47759 (608361)
Текст из файла
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
УХТИНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
КАФЕДРА ИСБ
КУРСОВАЯ РАБОТА
на тему: «Обеспечение защиты данных в системе «Учет рабочего времени»»
Выполнила: студентка группы ИС-2-00
Шульц О.В.
Проверила: Некучаева Н.А.
УХТА 2008
Введение
В данном курсовом проекте рассматривается вопрос обеспечения защиты данных в системе «Учет рабочего времени», разрабатываемой для предприятия НПО «Криста» занимающегося внедрением и сопровождением бухгалтерской программы «Смета» в г.Воркута. Система создается для автоматизации процесса контроля и учета распределения рабочего времени, а так же формирования сопроводительных документов, и информации полученной в процессе работы.
В работе рассматривается вопрос обеспечения защиты данных в системе, разрабатываемой для сопроводителей и методы практической реализации обеспечения безопасности этих данных.
Целью проекта является повышение эффективности работы сопроводителей.
Кроме этого, предлагаемая система должна позволять: уменьшить затраты времени на обработку заявок, поступающих от организаций, экономить рабочее время сотрудника и облегчить его работу в оперативности получения и обработки информации о предстоящих посещениях организаций; хранить данные в более удобном компактном виде, что существенно повысит скорость доступа к информационным ресурсам, а также обеспечит надёжную защиту от потери информации и несанкционированного доступа к ней.
Разработчиком системы является студент группы ИСТ-03, Степанова И.А., Заказчиком системы является НПО «Криста» в лице директора
1. Класс защищённости разрабатываемой подсистемы
Все классы оценки автоматизируемых систем разделяют на 3 группы, которые различаются особенностями обработки информации:
3 группа: классифицирует АС, в которой работает один пользователь, допущенный ко всему объёму информации АС, относящейся к одному уровню конфиденциальности (3А, 3Б).
2 группа: классифицирует АС, в которой пользователи имеют одинаковые права ко всей информации и вся она размещена на одном уровне конфиденциальности (2А, 2Б).
1 группа: классифицирует многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности, и не все пользователи имеют права доступа ко всей информации (1А, 1Б, 1В, 1Г, 1Д).
Разрабатываемая система относится к первой группе, т.к. она является многопользовательской. В подсистеме предусматривается разграничение прав доступа пользователей к данным (каждый пользователь имеет доступ только к тем данным, которые необходимы только ему). В то же время информация, с которой работает система, не имеет ни один из грифов секретности, а носит чисто конфиденциальный характер. Таким образом, классом защиты нашей системы будет являться 1Г.
2. Горизонтальная модель сети
Все пользователи системы, а также сервера баз данных соединены в сеть (см. Приложение 1 «Схема сети»). Компьютеры пользователей соединены между собой устройством (Switch), которое позволяет объединить компьютеры в небольшую локальную сеть. Один из компьютеров подключен к Интернету с помощью модема.
Данная сеть нуждается в защите информации, передаваемой по сети. Информация может быть подвергнута изменению, удалению, хищению, что приведет предприятие к потерям. Для разграничения доступа к информации на сервере будет установлена СУБД и организован доступ к серверу со всех клиентов. Следовательно, получение, заполнение и редактирование информации будет происходить средствами сервера СУБД, что позволяет разграничивать доступ к информации средствами самой СУБД. АС будет доступна только сопроводителям предприятия и руководителю.
Вся информация будет храниться на сервере с установленной системой управления базами данных (СУБД) и будет организован доступ к серверу со всех клиентов посредством локальной сети предприятия. Таким образом, получение, заполнение и редактирование информации будет происходить средствами сервера СУБД, что позволяет разграничивать доступ к информации средствами самой СУБД.
В разрабатываемой системе в зависимости от используемых ролей настраиваются права конкретного пользователя, при этом оговаривается набор доступных ему подсистем и перечень операций, которые он может выполнять в каждой из них.
Табл.1
|
| Пользователи | |
Таблица БД | Сопроводитель | Руководитель |
| Расписание | П | ПРДУ |
| Организации | П | ПРДУ |
| Заявки | П | ПРДУ |
| Сотрудники | П | ПРДУ |
| Акты | ПРДУ | ПРДУ |
Условные обозначения:
П – просмотр данных;
Р – редактирование;
Д – добавление данных;
У – удаление данных;
Сопроводитель имеет право просматривать расписание, организации заявки и информацию о сотрудниках. Руководитель же, может все эти данные просматривать, редактировать добавлять в них данные и удалять их. На таблицу Акты и сопроводитель, и руководитель имеют одинаковые права.
2.1 Организационные мероприятия
Самым дешёвым и самым эффективным средством защиты информации является проведение организационных мероприятий. Для защиты автоматизируемой подсистемы «Учет рабочего времени» необходимо проведение следующих организационных мероприятий:
-
Утверждение политики безопасности;
-
Охрана периметра здания;
-
Распоряжения о персональном доступе в кроссовое помещение;
-
Учёт ключей и их выдача лицам, утверждённым в специальном списке, имеющим доступ к серверным помещениям, активному оборудованию и конфиденциальной информации; все действия, выполняемые в этих помещениях, должны документироваться и регистрироваться, т.е. необходимо ведение аудита;
-
Регламент на работу с конфиденциальной информацией;
-
Регламент о резервном копировании и архивировании:
-
Выполнение функций резервного копирования и архивирования данных за отчетный период должны быть закреплены за ответственным лицом;
-
Резервное копирование и архивирование должно производиться на внешние носители - CD/RW;
-
Резервные копии должны быть в двух экземплярах и должны храниться в различных местах не с сервером;
-
-
Запрет использования переносных устройств информации;
-
Должен быть разработан список доступа пользователей к информационным объектам: матрица доступа;
-
Регламент на использование и защиту паролей:
-
Минимальная длина пароля;
-
Минимальный срок жизни пароля;
-
Максимальное количество ошибок при вводе пароля;
-
Поддержка истории паролей;
-
При входе пользователя в систему необходимо предупреждение о запрете использования чужих паролей и НСД;
-
Описание конфигурации серверов, все конфигурационные файлы должны быть зарезервированы;
-
Разработка регламента о получении сведений при перемещении по службе (увольнении): на основании приказов об увольнении служащих или их переводе в другие подразделения необходимо удалить учётную запись, либо изменить права доступа соответственно;
-
Разработка регламента на использование антивирусов;
-
Регламент на восстановление системы после сбоев;
-
Налаживание учёта используемого программного обеспечения: учёт лицензий, стандарт программного обеспечения, рабочего места;
-
Регламент на профилактику: установка patch-ей;
-
При обнаружении уязвимого места в программном обеспечении установить соответствующий patch. Если же такового ещё нет, то следить за его появлением, а так же за информацией об использовании обнаруженного изъяна злоумышленниками.
-
4.3. Горизонтальная модель информационной подсистемы
Предприятие НПО «Криста», для которого проектируется система «Учета рабочего времени» имеет одно подразделение. Вся информация, необходимая при работе системы, будет централизованно храниться на сервере баз данных, находящемся в администрации предприятия. Сервер баз данных находится в специальном помещении (серверная). Все пользователи данной подсистемы при работе будут обращаться к серверу для получения необходимой информации, занесения новой, а также её модификации.
Для этого все пользователи системы, а также сервер баз данных соединены между собой в сеть. Компьютеры пользователей соединены специальным устройством (HUB-ом), который позволяет объединить компьютеры в небольшую локальную сеть. К этому устройству также подключены сетевые принтеры для того, чтобы пользователи могли распечатать всю необходимую для них информацию.
В соответствии с такой иерархией сети, необходимо следить за её безопасностью и передаваемой по ней информации, которая может быть подвергнута изменению, удалению, либо похищению, в результате чего предприятие может понести большие потери.
Описание возможных угроз
Выявим потенциальные угрозы.
Угрозы по внешним источникам
Несанкционированный доступ к каналам передачи данных. Информация может быть подвергнута удалению хищению или изменению, что может привести к потерям.
Внутренние источники угроз
– Несанкционированный доступ к основным ресурсам: серверы, активное оборудование;
– Несанкционированный доступ к персональному компьютеру пользователя;
– Прослушивание сетевого трафика;
– Подмена рабочего места пользователя. Эта угроза возникает в результате замены компьютера пользователя другим и подмены IP-адреса. В этом случае, данные, предназначенные для пользователя, попадают в посторонние руки.
Средства защиты от возможных угроз
Защита от угрозы № 2:
Для того, чтобы обеспечить безопасность НСД к активному оборудованию, необходимо его разместить под охрану. Обеспечить доступ к нему лицам, обладающим такими полномочиями.
Администратор должен позаботиться об эффективности паролей.
Пароль – это последовательность букв, цифр и других символов, с помощью которой система проверяет, действительно ли это тот самый пользователь, который имеет данную учетную запись и право доступа к ресурсам.
При регистрации нового пользователя администратор дает пользователю пароль по умолчанию, который в обязательном порядке должен меняться пользователем при первом доступе к системе. Пользователь должен помнить о том, чтобы пароль был менее наглядным, что вызывает определённые трудности при его подборе злоумышленниками. Для этого к паролю предъявляются определённые требования:
-
пароль не должен содержать данных, которые как-то связаны с пользователем (дата рождения, адрес и др.);
-
пароль должен сочетать в себе как символы, так и числа;
-
пароль должен быть не слишком длинным и не коротким;
-
пароль периодически должен меняться в зависимости от политики предприятия.
Защита от угрозы № 1:
Для усложнения доступа к компьютеру и его ресурсам злоумышленников, необходимо предусмотреть пароли BIOS. А также, если компьютер включен, но пользователь отсутствует, необходимо перевести компьютер в режим ожидания, т.е. включить хранитель экрана (screen-saver) c опцией ввода пароля при выходе из этого режима.
Защита от угрозы № 3:
Для предотвращения прослушивания сетевого трафика ЛВС необходимо отказаться от повторителя (Hub-а) и заменить его на коммутатор (Switch). Благодаря этому информация от отправителя будет направляться непосредственно получателю.
Защита от угрозы № 4:
Так как отдел работает с конфиденциальной информацией, которая не должна быть доступной посторонним лицам, то помещение во внерабочее время должно находиться под замком и сигнализацией. Ключ должен выдаваться на основании распоряжения руководителя лицам, оговоренным в нём.
Во избежание от подмены оборудования пользователя необходимо сделать привязку MAC-адреса сетевого интерфейса к коммутатору, т.е. разрешить доступ к данному порту определённому сетевому устройству.
Существует также ряд неявных угроз, которые могут возникнуть в процессе функционирования активного оборудования, например сбой в электропитании, выход из строя винчестеров.
Для предотвращения последствий от сбоя рекомендуется использовать:
-
Фильтры питания;
-
Источники бесперебойного питания;
-
Автономные генераторы.
Возможные механизмы защиты вертикальной структуры сети
Для большей защиты информации, циркулирующей по сети передачи данных, по возможности необходимо защищать на каждом уровне модели OSI.
Физический уровень:
Данный уровень отвечает за кодирование передаваемых сигналов в среде передачи данных. На этом уровне происходит преобразование поступающих со всех остальных уровней битов (0 и 1) в электрические сигналы. В соответствии с этим, для избежание воздействия различных электромагнитных наводок, которые могут привести к искажению передаваемой информации, необходимо использовать для передачи данных специальные экранированный кабель.
Канальный уровень:
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
