Желіаралық экрандау құралдары
Қазақстан Республикасы Білім және ғылым министрлігі
Х.Досмұхамедов атындағы Атырау университеті
Бағдарламалық инженерия кафедрасы
Қорғауға жіберілді
Бағдарламалық инженерия
кафедрасының меңгерушісі
________ Н.Б.Байтемирова
Хаттама № _________
______________2022 ж.
ДИПЛОМДЫҚ ЖҰМЫС
тақырыбы: Кәсіпорындардың корпоративтік желілерін кешенді бақылау және мониторингтеу
5В070300 - Ақпараттық жүйелер мамандығы
Орындаған: Д.Тасболат - Ф-414 топ студенті
Ғылыми жетекшісі: Ш.К.Ележанова - ф.-м.ғ.к.,
профессор м.а.
Нормабақылаушы: Ж.Е.Шангитова - PhD, аға оқытушы
Атырау, 2022
МАЗМҰНЫ
КІРІСПЕ ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .4
1 ... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ... 6
3 КӘСІПОРЫННЫҢ ЖЕРГІЛІКТІ ЖЕЛІСІНДЕ АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІ ЖОБАЛАУ ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .12
3.1 Желіаралық экран - кәсіпорын желісінің қауіпсіздігін кешенді бақылау іске асыру құралы ... ... ... ... ... ... ... . ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..12
3.2 Ұсынылған шешімнің ерекшеліктері. Қауіпсіздік саясатының ережелерін әзірлеу және түзету ... ... ... ... ... ... ... . ... ... ... ... ... ... ... ... ... ... ... 17
3.3 Ақпаратты қорғауды бақылаудың корпоративтік жүйесін құру әдістемесі ... ... ... ... ... ... . ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .19
3.4 Ұйымдастырушылық қауіпсіздік саясатын қалыптастыру ... ... ... ... ... ..2 4
4 ЖЕРГІЛІКТІ ЕСЕПТЕУ ЖЕЛІСІНДЕГІ АҚПАРАТТЫ РҰҚСАТ-СЫЗ ҚОЛ ЖЕТКІЗУДЕН ҚОРҒАУ ЖҮЙЕСІНІҢ СИПАТТАМА-ЛАРЫ МЕН ҚҰРЫЛЫМЫНА ҰСЫНЫСТАР ӘЗІРЛЕУ ... ... ... ... ... ..26
4.1 Ақпаратты қорғаудың кешенді жүйесі құралдарының құрамы ... ... ... ..27
4.2 Ақпаратты қорғаудың кешенді жүйесінің жалпы схемасы ... ... ... ... ... .28
4.3 Ақпаратты рұқсатсыз кіруден қорғау құралдары. Кіруді бақылау және басқару құралдары ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 29
4.3.1. "Аккорд" бағдарламалық-аппараттық кешені ... ... ... ... ... ... ... . ... ... ..31
4.3.2. Secret Net ақпаратты қорғау құралы ... ... ... ... ... ... ... . ... ... ... ... ... .33
4.3.3. Операциялық жүйені жүктемес бұрын пайдаланушыларды аутентификациялаудың күшейтілген құралдары ... ... ... ... ... ... .. ... ... ... ... .37
4.3.4. Желіаралық экрандау құралдары ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... .37
4.4 Компьютерлік вирустар және олардан қорғау құралдары ... ... ... ... ... ...40
ТАЛДАУ ЖӘНЕ ҚОРЫТЫНДЫЛАР ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..4 1
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ ... ... ... ... ... ... ... . ... ... ... ...42
Аңдатпа. Осы дипломдық жұмыс корпоративтік желілерді кешенді бақылау және мониторинг тәсілдерін жүйелеу және отандық кәсіпорындардың ақпараттық қауіпсіздігін арттыру бойынша ұсынымдар әзірлеу болып табылады. Зерттеу пәні ретінде кәсіпорынның ақпараттық қауіпсіздігі мүддесінде корпоративтік желілерді бақылау және мониторингтеу. Зерттеудің жаңалығы қолданыстағы жүйелер негізінде кәсіпорын желілерін бақылау мен мониторингілеудің неғұрлым икемді жүйесін әзірлеуге негізделген.
Аннотация. Настоящая дипломная работа заключается в систематизации подходов к комплексному контролю и мониторингу корпоративных сетей и разработке рекомендаций по повышению информационной безопасности отечественных предприятий. Предметом исследования является контроль и мониторинг корпоративных сетей в интересах информационной безопасности предприятия. Новизна исследования заключается в разработке более гибкой системы контроля и мониторинга сетей предприятия на основе существующих систем.
Annotation. This thesis is to systematize approaches to complex control and monitoring of corporate networks and develop recommendations for improving the information security of domestic enterprises. The subject of the study is the control and monitoring of corporate networks in the interests of enterprise information security. The novelty of the research lies in the development of a more flexible system of control and monitoring of enterprise networks based on existing systems.
1 КІРІСПЕ
Тақырыптың өзектілігі. Жыл сайын құжат айналымы және корпоративтік ақпаратты беру электронды түрде жиі жасалады. Және бұл үшін қазірдің өзінде деректерді берудің көптеген хаттамалары мен әдістері ойлап табылды. Мысал ретінде өте икемді және белгілі бір бизнестің қажеттіліктеріне бейімделуге мүмкіндік беретін 1С платформасының құралдарымен шығарылатын кәсіпорынның электрондық құжат айналымы; POP, IMAP, SMTP сияқты пошта хаттамаларын қолдана отырып, әртүрлі құжаттарды электрондық пошта арқылы беру; FTP протоколы арқылы үлкен көлемде ақпарат беру; веб-технологияларды қолдана отырып, корпоративтік сайтты ұйымдастыру. Тіпті желінің бағдарламалық жасақтамасының немесе аппараттық құралдарының кездейсоқ сәтсіздіктерінің артында жағымсыз салдарға әкелетін өте күрделі мәселелер жасырылуы мүмкін. Желілік сервистер мен қызметтердің жұмыс істеу жылдамдығының едәуір баяулауы - бұл олардың ең жағымсызы.
Әлдеқайда нашары - егер сыни маңызды қызметтер немесе қосымшалар жұмысын толығымен тоқтатса және бұл өте ұзақ уақыт бойы ешкім байқамай қалатыны. Сыни қызметтердің түрлері өте алуан түрлі және мониторингтеудің әртүрлі әдістерін қажет етеді. Веб-серверлер мен дерекқор серверлерінің дұрыс жұмыс істеуі маңызды ішкі корпоративтік қосымшалардың және клиенттер үшін әртүрлі сыртқы қызметтердің жұмысына байланысты болуы мүмкін; маршрутизаторлардың жұмысындағы ақаулар мен бұзушылықтар корпорацияның әртүрлі бөліктері мен оның филиалдары арасындағы байланыстың бұзылуына әкеледі; корпоративтік пошта серверлері, резервтік көшірмелер, баспа серверлері, олардың барлығы әртүрлі бағдарламалық және аппараттық ақаулардан зардап шегуі мүмкін.
Алайда, жабдық пен бағдарламалық жасақтаманың күтпеген жерден істен шығуы көбінесе бір рет болып және оңай түзетіледі. Желінің ішінде немесе сырттан келетін саналы зиянды әрекеттер айтарлықтай елеулі зиян жасайды. Қауіпсіздік жүйесінде олқылық тапқан қаскүнемдер көптеген бұзушы әрекеттерді жүзеге асыра алады. Мысалы, серверді оңай анықтауға және түзетуге болатын немесе жүйені зиянды бағдарламалық жасақтаманың әртүрлі түрлерімен және компанияның құпия деректерінің көп мөлшерін ұрлауға болатын серверді істен шығарып жұқтырады.
Осылайша, зерттеу тақырыбының өзектілігі ақпараттық жүйелердің дамуымен, ақпарат беру жылдамдығы мен әдістерінің артуымен, сондай-ақ корпоративтік желілерге сыртқы және ішкі қауіптер санының артуымен анықталады.
Дипломдық жұмыстың мақсаты - корпоративтік желілерді кешенді бақылау және мониторинг тәсілдерін жүйелеу және отандық кәсіпорындардың ақпараттық қауіпсіздігін арттыру бойынша ұсынымдар әзірлеу болып табылады.
Зерттеу мақсаты өзара байланысты мәселелерді шешу арқылы қол жеткізіледі:
1. Кәсіпорынның корпоративтік желілерін бақылау және мониторингтеу тәжірибесін талдау.
2. Қазақстандағы және шет елдердегі кәсіпорындардың корпоративтік желілерін жан-жақты бақылау және мониторингтеу әдістерін жалпылау.
3. Корпоративтік желілерді кешенді бақылау мен мониторингті жетілдіру жолымен кәсіпорынның ақпараттық қауіпсіздігін арттыру бойынша ұсынымдар әзірлеу.
Зерттеу нысаны. Зерттеу нысаны ретінде корпоративтік желілер таңдалды.
Зерттеу пәні ретінде кәсіпорынның ақпараттық қауіпсіздігі мүддесінде корпоративтік желілерді бақылау және мониторингтеу.
Зерттеудің жаңалығы қолданыстағы жүйелер негізінде кәсіпорын желілерін бақылау мен мониторингілеудің неғұрлым икемді жүйесін әзірлеуге негізделген.
Практикалық маңыздылығы: Тақырыптың өзектілігінде сипатталған барлық дерлік елеулі материалдық шығындарға әкеледі, атап айтқанда: қызметкерлер арасындағы ынтымақтастық схемасы бұзылады, деректердің қайтарымсыз жоғалуы, клиенттердің сенімін жоғалту, құпия ақпаратты жария ету және т. б. Өйткені техниканың істен шығу немесе дұрыс жұмыс істемеу ықтималдығын толығымен жою мүмкін емес болғандықтан, мәселені шешу мен ол туралы ең толық және егжей-тегжейлі ақпарат алу мәселесін ерте кезеңдерде анықтауға әкеледі. Бұл үшін компанияларда желіні бақылау және мониторингтеуде, техникалық мамандарды проблеманы анықтау туралы уақтылы хабардар етуге және терең талдау үшін қол жетімді болатын серверлер, сервистер мен қызметтер жұмысының көптеген басқа параметрлері мен тұрақтылығы туралы деректерді жинақтауға қабілетті әртүрлі бағдарламалық қамтамасыз ету қолданылады.
Мәселенің зерттелу деңгейі. Қазіргі уақытта ақпараттық технологиялар кәсіпорындардың жұмысын жетілдіруге үлкен мүмкіндіктер ұсынады, біртіндеп еңбектің бір бөлігін адамнан машиналарға ауыстырады, осылайша еңбек өнімділігін арттырады және қызметкерлерге шығындарды азайтады. Елді мекеннің, қаланың, елдің аумағы бойынша бытырап орналасқан жаңа кәсіпорындар құрылуда және жұмыс істеп тұрған кәсіпорындар жаңғыртылуда, өйткені қазір байланыс құралдары әлдеқайда қолжетімді және арзан бола бастады. Мұның бәрі кәсіпорында компьютерлендіру және желілік технологияларды пайдалану арқасында мүмкін болды. Бірақ әрбір корпоративті компьютерлік желі өзіне үнемі назар аударуды талап етеді. Тіпті егер жүйе өте жақсы құрылған болса да, серверлер мен клиенттік компьютерлерде ең жақсы бағдарламалық жасақтама орнатылған болса да, жүйелік әкімшінің назарына ғана сенбей корпоративтік желіні бақылау және ықтимал іркілістер туралы хабарлау бойынша автоматтандырылған жүйелерді енгізу қажет.
Диплом жұмысының құрылымы. Диплом жұмысы 3 тілде аңдатпадан, кіріспеден, үш бөлімнен, талдау мен ұсыныстардан, қорытынды, пайдаланылған әдебиеттер тізімінен және қосымшадан тұрады.
2 ӘДЕБИЕТТЕРГЕ ШОЛУ
Корпоративтік желілерді бақылау мен мониторингтеудің басты, сірә, негізгі дереккөзі деп ғаламдық Интернетті санауға болады. Мұнда желіні бақылаудың әртүрлі әдістерін таба аласыз. Корпоративтік қызметтер нарығында көшбасшы болып табылатын көптеген халықаралық және ресейлік компаниялар өздерінің негізгі қызметін интернет арқылы жүзеге асырады. Және бұл өте қарапайым түсіндіріледі, қажетті ақпараттың ең үлкен және жан-жақты көзі ретінде, сондай-ақ, орындаушы-фирмалардың байланыстарын жылдам іздеу, ол компанияны қызықтыратын ақпаратты ең жылдам іздеуді ұсынады және тапсырыс беруші-компаниялар өздерінің ішкі желілерін бақылауды қамтамасыз ету үшін қажетті жабдықты іздеуде жаһандық желіге келеді. Бірақ ақпарат беру желілерін құрудың негізі болып табылатын ақпараттық қауіпсіздік саласындағы халықаралық және ресейлік стандарттар соңғы рөл атқармайды [1].
Бүгінгі таңда онлайн-нарық кәсіпорын желісін бақылау мен мониторингтеудің әртүрлі бағдарламалық құралдарына толы. Олардың барлығы фирма не істейтініне, оның өлшемдері қандай, қызметкерлер саны, компьютерлендіру, филиалдар саны және т.б. байланысты бір немесе басқа дәрежеде бір-бірінен ерекшеленетін, ұқсас мүмкіндіктер жиынтығын ұсынады. Бірақ тек мәселенің бағдарламалық аспектісіне сүйене отырып, толыққанды желіні құру мүмкін емес. Сондай-ақ, барлық кәсіпорынды бір тұтас, үйлесімді жұмыс істейтін жүйеге байланыстыруға мүмкіндік беретін аппараттық құралдарды сатып алу туралы алаңдату қажет, бұл сәтсіздікке және компанияға қандай да бір зиян келтіруі мүмкін жағдайлардың пайда болуына жол бермейді. Алайда, аппараттық және бағдарламалық құралдардың үздіксіз жұмыс істеуін қамтамасыз ету кейде олардың сәйкес келмеуіне байланысты қиын болуы мүмкін, бұл корпоративтік желіні құру процесін біршама қиындатады. Келесі екі тармақта корпоративті желілер және олардың кейбір фирмалардың негізгі сипаттамалары сипатталады, бұл бізге кәсіпорындардың корпоративті желілерін құру принциптерімен танысуға көмектеседі.
Отандық және шетелдік фирмалар ондаған жылдар бойы өздерінің корпоративті желілерін салумен айналысып келеді. Бұл өз кезегінде желіні құру процесін стандарттауға әкелді.
Жобаланған желі көп деңгейлі пирамидаға ұқсас. Бұл қабаттар бір-бірімен байланысты және бір-біріне әсер етеді. Негізінен, әр қабат оқшауланған түрде жасалады, арнайы дайындалған адамдар мен тиісті профиль компаниялары. Барлық фирмаларды шартты түрде үш топқа бөлуге болады [2]:
Аппаратураны өндіруші-фирмалар. Бұл интеграторларда пирамида бір немесе екі өндірушінің бір платформасынан өте тар негізге сүйенеді;
ДҚБЖ-нің біреуіне бағытталған фирмалар, мысалы, тек Oracle. Бұл жағдайда пирамиданың тар нүктесі ортас болып табылады. Қажет болған жағдайда бірнеше аппараттық платформалар мен көптеген қолданбалы бағдарламалық қамтамасыз етуді пайдалану барлығы қолданылатын ДҚБЖ-мен шектеледі;
Тәуелсіз интеграторлар. Олар пирамиданың кез-келген деңгейіне арналған барлық шешімдерді ұсынады. Мұндай фирмалар нақты шешімді пайдалану кезінде берілген ресурстар аясында максималды нәтижеге қол жеткізу мақсатын басшылыққа алады. Мұндай жағдайда кез келген конфигурацияларды икемді күйге келтіру, тапсырыс беруші қолданатын жабдыққа қатысты кез-келген мәселені шешу мүмкіндігі пайда болады.
Қазір әр компанияны жобалау әдістемесі белгілі бір ноу-хау болып табылады. Дегенмен, көпжылдық тәжірибені ескере отырып, желіні құрудың негізгі кезеңдерін төмендегідей тұжырымдауға болады (2.1- сурет):
Бизнес-модельді әзірлеу
Бизнес-модельді әзірлеу
Талаптарды талдау
Талаптарды талдау
Физикалық модель құру
Физикалық модель құру
Техникалық модельді әзірлеу
Техникалық модельді әзірлеу
Жүйені тестілеу
Жүйені тестілеу
Жүйені орнату және баптау
Жүйені орнату және баптау
Жүйені сүйемелдеу және пайдалану
Жүйені сүйемелдеу және пайдалану
Техникалық тапсырманы әзірлеу
Техникалық тапсырманы әзірлеу
Сурет 2.1. Желіні құрудың негізгі кезеңдері
Талаптарды талдау. Мұнда кәсіпорынның негізгі мақсаттары тұжырымдалады, оған жету үшін желі жасалады. Бұл өндірістік циклды қысқарту, еңбек өнімділігін арттыру - кәсіпорын қол жеткізе алмайтын барлық мақсаттар болуы мүмкін.
Бизнес-модельді әзірлеу. Онда кәсіпорында орындалатын барлық жұмыстардың іскери рәсімдері, реттілігі және өзара тәуелділігі сипатталған. Негізгі назар іскери тәжірибеге аударылады.
Техникалық модельді әзірлеу. Техникалық модель бұрын бизнес-модельде анықталған мақсаттарға жету үшін қандай жабдықты пайдалану керектігін сипаттайды. Техникалық модельді жасамас бұрын қолда бар жабдықты түгендеу жүргізіледі, жаңа жүйеге қойылатын талаптар қалыптасады. Осының негізінде жаңа жүйеде қандай жабдықты қолдануға болатындығы туралы қорытындыға келеді. Осыдан кейін қажетті аппараттық құралдардан тұратын толық функционалды жиынтық қалыптасады.
Содан кейін физикалық модель жасалады. Ол нақты өнімдерді, олардың параметрлерін, санын, өзара әрекеттесу тәсілдерін егжей-тегжейлі сипаттайды.
Жүйені орнату және баптау. Бұл кезеңде конфигурацияны басқару, жабдықты орнату және реттеу, сондай-ақ қызметкерлерді оқыту жүзеге асырылады.
Жүйені тестілеу. Жүйенің тестілік сынақтары өткізіледі.
Жүйені сүйемелдеу және пайдалану. Бұл кезең үздіксіз процесс болып табылады.
Жоғарыда аталған кез-келген кезең үшін техникалық тапсырманы жасауға болады. Мәселені белгілеу жұмыстың қай бөлігі сыртқы интеграторға берілетініне және қайсысы өзіне байланысты болады. Кезең интеграторды таңдау кезеңімен және одан кейін онымен келісімшарт жасасумен тығыз байланысты.
Корпоративтік желіні сәтті құру үшін бизнес-модель жасалады, одан кейін желінің техникалық және физикалық модельдері алынады. Корпоративтік желіге қойылатын талаптарды бағалауды бастамас бұрын, кәсіпорынның әр бөлімінде болып жатқан оқиғалардың жалпы көрінісін көру керек. Бұл кәсіпорында не, қалай және қалай жасалатынын сипаттайтын бизнес-модель. Ол іскерлік тәжірибеге және жұмыс дәйектілігіне бағытталған. Біріншіден, бүкіл кәсіпорынның жұмыс реттілігін көрсететін модель, содан кейін әр бөлімдегі жұмыс реттілігінің моделі жасалады. Жұмысты орындау процесі, оларды кім жүргізеді және жұмыс бөлімдері мен топтар арасындағы байланыс қандай екені көрсетіледі [3].
Бизнес-модельді әзірлеу үшін бөлім басшыларынан, мамандардан және автоматтандыру бөлімінің қызметкерлерінен тұратын топ жиналады.
Бөлімшелер басшылары мен пайдаланушыларға сауалнама жүргізіледі. Бұл корпоративті желіден не күтетіні және не қажет екендігі туралы ақпарат алуға мүмкіндік береді. Бұл тізім желіні орналастыру қадамдарын анықтауға көмектеседі. Компания басшысымен корпоративті желі олардың жұмысын қалай түбегейлі өзгерте және жақсарта алатындығы туралы әңгіме болғаннан кейін орындалады. Бұл көп уақытты қажет етеді, өйткені мамандар көбінесе менеджерлер әрдайым түсінбейтін көптеген сөздер мен ұғымдар мен техникалық терминдерді қолданады. Оларға осы немесе басқа жабдықты пайдаланудың артықшылықтары мен кемшіліктерін айтудың қажеті жоқ. Олар мұның бәрі компанияның жұмысын жақсартуға қалай көмектесетініне қызығушылық танытады.
Кәсіпорынның бизнес-моделін құру, мүмкін, ең қиын міндеттердің бірі. Мұның себебі - өндірістік мәселелерді түсінетін және компания директорларының техникалық аспектілерін түсінбейтін техникалық мамандардың жетіспеушілігі. Жалпы стратегия - бұл корпоративті желіні енгізудің пайдасын көре алатын менеджерді немесе менеджерді табу.
Корпоративтік желіні құрудың негізгі мақсаты - өндірістік қажеттіліктерді қанағаттандыру. Қарапайым пайдаланушылар онымен күнделікті жұмыс істейді, сондықтан олар үшін желімен жұмыс ыңғайлы және оңай болуы керек. Өкінішке орай, дизайнды жоспарлау, корпоративті желіні орнату кезінде қарапайым пайдаланушылар жиі ұмытылады. Оны орнатқаннан кейін пайдаланушылар жұмыстың күрделенуіне байланысты наразылықтарын білдіріп, ашуланады. Сондықтан кем дегенде бір соңғы пайдаланушы жиі тағайындалады. Ол пайдаланушылардың автоматтандыру бөлімімен олардың мүдделерін біреу білдіретініне жеке сенімділік үшін байланыс орнатуға жауап береді. Бұл адам мезгіл-мезгіл басқа пайдаланушылармен кездесулер өткізіп, оларды даму барысы туралы хабардар етеді және тұрақты кері байланыс функцияларын орындайды [4].
Сондай-ақ, кәсіпорында болашақта желімен жұмыс істеуге мүмкіндік беретін қызметкерлердің екі тобы бар екендігі ескеріледі. Олар желінің жұмыс қабілеттілігін қолдаумен және басқарумен айналысатын автоматтандыру бөлімінің қызметкерлері және оны құрал ретінде пайдаланатын соңғы пайдаланушылар болып табылады. Осы топтардың әрқайсысының мақсаттары мен қажеттіліктері көбінесе керісінше орындалады. Мысалы, соңғы пайдаланушылар желінің қызметтері мен функцияларын кеңейтуге көбірек қызығушылық танытады, ал автоматтандыру бөлімінің қызметкерлері өз кезегінде желінің жұмыс істеуі мен жұмысының қарапайымдылығына көбірек көңіл бөледі. Сондықтан пайдаланушылардың екі тобы өздерінің қарым-қатынастарын жақсарту, сондай-ақ желіні жақсарту үшін оқытылады.
Кәсіпорынның бизнес-моделін жасап, өзгертуді немесе жақсартуды қажет ететін процедураларды анықтағаннан кейін олар техникалық модель құруға кіріседі. Ол бизнес-модельде белгіленген мақсаттарға жету үшін қандай компьютерлік жабдықты пайдалану керектігін сипаттайды. Техникалық модельді құру кезінде қолданыстағы жабдыққа талдау жасалады, жүйелік талаптар анықталады, жабдықтың жағдайы бағаланады. Алайда, көптеген кәсіпорындар корпоративті желіні нөлден құруға мүмкіндік бере алмайды. Көптеген компаниялар қолданыстағы жабдықтардың негізінде желілер салады. Бұл жағдайда әр бөлім қолданыстағы компьютерлік жабдықты түгендейді және қайсысы қолданылатынын анықтайды. Жабдықты тексеруден кейін бағдарламалық жасақтамаға ұқсас операция жасалады.
Түгендеу (Инвентаризация) - бұл ең қызықты рәсім емес, бірақ корпоративті желіні құру кезінде өте маңызды. Түгендеу процесін жеңілдету үшін келесі параметрлерді анықтай алатын мамандандырылған бағдарламалар қолданылады:
CPU түрі;
қол жетімді жад;
диск түрі және дискідегі бос орын;
қол жетімді қосымша контроллерлер (Желілік адаптерлер, факс модемдері).
Зерттеу бағдарламалары осындай ақпараттың дерекқорын қалыптастырады. Болашақта бұл дерекқорды анықтама үшін немесе ақаулықтарды жою үшін пайдалануға болады [5].
Қолда бар жүйені түгендегеннен кейін жаңасына қойылатын талаптар анықталады. Жүйелік талаптарды анықтау үшін келесі сұрақтарға жауаптар ізделеді: жаңа жүйеде қолданыстағы аппараттық және бағдарламалық жасақтамадан не қолданылады? Нені және қалай қосу керек? Әзірленген корпоративтік желіде қандай жүйелерді қалдыру керек? Бұл жүйелерді желіге қосу қажет пе? Өндірістік мақсаттарға жету үшін қандай жабдықтар мен қосымшаларды қосу керек? Желіде қандай ақпарат таратылады? Желілік реакцияның қай уақыты оңтайлы? Кәсіпорынның жұмысы үшін желі қанша уақыт қажет? Ақаулықтарды жоюдың орташа уақыты қандай болуы керек, жүйенің жоспарланған өсуі қандай және т.б.
Жүйелік талаптарды анықтағаннан кейін олар корпоративті желінің техникалық моделін сипаттай бастайды. Мұнда олар өндірістік қажеттіліктер техникалық тұрғыдан қалай қанағаттандырылатындығын анықтайды. Әрі қарай, қандай техникалық құралдар өндіріс қажеттіліктерін қанағаттандыратыны бағаланады. Мысалы, желіде көпірлер мен маршрутизаторларды пайдалану керек пе? Қолданыстағы топологиялардың қайсысы қолданылады? Осындай шешімдерді қабылдау үшін әртүрлі технологиялар мен техникалық құралдардың сипаттамаларын талдау, желі арқылы берілетін деректердің қарқындылығы мен түрлері маңызды рөл атқарады. Осыдан кейін олар жақын арада қол жетімді болатын технологиялар мен техникалық құралдарды, сондай-ақ олардың ұзақ мерзімді перспективаларын анықтау мақсатында зерттеулер жүргізеді.
Желі үшін техникалық модель таңдалғаннан кейін оның өндірістік талаптарға қаншалықты сәйкес келетіні анықталады. Бизнес-модельге оралып, оның талаптарын техникалық шешімдермен байланыстыру қажет.
Әрі қарай физикалық модель жасалады. Физикалық модель техникалық модельдің ерекшелігін көрсетеді. Физикалық модель - бұл желінің егжей-тегжейлі сипаттамасы, ал техникалық модель оны сипаттау үшін жалпы терминдерді қолданады.
Бұл кезең қолданыстағы өнімдермен мұқият танысуды қажет етеді. Қолайлы өнімдердің функциялары мен қасиеттерін бағалау, дамыған жүйенің талаптарын барынша қанағаттандыру үшін анықтау қажет. Қол жетімді өнімдерді анықтағаннан кейін, олардың сипаттамалары өндіруші белгілеген сипаттамаларға қаншалықты сәйкес келетінін іс жүзінде бағалау үшін оларды сатып алу жүзеге асырылады.
Физикалық модельдеу кезеңінде қандай компоненттер қажет екендігі, олардың саны, орналасуы және осы компоненттерді бір-бірімен корпоративті желіге қосу әдістері туралы егжей-тегжейлі сипаттама жасалады. Кезеңнің соңында Техникалық тапсырма жасалады [6].
Техникалық тапсырма талаптарды талдау кезеңінде жиналған ақпаратқа негізделген. Техникалық тапсырма орындаушыға кәсіпорында қандай өндірістік проблемалар мен компьютерлік желі проблемалары бар екенін; оларды қалай шешу керектігін; компаниялар қандай мәселелерді өзі шеше алатындығын және үшінші тарап компанияларының араласуын қажет ететінін хабарлайды. Бұл техникалық тапсырма бірнеше желілік интеграторларға таратылады және Компанияның корпоративтік желісін қалай жобалау керектігі туралы олардың пікірі анықталады. Техникалық тапсырманы қамту тереңдігі мен кеңдігі жобаланған корпоративті желінің күрделілігіне және тапсырыс берушінің тәжірибесіне байланысты. Техникалық тапсырма 5, 50 және одан да көп беттерден тұруы мүмкін.
Техникалық тапсырманы өзіңіз немесе кеңесшінің қатысуымен дайындауға болады. Егер компания кеңесшіні тартса, онда тапсырманың мүмкіндігінше дұрыс және дәл құрастырылу ықтималдығы едәуір артады. Консультант дайындаған техникалық тапсырма желі жобасының толық сипаттамасынан, сатып алынатын жабдықтардың тізімінен тұрады.
Осылайша, тарауды қорытындылай келе, бүгінгі таңда жеке желіні құру кезінде фирмалар өз күштерін пайдаланады және үшінші тарап кеңесшілерін немесе интеграторларды тартады; корпоративті желіні құру, барлық тұрғыдан алғанда, іске асыру үшін көп уақыт пен қаржылық шығындарды қажет ететін өте күрделі процесс.
3 КӘСІПОРЫННЫҢ ЖЕРГІЛІКТІ ЖЕЛІСІНДЕ АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІ ЖОБАЛАУ
3.1 Желіаралық экран - кәсіпорын желісінің қауіпсіздігін кешенді бақылау іске асыру құралы
Ақпараттық жүйенің кешенді қауіпсіздігін қамтамасыз ету сияқты маңызды міндетте толық дайын шешімдер жоқ. Әр ұйымның құрылымы, оның ішіндегі функционалды байланыстар іс жүзінде ешқашан қайталанбайды. Тек компания басшылығы ақпараттық жүйенің компоненттері үшін қауіпсіздіктің бұзылуы қаншалықты маңызды болатынын, ақпараттық қызметтерді кім, қашан және не үшін қолдана алатындығын анықтай алады. Сенімді ақпараттық жүйені құрудағы негізгі кезең қауіпсіздік саясатын әзірлеу болып табылады [7].
Қауіпсіздік саясаты деп ақпарат пен ресурстарды бақылауға, қорғауға бағытталған құжатталған басқару шешімдерінің жиынтығын түсіну керек.
Практикалық тұрғыдан алғанда, қауіпсіздік саясатын үш деңгейге бөлуге болады:
1) ұйымды толығымен қамтитын шешімдер. Олар жалпы сипатқа ие және ұйым басшылығынан келеді.
2) фирма пайдаланатын әртүрлі жүйелердің ақпараттық қауіпсіздігінің жеке аспектілеріне қатысты мәселелер.
3) ақпараттық жүйенің нақты сервистері.
Үшінші деңгей екі аспекті - қауіпсіздік саясаты және оларға қол жеткізу ережелерінен тұрады. Жоғарғы екі деңгейден айырмашылығы, үшіншісі әлдеқайда егжей-тегжейлі болуы керек. Жеке қызметтердің көптеген әртүрлі қасиеттері бар, оларды бүкіл ұйым аясында реттеу мүмкін емес. Сонымен қатар, бұл қасиеттер қауіпсіздік режимін қамтамасыз ету үшін өте маңызды, сондықтан оларға қатысты шешімдер басқару деңгейінде қабылданады.
Қауіпсіздік саясатын нақтырақ қарастыру үшін осы саясатты жүргізу құралы - желіаралық экранның негізгі функционалдық қасиеттері мен мәнін анықтау қажет.
Белгілі бір кәсіпорынның ақпараттық жүйесінің құрылымын қарастырамыз. Жалпы жағдайда, бұл әр түрлі операциялық жүйелері бар әртүрлі компьютерлерден, компьютерлердің өзара әрекеттесуін қамтамасыз ететін желілік жабдықтардан тұратын гетерогенді кешен. Сипатталған жүйенің (тіпті бір типтегі және ОЖ-нің бір нұсқасы бар компьютерлер өз мақсатына байланысты мүлдем басқа конфигурацияларға ие бола алады) гетерогенділігіне байланысты, әр элементті жеке-жеке қорғаудың мағынасы жоқ. Осыған байланысты жалпы жергілікті желі үшін ақпараттық қауіпсіздікті қамтамасыз ету мәселелері қаралатын болады. Бұл желіаралық экран - firewall көмегімен мүмкін болады.
Желіаралық экрандау тұжырымдамасын келесідей тұжырымдауға болады. Ақпараттық жүйелердің екі жиынтығы бар болсын. Экран - бұл клиенттердің бір жиынтықтан басқа жиынтық серверлерге қол жетімділікті бөлу құралы. Экран жүйенің екі жиынтығы арасындағы барлық ақпараттық ағындарды бақылайды (3.1- сурет.) [8].
Сурет 3.1. Экранға кіру бөлу құралы
Ең қарапайым жағдайда firewall екі механизмнен тұрады. Олардың біріншісі деректердің қозғалысын шектейді, ал екіншісі оған ықпал етеді. Жалпы алғанда, firewall сүзгілер тізбегі түрінде ұсынылады. Олардың әрқайсысы деректерді жіберіп алмауы немесе бірден жібермеуі мүмкін. Сонымен қатар, деректердің кейбір бөлігін талдауды жалғастыру немесе адресаттың атынан өңдеу және нәтижені жіберушіге кейіннен қайтару үшін келесі сүзгіге жіберуге болады (3.2- сурет).
Сурет 3.2. Экран - сүзгі тізбегі
Қол жеткізуді ажырату функцияларынан басқа, firewall ақпараттық алмасуларды хаттамалау процесін жүзеге асырады.
Әдетте firewall симметриялы емес. Ол үшін ұғымдар анықталған: ішінде және сыртта. Экрандаудың негізгі міндеті желінің ішкі аймағын ықтимал қауіпті - сыртқы аймақтан қорғау ретінде тұжырымдалуы мүмкін. Сонымен, желіаралық экрандар Internet сияқты ашық желіге шығатын жергілікті желілерде, оларды қорғауға арналған кәсіпорындарда орнатылады. Экранның тағы бір мысалы - портты қорғау құрылғысы. Ол барлық басқа жүйелік қорғаныс құралдарына дейін және одан компьютердің байланыс портына кіруді бақылайды. Экрандау жүктемені тегістеу немесе толығымен жою, сыртқы белсенділіктен туындаған ішкі сала сервистерінің қолжетімділігін қамтамасыз етеді. Онда қорғаныс тетіктері әсіресе қатаң және мұқият конфигурацияланған, осылайша, ішкі қауіпсіздік қызметтерінің осалдығын төмендетеді, бастапқыда үшінші тараптың шабуылдаушысы экранды айналып өтуі керек.
Осының бәріне қосымша, экрандау жүйесі әмбебап жүйеге қарағанда қарапайым және қауіпсіз түрде орнатылуы мүмкін.
Экрандау құпиялылық режимін сақтауға ықпал ететін сыртқы аймаққа бағытталған ақпараттық ағындарды бақылауға мүмкіндік береді. Көбінесе экран OSI жеті деңгейлі эталондық моделінің үшінші (желілік), төртінші (көліктік) немесе жетінші (қолданбалы) деңгейлерінде желілік қызмет ретінде жүзеге асырылады. Бірінші жағдайда экрандаушы маршрутизатор, екінші жағдайда - экрандаушы көлік, үшінші жағдайда - экрандаушы шлюз бар. Әр тәсілдің өзіндік артықшылықтары мен кемшіліктері бар; гибридті экрандар да белгілі, онда аталған тәсілдердің ең жақсы қасиеттерін біріктіруге тырысады.
Экрандаушы маршрутизатор жеке деректер пакеттерімен айналысады, сондықтан оны кейде пакеттік сүзгі деп атайды. Деректерді өткізіп жіберу немесе кешіктіру туралы шешімдер алдын-ала белгіленген ережелер жүйесін қолдану арқылы желілік және көлік деңгейлерінің тақырып өрістерін талдау негізінде әр пакет үшін жеке қабылданады. Талданған ақпараттың тағы бір маңызды құрамдас бөлігі - пакет арқылы маршрутизаторға кіретін порт.
Қазіргі заманғы маршрутизаторлар (мысалы, Cisco компаниясының өнімдері) әр портқа бірнеше ондаған ережелерді байланыстыруға және пакеттерді кіре берісте де, шығу кезінде де сүзуге мүмкіндік береді. Пакеттік сүзгі ретінде бірнеше желілік карталармен жабдықталған әмбебап компьютерді пайдалануға болады. Экрандаушы маршрутизаторлардың негізгі артықшылықтары - олардың арзандығы (желілердің шекарасында маршрутизатор практикалық түрде әрдайым қажет, бұл тек оның экрандау мүмкіндіктерін іске қосуында) және OSI моделінің жоғары деңгейлері үшін мөлдірлігі. Негізгі кемшілік - олардың талданатын ақпараттың шектеулі болуы және нәтижесінде берілген қорғаныстың салыстырмалы әлсіздігі.
Экрандау көлігі виртуалды қосылыстарды құру процесін және олар арқылы ақпарат беруді бақылауға мүмкіндік береді. Іске асыру тұрғысынан экрандау көлігі өте қарапайым, сондықтан сенімді бағдарлама. Экрандау көлігінің мысалы - TCP wrapper өнімі. [9]
Пакеттік сүзгілермен салыстырғанда, экрандау көлігінде көбірек ақпарат бар. Бұл оған виртуалды қосылыстарды нәзік басқаруға көмектеседі. Мысалы, ол берілетін ақпараттың мөлшерін бақылау, белгілі бір шектен асып кеткеннен кейін қосылыстың үзілуі, ақпараттың рұқсатсыз экспортына кедергі жасау мүмкіндігіне ие. Негізгі кемшілік - қолдану аймағының тарылуы, өйткені деректер протоколдары бақылаудан тыс қалады, онда ақпарат блогы протоколға қосылуды алдын-ала орнатпай және виртуалды арна жасамай жіберіледі. Әдетте экрандау көлігі маңызды қосымша элемент ретінде басқа тәсілдермен бірге қолданылады. Қолданбалы деңгейде жұмыс істейтін экрандау шлюзі ең сенімді қорғауды қамтамасыз ете алады. Әдетте, экрандау шлюзі - бұл әмбебап компьютер, онда қызмет көрсетілетін әрбір қолданбалы протокол үшін бағдарламалық агенттер жұмыс істейді. Сыртқы желі субъектілері тек шлюз компьютерін көреді. Оларға тек шлюз экспорттауды қажет деп санайтын ішкі желі туралы ақпарат қол жетімді. Шлюз іс жүзінде ішкі желіні сыртқы әлемнен қорғайды. Сонымен қатар, ішкі желі субъектілері сыртқы әлемнің объектілерімен тікелей байланысады деп санайды. Экрандайтын шлюздердің кемшілігі оларда толық ашықтықтың болмауы деп санауға болады, сондықтан әрбір қолданбалы хаттаманы қолдау үшін арнайы іс-қимылдар жүргізу талап етіледі.
Пакеттік сүзгілермен салыстырғанда, экрандау көлігінде көбірек ақпараттар бар. Бұл оған виртуалды қосылыстарды нәзік басқаруға көмектеседі. Мысалы, ол берілетін ақпараттың мөлшерін бақылау, белгілі бір шектен асып кеткеннен кейін қосылыстың үзілуі, ақпараттың рұқсатсыз экспортына кедергі жасау мүмкіндігіне ие. Негізгі кемшілік - қолдану аймағының тарылуы, өйткені деректер протоколдары бақылаудан тыс қалады, онда ақпарат блогы протоколға қосылуды алдын-ала орнатпай және виртуалды арна жасамай жіберіледі. Әдетте экрандау көлігі маңызды қосымша элемент ретінде басқа тәсілдермен бірге қолданылады. Қолданбалы деңгейде жұмыс істейтін экрандау шлюзі ең сенімді қорғауды қамтамасыз ете алады. Әдетте, экрандау шлюзі-бұл әмбебап компьютер, онда бағдарламалық агенттер жұмыс істейді - қызмет көрсетілетін әрбір қолданбалы протокол үшін бір. Сыртқы желі субъектілері тек шлюз компьютерін көреді. Оларға тек шлюз экспорттауды қажет деп санайтын ішкі желі туралы ақпарат қол жетімді. Шлюз іс жүзінде ішкі желіні сыртқы әлемнен қорғайды. Сонымен қатар, ішкі желі субъектілері сыртқы әлемнің объектілерімен тікелей байланысады деп санайды. Экрандайтын шлюздердің кемшілігі оларда толық ашықтықтың болмауы деп санауға болады, соның салдарынан әрбір қолданбалы хаттаманы қолдау үшін арнайы іс-қимылдар жүргізу талап етіледі.
Экрандау шлюздерін құруға арналған құралдардың мысалы ретінде Trusted Information Systems компаниясынан TIS Firewall Toolkit деп санауға болады.
Гибридті жүйелерде Sun Microsystems компаниясынан мынадай Firewall-1 сияқты экрандау жүйелерінің ең жақсы қасиеттерін біріктіруге болады. Нәтижесінде, қосымшалар үшін ашықтықты және үстеме шығындарды ақылға қонымды шектерде сақтай отырып, сенімді қорғауды алу сәнге айналады. Сонымен қатар, дейтаграммалық хаттамалар аясында ақпарат беруді қадағалау сияқты өте құнды жаңа мүмкіндіктер пайда болады.
Экрандаудың маңызды тұжырымдамасы - тәуекел аймағы. Ол экранды немесе оның құрамдас бөліктерін жеңгеннен кейін шабуылдаушыға қол жетімді болатын көптеген жүйелер ретінде анықталады. Көбінесе экран элементтердің жиынтығы болып табылады, нәтижесінде сенімділік жоғарылайды. Бұл жағдайда олардың біреуін "бұзу" бүкіл ішкі желіге қол жеткізуге әкеледі. 3.3-суретте көпкомпонентті экранның [10] мүмкін конфигурациясының мысалы келтірілген.
Сурет 3.3. Көпкомпонентті экран
Енді желіаралық экрандауды жүзеге асыратын нақты жүйенің талаптарын қарастырамыз. Экрандау жүйесі тиіс [11]:
Қорғалатын желінің қауіпсіздігін қамтамасыз ету, сыртқы қосылымдар мен байланыс сеанстарын толық бақылау;
Ұйымның қауіпсіздік саясатын толық және қарапайым іске асыру үшін қуатты және икемді басқару құралдарына ие болу. Сонымен қатар, экрандау жүйесі желінің құрылымы өзгерген кезде жүйенің қарапайым қайта конфигурациясын қамтамасыз етуі керек;
Жергілікті желі пайдаланушылары үшін білінбей жұмыс істеу және олардың заңды әрекеттерді орындауын қиындатпау;
Тиімді жұмыс істеу және "шың" режимдерде барлық кіріс және шығыс трафикті өңдеуге үлгеру. Бұл firewall-ды оның көптеген қоңыраулармен "тастау" үшін қажет;
Кез-келген рұқсат етілмеген әсерлерден өзін-өзі қорғау қасиеттеріне ие болыңыз, өйткені желіаралық экран компанияның құпия ақпаратының кілті деп санауға болады;
Экрандарды басқару жүйесі бірыңғай орталықтандырылған қауіпсіздік саясатын жүргізуге ықпал етуі керек. Бұл компанияның бірнеше сыртқы байланыстары, соның ішінде қашықтағы филиалдары болған жағдайда маңызды;
Сыртқы қосылымдар арқылы пайдаланушылардың кіруін авторизациялау құралдары болуы тиіс. Мысалы, іссапарда, жұмыс барысында олар ұйымның ішкі компьютерлік желісінің кейбір ресурстарына қол жеткізуді қажет етеді. Жүйе мұндай пайдаланушыларды сенімді түрде танып, оларға қажетті қол жетімділік түрлерін ұсынуы керек.
Экрандау ақпараттық жүйеде қызметтердің қол жетімділігін сақтауға, сыртқы белсенділікпен басталған жүктемені азайтуға немесе тіпті жоюға мүмкіндік береді. Бастапқыда зиянкес қорғаныс тетіктері аса мұқият және қатаң конфигурацияланған экранды еңсеруі қажет болғандықтан, ішкі қауіпсіздік сервистерінің осалдығы да азаяды. Сонымен қатар, экрандау жүйесі әмбебап жүйеден айырмашылығы қарапайым сенімді түрде ұйымдастырылуы мүмкін. Экрандау құпиялылық режимін қамтамасыз ете отырып, сыртқы аймаққа бағытталған ақпараттық ағындарды бақылауға мүмкіндік береді.
Осылайша, экрандау басқа қауіпсіздік шараларымен бірге көп деңгейлі қорғаныс идеясын қолданады. Осының арқасында ішкі желі бірнеше түрлі ұйымдастырылған қорғаныс сызықтарынан өткен жағдайда ғана қауіпке ұшырайды.
Желіаралық экрандау құралының болуы оны коммутацияланған байланыс арналары арқылы ұйымның ақпараттық ресурстарына қол жетімділікті бақылау үшін пайдалануға мүмкіндік береді. Ол үшін келесі бөлімде қарастырылған бағдарламалық және аппараттық конфигурация болып табылатын терминал сервері қолданылады.
3.2 Ұсынылған шешімнің ерекшеліктері. Қауіпсіздік саясатының ережелерін әзірлеу және түзету
Ішкі желісімен экрандалған желіаралық экран конфигурациясы ең сенімді болып табылады, кем дегенде үш қорғаныс деңгейінің болуы себебімен:
Сыртқы экрандау маршрутизаторы;
Экрандау шлюзі;
Ішкі экрандау маршрутизаторы.
Осы жүйелердің әрқайсысының әлсіз жақтары әртүрлі. Экрандалған ішкі желі коммутацияланған байланыс арналарын қауіпсіздіктің жалпы тізбегіне қарапайым қосуға мүмкіндік береді. Сыни жағдайда ұсынылатын шешім экрандау шлюзінің жұмысының тиімділігі, оның экран арқылы өтетін ақпаратты тиімді қайта өңдеу мүмкіндігі маңызды болады. Бұл факт экрандалған компьютерге-шлюзге аз жоғалуы бар жүйелік өнімділіктің бағдарламалық жасақтаманы орнатуды қажет етеді, ол өзі кіріктірілген ОЖ құралдарымен, мысалы, Solaris ОЖ басқаратын SUN фирмасының компьютері Firewall-1 [12] желіаралық экрандау бағдарламасымен сенімді қорғалған.
Қашықтағы пайдаланушыларды аутентификациялаудың ең көп таралған құралдарының бірі-Bellcore компаниясының Skey бағдарламасы. Бұл бағдарлама бір реттік парольдермен алмасу құралы болып табылады, бұл ақпаратты біреу ұстап қалса да, жүйеге рұқсатсыз кіруге мүмкіндік бермейді. Skey бағдарламасы Firewall-1 жүйесінің аутентификация құралдарымен үйлесімді.
Желіаралық экрандарды конфигурациялау кезінде негізгі құрылымдық шешімдер ұйымда алдын-ала қабылданған қауіпсіздік саясатымен анықталады. Бұл жағдайда қауіпсіздік саясатының екі аспектісі қарастырылады: желілік қызметтерге қол жеткізу саясаты және желіаралық экрандар саясаты.
Желілік қызметтерге қол жеткізу саясатын қалыптастыру кезінде пайдаланушылардың ұйымда қолданылатын қызметтерге қол жеткізу ережелерін қалыптастыру қажет. Бұл аспект екі компоненттен тұрады.
Пайдаланушыларға арналған ережелер базасы қашан, қай қолданушы немесе олардың тобы, қандай қызмет, оны қай компьютерде қолдана алатындығын сипаттайды. Пайдаланушылардың ұйымның жергілікті желісінен тыс жұмыс істеу шарттары және оларды сәйкестендіру шарттары жеке айқындалады.
Қызметтерге арналған ережелер базасы әр қызмет үшін сервер клиенттерінің рұқсат етілген мекен-жайларын және желілік экран арқылы өтетін қызметтер жиынтығын сипаттайды.
Желіаралық экранның жұмысын реттейтін саясатта шешімдер қауіпсіздік пайдасына, бірақ пайдалану жеңілдігіне және керісінше қабылдануы мүмкін. Екі негізгі түрі бар:
Рұқсат етілмегендердің барлығына тыйым салынады.
Тыйым салынбағанның бәрі рұқсат етілген.
Бірінші жағдайда, брандмауэр бәрін бұғаттайтындай етіп конфигурацияланады және оның жұмысы қауіп пен тәуекелді мұқият талдау негізінде реттеледі. Мұның бәрі экранды жұмыстағы кедергі деп санайтын пайдаланушыларға тікелей әсер етеді. Бұл жағдай бізді экрандау жүйелерінің жұмысына қойылатын жоғары талаптарды басшылыққа алуға мәжбүр етеді және пайдаланушылар тұрғысынан брандмауэр жұмысының "ашықтығы" сияқты қасиеттің өзектілігін арттырады. Бірінші тәсіл қауіпсіз болып табылады. Әкімші қандай қызметтер мен порттардың қауіпсіз екенін, бағдарламалық жасақтама жасаушының ядросында немесе қосымшасында қандай "тесіктер" бар екенін білмейді деп болжанады. Көптеген бағдарламалық жасақтама өндірушілері ақпараттық қауіпсіздік мәселесінде маңызды болып табылатын анықталған кемшіліктерді жариялауға құлықсыз болғандықтан, бұл тәсіл консервативті болып табылады. Оның мәні бойынша, ол білмеу зиян келтіруі мүмкін екенін мойындау болып табылады.
Екінші жағдайда, жүйелік әкімші жауап беру режимінде жұмыс істейді. Ол қауіпсіздікке теріс әсер ететін пайдаланушылардың немесе құқық бұзушылардың қандай әрекеттерді жасай алатындығын болжауға тырысады және мұндай әрекеттерге қарсы қорғаныс дайындайды. Бұл firewall әкімшісін шексіз "қару жарыстарында" [13] қолданушыларға қарсы орнатады, олар өте таусылып қалуы мүмкін. Пайдаланушы қауіпсіздікті қамтамасыз етуге бағытталған шаралардың қажеттілігіне сенімді болмаса, ақпараттық жүйенің қауіпсіздігін бұзуы мүмкін.
3.3 Ақпаратты қорғауды бақылаудың корпоративтік жүйесін құру әдістемесі
Жұмыс істейтін басқару құжаттарының ұсынымдық және нормативтік-құқықтық базасын әзірлеу қарқыны қазіргі заманғы ақпараттық технологиялардың даму қарқынынан едәуір артта қалып отыр. Сондықтан компанияның ақпараттық активтерінің қорғалу деңгейін бағалау мәселесін шешу міндетті түрде қорғалу өлшемдері мен көрсеткіштерін, сондай-ақ ақпаратты қорғаудың корпоративтік жүйесінің тиімділігін таңдау проблемасымен байланысты.
Тәуекелдерді басқарудың, ақпаратты қорғаудың корпоративтік жүйелерін жобалаудың және сүйемелдеудің заманауи әдістері компанияның перспективалық стратегиялық дамуының бірқатар мәселелерін шешуге мүмкіндік беруі керек.
Біріншіден, ақпаратты қорғауды қамтамасыз етудің құқықтық, технологиялық, техникалық, ұйымдастырушылық және басқарушылық деңгейлерінде тәуекелдерді анықтауды талап ететін компанияның ақпараттық қауіпсіздігінің ағымдағы деңгейін сандық бағалау. [14]
Екіншіден, компанияның ақпараттық активтерінің қорғалуының қолайлы деңгейіне қол жеткізу үшін ақпаратты қорғаудың корпоративтік жүйесін жетілдірудің кешенді жоспарын іске асыру және әзірлеу. Ол үшін сізге қажет:
тәуекелдерді талдау технологиялары негізінде қауіпсіздікті қамтамасыз етуге қаржылық салымдарды негіздеу және есептеу, қауіпсіздікті қамтамасыз етуге арналған шығыстарды ықтимал залалмен және оның туындау ықтималдығымен салыстыру;
осал ресурстарға шабуыл жасағанға дейін ең қауіпті осалдықтарды анықтау және бірінші кезекте оқшаулауды жүргізу;
компанияның ақпараттық қауіпсіздігін қамтамасыз ету бойынша бөлімшелер мен тұлғалардың өзара іс-қимылы кезінде функционалдық қатынастар мен жауапкершілік аймақтарын айқындау, ұйымдастырушылық-өкімдік құжаттаманың қажетті пакетін жасау;
ақпараттық технологиялардың қазіргі заманғы деңгейі мен даму үрдістерін ескеретін қажетті қорғау кешендерін енгізу жобасын әзірлеу және ұйымның қызметтерімен, қадағалау органдарымен келісу;
енгізілген қорғау кешенін ұйым жұмысының өзгеретін жағдайларына, ұйымдастырушылық-өкімдік құжаттаманы тұрақты пысықтауға, технологиялық процестерді түрлендіруге және техникалық қорғау құралдарын жаңғыртуға сәйкес қолдауды қамтамасыз ету.
Ақпараттық қауіпсіздік жоспарын практикалық іске асыруды қолдайтын жұмыстар, атап айтқанда:
корпоративтік желіге жүргізілген кешенді талдамалық зерттеу нәтижелері бойынша фирмада орнатылған АЖ қорғау құралдарын жаңғыртудың техникалық жобасын әзірлеу;
компанияны аттестаттауға дайындау (тапсырыс берушінің ақпараттандыру объектілерін мемтехкомиссияның басшылық құжаттарының талаптарына сәйкестігіне, сондай-ақ ISO 15408, ISO 17799 халықаралық стандарттарының, компанияның ақпараттық қауіпсіздік талаптарын қамтамасыз ету кезінде ISO 9001 стандартының қауіпсіздік талаптарына сәйкестігіне аттестаттау);
қауіпсіздік саясатының бір бөлігі ретінде таратылуы шектелген мәліметтердің кеңейтілген тізбесін әзірлеу;
ұйымдық-басқарушылық және құқықтық деңгейдегі компанияның ақ корпоративтік саясатының ұсынымдарына сәйкес ұйымдастырушылық-өкімдік құжаттама пакетін әзірлеу;
ұйымдық-басқарушылық және құқықтық деңгейдегі компанияның АҚ корпоративтік саясатының ұсынымдарына сәйкес үлгілік ұйымдастырушылық-өкімдік құжаттама жиынтығын жеткізу.
Мамандардың біліктілігі компанияның ақпараттық қауіпсіздігін қамтамасыз етуде маңызды рөл атқарады. Кадрлардың біліктілігін арттыру және оларды қайта даярлау мақсатында ақпаратты қорғау технологиясын, ақпаратты қорғау құралдарын қолдану жөнінде тұрақты түрде тренингтер өткізу, қызметкерлерді экономикалық қауіпсіздік негіздеріне оқыту қажет.
Компанияның ақпараттық қауіпсіздігінің жай-күйін жыл сайын қайта бағалау соңғы орын емес.
"Ақпарат, ақпараттандыру және ақпаратты қорғау туралы" ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Х.Досмұхамедов атындағы Атырау университеті
Бағдарламалық инженерия кафедрасы
Қорғауға жіберілді
Бағдарламалық инженерия
кафедрасының меңгерушісі
________ Н.Б.Байтемирова
Хаттама № _________
______________2022 ж.
ДИПЛОМДЫҚ ЖҰМЫС
тақырыбы: Кәсіпорындардың корпоративтік желілерін кешенді бақылау және мониторингтеу
5В070300 - Ақпараттық жүйелер мамандығы
Орындаған: Д.Тасболат - Ф-414 топ студенті
Ғылыми жетекшісі: Ш.К.Ележанова - ф.-м.ғ.к.,
профессор м.а.
Нормабақылаушы: Ж.Е.Шангитова - PhD, аға оқытушы
Атырау, 2022
МАЗМҰНЫ
КІРІСПЕ ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .4
1 ... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ... 6
3 КӘСІПОРЫННЫҢ ЖЕРГІЛІКТІ ЖЕЛІСІНДЕ АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІ ЖОБАЛАУ ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .12
3.1 Желіаралық экран - кәсіпорын желісінің қауіпсіздігін кешенді бақылау іске асыру құралы ... ... ... ... ... ... ... . ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..12
3.2 Ұсынылған шешімнің ерекшеліктері. Қауіпсіздік саясатының ережелерін әзірлеу және түзету ... ... ... ... ... ... ... . ... ... ... ... ... ... ... ... ... ... ... 17
3.3 Ақпаратты қорғауды бақылаудың корпоративтік жүйесін құру әдістемесі ... ... ... ... ... ... . ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .19
3.4 Ұйымдастырушылық қауіпсіздік саясатын қалыптастыру ... ... ... ... ... ..2 4
4 ЖЕРГІЛІКТІ ЕСЕПТЕУ ЖЕЛІСІНДЕГІ АҚПАРАТТЫ РҰҚСАТ-СЫЗ ҚОЛ ЖЕТКІЗУДЕН ҚОРҒАУ ЖҮЙЕСІНІҢ СИПАТТАМА-ЛАРЫ МЕН ҚҰРЫЛЫМЫНА ҰСЫНЫСТАР ӘЗІРЛЕУ ... ... ... ... ... ..26
4.1 Ақпаратты қорғаудың кешенді жүйесі құралдарының құрамы ... ... ... ..27
4.2 Ақпаратты қорғаудың кешенді жүйесінің жалпы схемасы ... ... ... ... ... .28
4.3 Ақпаратты рұқсатсыз кіруден қорғау құралдары. Кіруді бақылау және басқару құралдары ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 29
4.3.1. "Аккорд" бағдарламалық-аппараттық кешені ... ... ... ... ... ... ... . ... ... ..31
4.3.2. Secret Net ақпаратты қорғау құралы ... ... ... ... ... ... ... . ... ... ... ... ... .33
4.3.3. Операциялық жүйені жүктемес бұрын пайдаланушыларды аутентификациялаудың күшейтілген құралдары ... ... ... ... ... ... .. ... ... ... ... .37
4.3.4. Желіаралық экрандау құралдары ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... .37
4.4 Компьютерлік вирустар және олардан қорғау құралдары ... ... ... ... ... ...40
ТАЛДАУ ЖӘНЕ ҚОРЫТЫНДЫЛАР ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..4 1
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ ... ... ... ... ... ... ... . ... ... ... ...42
Аңдатпа. Осы дипломдық жұмыс корпоративтік желілерді кешенді бақылау және мониторинг тәсілдерін жүйелеу және отандық кәсіпорындардың ақпараттық қауіпсіздігін арттыру бойынша ұсынымдар әзірлеу болып табылады. Зерттеу пәні ретінде кәсіпорынның ақпараттық қауіпсіздігі мүддесінде корпоративтік желілерді бақылау және мониторингтеу. Зерттеудің жаңалығы қолданыстағы жүйелер негізінде кәсіпорын желілерін бақылау мен мониторингілеудің неғұрлым икемді жүйесін әзірлеуге негізделген.
Аннотация. Настоящая дипломная работа заключается в систематизации подходов к комплексному контролю и мониторингу корпоративных сетей и разработке рекомендаций по повышению информационной безопасности отечественных предприятий. Предметом исследования является контроль и мониторинг корпоративных сетей в интересах информационной безопасности предприятия. Новизна исследования заключается в разработке более гибкой системы контроля и мониторинга сетей предприятия на основе существующих систем.
Annotation. This thesis is to systematize approaches to complex control and monitoring of corporate networks and develop recommendations for improving the information security of domestic enterprises. The subject of the study is the control and monitoring of corporate networks in the interests of enterprise information security. The novelty of the research lies in the development of a more flexible system of control and monitoring of enterprise networks based on existing systems.
1 КІРІСПЕ
Тақырыптың өзектілігі. Жыл сайын құжат айналымы және корпоративтік ақпаратты беру электронды түрде жиі жасалады. Және бұл үшін қазірдің өзінде деректерді берудің көптеген хаттамалары мен әдістері ойлап табылды. Мысал ретінде өте икемді және белгілі бір бизнестің қажеттіліктеріне бейімделуге мүмкіндік беретін 1С платформасының құралдарымен шығарылатын кәсіпорынның электрондық құжат айналымы; POP, IMAP, SMTP сияқты пошта хаттамаларын қолдана отырып, әртүрлі құжаттарды электрондық пошта арқылы беру; FTP протоколы арқылы үлкен көлемде ақпарат беру; веб-технологияларды қолдана отырып, корпоративтік сайтты ұйымдастыру. Тіпті желінің бағдарламалық жасақтамасының немесе аппараттық құралдарының кездейсоқ сәтсіздіктерінің артында жағымсыз салдарға әкелетін өте күрделі мәселелер жасырылуы мүмкін. Желілік сервистер мен қызметтердің жұмыс істеу жылдамдығының едәуір баяулауы - бұл олардың ең жағымсызы.
Әлдеқайда нашары - егер сыни маңызды қызметтер немесе қосымшалар жұмысын толығымен тоқтатса және бұл өте ұзақ уақыт бойы ешкім байқамай қалатыны. Сыни қызметтердің түрлері өте алуан түрлі және мониторингтеудің әртүрлі әдістерін қажет етеді. Веб-серверлер мен дерекқор серверлерінің дұрыс жұмыс істеуі маңызды ішкі корпоративтік қосымшалардың және клиенттер үшін әртүрлі сыртқы қызметтердің жұмысына байланысты болуы мүмкін; маршрутизаторлардың жұмысындағы ақаулар мен бұзушылықтар корпорацияның әртүрлі бөліктері мен оның филиалдары арасындағы байланыстың бұзылуына әкеледі; корпоративтік пошта серверлері, резервтік көшірмелер, баспа серверлері, олардың барлығы әртүрлі бағдарламалық және аппараттық ақаулардан зардап шегуі мүмкін.
Алайда, жабдық пен бағдарламалық жасақтаманың күтпеген жерден істен шығуы көбінесе бір рет болып және оңай түзетіледі. Желінің ішінде немесе сырттан келетін саналы зиянды әрекеттер айтарлықтай елеулі зиян жасайды. Қауіпсіздік жүйесінде олқылық тапқан қаскүнемдер көптеген бұзушы әрекеттерді жүзеге асыра алады. Мысалы, серверді оңай анықтауға және түзетуге болатын немесе жүйені зиянды бағдарламалық жасақтаманың әртүрлі түрлерімен және компанияның құпия деректерінің көп мөлшерін ұрлауға болатын серверді істен шығарып жұқтырады.
Осылайша, зерттеу тақырыбының өзектілігі ақпараттық жүйелердің дамуымен, ақпарат беру жылдамдығы мен әдістерінің артуымен, сондай-ақ корпоративтік желілерге сыртқы және ішкі қауіптер санының артуымен анықталады.
Дипломдық жұмыстың мақсаты - корпоративтік желілерді кешенді бақылау және мониторинг тәсілдерін жүйелеу және отандық кәсіпорындардың ақпараттық қауіпсіздігін арттыру бойынша ұсынымдар әзірлеу болып табылады.
Зерттеу мақсаты өзара байланысты мәселелерді шешу арқылы қол жеткізіледі:
1. Кәсіпорынның корпоративтік желілерін бақылау және мониторингтеу тәжірибесін талдау.
2. Қазақстандағы және шет елдердегі кәсіпорындардың корпоративтік желілерін жан-жақты бақылау және мониторингтеу әдістерін жалпылау.
3. Корпоративтік желілерді кешенді бақылау мен мониторингті жетілдіру жолымен кәсіпорынның ақпараттық қауіпсіздігін арттыру бойынша ұсынымдар әзірлеу.
Зерттеу нысаны. Зерттеу нысаны ретінде корпоративтік желілер таңдалды.
Зерттеу пәні ретінде кәсіпорынның ақпараттық қауіпсіздігі мүддесінде корпоративтік желілерді бақылау және мониторингтеу.
Зерттеудің жаңалығы қолданыстағы жүйелер негізінде кәсіпорын желілерін бақылау мен мониторингілеудің неғұрлым икемді жүйесін әзірлеуге негізделген.
Практикалық маңыздылығы: Тақырыптың өзектілігінде сипатталған барлық дерлік елеулі материалдық шығындарға әкеледі, атап айтқанда: қызметкерлер арасындағы ынтымақтастық схемасы бұзылады, деректердің қайтарымсыз жоғалуы, клиенттердің сенімін жоғалту, құпия ақпаратты жария ету және т. б. Өйткені техниканың істен шығу немесе дұрыс жұмыс істемеу ықтималдығын толығымен жою мүмкін емес болғандықтан, мәселені шешу мен ол туралы ең толық және егжей-тегжейлі ақпарат алу мәселесін ерте кезеңдерде анықтауға әкеледі. Бұл үшін компанияларда желіні бақылау және мониторингтеуде, техникалық мамандарды проблеманы анықтау туралы уақтылы хабардар етуге және терең талдау үшін қол жетімді болатын серверлер, сервистер мен қызметтер жұмысының көптеген басқа параметрлері мен тұрақтылығы туралы деректерді жинақтауға қабілетті әртүрлі бағдарламалық қамтамасыз ету қолданылады.
Мәселенің зерттелу деңгейі. Қазіргі уақытта ақпараттық технологиялар кәсіпорындардың жұмысын жетілдіруге үлкен мүмкіндіктер ұсынады, біртіндеп еңбектің бір бөлігін адамнан машиналарға ауыстырады, осылайша еңбек өнімділігін арттырады және қызметкерлерге шығындарды азайтады. Елді мекеннің, қаланың, елдің аумағы бойынша бытырап орналасқан жаңа кәсіпорындар құрылуда және жұмыс істеп тұрған кәсіпорындар жаңғыртылуда, өйткені қазір байланыс құралдары әлдеқайда қолжетімді және арзан бола бастады. Мұның бәрі кәсіпорында компьютерлендіру және желілік технологияларды пайдалану арқасында мүмкін болды. Бірақ әрбір корпоративті компьютерлік желі өзіне үнемі назар аударуды талап етеді. Тіпті егер жүйе өте жақсы құрылған болса да, серверлер мен клиенттік компьютерлерде ең жақсы бағдарламалық жасақтама орнатылған болса да, жүйелік әкімшінің назарына ғана сенбей корпоративтік желіні бақылау және ықтимал іркілістер туралы хабарлау бойынша автоматтандырылған жүйелерді енгізу қажет.
Диплом жұмысының құрылымы. Диплом жұмысы 3 тілде аңдатпадан, кіріспеден, үш бөлімнен, талдау мен ұсыныстардан, қорытынды, пайдаланылған әдебиеттер тізімінен және қосымшадан тұрады.
2 ӘДЕБИЕТТЕРГЕ ШОЛУ
Корпоративтік желілерді бақылау мен мониторингтеудің басты, сірә, негізгі дереккөзі деп ғаламдық Интернетті санауға болады. Мұнда желіні бақылаудың әртүрлі әдістерін таба аласыз. Корпоративтік қызметтер нарығында көшбасшы болып табылатын көптеген халықаралық және ресейлік компаниялар өздерінің негізгі қызметін интернет арқылы жүзеге асырады. Және бұл өте қарапайым түсіндіріледі, қажетті ақпараттың ең үлкен және жан-жақты көзі ретінде, сондай-ақ, орындаушы-фирмалардың байланыстарын жылдам іздеу, ол компанияны қызықтыратын ақпаратты ең жылдам іздеуді ұсынады және тапсырыс беруші-компаниялар өздерінің ішкі желілерін бақылауды қамтамасыз ету үшін қажетті жабдықты іздеуде жаһандық желіге келеді. Бірақ ақпарат беру желілерін құрудың негізі болып табылатын ақпараттық қауіпсіздік саласындағы халықаралық және ресейлік стандарттар соңғы рөл атқармайды [1].
Бүгінгі таңда онлайн-нарық кәсіпорын желісін бақылау мен мониторингтеудің әртүрлі бағдарламалық құралдарына толы. Олардың барлығы фирма не істейтініне, оның өлшемдері қандай, қызметкерлер саны, компьютерлендіру, филиалдар саны және т.б. байланысты бір немесе басқа дәрежеде бір-бірінен ерекшеленетін, ұқсас мүмкіндіктер жиынтығын ұсынады. Бірақ тек мәселенің бағдарламалық аспектісіне сүйене отырып, толыққанды желіні құру мүмкін емес. Сондай-ақ, барлық кәсіпорынды бір тұтас, үйлесімді жұмыс істейтін жүйеге байланыстыруға мүмкіндік беретін аппараттық құралдарды сатып алу туралы алаңдату қажет, бұл сәтсіздікке және компанияға қандай да бір зиян келтіруі мүмкін жағдайлардың пайда болуына жол бермейді. Алайда, аппараттық және бағдарламалық құралдардың үздіксіз жұмыс істеуін қамтамасыз ету кейде олардың сәйкес келмеуіне байланысты қиын болуы мүмкін, бұл корпоративтік желіні құру процесін біршама қиындатады. Келесі екі тармақта корпоративті желілер және олардың кейбір фирмалардың негізгі сипаттамалары сипатталады, бұл бізге кәсіпорындардың корпоративті желілерін құру принциптерімен танысуға көмектеседі.
Отандық және шетелдік фирмалар ондаған жылдар бойы өздерінің корпоративті желілерін салумен айналысып келеді. Бұл өз кезегінде желіні құру процесін стандарттауға әкелді.
Жобаланған желі көп деңгейлі пирамидаға ұқсас. Бұл қабаттар бір-бірімен байланысты және бір-біріне әсер етеді. Негізінен, әр қабат оқшауланған түрде жасалады, арнайы дайындалған адамдар мен тиісті профиль компаниялары. Барлық фирмаларды шартты түрде үш топқа бөлуге болады [2]:
Аппаратураны өндіруші-фирмалар. Бұл интеграторларда пирамида бір немесе екі өндірушінің бір платформасынан өте тар негізге сүйенеді;
ДҚБЖ-нің біреуіне бағытталған фирмалар, мысалы, тек Oracle. Бұл жағдайда пирамиданың тар нүктесі ортас болып табылады. Қажет болған жағдайда бірнеше аппараттық платформалар мен көптеген қолданбалы бағдарламалық қамтамасыз етуді пайдалану барлығы қолданылатын ДҚБЖ-мен шектеледі;
Тәуелсіз интеграторлар. Олар пирамиданың кез-келген деңгейіне арналған барлық шешімдерді ұсынады. Мұндай фирмалар нақты шешімді пайдалану кезінде берілген ресурстар аясында максималды нәтижеге қол жеткізу мақсатын басшылыққа алады. Мұндай жағдайда кез келген конфигурацияларды икемді күйге келтіру, тапсырыс беруші қолданатын жабдыққа қатысты кез-келген мәселені шешу мүмкіндігі пайда болады.
Қазір әр компанияны жобалау әдістемесі белгілі бір ноу-хау болып табылады. Дегенмен, көпжылдық тәжірибені ескере отырып, желіні құрудың негізгі кезеңдерін төмендегідей тұжырымдауға болады (2.1- сурет):
Бизнес-модельді әзірлеу
Бизнес-модельді әзірлеу
Талаптарды талдау
Талаптарды талдау
Физикалық модель құру
Физикалық модель құру
Техникалық модельді әзірлеу
Техникалық модельді әзірлеу
Жүйені тестілеу
Жүйені тестілеу
Жүйені орнату және баптау
Жүйені орнату және баптау
Жүйені сүйемелдеу және пайдалану
Жүйені сүйемелдеу және пайдалану
Техникалық тапсырманы әзірлеу
Техникалық тапсырманы әзірлеу
Сурет 2.1. Желіні құрудың негізгі кезеңдері
Талаптарды талдау. Мұнда кәсіпорынның негізгі мақсаттары тұжырымдалады, оған жету үшін желі жасалады. Бұл өндірістік циклды қысқарту, еңбек өнімділігін арттыру - кәсіпорын қол жеткізе алмайтын барлық мақсаттар болуы мүмкін.
Бизнес-модельді әзірлеу. Онда кәсіпорында орындалатын барлық жұмыстардың іскери рәсімдері, реттілігі және өзара тәуелділігі сипатталған. Негізгі назар іскери тәжірибеге аударылады.
Техникалық модельді әзірлеу. Техникалық модель бұрын бизнес-модельде анықталған мақсаттарға жету үшін қандай жабдықты пайдалану керектігін сипаттайды. Техникалық модельді жасамас бұрын қолда бар жабдықты түгендеу жүргізіледі, жаңа жүйеге қойылатын талаптар қалыптасады. Осының негізінде жаңа жүйеде қандай жабдықты қолдануға болатындығы туралы қорытындыға келеді. Осыдан кейін қажетті аппараттық құралдардан тұратын толық функционалды жиынтық қалыптасады.
Содан кейін физикалық модель жасалады. Ол нақты өнімдерді, олардың параметрлерін, санын, өзара әрекеттесу тәсілдерін егжей-тегжейлі сипаттайды.
Жүйені орнату және баптау. Бұл кезеңде конфигурацияны басқару, жабдықты орнату және реттеу, сондай-ақ қызметкерлерді оқыту жүзеге асырылады.
Жүйені тестілеу. Жүйенің тестілік сынақтары өткізіледі.
Жүйені сүйемелдеу және пайдалану. Бұл кезең үздіксіз процесс болып табылады.
Жоғарыда аталған кез-келген кезең үшін техникалық тапсырманы жасауға болады. Мәселені белгілеу жұмыстың қай бөлігі сыртқы интеграторға берілетініне және қайсысы өзіне байланысты болады. Кезең интеграторды таңдау кезеңімен және одан кейін онымен келісімшарт жасасумен тығыз байланысты.
Корпоративтік желіні сәтті құру үшін бизнес-модель жасалады, одан кейін желінің техникалық және физикалық модельдері алынады. Корпоративтік желіге қойылатын талаптарды бағалауды бастамас бұрын, кәсіпорынның әр бөлімінде болып жатқан оқиғалардың жалпы көрінісін көру керек. Бұл кәсіпорында не, қалай және қалай жасалатынын сипаттайтын бизнес-модель. Ол іскерлік тәжірибеге және жұмыс дәйектілігіне бағытталған. Біріншіден, бүкіл кәсіпорынның жұмыс реттілігін көрсететін модель, содан кейін әр бөлімдегі жұмыс реттілігінің моделі жасалады. Жұмысты орындау процесі, оларды кім жүргізеді және жұмыс бөлімдері мен топтар арасындағы байланыс қандай екені көрсетіледі [3].
Бизнес-модельді әзірлеу үшін бөлім басшыларынан, мамандардан және автоматтандыру бөлімінің қызметкерлерінен тұратын топ жиналады.
Бөлімшелер басшылары мен пайдаланушыларға сауалнама жүргізіледі. Бұл корпоративті желіден не күтетіні және не қажет екендігі туралы ақпарат алуға мүмкіндік береді. Бұл тізім желіні орналастыру қадамдарын анықтауға көмектеседі. Компания басшысымен корпоративті желі олардың жұмысын қалай түбегейлі өзгерте және жақсарта алатындығы туралы әңгіме болғаннан кейін орындалады. Бұл көп уақытты қажет етеді, өйткені мамандар көбінесе менеджерлер әрдайым түсінбейтін көптеген сөздер мен ұғымдар мен техникалық терминдерді қолданады. Оларға осы немесе басқа жабдықты пайдаланудың артықшылықтары мен кемшіліктерін айтудың қажеті жоқ. Олар мұның бәрі компанияның жұмысын жақсартуға қалай көмектесетініне қызығушылық танытады.
Кәсіпорынның бизнес-моделін құру, мүмкін, ең қиын міндеттердің бірі. Мұның себебі - өндірістік мәселелерді түсінетін және компания директорларының техникалық аспектілерін түсінбейтін техникалық мамандардың жетіспеушілігі. Жалпы стратегия - бұл корпоративті желіні енгізудің пайдасын көре алатын менеджерді немесе менеджерді табу.
Корпоративтік желіні құрудың негізгі мақсаты - өндірістік қажеттіліктерді қанағаттандыру. Қарапайым пайдаланушылар онымен күнделікті жұмыс істейді, сондықтан олар үшін желімен жұмыс ыңғайлы және оңай болуы керек. Өкінішке орай, дизайнды жоспарлау, корпоративті желіні орнату кезінде қарапайым пайдаланушылар жиі ұмытылады. Оны орнатқаннан кейін пайдаланушылар жұмыстың күрделенуіне байланысты наразылықтарын білдіріп, ашуланады. Сондықтан кем дегенде бір соңғы пайдаланушы жиі тағайындалады. Ол пайдаланушылардың автоматтандыру бөлімімен олардың мүдделерін біреу білдіретініне жеке сенімділік үшін байланыс орнатуға жауап береді. Бұл адам мезгіл-мезгіл басқа пайдаланушылармен кездесулер өткізіп, оларды даму барысы туралы хабардар етеді және тұрақты кері байланыс функцияларын орындайды [4].
Сондай-ақ, кәсіпорында болашақта желімен жұмыс істеуге мүмкіндік беретін қызметкерлердің екі тобы бар екендігі ескеріледі. Олар желінің жұмыс қабілеттілігін қолдаумен және басқарумен айналысатын автоматтандыру бөлімінің қызметкерлері және оны құрал ретінде пайдаланатын соңғы пайдаланушылар болып табылады. Осы топтардың әрқайсысының мақсаттары мен қажеттіліктері көбінесе керісінше орындалады. Мысалы, соңғы пайдаланушылар желінің қызметтері мен функцияларын кеңейтуге көбірек қызығушылық танытады, ал автоматтандыру бөлімінің қызметкерлері өз кезегінде желінің жұмыс істеуі мен жұмысының қарапайымдылығына көбірек көңіл бөледі. Сондықтан пайдаланушылардың екі тобы өздерінің қарым-қатынастарын жақсарту, сондай-ақ желіні жақсарту үшін оқытылады.
Кәсіпорынның бизнес-моделін жасап, өзгертуді немесе жақсартуды қажет ететін процедураларды анықтағаннан кейін олар техникалық модель құруға кіріседі. Ол бизнес-модельде белгіленген мақсаттарға жету үшін қандай компьютерлік жабдықты пайдалану керектігін сипаттайды. Техникалық модельді құру кезінде қолданыстағы жабдыққа талдау жасалады, жүйелік талаптар анықталады, жабдықтың жағдайы бағаланады. Алайда, көптеген кәсіпорындар корпоративті желіні нөлден құруға мүмкіндік бере алмайды. Көптеген компаниялар қолданыстағы жабдықтардың негізінде желілер салады. Бұл жағдайда әр бөлім қолданыстағы компьютерлік жабдықты түгендейді және қайсысы қолданылатынын анықтайды. Жабдықты тексеруден кейін бағдарламалық жасақтамаға ұқсас операция жасалады.
Түгендеу (Инвентаризация) - бұл ең қызықты рәсім емес, бірақ корпоративті желіні құру кезінде өте маңызды. Түгендеу процесін жеңілдету үшін келесі параметрлерді анықтай алатын мамандандырылған бағдарламалар қолданылады:
CPU түрі;
қол жетімді жад;
диск түрі және дискідегі бос орын;
қол жетімді қосымша контроллерлер (Желілік адаптерлер, факс модемдері).
Зерттеу бағдарламалары осындай ақпараттың дерекқорын қалыптастырады. Болашақта бұл дерекқорды анықтама үшін немесе ақаулықтарды жою үшін пайдалануға болады [5].
Қолда бар жүйені түгендегеннен кейін жаңасына қойылатын талаптар анықталады. Жүйелік талаптарды анықтау үшін келесі сұрақтарға жауаптар ізделеді: жаңа жүйеде қолданыстағы аппараттық және бағдарламалық жасақтамадан не қолданылады? Нені және қалай қосу керек? Әзірленген корпоративтік желіде қандай жүйелерді қалдыру керек? Бұл жүйелерді желіге қосу қажет пе? Өндірістік мақсаттарға жету үшін қандай жабдықтар мен қосымшаларды қосу керек? Желіде қандай ақпарат таратылады? Желілік реакцияның қай уақыты оңтайлы? Кәсіпорынның жұмысы үшін желі қанша уақыт қажет? Ақаулықтарды жоюдың орташа уақыты қандай болуы керек, жүйенің жоспарланған өсуі қандай және т.б.
Жүйелік талаптарды анықтағаннан кейін олар корпоративті желінің техникалық моделін сипаттай бастайды. Мұнда олар өндірістік қажеттіліктер техникалық тұрғыдан қалай қанағаттандырылатындығын анықтайды. Әрі қарай, қандай техникалық құралдар өндіріс қажеттіліктерін қанағаттандыратыны бағаланады. Мысалы, желіде көпірлер мен маршрутизаторларды пайдалану керек пе? Қолданыстағы топологиялардың қайсысы қолданылады? Осындай шешімдерді қабылдау үшін әртүрлі технологиялар мен техникалық құралдардың сипаттамаларын талдау, желі арқылы берілетін деректердің қарқындылығы мен түрлері маңызды рөл атқарады. Осыдан кейін олар жақын арада қол жетімді болатын технологиялар мен техникалық құралдарды, сондай-ақ олардың ұзақ мерзімді перспективаларын анықтау мақсатында зерттеулер жүргізеді.
Желі үшін техникалық модель таңдалғаннан кейін оның өндірістік талаптарға қаншалықты сәйкес келетіні анықталады. Бизнес-модельге оралып, оның талаптарын техникалық шешімдермен байланыстыру қажет.
Әрі қарай физикалық модель жасалады. Физикалық модель техникалық модельдің ерекшелігін көрсетеді. Физикалық модель - бұл желінің егжей-тегжейлі сипаттамасы, ал техникалық модель оны сипаттау үшін жалпы терминдерді қолданады.
Бұл кезең қолданыстағы өнімдермен мұқият танысуды қажет етеді. Қолайлы өнімдердің функциялары мен қасиеттерін бағалау, дамыған жүйенің талаптарын барынша қанағаттандыру үшін анықтау қажет. Қол жетімді өнімдерді анықтағаннан кейін, олардың сипаттамалары өндіруші белгілеген сипаттамаларға қаншалықты сәйкес келетінін іс жүзінде бағалау үшін оларды сатып алу жүзеге асырылады.
Физикалық модельдеу кезеңінде қандай компоненттер қажет екендігі, олардың саны, орналасуы және осы компоненттерді бір-бірімен корпоративті желіге қосу әдістері туралы егжей-тегжейлі сипаттама жасалады. Кезеңнің соңында Техникалық тапсырма жасалады [6].
Техникалық тапсырма талаптарды талдау кезеңінде жиналған ақпаратқа негізделген. Техникалық тапсырма орындаушыға кәсіпорында қандай өндірістік проблемалар мен компьютерлік желі проблемалары бар екенін; оларды қалай шешу керектігін; компаниялар қандай мәселелерді өзі шеше алатындығын және үшінші тарап компанияларының араласуын қажет ететінін хабарлайды. Бұл техникалық тапсырма бірнеше желілік интеграторларға таратылады және Компанияның корпоративтік желісін қалай жобалау керектігі туралы олардың пікірі анықталады. Техникалық тапсырманы қамту тереңдігі мен кеңдігі жобаланған корпоративті желінің күрделілігіне және тапсырыс берушінің тәжірибесіне байланысты. Техникалық тапсырма 5, 50 және одан да көп беттерден тұруы мүмкін.
Техникалық тапсырманы өзіңіз немесе кеңесшінің қатысуымен дайындауға болады. Егер компания кеңесшіні тартса, онда тапсырманың мүмкіндігінше дұрыс және дәл құрастырылу ықтималдығы едәуір артады. Консультант дайындаған техникалық тапсырма желі жобасының толық сипаттамасынан, сатып алынатын жабдықтардың тізімінен тұрады.
Осылайша, тарауды қорытындылай келе, бүгінгі таңда жеке желіні құру кезінде фирмалар өз күштерін пайдаланады және үшінші тарап кеңесшілерін немесе интеграторларды тартады; корпоративті желіні құру, барлық тұрғыдан алғанда, іске асыру үшін көп уақыт пен қаржылық шығындарды қажет ететін өте күрделі процесс.
3 КӘСІПОРЫННЫҢ ЖЕРГІЛІКТІ ЖЕЛІСІНДЕ АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІ ЖОБАЛАУ
3.1 Желіаралық экран - кәсіпорын желісінің қауіпсіздігін кешенді бақылау іске асыру құралы
Ақпараттық жүйенің кешенді қауіпсіздігін қамтамасыз ету сияқты маңызды міндетте толық дайын шешімдер жоқ. Әр ұйымның құрылымы, оның ішіндегі функционалды байланыстар іс жүзінде ешқашан қайталанбайды. Тек компания басшылығы ақпараттық жүйенің компоненттері үшін қауіпсіздіктің бұзылуы қаншалықты маңызды болатынын, ақпараттық қызметтерді кім, қашан және не үшін қолдана алатындығын анықтай алады. Сенімді ақпараттық жүйені құрудағы негізгі кезең қауіпсіздік саясатын әзірлеу болып табылады [7].
Қауіпсіздік саясаты деп ақпарат пен ресурстарды бақылауға, қорғауға бағытталған құжатталған басқару шешімдерінің жиынтығын түсіну керек.
Практикалық тұрғыдан алғанда, қауіпсіздік саясатын үш деңгейге бөлуге болады:
1) ұйымды толығымен қамтитын шешімдер. Олар жалпы сипатқа ие және ұйым басшылығынан келеді.
2) фирма пайдаланатын әртүрлі жүйелердің ақпараттық қауіпсіздігінің жеке аспектілеріне қатысты мәселелер.
3) ақпараттық жүйенің нақты сервистері.
Үшінші деңгей екі аспекті - қауіпсіздік саясаты және оларға қол жеткізу ережелерінен тұрады. Жоғарғы екі деңгейден айырмашылығы, үшіншісі әлдеқайда егжей-тегжейлі болуы керек. Жеке қызметтердің көптеген әртүрлі қасиеттері бар, оларды бүкіл ұйым аясында реттеу мүмкін емес. Сонымен қатар, бұл қасиеттер қауіпсіздік режимін қамтамасыз ету үшін өте маңызды, сондықтан оларға қатысты шешімдер басқару деңгейінде қабылданады.
Қауіпсіздік саясатын нақтырақ қарастыру үшін осы саясатты жүргізу құралы - желіаралық экранның негізгі функционалдық қасиеттері мен мәнін анықтау қажет.
Белгілі бір кәсіпорынның ақпараттық жүйесінің құрылымын қарастырамыз. Жалпы жағдайда, бұл әр түрлі операциялық жүйелері бар әртүрлі компьютерлерден, компьютерлердің өзара әрекеттесуін қамтамасыз ететін желілік жабдықтардан тұратын гетерогенді кешен. Сипатталған жүйенің (тіпті бір типтегі және ОЖ-нің бір нұсқасы бар компьютерлер өз мақсатына байланысты мүлдем басқа конфигурацияларға ие бола алады) гетерогенділігіне байланысты, әр элементті жеке-жеке қорғаудың мағынасы жоқ. Осыған байланысты жалпы жергілікті желі үшін ақпараттық қауіпсіздікті қамтамасыз ету мәселелері қаралатын болады. Бұл желіаралық экран - firewall көмегімен мүмкін болады.
Желіаралық экрандау тұжырымдамасын келесідей тұжырымдауға болады. Ақпараттық жүйелердің екі жиынтығы бар болсын. Экран - бұл клиенттердің бір жиынтықтан басқа жиынтық серверлерге қол жетімділікті бөлу құралы. Экран жүйенің екі жиынтығы арасындағы барлық ақпараттық ағындарды бақылайды (3.1- сурет.) [8].
Сурет 3.1. Экранға кіру бөлу құралы
Ең қарапайым жағдайда firewall екі механизмнен тұрады. Олардың біріншісі деректердің қозғалысын шектейді, ал екіншісі оған ықпал етеді. Жалпы алғанда, firewall сүзгілер тізбегі түрінде ұсынылады. Олардың әрқайсысы деректерді жіберіп алмауы немесе бірден жібермеуі мүмкін. Сонымен қатар, деректердің кейбір бөлігін талдауды жалғастыру немесе адресаттың атынан өңдеу және нәтижені жіберушіге кейіннен қайтару үшін келесі сүзгіге жіберуге болады (3.2- сурет).
Сурет 3.2. Экран - сүзгі тізбегі
Қол жеткізуді ажырату функцияларынан басқа, firewall ақпараттық алмасуларды хаттамалау процесін жүзеге асырады.
Әдетте firewall симметриялы емес. Ол үшін ұғымдар анықталған: ішінде және сыртта. Экрандаудың негізгі міндеті желінің ішкі аймағын ықтимал қауіпті - сыртқы аймақтан қорғау ретінде тұжырымдалуы мүмкін. Сонымен, желіаралық экрандар Internet сияқты ашық желіге шығатын жергілікті желілерде, оларды қорғауға арналған кәсіпорындарда орнатылады. Экранның тағы бір мысалы - портты қорғау құрылғысы. Ол барлық басқа жүйелік қорғаныс құралдарына дейін және одан компьютердің байланыс портына кіруді бақылайды. Экрандау жүктемені тегістеу немесе толығымен жою, сыртқы белсенділіктен туындаған ішкі сала сервистерінің қолжетімділігін қамтамасыз етеді. Онда қорғаныс тетіктері әсіресе қатаң және мұқият конфигурацияланған, осылайша, ішкі қауіпсіздік қызметтерінің осалдығын төмендетеді, бастапқыда үшінші тараптың шабуылдаушысы экранды айналып өтуі керек.
Осының бәріне қосымша, экрандау жүйесі әмбебап жүйеге қарағанда қарапайым және қауіпсіз түрде орнатылуы мүмкін.
Экрандау құпиялылық режимін сақтауға ықпал ететін сыртқы аймаққа бағытталған ақпараттық ағындарды бақылауға мүмкіндік береді. Көбінесе экран OSI жеті деңгейлі эталондық моделінің үшінші (желілік), төртінші (көліктік) немесе жетінші (қолданбалы) деңгейлерінде желілік қызмет ретінде жүзеге асырылады. Бірінші жағдайда экрандаушы маршрутизатор, екінші жағдайда - экрандаушы көлік, үшінші жағдайда - экрандаушы шлюз бар. Әр тәсілдің өзіндік артықшылықтары мен кемшіліктері бар; гибридті экрандар да белгілі, онда аталған тәсілдердің ең жақсы қасиеттерін біріктіруге тырысады.
Экрандаушы маршрутизатор жеке деректер пакеттерімен айналысады, сондықтан оны кейде пакеттік сүзгі деп атайды. Деректерді өткізіп жіберу немесе кешіктіру туралы шешімдер алдын-ала белгіленген ережелер жүйесін қолдану арқылы желілік және көлік деңгейлерінің тақырып өрістерін талдау негізінде әр пакет үшін жеке қабылданады. Талданған ақпараттың тағы бір маңызды құрамдас бөлігі - пакет арқылы маршрутизаторға кіретін порт.
Қазіргі заманғы маршрутизаторлар (мысалы, Cisco компаниясының өнімдері) әр портқа бірнеше ондаған ережелерді байланыстыруға және пакеттерді кіре берісте де, шығу кезінде де сүзуге мүмкіндік береді. Пакеттік сүзгі ретінде бірнеше желілік карталармен жабдықталған әмбебап компьютерді пайдалануға болады. Экрандаушы маршрутизаторлардың негізгі артықшылықтары - олардың арзандығы (желілердің шекарасында маршрутизатор практикалық түрде әрдайым қажет, бұл тек оның экрандау мүмкіндіктерін іске қосуында) және OSI моделінің жоғары деңгейлері үшін мөлдірлігі. Негізгі кемшілік - олардың талданатын ақпараттың шектеулі болуы және нәтижесінде берілген қорғаныстың салыстырмалы әлсіздігі.
Экрандау көлігі виртуалды қосылыстарды құру процесін және олар арқылы ақпарат беруді бақылауға мүмкіндік береді. Іске асыру тұрғысынан экрандау көлігі өте қарапайым, сондықтан сенімді бағдарлама. Экрандау көлігінің мысалы - TCP wrapper өнімі. [9]
Пакеттік сүзгілермен салыстырғанда, экрандау көлігінде көбірек ақпарат бар. Бұл оған виртуалды қосылыстарды нәзік басқаруға көмектеседі. Мысалы, ол берілетін ақпараттың мөлшерін бақылау, белгілі бір шектен асып кеткеннен кейін қосылыстың үзілуі, ақпараттың рұқсатсыз экспортына кедергі жасау мүмкіндігіне ие. Негізгі кемшілік - қолдану аймағының тарылуы, өйткені деректер протоколдары бақылаудан тыс қалады, онда ақпарат блогы протоколға қосылуды алдын-ала орнатпай және виртуалды арна жасамай жіберіледі. Әдетте экрандау көлігі маңызды қосымша элемент ретінде басқа тәсілдермен бірге қолданылады. Қолданбалы деңгейде жұмыс істейтін экрандау шлюзі ең сенімді қорғауды қамтамасыз ете алады. Әдетте, экрандау шлюзі - бұл әмбебап компьютер, онда қызмет көрсетілетін әрбір қолданбалы протокол үшін бағдарламалық агенттер жұмыс істейді. Сыртқы желі субъектілері тек шлюз компьютерін көреді. Оларға тек шлюз экспорттауды қажет деп санайтын ішкі желі туралы ақпарат қол жетімді. Шлюз іс жүзінде ішкі желіні сыртқы әлемнен қорғайды. Сонымен қатар, ішкі желі субъектілері сыртқы әлемнің объектілерімен тікелей байланысады деп санайды. Экрандайтын шлюздердің кемшілігі оларда толық ашықтықтың болмауы деп санауға болады, сондықтан әрбір қолданбалы хаттаманы қолдау үшін арнайы іс-қимылдар жүргізу талап етіледі.
Пакеттік сүзгілермен салыстырғанда, экрандау көлігінде көбірек ақпараттар бар. Бұл оған виртуалды қосылыстарды нәзік басқаруға көмектеседі. Мысалы, ол берілетін ақпараттың мөлшерін бақылау, белгілі бір шектен асып кеткеннен кейін қосылыстың үзілуі, ақпараттың рұқсатсыз экспортына кедергі жасау мүмкіндігіне ие. Негізгі кемшілік - қолдану аймағының тарылуы, өйткені деректер протоколдары бақылаудан тыс қалады, онда ақпарат блогы протоколға қосылуды алдын-ала орнатпай және виртуалды арна жасамай жіберіледі. Әдетте экрандау көлігі маңызды қосымша элемент ретінде басқа тәсілдермен бірге қолданылады. Қолданбалы деңгейде жұмыс істейтін экрандау шлюзі ең сенімді қорғауды қамтамасыз ете алады. Әдетте, экрандау шлюзі-бұл әмбебап компьютер, онда бағдарламалық агенттер жұмыс істейді - қызмет көрсетілетін әрбір қолданбалы протокол үшін бір. Сыртқы желі субъектілері тек шлюз компьютерін көреді. Оларға тек шлюз экспорттауды қажет деп санайтын ішкі желі туралы ақпарат қол жетімді. Шлюз іс жүзінде ішкі желіні сыртқы әлемнен қорғайды. Сонымен қатар, ішкі желі субъектілері сыртқы әлемнің объектілерімен тікелей байланысады деп санайды. Экрандайтын шлюздердің кемшілігі оларда толық ашықтықтың болмауы деп санауға болады, соның салдарынан әрбір қолданбалы хаттаманы қолдау үшін арнайы іс-қимылдар жүргізу талап етіледі.
Экрандау шлюздерін құруға арналған құралдардың мысалы ретінде Trusted Information Systems компаниясынан TIS Firewall Toolkit деп санауға болады.
Гибридті жүйелерде Sun Microsystems компаниясынан мынадай Firewall-1 сияқты экрандау жүйелерінің ең жақсы қасиеттерін біріктіруге болады. Нәтижесінде, қосымшалар үшін ашықтықты және үстеме шығындарды ақылға қонымды шектерде сақтай отырып, сенімді қорғауды алу сәнге айналады. Сонымен қатар, дейтаграммалық хаттамалар аясында ақпарат беруді қадағалау сияқты өте құнды жаңа мүмкіндіктер пайда болады.
Экрандаудың маңызды тұжырымдамасы - тәуекел аймағы. Ол экранды немесе оның құрамдас бөліктерін жеңгеннен кейін шабуылдаушыға қол жетімді болатын көптеген жүйелер ретінде анықталады. Көбінесе экран элементтердің жиынтығы болып табылады, нәтижесінде сенімділік жоғарылайды. Бұл жағдайда олардың біреуін "бұзу" бүкіл ішкі желіге қол жеткізуге әкеледі. 3.3-суретте көпкомпонентті экранның [10] мүмкін конфигурациясының мысалы келтірілген.
Сурет 3.3. Көпкомпонентті экран
Енді желіаралық экрандауды жүзеге асыратын нақты жүйенің талаптарын қарастырамыз. Экрандау жүйесі тиіс [11]:
Қорғалатын желінің қауіпсіздігін қамтамасыз ету, сыртқы қосылымдар мен байланыс сеанстарын толық бақылау;
Ұйымның қауіпсіздік саясатын толық және қарапайым іске асыру үшін қуатты және икемді басқару құралдарына ие болу. Сонымен қатар, экрандау жүйесі желінің құрылымы өзгерген кезде жүйенің қарапайым қайта конфигурациясын қамтамасыз етуі керек;
Жергілікті желі пайдаланушылары үшін білінбей жұмыс істеу және олардың заңды әрекеттерді орындауын қиындатпау;
Тиімді жұмыс істеу және "шың" режимдерде барлық кіріс және шығыс трафикті өңдеуге үлгеру. Бұл firewall-ды оның көптеген қоңыраулармен "тастау" үшін қажет;
Кез-келген рұқсат етілмеген әсерлерден өзін-өзі қорғау қасиеттеріне ие болыңыз, өйткені желіаралық экран компанияның құпия ақпаратының кілті деп санауға болады;
Экрандарды басқару жүйесі бірыңғай орталықтандырылған қауіпсіздік саясатын жүргізуге ықпал етуі керек. Бұл компанияның бірнеше сыртқы байланыстары, соның ішінде қашықтағы филиалдары болған жағдайда маңызды;
Сыртқы қосылымдар арқылы пайдаланушылардың кіруін авторизациялау құралдары болуы тиіс. Мысалы, іссапарда, жұмыс барысында олар ұйымның ішкі компьютерлік желісінің кейбір ресурстарына қол жеткізуді қажет етеді. Жүйе мұндай пайдаланушыларды сенімді түрде танып, оларға қажетті қол жетімділік түрлерін ұсынуы керек.
Экрандау ақпараттық жүйеде қызметтердің қол жетімділігін сақтауға, сыртқы белсенділікпен басталған жүктемені азайтуға немесе тіпті жоюға мүмкіндік береді. Бастапқыда зиянкес қорғаныс тетіктері аса мұқият және қатаң конфигурацияланған экранды еңсеруі қажет болғандықтан, ішкі қауіпсіздік сервистерінің осалдығы да азаяды. Сонымен қатар, экрандау жүйесі әмбебап жүйеден айырмашылығы қарапайым сенімді түрде ұйымдастырылуы мүмкін. Экрандау құпиялылық режимін қамтамасыз ете отырып, сыртқы аймаққа бағытталған ақпараттық ағындарды бақылауға мүмкіндік береді.
Осылайша, экрандау басқа қауіпсіздік шараларымен бірге көп деңгейлі қорғаныс идеясын қолданады. Осының арқасында ішкі желі бірнеше түрлі ұйымдастырылған қорғаныс сызықтарынан өткен жағдайда ғана қауіпке ұшырайды.
Желіаралық экрандау құралының болуы оны коммутацияланған байланыс арналары арқылы ұйымның ақпараттық ресурстарына қол жетімділікті бақылау үшін пайдалануға мүмкіндік береді. Ол үшін келесі бөлімде қарастырылған бағдарламалық және аппараттық конфигурация болып табылатын терминал сервері қолданылады.
3.2 Ұсынылған шешімнің ерекшеліктері. Қауіпсіздік саясатының ережелерін әзірлеу және түзету
Ішкі желісімен экрандалған желіаралық экран конфигурациясы ең сенімді болып табылады, кем дегенде үш қорғаныс деңгейінің болуы себебімен:
Сыртқы экрандау маршрутизаторы;
Экрандау шлюзі;
Ішкі экрандау маршрутизаторы.
Осы жүйелердің әрқайсысының әлсіз жақтары әртүрлі. Экрандалған ішкі желі коммутацияланған байланыс арналарын қауіпсіздіктің жалпы тізбегіне қарапайым қосуға мүмкіндік береді. Сыни жағдайда ұсынылатын шешім экрандау шлюзінің жұмысының тиімділігі, оның экран арқылы өтетін ақпаратты тиімді қайта өңдеу мүмкіндігі маңызды болады. Бұл факт экрандалған компьютерге-шлюзге аз жоғалуы бар жүйелік өнімділіктің бағдарламалық жасақтаманы орнатуды қажет етеді, ол өзі кіріктірілген ОЖ құралдарымен, мысалы, Solaris ОЖ басқаратын SUN фирмасының компьютері Firewall-1 [12] желіаралық экрандау бағдарламасымен сенімді қорғалған.
Қашықтағы пайдаланушыларды аутентификациялаудың ең көп таралған құралдарының бірі-Bellcore компаниясының Skey бағдарламасы. Бұл бағдарлама бір реттік парольдермен алмасу құралы болып табылады, бұл ақпаратты біреу ұстап қалса да, жүйеге рұқсатсыз кіруге мүмкіндік бермейді. Skey бағдарламасы Firewall-1 жүйесінің аутентификация құралдарымен үйлесімді.
Желіаралық экрандарды конфигурациялау кезінде негізгі құрылымдық шешімдер ұйымда алдын-ала қабылданған қауіпсіздік саясатымен анықталады. Бұл жағдайда қауіпсіздік саясатының екі аспектісі қарастырылады: желілік қызметтерге қол жеткізу саясаты және желіаралық экрандар саясаты.
Желілік қызметтерге қол жеткізу саясатын қалыптастыру кезінде пайдаланушылардың ұйымда қолданылатын қызметтерге қол жеткізу ережелерін қалыптастыру қажет. Бұл аспект екі компоненттен тұрады.
Пайдаланушыларға арналған ережелер базасы қашан, қай қолданушы немесе олардың тобы, қандай қызмет, оны қай компьютерде қолдана алатындығын сипаттайды. Пайдаланушылардың ұйымның жергілікті желісінен тыс жұмыс істеу шарттары және оларды сәйкестендіру шарттары жеке айқындалады.
Қызметтерге арналған ережелер базасы әр қызмет үшін сервер клиенттерінің рұқсат етілген мекен-жайларын және желілік экран арқылы өтетін қызметтер жиынтығын сипаттайды.
Желіаралық экранның жұмысын реттейтін саясатта шешімдер қауіпсіздік пайдасына, бірақ пайдалану жеңілдігіне және керісінше қабылдануы мүмкін. Екі негізгі түрі бар:
Рұқсат етілмегендердің барлығына тыйым салынады.
Тыйым салынбағанның бәрі рұқсат етілген.
Бірінші жағдайда, брандмауэр бәрін бұғаттайтындай етіп конфигурацияланады және оның жұмысы қауіп пен тәуекелді мұқият талдау негізінде реттеледі. Мұның бәрі экранды жұмыстағы кедергі деп санайтын пайдаланушыларға тікелей әсер етеді. Бұл жағдай бізді экрандау жүйелерінің жұмысына қойылатын жоғары талаптарды басшылыққа алуға мәжбүр етеді және пайдаланушылар тұрғысынан брандмауэр жұмысының "ашықтығы" сияқты қасиеттің өзектілігін арттырады. Бірінші тәсіл қауіпсіз болып табылады. Әкімші қандай қызметтер мен порттардың қауіпсіз екенін, бағдарламалық жасақтама жасаушының ядросында немесе қосымшасында қандай "тесіктер" бар екенін білмейді деп болжанады. Көптеген бағдарламалық жасақтама өндірушілері ақпараттық қауіпсіздік мәселесінде маңызды болып табылатын анықталған кемшіліктерді жариялауға құлықсыз болғандықтан, бұл тәсіл консервативті болып табылады. Оның мәні бойынша, ол білмеу зиян келтіруі мүмкін екенін мойындау болып табылады.
Екінші жағдайда, жүйелік әкімші жауап беру режимінде жұмыс істейді. Ол қауіпсіздікке теріс әсер ететін пайдаланушылардың немесе құқық бұзушылардың қандай әрекеттерді жасай алатындығын болжауға тырысады және мұндай әрекеттерге қарсы қорғаныс дайындайды. Бұл firewall әкімшісін шексіз "қару жарыстарында" [13] қолданушыларға қарсы орнатады, олар өте таусылып қалуы мүмкін. Пайдаланушы қауіпсіздікті қамтамасыз етуге бағытталған шаралардың қажеттілігіне сенімді болмаса, ақпараттық жүйенің қауіпсіздігін бұзуы мүмкін.
3.3 Ақпаратты қорғауды бақылаудың корпоративтік жүйесін құру әдістемесі
Жұмыс істейтін басқару құжаттарының ұсынымдық және нормативтік-құқықтық базасын әзірлеу қарқыны қазіргі заманғы ақпараттық технологиялардың даму қарқынынан едәуір артта қалып отыр. Сондықтан компанияның ақпараттық активтерінің қорғалу деңгейін бағалау мәселесін шешу міндетті түрде қорғалу өлшемдері мен көрсеткіштерін, сондай-ақ ақпаратты қорғаудың корпоративтік жүйесінің тиімділігін таңдау проблемасымен байланысты.
Тәуекелдерді басқарудың, ақпаратты қорғаудың корпоративтік жүйелерін жобалаудың және сүйемелдеудің заманауи әдістері компанияның перспективалық стратегиялық дамуының бірқатар мәселелерін шешуге мүмкіндік беруі керек.
Біріншіден, ақпаратты қорғауды қамтамасыз етудің құқықтық, технологиялық, техникалық, ұйымдастырушылық және басқарушылық деңгейлерінде тәуекелдерді анықтауды талап ететін компанияның ақпараттық қауіпсіздігінің ағымдағы деңгейін сандық бағалау. [14]
Екіншіден, компанияның ақпараттық активтерінің қорғалуының қолайлы деңгейіне қол жеткізу үшін ақпаратты қорғаудың корпоративтік жүйесін жетілдірудің кешенді жоспарын іске асыру және әзірлеу. Ол үшін сізге қажет:
тәуекелдерді талдау технологиялары негізінде қауіпсіздікті қамтамасыз етуге қаржылық салымдарды негіздеу және есептеу, қауіпсіздікті қамтамасыз етуге арналған шығыстарды ықтимал залалмен және оның туындау ықтималдығымен салыстыру;
осал ресурстарға шабуыл жасағанға дейін ең қауіпті осалдықтарды анықтау және бірінші кезекте оқшаулауды жүргізу;
компанияның ақпараттық қауіпсіздігін қамтамасыз ету бойынша бөлімшелер мен тұлғалардың өзара іс-қимылы кезінде функционалдық қатынастар мен жауапкершілік аймақтарын айқындау, ұйымдастырушылық-өкімдік құжаттаманың қажетті пакетін жасау;
ақпараттық технологиялардың қазіргі заманғы деңгейі мен даму үрдістерін ескеретін қажетті қорғау кешендерін енгізу жобасын әзірлеу және ұйымның қызметтерімен, қадағалау органдарымен келісу;
енгізілген қорғау кешенін ұйым жұмысының өзгеретін жағдайларына, ұйымдастырушылық-өкімдік құжаттаманы тұрақты пысықтауға, технологиялық процестерді түрлендіруге және техникалық қорғау құралдарын жаңғыртуға сәйкес қолдауды қамтамасыз ету.
Ақпараттық қауіпсіздік жоспарын практикалық іске асыруды қолдайтын жұмыстар, атап айтқанда:
корпоративтік желіге жүргізілген кешенді талдамалық зерттеу нәтижелері бойынша фирмада орнатылған АЖ қорғау құралдарын жаңғыртудың техникалық жобасын әзірлеу;
компанияны аттестаттауға дайындау (тапсырыс берушінің ақпараттандыру объектілерін мемтехкомиссияның басшылық құжаттарының талаптарына сәйкестігіне, сондай-ақ ISO 15408, ISO 17799 халықаралық стандарттарының, компанияның ақпараттық қауіпсіздік талаптарын қамтамасыз ету кезінде ISO 9001 стандартының қауіпсіздік талаптарына сәйкестігіне аттестаттау);
қауіпсіздік саясатының бір бөлігі ретінде таратылуы шектелген мәліметтердің кеңейтілген тізбесін әзірлеу;
ұйымдық-басқарушылық және құқықтық деңгейдегі компанияның ақ корпоративтік саясатының ұсынымдарына сәйкес ұйымдастырушылық-өкімдік құжаттама пакетін әзірлеу;
ұйымдық-басқарушылық және құқықтық деңгейдегі компанияның АҚ корпоративтік саясатының ұсынымдарына сәйкес үлгілік ұйымдастырушылық-өкімдік құжаттама жиынтығын жеткізу.
Мамандардың біліктілігі компанияның ақпараттық қауіпсіздігін қамтамасыз етуде маңызды рөл атқарады. Кадрлардың біліктілігін арттыру және оларды қайта даярлау мақсатында ақпаратты қорғау технологиясын, ақпаратты қорғау құралдарын қолдану жөнінде тұрақты түрде тренингтер өткізу, қызметкерлерді экономикалық қауіпсіздік негіздеріне оқыту қажет.
Компанияның ақпараттық қауіпсіздігінің жай-күйін жыл сайын қайта бағалау соңғы орын емес.
"Ақпарат, ақпараттандыру және ақпаратты қорғау туралы" ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz