КУРСОВАЯ РАБОТА
на тему: «Политика информационной безопасности для ИС «Учет и графическое представление основных объектов и устройств МГ и ГРС»
Выполнила:
студентка группы ИС-2-00
Шульц О.В.
Проверила: Некучаева Н.А.
УХТА 2008
СОДЕРЖАНИЕ
ВВЕДЕНИЕ.
1. Концепция
2. Стандарты
2.1. Структурная схема ЛВС
2.2. Информационные ресурсы (классификация объектов)
2.3. Пользователи ИС (классификация субъектов)
2.4. Класс безопасности
2.5. АО и ПО
3. Управление рисками. Экономический аспект
4. Процедуры информационной безопасности
4.1 Законодательные меры (применимые к ИС)
4.2 Административные меры (принятые на ООО «КРГ»)
4.3 Процедурные меры
4.3.1 Управление персоналом. ОРМ
4.3.2 Разделение полномочий
4.3.3 Физическая защита
4.3.4 Поддержка работоспособности системы
4.4 Программно-технические меры
5. Методы информационной безопасности. Классификация угроз. Способы защиты
6. Аварийный план
ПРИЛОЖЕНИЯ
ВВЕДЕНИЕ
На практике под информационной безопасностью систем понимается поддержание физической сохранности, целостности, доступности, конфиденциальности, достоверности и своевременности информации, а также гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных.
Проблема обеспечения информационной безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, административных, организационных и программно-технических мер.
Таким образом, политика информационной безопасности предприятия – это набор формальных (официально утвержденных либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности. Политика безопасности предприятия обеспечивается выбранным классом безопасности систем и набором организационно-распорядительных мероприятий. Следовательно, создание политики безопасности является одним из первых требований к организации как информационной безопасности предприятия в целом, так и в отдельности каждой системы, функционирующей на предприятии. Это обусловлено тем, что в настоящее время повсеместно используются электронные средства связи, процветает электронное подслушивание, хакерство, электронное мошенничество, шпионаж и т.д.
Поэтому основной целью курсового проекта является разработка политики информационной безопасности по ИС «Учет основных устройств и объектов магистрального газопровода и газораспределительной сети, задействованных в производственном процессе поставки газа потребителям» для оперативно-диспетчерской службы предприятия ООО «Комирегионгаз», и как следствие - информации и файлов, связанных с данной системой.
Разрабатываемая система предназначена для автоматизации учета и графического представления основных газотранспортных объектов (газоконденсатных месторождений, УКПГ, КС, ГРС, ГРО, Потребителей и т.д.) и устройств (датчиков/измерительных приборов, насосов, котельных, МАУ, ГОУ и т.д.) МГ и ГРС. Система предназначена для работников оперативно-диспетчерской службы предприятия и начальника службы.
Основные этапы разработки политики информационной безопасности следует проводить по следующим направлениям:
1. Рассмотрение законодательных мер;
2. Принятие административных мер на предприятии;
3. Принятие процедурных мер, а также проведение ОРМ;
4. Принятие программно-технических мер.
В работе также приводятся потенциальные угрозы безопасности данных, обрабатываемых и хранящихся в системе, и рекомендуемые способы защиты этих данных.
Концепция
Безопасность информации – это состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т.п.
Очень важным является создание политики информационной безопасности для создаваемой информационной системы с учетом уже функционирующих объектов информационного пространства организации и самой информационной сети, включая аппаратное, программное и сетевое обеспечение. Это связано с тем, что при внедрении системы в эксплуатацию, нельзя допустить нарушения созданного и поддерживаемого в организации уровня информационной защиты и, безусловно, необходимо обеспечить защиту информации для создаваемой ИС.
Поэтому была принята правовая основа политики, так как законодательный уровень предполагает разработку и внедрение в практику законодательных, подзаконных и прочих нормативных актов, регламентирующих вопросы информационной безопасности в автоматизированных системах на государственном уровне.
Организационный (управленческий) уровень предполагает разработку и контроль исполнения комплексов мер по поддержанию режима информационной безопасности конкретных автоматизированных систем. Основной задачей организационного уровня обеспечения информационной безопасности является выработка комплексной политики безопасности, организация ее эффективной реализации на объектах автоматизации. Применительно к персоналу, работающему с автоматизированными системами, политика безопасности должна обязательно содержать комплексы внутренних нормативных, организационных и операционных регуляторов, включающих в себя методы подбора и расстановки кадров, их подготовки и повышения квалификации, обеспечения дисциплины. Организационный уровень в обязательном порядке должен включать в себя меры по физической защите помещений и оборудования от угроз различной природы, а также некоторые другие.
Для поддержания режима информационной безопасности особенно важными являются программно-технические меры, основу которых составляют комплексы мероприятий по обеспечению физической сохранности данных, контролю достоверности обработки информации, защите данных от несанкционированного доступа и использования, регистрация наиболее важных с точки зрения информационной безопасности событий с целью выявления источников угрозы и т.п.
Необходимая достоверность, сохранность и защищенность информации достигается разработкой и использованием различных механизмов обеспечения достоверности и защиты при обработке данных.
Краткое описание создаваемой ИС (назначение, цели)
В рамках курсового проекта рассматривается безопасность информационной системы «Учет основных устройств и объектов МГ и ГРС». Разрабатываемая система предназначена для автоматизации учета и графического представления основных газотранспортных объектов и устройств магистрального газопровода и газораспределительной сети на местности. Целью разработки данной системы является информационное обеспечение сотрудников ОДС при принятии обоснованных объективных решений в производственном процессе реализации газа потребителям, а также устранение системных недостатков функционирующей на данный момент в диспетчерском отделе АИС «ОДС».
Цели информационной безопасности системы:
Создание безопасного информационного пространства для функционирования ИС, как самостоятельно, так и в сотрудничестве с другими системами (в частности, ПК «Реализация газа»);
Совершенствование информационного пространства системы в сфере действия информационной безопасности предприятия.
Задачи информационной безопасности системы:
Рассмотрение законодательных мер;
Принятие административных мер на предприятии;
Применение процедурных мер, проведение организационно-распорядительных мероприятий;
Применение программно-технических мер.
Следует также отметить и перспективы развития информационной безопасности данного проекта в будущем, поскольку развитие компьютерных и сетевых технологий не стоит на месте, а вместе с тем возрастают навыки и ухищрения злоумышленников, то есть возникает возможность появления «слабых мест» в информационной безопасности.
В виду того, что при создании проекта по созданию политики безопасности разрабатываемой ИС, могут быть рассмотрены аспекты, не предусмотренные или ранее не находившие применение в организации, то можно говорить и о перспективе развития политики безопасности ООО «КРГ» в целом.
Стандарты
Структурная схема ЛВС
В настоящий момент ЛВС ООО "Комирегионгаз" построена на базе одного промышленного сервера, маршрутизатора Cisco 3640 и 3-х коммутаторов Catalyst 3100. Общая пропуская способность сети составляет 10/100 Мбит/с и позволяет осуществлять полноценную загрузку сервера и использовать современное ПО.
В ЛВС включено около 40 рабочих станций и 6 сетевых принтеров. На рисунке приведены только интересующие в рамках создаваемой ИС рабочие станции и принтер. Внутри ООО "КРГ" организована и функционирует электронная почта с представительствами в различных городах (филиалами) и Компанией.
В магистрали ЛВС организован один (центральный) узел коммутации. В указанном узле ЛВС установлены три соединенных между собой коммутатора Catalyst 3100, которые образуют тем самым единый центральный коммутатор. Коммутатор Catalyst 3100 - это 24-портовый коммутатор ЛВС, обеспечивающий многоуровневую функциональность. Данный коммутатор обеспечивают поддержку таких функций, как формирование виртуальных локальных сетей (VLAN), сервисы АТМ, возможность контроля за устройством и сетью посредством RMON. Catalyst 3100 имеет 24 фиксированных порта Ethernet 10Base-T и один флекс-слот, который может быть использован для установки модуля, осуществляющего доступ к глобальным сетям, либо любого модуля, поддерживаемого коммутаторами серии Catalyst 3000.
Сетевые станции (персональные компьютеры, сетевые принтеры) подключаются к сети по каналам Ethernet. При этом каждая станция подключается непосредственно к одному из портов Ethernet-коммутатора.
К коммутатору 1 подключается сервер баз данных.
К одному из портов Ethernet коммутатора 2 подключается многопротокольный модульный маршрутизатор Cisco 3640. В его конструктив установлен модуль с интерфейсами Ethernet - два порта (Интерфейсы Ethernet предназначены для подключения к ЛВС организации) и два порта с последовательными интерфейсами. Управляется с помощью универсального программного обеспечения Cisco IOS, которое поддерживает протоколы локальных и глобальных сетей, оптимизирует работу с глобальными сетями, контролирует межсетевой доступ и возможность осуществления маршрутизации между VLAN-ами и управление потоками трафика. Имеется поддержка PPP как для входящих (dialin), так и для исходящих (dialout) соединений. Также в программное обеспечение, поставляемое вместе с маршрутизатором, добавлена опция обеспечения безопасности данных, передаваемых по WAN - интерфейсам. В настоящее время обеспечивается безопасность данных, передаваемых по протоколу IP.
Для осуществления мониторинга сети используется SNMP-адаптеры, подключенные к SuperStack II PS Hub. Повторитель в свою очередь подключен к каждому из коммутаторов и маршрутизатору. Мониторинг осуществляется по протоколу SNMP.
2.2. Информационные ресурсы (классификация объектов)
Данные, с которыми работают сотрудники организации ООО «КРГ», относятся к конфиденциальным, поскольку несут действительную коммерческую ценность в силу неизвестности и не владения ею третьими лицами. Ниже перечислены все данные, которые будут создаваться, использоваться и храниться в разрабатываемой системе.
Общая информация по основным объектам МГ и ГРС (адрес, управленческий состав на объекте, телефоны);
Информация по техническим характеристикам основных объектов МГ и ГРС;
Информация по техническим характеристикам основных устройств МГ и ГРС;
Информация по событиям (авариям/ремонтным работам);
Графическое представление объектов и устройств МГ и ГРС в виде схем различного типа (хранятся в файлах):
5.1 Общая схема подключения основных объектов и устройств МГ;
5.2 Схемы узлов подключения газа (по различным объектам, расположенным на общей схеме МГ, за исключением тех, для которых предусматриваются специализированные схемы);
5.3 Схемы месторождений;
5.4 Технологические схемы ГРО;
5.5 Технологические схемы Трансгазов;
5.6 Схема низких сетей (схемы ГРС);
5.7 Технологические схемы подключения потребителей (по каждому – основные и резервные схемы).
Поскольку данные, описывающие стратегические расположения и реальные физические наименования объектов и устройств газопровода и газораспределительной сети относятся к государственной тайне, было принято решение в рамках дипломного проекта использовать только аббревиатуры объектов. Использование реальных географических координат при разработке системы не требуется, так как для ОДС важным является условное расположение объектов с основными техническими характеристиками, а также способы подключения потребителей газа.
Каждый из объектов информационной системы имеет свой жизненный цикл, который состоит из следующих стадий:
создание объекта субъектом;
хранение объекта;
передача объекта от хранилища к месту обработки и обратно;
обработка объекта (создание нового объекта, его модификация и удаление).
В соответствии с данным жизненным циклом можно определить основные действия с объектом:
хранение объекта;
передача объекта;
обработка (создание, модификация, уничтожение) объекта.
2.3. Пользователи ИС (классификация субъектов)
Генеральный директор организации ООО «Комирегионгаз» - осуществление общего контроля деятельности предприятия, в частности контроля деятельности оперативно-диспетчерской службы. То есть субъект, использующий объекты;
Системный администратор – внедрение ИС в информационную структуру организации, настройка возможностей взаимодействия с другими программными продуктами, в частности, контроль правильности функционирования системы. То есть субъект, администрирующий объекты (обеспечивающий среду работы с объектами);
Начальник ОДС – использование ИС, контроль правильности и своевременность наполнения. То есть субъект, создающий, использующий и контролирующий использование объектов объекты;
Диспетчера ОДС (сменные) – непосредственное наполнение БД, создание схем, использование в производственном процессе, формирование отчетов. То есть субъекты, создающие и использующие объекты.
Класс безопасности
Все классы оценки автоматизируемых систем разделяют на 3 группы, которые различаются особенностями обработки и хранения информации.
Разработанная система является многопользовательской в плане одновременного доступа нескольких пользователей к ней, поскольку одновременно с системой могут работать генеральный директор организации, администратор системы, начальник диспетчерской службы и диспетчера ОДС. При этом все права доступа и возможные действия строго разграничены между пользователями. Следовательно, разрабатываемую ИС необходимо отнести к 3 группе. При этом информация, обрабатываемая и хранящаяся в системе, является конфиденциальной, а, следовательно, к ней необходимо применить класс защиты 1Г (или С2 – по «Оранжевой книге»).
Законодательные меры (ЗМ)
При создании политики безопасности необходимо учитывать положения Конституции, Уголовного, Процессуального, Гражданского и Трудового кодексов и других законов. Поэтому целесообразно выделить те государственные законы, указы и постановления, под которые попадает разрабатываемая система.
Конфиденциальность информации.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья11;
Перечень сведений конфиденциального характера [2];
Уголовный кодекс РФ [3], Статья138, Статья183;
Создание и защита программ и БД.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья16, Статья17, Статья19;
Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» [4].
Защита информации и информационных ресурсов.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья3, Статья4, Статья8, Статья20, Статья21, Статья22.
Разграничение прав доступа к информации.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья12, Статья15.
Защита от несанкционированного доступа.
Уголовный кодекс РФ [3], Статья272;
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья6, Статья10;
Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [5];
Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации [6];
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [7].
Персональные данные.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья11, Статья14;
Уголовный кодекс РФ [3], Статья137, Статья155;
Конституция РФ [8], Глава 2.
Трудовой кодекс РФ [9], Глава 14.
Вирусы. Их создание, использование и распространение.
Уголовный кодекс РФ [3], Статья273.
Документирование информации.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья5.
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Уголовный кодекс РФ [3], Статья274.
Процедурные меры
Управление персоналом. ОРМ
Под управлением персоналом понимается непосредственно индивидуальная работа с каждым сотрудником организации и со всем коллективом организации в целом. То есть у каждого сотрудника в производственном процессе имеются свои права и обязанности, с которыми он должен быть ознакомлен и согласен с ними. Это могут быть должностные инструкции, перечень информации, СВТ и программных продуктов, с которыми он имеет право работать.
В рамках данного курсового проекта необходимо разработать ряд документов, инструкций, требований – регламентов, предъявляемых сотрудникам организации, которые будут работать с разрабатываемой информационной системой. Создание такого пакета документов во многом обусловлено проведенными законодательными и административными мерами и, как правило, проведение организационно-распорядительных мероприятий (ОРМ) является самым дешёвым и достаточно эффективным средством защиты информации.
Для защиты ИС «Учет основных устройств и объектов магистрального газопровода и газораспределительной сети, задействованных в производственном процессе поставки газа потребителям» рекомендуется утвердить следующие организационные мероприятия:
Регламент об осуществлении охраны помещения оперативно-диспетчерской службы, в которой находятся СВТ и работы с ними.
1.1. Сотрудники ОДС организации несут ответственность за работоспособное состояние СВТ, а также за результаты своей работы в информационной сети.
1.2. Обеспечение физической недоступности к системному блоку (опечатывание/опломбирование). Использование «хранителей экрана».
1.3. Необходимо назначение ответственного лица за каждую единицу информационного обеспечения и за все периферийные устройства, соединенные с ним.
1.4. В случаях, когда сторонние субъекты (специалисты, консультанты и т.п.) в соответствии с документальным соглашением с организацией получают доступ в информационную сеть, к конкретному сетевому ресурсу или СВТ, субъекты должны быть ознакомлены с правилами информационной безопасности, в частности по системе.
1.5 Для обеспечения нормального функционирования СВТ и всей сети сотрудник должен строго следовать правилам, порядкам и другим нормативным документам, регламентирующим части и разделы работы сотрудников.
Регламент о ведении журнала диспетчеров, в котором они будут обязаны расписываться при приеме и сдаче смены. Это обусловлено их сменной работой. По выбранному классу защищенности ИС данный регламент реализует требования регистрации и учета: входа/выхода субъектов доступа в/из системы.
Регламент на использование и защиту паролей.
3.1. Минимальная длина пароля;
3.2. Минимальный срок жизни пароля;
3.3. Максимальное количество ошибок при вводе пароля;
3.4. Поддержка истории паролей;
3.5. При входе пользователя в систему необходимо предупреждение о запрете использования чужих паролей и НСД;
Регламент о разграничении прав доступа к данным на сервере баз данных. Права доступа назначаются администратором и утверждаются генеральным директором.
4.1. Регламент об организации матрицы доступа: матрица доступа пользователей к различным объектам системы.
4.2 Регламента по изменению прав доступа при приеме на работу, перемещениях и увольнениях работников.
Регламент выхода во внешние сети (Интернет) / получения электронной почты.
Регламент по очистке оперативной памяти после работы с конфиденциальной информацией (перезагрузка компьютера).
Регламент о резервном копировании и архивировании.
7.1. Выполнение функций резервного копирования и архивирования должны быть закреплены за ответственным лицом.
7.2. Резервное копирование и архивирование должно производиться на внешние носители - CD/RW.
7.3 Резервные копии должны быть в двух экземплярах и должны храниться в различных местах не с сервером.
Регламент на проведение инвентаризации (не реже 1 раза в год).
Регламент о конфигурации рабочего места пользователя. Должен быть запрет на установку постороннего оборудования.
Регламент о запрете установки постороннего ПО на рабочую станцию.
Регламент на использование антивирусных программных средств на рабочих станциях пользователей и на сервере (мониторинг оперативной памяти).
Регламент о работе администратора.
К функциям администратора создаваемой ИС относятся:
12.1 Проведение тестирования процедур и механизмов безопасности (дружеский взлом, тестирование аварийного плана).
12.2 Обновление, настройка и изменение конфигураций функционирующего ПО.
12.3 Настройка и изменение конфигураций функционирующего АО.
12.4 Порядок подключения и работы пользователей в сети.
12.5 Расчет отказоустойчивости и надежности системы. Выводы.
12.6 Учет всех заявок пользователей о возникающих проблемах.
12.7 Тестирование, отладка, документирование вводимых информационных систем.
Регламент по работе с конфиденциальной информацией.
Регламент о службе контроля работы администратора по защите информации (или лица, контролирующего его работу).
Регламент о синхронизации времени на всем сетевом оборудовании.
Регламент по работе пользователей с СВТ.
Регламент поведения администратора при атаках, как внешних, так и внутренних.
Регламент восстановления работоспособности системы при экстренных ситуациях/авариях.
Регламент о наличии эталонной копии на неизменяемые объекты БД (к примеру, схемы БД) и на проведение сличения с целью выявления фальсификаций.
Регламент по ремонту /замене СВТ
При нарушениях любых из вышеперечисленных требований необходимо предусмотреть карательные меры от лишения премиальных и вплоть до увольнения с работы. При особо серьезных нарушениях, предусмотренных в государственных законопроектах и положениях, – заведение уголовного дела.
Необходимым также является периодическое проведение семинаров для сотрудников организации с целью повышения их уровня знаний в области информационных технологий, а также защиты информации и информационных систем, поскольку зачастую сами же сотрудники организации допускают ошибки по незнанию или своей некомпетентности.
Разделение полномочий
Необходимо ввести контролирующее подразделение за соблюдением ОРМ или назначить сотрудника для снижения злоупотребления сотрудниками организации своими полномочиями.
Предоставить администратору информационной системы создание ролей прав доступа, а контролирующему лицу (администратору безопасности) предоставить выдачу пользователям этих ролей, в результате чего снизится возможность утечки или нелегального использования конфиденциальной информации злоумышленниками.
Запретить администратору информационной системы иметь права работы с объектами системы, но иметь доступ к регистрационному журналу для трассировки значимых событий. А администратору безопасности дать возможность просмотра журнала с целью выявления несанкционированных действий со стороны администратора системы (контроль его действий).
Проверка контролирующим лицом записей в журналах учета работы пользователей с конфиденциальной информации. Соответствие прав пользователей.
При введении в эксплуатацию МСЭ следует выделить отдельную штатную единицу для его администрирования, поскольку это очень серьезная и ответственная работа.
Физическая защита
Методы и средства физической защиты в организации:
| № | Методы и средства | |
| 1 | Система охраны периметра | Определение периметра - организация с прилегающей территорией |
| 2 | Система контроля и управления доступом: | |
| 2.1 Управление первичным проходом | Наличие при входе в здание контрольного пункта, службы охраны | |
| 2.2 Управление перемещением по охраняемой территории | Наличие помещения с активным сетевым оборудованием с определенными правами доступа | |
| 3 | Система видеонаблюдения | Наличие камер слежения за охраняемым периметром и внутри организации |
| 4 | Система охранной и пожарной сигнализации | Наличие охранной и пожарной сигнализаций внутри организации |
| 5 | Система хранения | Использование сейфов, шкафов, а также хранение на внутренних и внешних носителях |
Системы обнаружения атак
Принцип работы СОА заключается в постоянном анализе (в режиме реального времени) активности, происходящей в информационной системе, и при обнаружении подозрительного потока предпринимать действия по его предотвращению и информированию уполномоченных субъектов системы.
Для обнаружения неправомерных воздействий на сервер можно использовать СОА на хосте (СОАХ). Для анализа активности в сети можно использовать СОА на сети (СОАС). Целесообразность внедрения СОАС обусловлено тем, что даже межсетевые экраны с контролем состояния (stateful inspection) не позволяют с уверенностью сказать, присутствует атака в контролируемом ими трафике или нет. Они могут лишь проверить соответствие трафика заданному правилу. К примеру, даже если разрешить прохождение пакетов только по 80 порту (протокол HTTP), простейшая атака с использованием HTTP-запроса "GET /../../../etc/passwd HTTP/1.0" может увенчаться успехом, потому что, с точки зрения межсетевого экрана, в ней нет ничего противозаконного. А вот СОА легко обнаружит эту атаку и заблокирует её.
RAID-массивы
На сервере построен RAID Level-10, который комбинирует (объединяет) RAID 0 и RAID 1, т.е. зеркалирование группы дисководов, объединенных в RAID 0 для обеспечения максимального быстродействия. Этот уровень обеспечивает избыточность за счет зеркального отражения.
Так как массив большой и скорость его работы важна - предпочтительна конфигурация из 8 относительно небольших HDD, вместо меньшего количества HDD большей емкости. По подсчетам эффективности и надежности винчестеров используются SCSI - винчестера.
Для обеспечения надежности функционирования технических средств желательно использование источников бесперебойного питания (ИБП/UPS) на сервере и на рабочих станциях, а также на повторителе, через который осуществляется мониторинг.
В холодном резерве целесообразно иметь:
ПК – для случая выхода из строя машины диспетчеров, поскольку она является критичной для выполнения бизнес-функции.
кабели/конекторы/разъемы и т.п.
винчестер для замены вышедшего из RAID-массива. (при использовании RAID-10 достаточно иметь один SCSI HDD, так как вероятность выхода из строя одновременно двух дублирующихся дисков очень мала).
Аудит информационной системы, можно осуществлять по средствам регистрационных журналов администратором безопасности.
Уничтожитель бумаги
Часто бывают случаи, когда бумажные листы содержат какие-либо конфиденциальные данные и в дальнейшем использование этой копии не требуется. Правильным является физическое уничтожение бумаг с невозможностью считывания информации с них.
Технология VLAN
В отдельный VLAN выделить порты коммутатора, образовав тем самым псевдосеть, организованную на базе существующей локальной сети, для работы с конфиденциальной информацией субъектов организации. Коммутаторы Catalyst 3100 поддерживают такую возможность.
Технология VPN
Для сохранности секретности передаваемых по сетям Интернет данных целесообразно использовать технологию VPN (Virtual Private Network), позволяющую конфигурировать виртуальную частную сеть. Виртуальная частная сеть – это сеть, состоящая не из физически проложенных кабелей и сетевого оборудования, а представляющая собой систему виртуальных туннелей в пространстве глобальной сети Интернет и функционирующая параллельно с аналогичными сетями других клиентов и сетью самого провайдера.
Прежде всего, частные виртуальные сети существенно дешевле других решений, особенно при использовании в междугородних компаниях. Используя VPN, не используются специальные кабельные линии, соединяющие локальные сети. В данном случае для создания каналов между локальными сетями используется Интернет, что стоит гораздо дешевле.
VPN предполагает комплексные решения в области защиты данных. Прежде всего, информация передается в зашифрованном виде. Для идентификации адресата и отправителя применяются специальные меры. И, наконец, проверяется, что данные не были изменены во время движения по публичным сетям по ошибке или злонамеренно.
Для подключения к Интернету используется коммутируемый доступ (Dial-up) – способ подключения к Интернету по телефонной линии общего пользования с применением модема. Для осуществления подключения требуется модем и соответствующее программное обеспечение. Поскольку опция «Secure SHell (SSH)» для МСЭ поддерживает данную технологию, нет необходимости покупки отдельного ПО на модем.
Операционная система
Как на сервере, так и на рабочих станциях необходимо при установке ОС опускать ненужные сервисы. При этом необходимо периодически проверять включенные сервисы с целью выявления изменений, которые могут произойти, например, при установке нового ПО или АО.
SQL Server 2000
Самый простой путь администрирования разрешений доступа групп пользователей, это создание глобальной группы домена, в которую входят все группы пользователей. После того, как созданы глобальные группы, можно предоставлять им доступ к SQL серверу.
Защита СУБД не ограничивается только внутренними защитными механизмами самой СУБД. Необходимо также защитить и операционную систему, под управлением которой работает СУБД.
К примеру, MS SQL Server не обеспечивает возможность блокировки учетной записи пользователя базы данных в случае серии неудачных попыток аутентификации. Это позволяет злоумышленнику осуществлять различные атаки на систему идентификации/аутентификации, например, пытаться подобрать имена пользователей, зарегистрированных в СУБД, и их пароли. Второй пример уязвимости - невозможность переименования учетной записи системного администратора базы данных (sa), что также позволяет осуществлять злоумышленнику попытки подбора пароля администратора СУБД.
Существует ряд уязвимостей в СУБД, которые могут привести не только к компрометации информации в базах данных, но и компрометации всей сети в целом. Эти уязвимости появляются вследствие расширения стандартных возможностей SQL-серверов. Например, использование расширенной хранимой процедуры (extended stored procedure) xp_cmdshell позволяет выполнять функции операционной системы из командной строки так, как будто удаленный пользователь СУБД работает за консолью сервера баз данных. При этом функции, вызываемые при помощи процедуры xp_cmdshell, выполняются с привилегиями той учетной записи, под управлением которой загружен SQL-Server.
Программы типа "троянский конь" могут быть легко созданы путем модификации системных хранимых процедур. Например, несанкционированный доступ к паролю пользователя может быть получен при его смене с помощью всего одной строчки кода. При изменении пароля, который обычно хранится в зашифрованном виде в таблице master.dbo.syslogins, указанный "троянский конь" позволит увидеть пароль пользователя в открытом виде, сохраненный в таблице spt_values.
Матрица доступа - таблица, отображающая правила разграничения доступа всех пользователей информационной системы (см. Табл. 4.4.1)
| Субъекты ↓ | Объекты → | Права/ группы | Данные по объектам/ устройствам/ потребителям | Схемы | Регистрационный журнал |
| Генеральный директор | Нет доступа | Чтение | Чтение | Нет доступа | |
| Администратор системы | Создание ролей прав доступа | Нет доступа | Нет доступа | Чтение Удаление | |
| Администратор безопасности | Раздача ролей прав доступа | Чтение | Чтение | Чтение | |
| Начальник ОДС | Нет доступа | Создание | Создание | Нет доступа | |
| Группа диспетчеров | Нет доступа | Создание | Создание | Нет доступа | |
ПО ЦЕЛИ РЕАЛИЗАЦИИ УГРОЗЫ
Нарушение целостности
Угроза модификации: воздействие вируса/злоумышленника
Аудит работ с конфиденциальной информацией
ОРМ по использованию паролей
ОРМ на использование Антивирусного комплекса
Наличие эталонных копий на неизменяемые части, к примеру, для создаваемой системы - эталон на схему БД
Использование открытых ключей для связи внутри сети
Использование VPN-соединений вида «точка-точка» по средствам специальной конфигурации модема
Использование доверительных соединений - приобретение корневого сертификата
Угроза фальсификации: воздействие вируса/злоумышленника
Отдельный VLAN для работы с конфиденциальной информацией
Использование открытых ключей для связи внутри сети
Настройка TRUNK –соединений для коммуникаций
Синхронизация времени
Наличие эталонных копий на неизменяемые части, к примеру, для создаваемой системы - эталон на схему БД (ОРМ)
Нарушение доступности
Нагрузка в сети – недоступность сервера
Деление сети на подсети
Мониторинг сети
Использование кластерного распределения на сервере по средствам Windows Advanced Server (при наличии второго сервера)
Использование RAID-массивов, источников бесперебойного питания
Угроза выхода из строя активного оборудования
Наличие резерва
Для линий коммуникаций - наличие альтернативных путей
ПО ПРИНЦИПУ ВОЗДЕЙСТВИЯ
С использованием доступа
Угроза несанкционированного доступа (НСД) – злоумышленник имеет доступ системе
ПО ХАРАКТЕРУ ВОЗДЕЙСТВИЯ
Пассивное
НСД: воздействие вируса/злоумышленника
для пользователей:
ОРМ на использование Антивирусного комплекса
для ЛВС:
Строгая настройка листов доступа на коммутаторах
Настройка TRUNK –соединений на линиях передачи данных
Использование доверительных соединений
Активное
Угроза фальшивого потока: воздействие злоумышленника
Наличие эталонных копий на неизменяемые части, к примеру, для создаваемой системы - эталон на схему БД (ОРМ)
Использование СОА на хосте (на сервере) и в сети
Использование сканера уязвимостей
Угроза имитации («маскарадинга»): воздействие злоумышленника
Угроза воспроизведения: воздействие злоумышленника
ОРМ по работе с конфиденциальной информацией
Угроза модификации: воздействие злоумышленника
Помехи в обслуживании (нагрузка в сети)
на клиенте:
ОРМ на использование Антивирусного комплекса
в ЛВС:
ОРМ на использование Антивирусного комплекса при сетевой вирусной атаке
Мониторинг и аудит с целью проверки всех устройств и настроек для выявления неисправностей
на сервере:
Резервное копирование и архивирование данных
Ошибки кодирования
Угроза, возникающая от использования нелицензионного ПО (наличие «закладок», «люков» и т.п.)
Использовать только лицензионное ПО
Ошибки в реализации
Тестирование, отладка, документирование
Опосредованное воздействие
Угроза модификации
Угроза фальсификации: воздействие вируса/злоумышленника
Вирус
ПО СПОСОБУ ВОЗДЕЙСТВИЯ
В интенсивном режиме
Помехи в обслуживании (нагрузка в сети)
Угроза фальшивого потока: воздействие злоумышленника
Использование МСЭ
Использование СОА в сети и на сервере
В пакетном режиме
Вирус
Наличие эталонных копий на неизменяемые части, к примеру, для создаваемой системы - эталон на схему БД
ПО ОБЪЕКТУ АТАКИ
На объекты АСОИ
Аппаратные сбои
на клиенте:
Наличие резерва (временный переход на другую рабочую станцию)
Ремонт/замена
на сервере:
Использование RAID-массива уровень 10
Наличие резервных HDD
в ЛВС:
Наличие резерва (дублирование линий коммуникаций)
Вирус
Угроза, возникающая от использования нелицензионного ПО.
На субъекты АСОИ
Угроза несанкционированного доступа (НСД)
при воздействии на пользователя:
Повышение требований на использование паролей (ОРМ)
при воздействии на процессы пользователя:
Вирус
Угроза «маскарадинга»
На каналы передачи данных
Вирус
Аппаратные сбои – выход из строя линии коммуникаций
Угроза «маскарадинга»
ПО СОСТОЯНИЮ ОБЪЕКТА АТАКИ
При хранении объекта
Потеря данных
Наличие резервных копий
Регламент по восстановлению системы после аварии/сбоя
Наличие инсталляционных пакетов с сопроводительной документацией
При передаче объекта
Угроза модификации: воздействие вируса/злоумышленника
Угроза фальсификации: воздействие вируса/злоумышленника
Помехи в обслуживании (нагрузка в сети)
Аппаратные сбои – выход из строя линии коммуникаций
При обработке объекта
Угроза, возникающая от использования нелицензионного ПО
Вирус
Наличие/возникновение «дыры» на периметре безопасности – ошибки ПО
6. Аварийный план
Аварийный план служит ответом на ряд важных вопросов: Какие причины возникновения аварий/сбоев существуют? Что делать, чтобы снизить возможные последствия аварии? Какие действия выполнять, когда аварийная ситуация находится в стадии развития? Как вернуться к обычной деятельности?
Самое неприятное - это сбои, которые сложно правильно диагностировать и, следовательно, найти способы их устранения. Поражения или разрушения создают более однозначную и поэтому более предсказуемую и планируемую ситуацию. Возможные причинами этих бед являются выход из строя или сбой оборудования, авария электропитания, вирусы, неквалифицированные или небрежные действия обслуживающего персонала, скрытые или явные дефекты информационной системы, стихийные бедствия, злой умысел.
Поэтому для начала необходимо классифицировать возможные события с целью дальнейшего определения последовательности действий восстановления:
1. По типу воздействия:
природные события;
события, зависящие от человеческого фактора;
2. По доступности:
временная недоступность;
постоянная недоступность;
3. По причине возникновения:
нарушение или отказ оборудования/ повреждение линий связи;
нарушение или отказ программ;
нарушение или отказ данных.
Необходимо также оценить объекты по приоритетам восстановления. Для упрощения процесса рассмотрим бизнес-логику организации с верхнего уровня:
Основная цель организации – доставка газа до потребителя и получение оплаты за него;
Обслуживанием потребителей занимаются сотрудники организации;
Учет поставки газа конечному потребителю и учет оплаты осуществляется с помощью автоматизированных систем;
Автоматизированные системы требует приложений и данных;
Приложения и СУБД требуют операционной системы и коммуникаций;
Операционная система требует аппаратного обеспечения;
Коммуникации требуют сетевого обеспечения;
Оборудование требует электропитания и охлаждения;
Электропитание требует источника и средств доставки;
Сотрудники требуют определенных условий труда (помещение, освещение).
Соответственно, при рассмотрении нештатных ситуаций, необходимо для приведенного списка, начиная с последнего пункта, рассмотреть последовательность действий восстановления деятельности организации. При этом после катастрофы для восстановления бизнеса не все информационные/автоматизированные системы потребуются незамедлительно. Необходимо классифицировать системы с точки зрения аварийного плана по их значимости. Ниже приведен список информационных систем, используемых в организации с критерием значимости:
1. Критически важные:
ПК «Реализация газа»;
АИС «Абонент ГРО»;
2. Для вторичных и вспомогательных бизнес-задач:
Создаваемая для ОДС система учета основных объектов и устройств МГ и ГРС;
3. Некритические (но значимые):
1:С Предприятие;
4. Полезные:
Антивирусный комплекс.
В рамках курсового проекта будем рассматривать этапы восстановления относительно создаваемой информационной системы.
Для успешного восстановления информационной системы в максимально возможные короткие сроки в распоряжении организации следует иметь:
Резерв сетевого оборудования (линий передачи данных/конекторы/сетевые интерфейсы и т.п.);
Резерв аппаратного оборудования, либо иметь соглашение с поставщиками об оперативной поставке оборудования;
Инсталляционные копии операционной системы, СУБД, приложения и других программ;
Резервные копии данных (для разрабатываемой системы следует применять резервирование методом наращивания).
План действий при полном разрушении инфраструктуры организации относительно создаваемой системы:
1. Замена и настройка оборудования и линий передачи данных в сети;
2. Настройка ОС и СУБД на сервере;
3. Восстановление БД по средствам резервных копий;
4. Настройка ОС на клиенте;
5. Инсталляция приложения;
6. Восстановление системы безопасности.
При этом необходимо описать каждый из этапов восстановления, а именно руководства по замене, установке, настройке или инсталляции АО, ОС и ПО с указанием специфических деталей, требующих особого внимания. К примеру, указание сервисов, которые должны быть отключены, или которые должны быть дополнительно включены с описание настроек и порядка взаимодействия между ними.
Разумеется, возможны случаи остановки работы системы из-за отказа оборудования, поэтому для предотвращения или выявления такого рода неисправностей используется мониторинг и аудит. Выявление атак и нарушений в базе данных отслеживают системы обнаружения атак на сервере и сканеры безопасности. Нарушение работы ОС или информационной системы на рабочих станциях может быть выявлено сотрудниками организации.
Важным является назначение уполномоченных лиц, которые будут осуществлять управление действиями сотрудников при восстановлении:
Восстановление сети – администратор сети;
Восстановление систем/данных – администратор информационных систем;
Восстановление информационной безопасности - администратор безопасности.
Для проверки правильности подготовленного аварийного плана следует проводить его тестирование по следующим направлениям:
Структурированный обзор – совместное обсуждение пунктов плана;
Симуляция – тренировочные мероприятия по предопределенному сценарию.
После тестирований или с течением времени возможно внесение поправок или полное/частичное обновления плана.
Все документы по аварийному плану и тестированиям должны быть включены в регламент восстановления работоспособности при авариях/сбоях (№ 118).
ПРИЛОЖЕНИЕ 1
[1]. ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ. Федеральный закон РФ от 20 февраля 1995 года N 24-ФЗ. Принят Государственной думой 25 января 1995 года.
[2]. ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА. Утвержден Указом Президента РФ 6 марта 1997 г. № 188.
[3]. УГОЛОВНЫЙ КОДЕКС РФ.
[4]. О ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ. Закон РФ от 23 сентября 1992 года N 3524-1.
[5]. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ/Государственная техническая комиссия при Президенте РФ.
[6]. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: Руководящий документ/ Государственная техническая комиссия при Президенте РФ.
[7]. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ/Государственная техническая комиссия при Президенте РФ.
[8]. КОНСТИТУЦИЯ РФ. Утверждена Указом Президента РФ 12 декабря 1997 г.
[9]. ТРУДОВОЙ КОДЕКС РФ. Утвержден Указом Президента РФ 30 декабря 2001 г.
ПРИЛОЖЕНИЕ 2
| Субъекты ↓ | Объекты → | Права/ группы | Данные по объектам/ устройствам/ потребителям | Схемы | Регистрационный журнал |
| Генеральный директор | Нет доступа | Чтение | Чтение | Нет доступа | |
| Администратор системы | Создание ролей прав доступа | Нет доступа | Нет доступа | Чтение Удаление | |
| Администратор безопасности | Раздача ролей прав доступа | Чтение | Чтение | Чтение | |
| Начальник ОДС | Нет доступа | Создание | Создание | Нет доступа | |
| Группа диспетчеров | Нет доступа | Создание | Создание | Нет доступа | |
ПРИЛОЖЕНИЕ 3
СПИСОК ЛИТЕРАТУРЫ
1. Курс секций по предмету «защита информации» Некучаевой Н.А.
2. Конев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб: БВХ-Петербург, 2003. – 752 с.:ил.
3. Интернет.
КУРСОВАЯ РАБОТА
на тему: «Политика информационной безопасности для ИС «Учет и графическое представление основных объектов и устройств МГ и ГРС»
Выполнила:
студентка группы ИС-2-00
Шульц О.В.
Проверила: Некучаева Н.А.
УХТА 2008
СОДЕРЖАНИЕ
ВВЕДЕНИЕ.
1. Концепция
2. Стандарты
2.1. Структурная схема ЛВС
2.2. Информационные ресурсы (классификация объектов)
2.3. Пользователи ИС (классификация субъектов)
2.4. Класс безопасности
2.5. АО и ПО
3. Управление рисками. Экономический аспект
4. Процедуры информационной безопасности
4.1 Законодательные меры (применимые к ИС)
4.2 Административные меры (принятые на ООО «КРГ»)
4.3 Процедурные меры
4.3.1 Управление персоналом. ОРМ
4.3.2 Разделение полномочий
4.3.3 Физическая защита
4.3.4 Поддержка работоспособности системы
4.4 Программно-технические меры
5. Методы информационной безопасности. Классификация угроз. Способы защиты
6. Аварийный план
ПРИЛОЖЕНИЯ
ВВЕДЕНИЕ
На практике под информационной безопасностью систем понимается поддержание физической сохранности, целостности, доступности, конфиденциальности, достоверности и своевременности информации, а также гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных.
Проблема обеспечения информационной безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, административных, организационных и программно-технических мер.
Таким образом, политика информационной безопасности предприятия – это набор формальных (официально утвержденных либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности. Политика безопасности предприятия обеспечивается выбранным классом безопасности систем и набором организационно-распорядительных мероприятий. Следовательно, создание политики безопасности является одним из первых требований к организации как информационной безопасности предприятия в целом, так и в отдельности каждой системы, функционирующей на предприятии. Это обусловлено тем, что в настоящее время повсеместно используются электронные средства связи, процветает электронное подслушивание, хакерство, электронное мошенничество, шпионаж и т.д.
Поэтому основной целью курсового проекта является разработка политики информационной безопасности по ИС «Учет основных устройств и объектов магистрального газопровода и газораспределительной сети, задействованных в производственном процессе поставки газа потребителям» для оперативно-диспетчерской службы предприятия ООО «Комирегионгаз», и как следствие - информации и файлов, связанных с данной системой.
Разрабатываемая система предназначена для автоматизации учета и графического представления основных газотранспортных объектов (газоконденсатных месторождений, УКПГ, КС, ГРС, ГРО, Потребителей и т.д.) и устройств (датчиков/измерительных приборов, насосов, котельных, МАУ, ГОУ и т.д.) МГ и ГРС. Система предназначена для работников оперативно-диспетчерской службы предприятия и начальника службы.
Основные этапы разработки политики информационной безопасности следует проводить по следующим направлениям:
1. Рассмотрение законодательных мер;
2. Принятие административных мер на предприятии;
3. Принятие процедурных мер, а также проведение ОРМ;
4. Принятие программно-технических мер.
В работе также приводятся потенциальные угрозы безопасности данных, обрабатываемых и хранящихся в системе, и рекомендуемые способы защиты этих данных.
Концепция
Безопасность информации – это состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т.п.
Очень важным является создание политики информационной безопасности для создаваемой информационной системы с учетом уже функционирующих объектов информационного пространства организации и самой информационной сети, включая аппаратное, программное и сетевое обеспечение. Это связано с тем, что при внедрении системы в эксплуатацию, нельзя допустить нарушения созданного и поддерживаемого в организации уровня информационной защиты и, безусловно, необходимо обеспечить защиту информации для создаваемой ИС.
Поэтому была принята правовая основа политики, так как законодательный уровень предполагает разработку и внедрение в практику законодательных, подзаконных и прочих нормативных актов, регламентирующих вопросы информационной безопасности в автоматизированных системах на государственном уровне.
Организационный (управленческий) уровень предполагает разработку и контроль исполнения комплексов мер по поддержанию режима информационной безопасности конкретных автоматизированных систем. Основной задачей организационного уровня обеспечения информационной безопасности является выработка комплексной политики безопасности, организация ее эффективной реализации на объектах автоматизации. Применительно к персоналу, работающему с автоматизированными системами, политика безопасности должна обязательно содержать комплексы внутренних нормативных, организационных и операционных регуляторов, включающих в себя методы подбора и расстановки кадров, их подготовки и повышения квалификации, обеспечения дисциплины. Организационный уровень в обязательном порядке должен включать в себя меры по физической защите помещений и оборудования от угроз различной природы, а также некоторые другие.
Для поддержания режима информационной безопасности особенно важными являются программно-технические меры, основу которых составляют комплексы мероприятий по обеспечению физической сохранности данных, контролю достоверности обработки информации, защите данных от несанкционированного доступа и использования, регистрация наиболее важных с точки зрения информационной безопасности событий с целью выявления источников угрозы и т.п.
Необходимая достоверность, сохранность и защищенность информации достигается разработкой и использованием различных механизмов обеспечения достоверности и защиты при обработке данных.
Краткое описание создаваемой ИС (назначение, цели)
В рамках курсового проекта рассматривается безопасность информационной системы «Учет основных устройств и объектов МГ и ГРС». Разрабатываемая система предназначена для автоматизации учета и графического представления основных газотранспортных объектов и устройств магистрального газопровода и газораспределительной сети на местности. Целью разработки данной системы является информационное обеспечение сотрудников ОДС при принятии обоснованных объективных решений в производственном процессе реализации газа потребителям, а также устранение системных недостатков функционирующей на данный момент в диспетчерском отделе АИС «ОДС».
Цели информационной безопасности системы:
Создание безопасного информационного пространства для функционирования ИС, как самостоятельно, так и в сотрудничестве с другими системами (в частности, ПК «Реализация газа»);
Совершенствование информационного пространства системы в сфере действия информационной безопасности предприятия.
Задачи информационной безопасности системы:
Рассмотрение законодательных мер;
Принятие административных мер на предприятии;
Применение процедурных мер, проведение организационно-распорядительных мероприятий;
Применение программно-технических мер.
Следует также отметить и перспективы развития информационной безопасности данного проекта в будущем, поскольку развитие компьютерных и сетевых технологий не стоит на месте, а вместе с тем возрастают навыки и ухищрения злоумышленников, то есть возникает возможность появления «слабых мест» в информационной безопасности.
В виду того, что при создании проекта по созданию политики безопасности разрабатываемой ИС, могут быть рассмотрены аспекты, не предусмотренные или ранее не находившие применение в организации, то можно говорить и о перспективе развития политики безопасности ООО «КРГ» в целом.
Стандарты
Структурная схема ЛВС
В настоящий момент ЛВС ООО "Комирегионгаз" построена на базе одного промышленного сервера, маршрутизатора Cisco 3640 и 3-х коммутаторов Catalyst 3100. Общая пропуская способность сети составляет 10/100 Мбит/с и позволяет осуществлять полноценную загрузку сервера и использовать современное ПО.
В ЛВС включено около 40 рабочих станций и 6 сетевых принтеров. На рисунке приведены только интересующие в рамках создаваемой ИС рабочие станции и принтер. Внутри ООО "КРГ" организована и функционирует электронная почта с представительствами в различных городах (филиалами) и Компанией.
В магистрали ЛВС организован один (центральный) узел коммутации. В указанном узле ЛВС установлены три соединенных между собой коммутатора Catalyst 3100, которые образуют тем самым единый центральный коммутатор. Коммутатор Catalyst 3100 - это 24-портовый коммутатор ЛВС, обеспечивающий многоуровневую функциональность. Данный коммутатор обеспечивают поддержку таких функций, как формирование виртуальных локальных сетей (VLAN), сервисы АТМ, возможность контроля за устройством и сетью посредством RMON. Catalyst 3100 имеет 24 фиксированных порта Ethernet 10Base-T и один флекс-слот, который может быть использован для установки модуля, осуществляющего доступ к глобальным сетям, либо любого модуля, поддерживаемого коммутаторами серии Catalyst 3000.
Сетевые станции (персональные компьютеры, сетевые принтеры) подключаются к сети по каналам Ethernet. При этом каждая станция подключается непосредственно к одному из портов Ethernet-коммутатора.
К коммутатору 1 подключается сервер баз данных.
К одному из портов Ethernet коммутатора 2 подключается многопротокольный модульный маршрутизатор Cisco 3640. В его конструктив установлен модуль с интерфейсами Ethernet - два порта (Интерфейсы Ethernet предназначены для подключения к ЛВС организации) и два порта с последовательными интерфейсами. Управляется с помощью универсального программного обеспечения Cisco IOS, которое поддерживает протоколы локальных и глобальных сетей, оптимизирует работу с глобальными сетями, контролирует межсетевой доступ и возможность осуществления маршрутизации между VLAN-ами и управление потоками трафика. Имеется поддержка PPP как для входящих (dialin), так и для исходящих (dialout) соединений. Также в программное обеспечение, поставляемое вместе с маршрутизатором, добавлена опция обеспечения безопасности данных, передаваемых по WAN - интерфейсам. В настоящее время обеспечивается безопасность данных, передаваемых по протоколу IP.
Для осуществления мониторинга сети используется SNMP-адаптеры, подключенные к SuperStack II PS Hub. Повторитель в свою очередь подключен к каждому из коммутаторов и маршрутизатору. Мониторинг осуществляется по протоколу SNMP.
2.2. Информационные ресурсы (классификация объектов)
Данные, с которыми работают сотрудники организации ООО «КРГ», относятся к конфиденциальным, поскольку несут действительную коммерческую ценность в силу неизвестности и не владения ею третьими лицами. Ниже перечислены все данные, которые будут создаваться, использоваться и храниться в разрабатываемой системе.
Общая информация по основным объектам МГ и ГРС (адрес, управленческий состав на объекте, телефоны);
Информация по техническим характеристикам основных объектов МГ и ГРС;
Информация по техническим характеристикам основных устройств МГ и ГРС;
Информация по событиям (авариям/ремонтным работам);
Графическое представление объектов и устройств МГ и ГРС в виде схем различного типа (хранятся в файлах):
5.1 Общая схема подключения основных объектов и устройств МГ;
5.2 Схемы узлов подключения газа (по различным объектам, расположенным на общей схеме МГ, за исключением тех, для которых предусматриваются специализированные схемы);
5.3 Схемы месторождений;
5.4 Технологические схемы ГРО;
5.5 Технологические схемы Трансгазов;
5.6 Схема низких сетей (схемы ГРС);
5.7 Технологические схемы подключения потребителей (по каждому – основные и резервные схемы).
Поскольку данные, описывающие стратегические расположения и реальные физические наименования объектов и устройств газопровода и газораспределительной сети относятся к государственной тайне, было принято решение в рамках дипломного проекта использовать только аббревиатуры объектов. Использование реальных географических координат при разработке системы не требуется, так как для ОДС важным является условное расположение объектов с основными техническими характеристиками, а также способы подключения потребителей газа.
Каждый из объектов информационной системы имеет свой жизненный цикл, который состоит из следующих стадий:
создание объекта субъектом;
хранение объекта;
передача объекта от хранилища к месту обработки и обратно;
обработка объекта (создание нового объекта, его модификация и удаление).
В соответствии с данным жизненным циклом можно определить основные действия с объектом:
хранение объекта;
передача объекта;
обработка (создание, модификация, уничтожение) объекта.
2.3. Пользователи ИС (классификация субъектов)
Генеральный директор организации ООО «Комирегионгаз» - осуществление общего контроля деятельности предприятия, в частности контроля деятельности оперативно-диспетчерской службы. То есть субъект, использующий объекты;
Системный администратор – внедрение ИС в информационную структуру организации, настройка возможностей взаимодействия с другими программными продуктами, в частности, контроль правильности функционирования системы. То есть субъект, администрирующий объекты (обеспечивающий среду работы с объектами);
Начальник ОДС – использование ИС, контроль правильности и своевременность наполнения. То есть субъект, создающий, использующий и контролирующий использование объектов объекты;
Диспетчера ОДС (сменные) – непосредственное наполнение БД, создание схем, использование в производственном процессе, формирование отчетов. То есть субъекты, создающие и использующие объекты.
Класс безопасности
Все классы оценки автоматизируемых систем разделяют на 3 группы, которые различаются особенностями обработки и хранения информации.
Разработанная система является многопользовательской в плане одновременного доступа нескольких пользователей к ней, поскольку одновременно с системой могут работать генеральный директор организации, администратор системы, начальник диспетчерской службы и диспетчера ОДС. При этом все права доступа и возможные действия строго разграничены между пользователями. Следовательно, разрабатываемую ИС необходимо отнести к 3 группе. При этом информация, обрабатываемая и хранящаяся в системе, является конфиденциальной, а, следовательно, к ней необходимо применить класс защиты 1Г (или С2 – по «Оранжевой книге»).
АО и ПО, достаточное для функционирования ИС
Сервер:
АО: - промышленный сервер
объем оперативной пaмяти – 2 Gb;
винчестер (HDD) – 1000 Gb;
сетевой интерфейс
ПО: - операционная система - Microsoft Advansed Server 2000;
СУБД – SQL Server 2000;
Клиент:
АО: - компьютер на базе Intel Pentium-IV 2000 Mhz;
объем оперативной памяти – 512 Мb;
винчестер (HDD) - 60 Gb;
монитор SVGA с разрешением не ниже 1024х768;
сетевой интерфейс
ПО: - операционная система - Windows XP;
офисный пакет программ - Microsoft Office XP;
программный продукт «AutoCAD 2000»;
антивирусная программа «DrWeb 4.32b».
Дата: 2019-07-30, просмотров: 259.
