Altell FORT Tower SAS/SATA 1CPU используется в качестве основного сервера. Altell FORT Tower SAS/SATA 2CPU выполняет функции файл-сервера, сервера печати, сервера баз данных, сервера удаленного доступа. Отличительной чертой этого сервера является его масштабируемость и возможность расширения. В нем установлены:

• процессор Intel Xeon Six-Core X5670 2.93 МГц;

• 12 Мбайт КЭШ памяти второго уровня;

• DVD drive;

• 48 Гбайт отказоустойчивой памяти с автоматической коррекцией ошибок;

• подсистема внешней памяти с возможностью «горячей» замены и аппаратной реализацией технологии отказоустойчивости RAID уровней 0,1,5;

• управляемое устройство бесперебойного питания.

• 2 винтчестера по 2 ТВ

Altell FORT Tower SAS/SATA 2CPU используются в качестве файл-серверов и серверов печати в небольших рабочих группах, а также в качестве резервных серверов. Серверы Altell имеют наработку на отказ более 100 000 часов, 3 года гарантии, сертификат качества ГОССТАНДАРТА РФ.

В качестве рабочих мест используются компьютеры Fujitsu-Siemens Celsius в конфигурации:

• процессоры AMD Opteron 5333 Мгц;

• 4 Мбайт КЭШ памяти второго уровня;

• DVD-RW;

• 32 Гбайт отказоустойчивой памяти с автоматической коррекцией ошибок;

• сетевая карта со скоростью передачи данных 10 Гбит/с;

• сеть фирмы создана по технологии клиент-сервер.

В качестве межсетевого экрана используется D-link DFL-1600. Он имеет следующие характеристики:

• Производительность межсетевого экрана 320 Мбит/с

• Шифрование (DES)

• Перенаправление трафика при обрыве канала

• Обнаружение отказа устройства

• Защита от атак DoS, DDoS

• Тип HTTP: URL, ключевые слова

• Тип email: «Черный» список, ключевые слова

• Имеет сертификат соответствия ГОССТАНДАРТА РФ

2. Реализация сетевого соединения

1. Сетевое оборудование

Основу сети составляют 3 высокопроизводительных 8-ми портовых коммутатора D-Link DES-1008D/PRO . Данные коммутаторы расположены в кабинете бухгалтеров и соединены между собой линиями связи типа «витая пара» на скорости 10 Гбит/с .

При таком способе соединения одна из линий связи находится в режиме резервирования и при нормальном функционировании всех элементов сети не используется. При повреждении любой другой связи резервная связь автоматически переключается в рабочий режим и работоспособность всей сети при этом не нарушается. Кроме того, при отключении любого из трёх коммутаторов два оставшихся всегда оказываются соединенными между собой и продолжают функционировать, как единая сеть. Таким образом, данный способ построения базовой сети обеспечивает устойчивость к отказам кабельной проводки, а также отсутствие центрального элемента сети, выход которого из строя мог бы повлечь за собой отказ всей сети.

Кроме того, использование полнодуплексных связей между коммутаторами позволяет достичь скорости передачи информации до 10 Гбит/с, а использование высокопроизводительного коммутатора, имеющего производительность внутренней шины передачи данных 2 Гбит/с, позволяет в дальнейшем достичь общей производительности сети в 8 Гбит/с без необходимости замены центральных элементов сети.

Основные сетевые ресурсы общего доступа (файловые серверы, коммуникационные серверы, маршрутизаторы и проч.) подключаются непосредственно к базовой сети, т.е. с использованием стандарта Fast Ethernet к портам коммутаторов 28115, или к специально выделенным для каждого из них сегментам Ethernet (выделенный канал на скорости 1 Гбит/с). Подобный способ подключения гарантирует высокую скорость доступа ко всем сетевым ресурсам.

Сети подразделений построены с использованием стандартов Fast Ethernet 100 Мбит/с. Сети административных подразделений делятся на сегменты по 8 пользователей в каждом. Такое количество пользователей на один сегмент обеспечивает оптимальную производительность сети, удовлетворяющую требованиям, предъявляемым к производительности сети большинством офисных приложений. В дальнейшем с помощью средств управления сетью, возможно, произвести перераспределение пользователей между сегментами в зависимости от задач, решаемых на каждом конкретном рабочем месте, и основываясь на собранной при помощи системы управления сетью статистике о загрузке различных участков сети.

В качестве сетевых адаптеров для подключения серверов общего пользования по стандарту Fast Ethernet используются сетевые адаптеры EtherExpress PRO фирмы Intel c интерфейсом PCI Express. Для подключения рабочих мест были выбраны адаптеры Ethernet c буфером 8-16 Кб, совместимые с адаптером NE2000, производства фирм 3COM и Realtek.

Тип линии связи компьютеров в единую сеть

Активное сетевое оборудование расположено в стойке закрытого типа. Все кабинеты,кроме бухгалтерии, соединены между собой при помощи кабеля “витая пара” категории 5.

Все сетевое оборудование подключается к розеткам на рабочих местах или к коммутационным панелям внутри стоек специальными соединительными кабелями.

Сетевое администрирование

Выделенный сервер (файл-, принт-сервер) работает под управлением FreeBSD 6.0. Сотрудники фирмы имеют доступ к серверу доступ, к которому ограничен в зависимости от полномочий пользователей. Необходимо защищать от НСД информацию для каждой рабочей станции.

Методы защиты сети от НСД

Хотя межсетевые экраны (firewalls, брандмауэры, бастионы) обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или компаниях межсетевые экраны часто используются для создания различных подсетей в сети, часто называемой интранетом. Межсетевые экраны в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться межсетевые экраны и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть межсетевой экран для финансового отдела или бухгалтерии в организации.

Решение использовать межсетевой экран обычно основывается на необходимости предоставлять доступ к некоторой информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учет доступа и использования конфиденциальной и критической информации.

Для всех систем организации, на которых размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должны использоваться внутренние межсетевые экраны и фильтрующие маршрутизаторы для обеспечения строгого управления доступом и ведения аудита. Эти средства защиты должны использоваться для разделения внутренней сети организации для реализации политик управления доступом, разработанных владельцами информации (или ответственными за нее).

Этот подход, называемый "безопасность на уровне сети" состоит в введении средств ограничения доступа в точке соединения сетей. Этот подход позволяет сконцентрировать средства защиты и контроля в точках соединения двух и более сетей. В этой точке находится специально выделенная система – межсетевой экран – которая и осуществляет контроль за информационным обменом между двумя сетями и фильтрует информацию в соответствии с заданными правилами, определяемыми политикой безопасности компании. Весь обмен данными, происходящий между сетями, проходит через межсетевой экран. Организация может получить значительный выигрыш от такой модели безопасности. Единственная система, выполняющая роль межсетевого экрана, может защитить от несанкционированного доступа десятки и сотни систем, скрытых за ней, без наложения на них дополнительных требований к безопасности. Достоинствами этого подхода является концентрация средств защиты и контроля в одной точке, минимальное изменение внутренних процедур работы пользователей с информационной системой, сравнительно большая простота администрирования и возможно больший уровень защиты.

Согласно определению Государственной Технической Комиссии при Президенте Российской Федерации “Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) автоматизированную систему.” Межсетевые экраны, при правильном их использовании, являются весьма эффективным средством защиты от угроз корпоративным сетям, исходящим из Интернет.

Системы защиты от копирования

Производитель ПО зачастую стремится защитить от копирования (тиражирования) свои продукты. Для противодействия попыткам несанкционированного копирования и распространения программ и баз данных существуют следующие методы:

организационные – основная идея таких мер заключается в том, что полноценное использование программного продукта не возможно без соответствующей поддержки со стороны производителя и нелегальный пользователь будет вынужден отказаться от использования продукта;

юридические – существует ряд нормативных актов для защиты прав производителей и владельцев программного обеспечения;

технические: программные и программно-аппаратные методы.

Технические средства подразумевают внедрение в программу защитного кода, задача которого состоит в противодействии попыткам запуска нелегальной копии защищаемой программы. Подсистема реализации защитных функций представляет собой программную секцию, решающую задачу распознавания легальности запуска программы. Состоит эта подсистема из трех модулей: блока установки характеристик среды, блока сравнения характеристик среды и блока ответной реакции. Блок установки характеристик среды отвечает за получение характеристик идентифицирующих вычислительную среду. Блок сравнения характеристик среды устанавливает факт легальности запуска. Блок ответной реакции реализует ответные действия системы защиты.

Для идентификации IBM-совместимых ПК обычно предлагается либо дооснастить их какими-либо дополнительными устройствами типа электронного ключа, либо выделить характеристики, которые можно однозначно рассматривать как уникальные. Электронный ключ – это специальное аппаратное устройство с уникальными характеристиками, подключаемое к параллельному или последовательному порту.

Принцип работы электронных ключей основан на том, что они реагируют на поступившую специальную последовательность ответной выдачей уникальной серии данных, оставаясь при этом «прозрачными» для любых других наборов сигналов.

Более дешевым, но менее надежным способом является идентификация ПК по ее имманентным характеристикам. К таким характеристикам относят тип микропроцессора в совокупности с разрядностью шины данных, тип сопроцессора для операций с плавающей точкой, тактовая частота микропроцессора, дата BIOS, сигнатура производителя BIOS и ее адрес в памяти, размер ОЗУ, тип клавиатуры, тип видеоадаптера, тип и интерфейс манипулятора «мышь», число и тип накопителей на гибких дисках, число и тип накопителей на жестких дисках.

Идентификация гибких магнитных дисков занимает значительное место в защите от несанкционированного копирования. Устойчивая идентификация дисков позволит с минимальными затратами противостоять нелегальному копированию, так как дистрибутивный носитель будет выступать в роли уникального элемента, поставляемого с программой. Такие дискеты называются «ключевыми».

Но одним внедрением в программу защитного кода ее не защитить, так как этот код может быть изучен злоумышленником и нейтрализован (модифицирован). Для действенной защиты программы необходимо включить в исполняемый код специальные механизмы для защиты от отладчиков и дизассемблеров, а также усложнить анализ исполняемого кода, внести в него неопределенность.

Следует помнить, что полностью защитить программу или базу данных от несанкционированного копирования невозможно. Система защиты способна лишь затруднить и отсрочить взлом программы. Существуют, тем не менее, защиты, время преодоления которых по затратам труда и машинного времени сравнимы с разработкой аналогичной системы. Зачастую, при невысокой цене одной копии, конечному пользователю бывает выгоднее купить необходимое число инсталляций, чем оплачивать квалифицированный.

Безопасность информации в корпоративной сети

На ПК пользователей для защиты используются встроенные средства защиты информации операционных систем Windows XP Professional. Важная информация защищается от порчи и НСД с помощью возможностей файловой системы NTFS.

В любом подразделении остается открытой проблема считывания важной информации с дисплея и получения пароля путем слежения за пальцами легального пользователя, его угадывание или bruteforce (метод грубой силы).

Испорчена информация любой степени важности может быть из-за деструктивного программного кода (в том числе вирусы). Подобный код может попасть в филиал через дискеты и СD, принесенные извне. Для минимизации этой угрозы на ПК установлены антивирусные программы фирм «Semantic» и «Лаборатория Касперского», неоднократно признанные победителями всемирно известных конкурсов антивирусного ПО.

НСД к закрытой информации может быть осуществлен с помощью спецоборудования, основанного на анализе электромагнитного излучения объектов ИС. В данный момент помимо экранированной «витой пары» не применяются средства защиты от этой угрозы безопасности данных.