утизаторі gw-tyumen - 01 згідно зі змінами.
) Переписування IP-адрес серверів згідно нової адресації.
) Переклад портів з серверами в vlan120 і перевірка зв'язку
Четвертим етапом вироблялося впровадження системи сертифікатів з метою обмеження доступу до локальної мережі (до підключення допускаються тільки корпоративні комп'ютери і ноутбуки з встановленими сертифікатами, підписаними кореневим сертифікатом Компанії):
) Установка і налаштування Сервера Сертифікатів.
) Установка і налаштування RADIUS-Сервера.
) Генерація кореневого сертифікату компанії і генерація на його базі сертифікатів користувачів.
) Установка сертифікатів на Робочі місця користувачів.
П'ятим етапом, було впровадження організаційні заходи щодо захисту інформації - Складання регламенту інформаційної безпеки; складання інструкції з пральний захисту; складання інструкції з антивірусного захисту; з метою визначення принципів та механізмів функціонування системи захисту інформації.
Проблеми і складнощі, з якими зіткнулися, в ході впровадження системи захисту конфіденційної інформації:
· При поділі мережі на підмережі основною проблемою була складність складання коректного access-list, після застосування якого, було б дозволено те, що потрібно для роботи. Так, наприклад, деякі користувальницькі комп'ютери зверталися безпосередньо до SQL-сервера, що заборонено політикою безпеки і вимагало або перенастроювання робочої станції, які коригування access-list. Також можна відзначити робочі станції сторонніх працівників (кредитних інспекторів), які звертаються до банківських серверів в Інтернеті. При впровадженні списків доступу турбувалися додаткове узгодження з тех. службою кожного конкретного банку про необхідні для роботи IP-адресах.
· Проблеми з сертифікатами на робочих станціях, виникали через неоднорідність програмного забезпечення та операційних систем, встановлених на робочих місцях.
· Для реалізації системи сертифікатів в локальній мережі потурбувалися скласти повний план комутації центрального офісу, після чого поступово переводити порти конкретних користувачів в режим авторизації dot1x.
Також як і аналіз інформаційних ризиків, оцінка результатів впровадження системи захисту конфіденційної інформації, проводилася технічними спеціалістами та заступником директора з інформаційної безпеки ВАТ «АйТіПартнер», у складі 3-х чоловік.
У ході оцінки було встановлено:
Таблиця 13-Перелік загроз, які становлять потенційну небезпеку для даних
РесурсAVУгрозаМодель нарушітеляEFAROSLEALEСервера3Угроза отримання повного віддаленого контролю над сістемойA1, B23199Угроза порушення цілісності, правильного функціонування сістеми.A1, B2, C1, C232918Угроза порушення доступності сістемиA1, B2, C13199Подмена мережевого адреса.A1, B23199Фізіческое пошкодження апаратних средств.B11133Возможность негласного отримання і розголошення (публікація) захищається інформаціі.A1, B2, C12166Маршрутізатор3Угроза отримання повного віддаленого контролю над сістемойA1, B22166Угроза порушення цілісності, правильного функціонування сістеми.A1, B2, C1, C222612Угроза порушення доступності сістемиA1, B2, C13199Подмена мережевого адреса.A1, B233927Фізіческое пошкодження апаратних средств.B11133Коммутатор3Угроза отримання повного віддаленого контролю над сістемойA1, B22166Угроза порушення цілісності, правильного функціонування сістеми.A1, B2, C1, C22166Угроза порушення доступності сістемиA1, B2, C13199РесурсAVУгрозаМодель нарушітеляEFAROSLEALEКоммутатор3Подмена мережевого адреса.A1, B233927Фізіческое пошкодження апаратних средств.B11133Рабочее місце центрального офіса1Угроза отримання повного віддаленого контролю над сістемой.A1, B23133Угроза порушення цілісності, правильного функціонування сістеми.A1, C1, C23133Угроза порушення доступності сістеми.A1, C13133Подмена мережевого адресаA13133Фізіческое пошкодження апаратних средствA1, B13133Угроза витоку видової інформацііA1, B13133Рабочее місце магазіна1Угроза порушення цілісності, правильного функціонування сістеми.A1 , C1, C22122Подмена мережевого адресаA13133Фізіческое пошкодження апаратних средствA1, B12122Угроза витоку видової інформацііA1, B11111Канал связі3Угроза перехоплення мережевого трафіку з метою подальшого аналізаA1, C13199Фізіческое поврежденіеA1, C23199
За рахунок наступних заходів, вдалося знизити загрозу отримання повного віддаленого контролю над системою для Серверів:
· Своєчасне оновлення операційної системи
· Розгортання ліцензійного антивірусного ПЗ
· Фільтрація мережевого трафіку.
<...