –jump
|
Переход на другую цепочку
|
Действие
|
Описание
|
ACCEPT
|
Данное действие прекращает движение пакета по цепочке
|
DROP
|
Данное действие просто "сбрасывает" пакет и iptables "забывает" о его существовании.
|
LOG
|
Данное действие, служит для журналирования отдельных пакетов и событий.
|
-j –jump
|
Переход на другую цепочку
|
Для удобства используются элементы программирования bash.
#!/bin/sh
start_fw()
{
Задаем статическую информацию, такую как используемые интерфейсы и IP адреса:
# IPTables Configuration.
#
IPTABLES="usr/sbin/iptables"
INET_IFACE="eth0"
LAN_IFACE="eth1"
LAN_VIFACE="eth2"
LAN_IP_RANGE ="192.168.100.0"
LAN_IP="192.168.100.254"
LAN_PROXY_IP="192.168.100.250"
LAN_TERM_IP="192.168.150.100"
LAN_VIP="192.168.150.1"
IP_FIL = "212.111.80.21"
BASE_IP= ="192.168.100.3"
DOMEN_IP = "192.168.100.2"
LO_IP="127.0.0.1"
LO_IFACE="lo"
Активируем необходимые нам модули:
#
# Module loading.
# Needed to initially load modules
#
/sbin/depmod -a
#
# Required modules
#
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
#
#Required proc configuration
#
echo "1" > /proc/sys/net/ipv4/ip_forward
Задаем политики на сброс всех пакетов:
#
# policies
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
Цепочка bad_tcp_packets предназначена для фильтрования пакетов с "неправильными" заголовками и решения ряда других проблем. Здесь отфильтровываются все пакеты, которые распознаются как NEW, но не являются SYN пакетами, а так же обрабатываются SYN/ACK-пакеты, имеющие статус NEW. Эта цепочка использована для защиты от вторжения и сканирования портов.
#
# rule bad_tcp_packets
#
$IPTABLES -N bad_tcp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
Цепочка allowed используется как дополнительная проверка после цепочки bad_tcp_packets. Первое правило проверяет, является ли пакет SYN пакетом, т.е. запросом на соединение. Такой пакет мы считаем допустимым и пропускаем.
#
# ICMP rules
#
$IPTABLES -N icmp_packets
$IPTABLES -A icmp_packets -i $INET_IFACE -p ICMP -j DROP
$IPTABLES -A icmp_packets -i $LAN_IFACE -p ICMP -s $LAN_IP_RANGE -j ACCEPT
#
# Rules for special networks not part of the Internet
#
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
Это правило отвечает за трафик который идет с сети интернет, зависимости от протокола идет переключению на соответствующую цепочку
#
# Rules for incoming packets from the internet.
#
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state –state \ ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j bad_tcp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#
# FORWARD chain
# Bad TCP
#
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
#
# OUTPUT chain
# Bad TCP
#
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
#
# Special OUTPUT rules to decide which IP's to allow.
#
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
Здесь задаем правила доступа для создания VPN шлюза.
#
# Internet IPsec connect
# key
$IPTABLES -A INPUT -p udp --sport 500 --dport 500 –s $IP_FIL -j ACCEPT
$IPTABLES -A OUTPUT -p udp --sport 500 --dport 500 –d $IP_FIL -j ACCEPT
# esp
$IPTABLES -A INPUT -p 50 –s $IP_FIL-j ACCEPT
$IPTABLES -A OUTPUT -p 50 –d $IP_FIL -j ACCEPT
# ah
$IPTABLES -A INPUT -p 51 –s $IP_FIL -j ACCEPT
$IPTABLES -A OUTPUT -p 51 –d $IP_FIL -j ACCEPT
Разрешаем доступ Прокси сервера в сеть интернет.
#
# PRX to Internet
#
$IPTABLES -A FORWARD -i $LAN_IFACE -s $LAN_PROXY_IP –o $INET_IFACE -j ACCEPT
Разрешаем доступ Терминал сервера в локальную сеть.
#
# TSRV to LAN
#
$IPTABLES -A FORWARD -i $LAN_VIFACE -o $LAN_IFACE –d $BASE_IP -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_VIFACE -o $LAN_IFACE –d $DOMEN_IP -j ACCEPT
}
case "$1" in
start) echo -n "Starting"
start_fw
echo "."
;;
stop) echo -n "Stopping"
iptables -F
iptables -X
echo "."
;;
save) echo -n "Saving"
iptables-save > /etc/rules-save
echo "."
;;
restart) echo -n "Restarting"
iptables -F
iptables -X
cat /etc/rules-save | iptables-restore
echo "."[C
;;
*) echo "Usage: iptables start|stop|save|restart"
exit 1
;;
esac
exit 0
Приложение 2
Защита информации в IP сетях
Конфигурация VPN шлюза
# /etc/ipsec.conf - конфигурационный файл FreeS/WAN
# Примеры конфигурационных файлов находятся в каталоге
# doc/examples исходных кодов.
config setup
# Сетевой интерфейс, используемый IPSec
interfaces="IPSEC0=eth0"
# Запрет на выдачу отладочных сообщений
# all - включение выдачи отладочных сообщений
klipsdebug=none
plutodebug=none
# Автоматическая установка соединений и аутентификация
# при запуске IPSec
plutoload=%search
plutostart=%search
# Параметры соединения между локальными сетями
# Название соединения (произвольная строка)
conn Moscow_Fil
# Исходные данные для шлюза в Москвe
# IP адрес
left=212.45.28.123
# Описание локальной сети
leftsubnet=192.168.150.0/24
# IP ближайшего к шлюзу в Москве роутера
# (может быть определен с помощью traceroute)
leftnexthop=62.117.82.145
# Исходные данные для шлюза в филиале
# IP адрес
right=212.111.80.21
# Описание локальной сети
rightsubnet=192.168.1.0/24
# IP ближайшего к шлюзу в филиале роутера
rightnexthop=212.111.78.1
# Количество попыток проверки ключей
# 0 - до достижения положительного результата
keyingtries=0
# Тип аутентификации(AH или ESP)
auth=ah
#Опции устанавливаемые для использования RSA-ключей
authby=rsasig
leftrsasigkey=
rightrsasigkey=
# Устанавливать соединение при запуске IPSec
auto=start
Do'stlaringiz bilan baham: |