Автор: Пользователь скрыл имя, 06 Марта 2011 в 07:47, дипломная работа
Развитие и широкое применение электронной вычислительной техники в промышленности, управлении, связи, научных исследованиях, образовании, сфере услуг, коммерческой, финансовой и других сферах человеческой деятельности являются в настоящее время приоритетным направлением научно-технического прогресса. Эффект, достигаемый за счет применения вычислительной техники, возрастает при увеличении масштабов обработки информации, то есть концентрации по возможности больших объемов данных и процессов их обработки в рамках одной технической системы, включая территориально рассредоточенные вычислительные сети и автоматизированные системы управления.
1. Тема дипломной работы 3
2. Обоснование актуальности темы 3
3. Организационная структура предприятия 5
4. Описание и характеристика АСОИУ в организации 6
4.1 Сведения об условиях эксплуатации объекта автоматизации 6
4.2 Характеристики используемого программного обеспечения на предприятии 6
5. Использование ЛВС: от преимуществ к проблемам 7
5.1. Преимущества использования ЛВС 7
5.1.1. Распределенное хранение файлов 7
5.1.2. Удаленные вычисления 7
5.1.3. Обмен сообщениями 8
5.2. Проблемы безопасности ЛВС 8
5.2.1. Распределенное хранение файлов - проблемы 8
5.2.2. Удаленные вычисления - проблемы 8
5.2.3. Топологии и протоколы - проблемы 9
5.2.4. Службы Обмена сообщениями - проблемы 9
5.2.5. Прочие проблемы безопасности ЛВС 9
5.3. Цели и задачи проектирования безопасности ЛВС 10
6. Угрозы, уязвимые места, службы и механизмы защиты. 10
6.1. Угрозы и уязвимые места 11
6.2. Службы и механизмы защиты 14
7. Обзор и анализ существующих программно-аппаратных средств пригодных для решения поставленной задачи. 16
7.1. Межсетевой экран 16
7.1.1. Cisco PIX 16
7.1.2. Juniper Networks Firewall/IPSec VPN 18
7.2. Системы IDS / IPS 20
7.2.1. Cisco IDS/IPS 20
7.2.2. StoneGate IPS 22
7.2.3. DefensePro IDS IPS 23
7.2.4. SecureNet Sensor 23
7.2.5. Juniper Networks IDP 24
7.3. Системы мониторинга и управления безопасностью 26
7.3.1. Cisco MARS 26
7.3.2. Secure Net Provider 27
Продукция компании «Cisco»
| PIX 515E-R-DMZ Bundle | Сертифицированный межсетевой экран | 126000 р. |
| PIX 515E-UR-FE Bundle | Сертифицированный межсетевой экран | 240000 р. |
7.1.2. Juniper Networks Firewall/IPSec VPN
Juniper Networks Firewall/IPSec VPN — это семейство универсальных продуктов, объединяющих функции межсетевого экрана (firewall), концентратора виртуальных частных сетей (VPN), маршрутизатора и средства управления трафиком (bandwidth manager). Совмещение функций не влечет за собой ограничений по производительности и функциональности. Такое решение становится возможным благодаря тому, что основные функции по применению правил (т.е. собственно функции межсетевого экрана), шифрации, дешифрации и компрессии (т.е. наиболее ресурсоемкие процедуры при реализации технологии IPSec) во всех продуктах NetScreen реализуются аппаратно на базе высокоскоростных заказных микросхем (ASIC). Модельный ряд включает 12 устройств, в том числе 4 модульных (systems) и 8 с фиксированной конфигурацией (appliances), имеющих различные показатели производительности, тип и количество физических интерфейсов, но использующих единую операционную систему ScreenOS, функционирующую на собственной аппаратной платформе, где в составе элементной базы применяется набор заказных микросхем GigaScreen ASIC собственной разработки.
На всех устройствах используется единая операционная система реального времени ScreenOS разработки компании Juniper Networks. На основе ScreenOS реализуются основные функции межсетевого экрана/VPN концентратора NetScreen, в том числе:
Программное обеспечение ScreenOS сертифицировано ICSA. В настоящее время проводится тестирование на предмет удовлетворения требований CommonCriteria.
Настройка и конфигурирование устройств NetScreen осуществляются с помощью встроенного web-интерфейса, командной строки или централизованной системы управления NetScreen Security Manager (NSM).
Сравнительный анализ продуктов:
| Потребности заказчика | Рекомендованные продукты | Ключевые функциональные возможности |
| Маленький
офис/ Удаленный офис/Удаленные пользователи |
NetScreen-HSG NetScreen-5GT NetScreen-5GT ADSL NetScreen-5GT Wireless NetScreen-5XT |
|
| Региональное
представительство/ Дополнительный офис/Среднее предприятие |
NetScreen-25 NetScreen-50 NetScreen-204 NetScreen-208 |
|
| Средние
и крупные предприятия/ Транспортные сети/ Дата-центры |
NetScreen-500 NetScreen-5200 NetScreen-5400 |
|
7.2. Системы IDS / IPS
7.2.1. Cisco IDS/IPS
Cisco IDS/IPS является центральным компонентом решений Cisco System по отражению атак. На базе данного ПО построены системы обнаружения атак Cisco IDSM-2 и Cisco IDS Network Module. Наряду с традиционными механизмами в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки.
Встроенные
технологии корреляции событий безопасности
Cisco Threat Response, Threat Risk Rating и Meta Event Generator не
только помогают существенно снизить
число ложных срабатываний, но и позволяют
администраторам реагировать лишь на
действительно критичные атаки, которые
могут нанести серьезный ущерб ресурсам
корпоративной сети.
Основные возможности:
Основные технические характеристики:
| Модель | IDS 4215 | IPS 4240 |
| Производительность, Мбит/сек | 80 | 250 |
| Интерфейс для мониторинга | 10/100 BASE-TX | Четыре 10/100/1000 BASE-TX |
| Опциональный интерфейс для мониторинга | Четыре 10/100 BASE-TX (всего 5 интерфейсов) | Четыре 10/100 BASE-TX (всего 8 интерфейсов) или четыре оптических 1000 BASE SX |
| Размер шасси | 1RU | 1RU |
| Дополнительный блок питания | Нет | Нет |
Мониторинг
отказов:
|
Да Да Да |
Да Да Да |
| Цена | $6183 | $7652 |
7.2.2. StoneGate IPS
Модель StoneGate IDS 200
В основе работы семейства StoneGate IPS заложена функциональность обнаружения и предотвращения вторжений, которая использует различные методы обнаружения вторжений: сигнатурный анализ, технология декодирования протоколов для обнаружения вторжений, не имеющих сигнатур, анализ аномалий протоколов, анализ поведения конкретных хостов.
StoneGate IPS предоставляет огромное количество возможностей по настройке и управлению. Обладая самыми современными возможностями по управлению политиками обнаружения вторжений, система позволяет составлять карты сети и проводить анализ сетевой активности в наглядном виде.
Основные возможности StoneGate IPS:
Цена
StoneGate IDS 200 = 4673$
7.2.3. DefensePro IDS IPS
Особенность оборудования — полная «прозрачность» для сети и двунаправленный анализ трафика. DefensePro не имеет ни МАС, ни IP-адреса, как следствие, злоумышленник не имеет возможности понять где установлена система защиты. Один DefensePro может одновременно обслуживать несколько сегментов сети, путём разделения на несколько виртуальных устройств. Анализ трафика в двух направлениях позволяет избежать распространения вирусов и червей в пределах сети, а так же позволяет блокировать исходящие атаки. DefensePro гарантирует максимальную пропускную способность одновременно с возможностью изолировать, блокировать и останавливать атаки в режиме реального времени.
Основные возможности DefensePro-200:
Цена DefensePro-200: $3890
7.2.4. SecureNet Sensor
Система Intrusion SecureNet является не просто системой обнаружения, а системой предотвращения вторжений в режиме реального времени в соответствии с заданными администратором критериями. Как и большинство других систем, представленных на рынке, она способна анализировать потоки трафика на предмет соответствия заданному набору сигнатур. Однако, в отличие от конкурентных продуктов, Intrusion SecureNet умеет также выявлять аномалии и отклонения в работе протоколов посредством разбора сетевых пакетов «на лету», осуществлять корреляцию событий, ограничивая нагрузку на подсистему регистрации и облегчая тем самым работу администратора.
Основные возможности SecureNet Sensor:
Обнаружение вторжений: