В современной цифровой экономике корпоративные локальные сети (ЛВС) представляют собой не просто вспомогательную, а критически важную инфраструктуру. Они являются основой для бизнес-процессов, хранилищем коммерческой тайны и, как следствие, основной целью для злоумышленников. Проблема заключается в том, что число и сложность кибератак постоянно растут, требуя от специалистов по безопасности перехода от установки точечных средств защиты к разработке комплексных, эшелонированных систем. Это делает тему защиты ЛВС одной из самых актуальных для дипломного проектирования.
Целью выпускной квалификационной работы (ВКР) в таком случае становится разработка проекта совершенствования системы защиты информации в локальной сети конкретного предприятия, для примера, АНО ВПО МФЮИ. Для ее достижения необходимо решить ряд последовательных задач:
- Провести анализ теоретических основ построения защищенных сетей.
- Исследовать текущее состояние ЛВС объекта, его активы и уязвимости.
- Разработать модели угроз и потенциального нарушителя.
- Спроектировать комплекс организационных и технических мер защиты.
- Подготовить экономическое обоснование предложенных решений.
Таким образом, объектом исследования выступает процесс обеспечения информационной безопасности в ЛВС предприятия, а предметом — методы и средства защиты информации, обеспечивающие ее ключевые атрибуты: конфиденциальность, целостность и доступность. Обозначив цели и задачи, необходимо погрузиться в теоретическую базу, чтобы наши дальнейшие практические шаги были научно обоснованными.
Глава 1. Какие теоретические основы определяют защиту локальных сетей
Понимание современных принципов защиты невозможно без взгляда на эволюцию локальных сетей. От простых сред для совместного использования принтеров они превратились в сложные гетерогенные инфраструктуры, тесно интегрированные с глобальной сетью. Параллельно этому процессу развивались и угрозы безопасности — от примитивных вирусов до sofisticated атак, способных парализовать деятельность целой компании.
Для систематизации подхода к защите необходимо классифицировать существующие угрозы. Их можно разделить по нескольким критериям:
- По расположению источника: внешние (атаки из интернета) и внутренние (действия инсайдеров или вредоносного ПО внутри периметра).
- По природе возникновения: технические (ошибки в ПО, сбои оборудования, применение специализированных средств атаки) и связанные с человеческим фактором (социальная инженерия, халатность, умышленные деструктивные действия персонала).
К наиболее распространенным техническим угрозам относятся вирусы, черви, троянские программы, DoS/DDoS-атаки, а также «снифферы» для перехвата трафика. Противостоять им призван целый арсенал методов и средств защиты, которые также поддаются классификации по назначению:
- Защита периметра сети: Основным инструментом здесь выступают межсетевые экраны (брандмауэры), такие как Cisco PIX или Microsoft ISA, которые фильтруют трафик на границе сети.
- Защита каналов связи: Для безопасной передачи данных через недоверенные сети (например, интернет) используются технологии виртуальных частных сетей (VPN) на базе протоколов, таких как IPSec.
- Защита от вредоносного ПО: Эту задачу решает антивирусное программное обеспечение, установленное на серверах и рабочих станциях.
- Обнаружение и предотвращение вторжений: Системы IDS (Intrusion Detection System) анализируют сетевой трафик в поисках аномалий и сигнатур атак, сигнализируя о подозрительной активности.
- Криптографическая защита данных: Шифрование применяется для защиты информации как при хранении на дисках, так и при передаче по линиям связи, обеспечивая ее конфиденциальность.
Все эти элементы должны быть встроены в общую модель безопасности и подкреплены организационными мерами. Теперь, вооружившись теоретическими знаниями о том, «как должно быть», мы можем перейти к анализу реального объекта и выяснить, «как есть на самом деле».
Глава 2. Как провести аудит безопасности и анализ рисков на реальном объекте
Второй, и ключевой практический, этап дипломной работы — это обследование реальной IT-инфраструктуры. Возьмем в качестве примера локальную сеть учебного заведения, такого как АНО ВПО МФЮИ. Предприятие имеет смешанную топологию сети, обслуживает несколько сотен пользователей (студентов, преподавателей, администрацию) и предоставляет стандартные сервисы: доступ в интернет, файловые хранилища, системы дистанционного обучения и внутренние базы данных.
Первый шаг аудита — инвентаризация информационных активов, то есть определение того, что именно мы должны защищать. Для учебного заведения это будут:
- Базы данных с персональными данными студентов и сотрудников.
- Бухгалтерские базы и финансовые документы (договоры).
- Учетные данные (пароли, ключи) для доступа к внутренним и внешним сервисам.
- Интеллектуальная собственность (учебные материалы, научные работы).
- Каналы связи, через которые передается вся вышеперечисленная информация.
Следующий шаг — анализ существующей политики безопасности и применяемых средств защиты. Часто на объектах подобного типа можно обнаружить лишь базовый уровень защиты: наличие антивирусов на рабочих станциях и простой межсетевой экран на шлюзе в интернет, выполняющий функции NAT. При этом может отсутствовать централизованное управление обновлениями, сегментация сети, защита внутренних коммуникаций и, что самое важное, формализованная политика безопасности.
Сравнивая реальное положение дел с теоретическими моделями из Главы 1, мы выявляем уязвимости. Например, «плоская» архитектура сети без разделения на сегменты (административный, учебный, гостевой) означает, что вирус с компьютера студента может легко распространиться на серверы бухгалтерии. Отсутствие шифрования при передаче данных внутри сети делает возможным их перехват с помощью «сниффера».
После выявления уязвимостей проводится анализ рисков. Он предполагает оценку вероятности реализации той или иной угрозы и потенциального ущерба. Например, каков будет финансовый и репутационный ущерб, если из-за DoS-атаки система дистанционного обучения будет недоступна во время сессии? Оценив эти риски, мы получаем приоритизированный список проблем, которые необходимо решить.
Анализ показал конкретные «дыры» в защите. Но чтобы эффективно их закрыть, нужно точно понимать, от кого мы защищаемся. Следующий шаг — создание портрета нашего противника.
Моделирование угроз и нарушителя
На основе проведенного аудита и классификации из теоретической части мы можем составить формализованные модели, которые станут основой для проектирования системы защиты. Этот этап связывает анализ («что у нас есть») с проектированием («что нам нужно сделать»).
Сначала строится модель потенциального нарушителя. Важно понимать, что это не один конкретный человек, а обобщенный образ с определенным набором характеристик. Для корпоративной сети, как правило, актуальны следующие типы нарушителей:
- Внешний нарушитель (хакер): Не имеет легального доступа к сети. Его мотивация может быть разной — от финансовой выгоды до самоутверждения. Уровень знаний — от начинающего до профессионала. Цели — кража данных, нарушение доступности сервисов.
- Внутренний нарушитель (нелояльный сотрудник): Имеет легальные права доступа к определенным ресурсам. Мотивация — месть, личная выгода. Знает расположение ценной информации и слабые места в защите. Это наиболее опасный тип нарушителя.
- Внутренний нарушитель (неквалифицированный пользователь): Не имеет злого умысла, но из-за низкой компьютерной грамотности или халатности может запустить вредоносное ПО, скомпрометировать свой пароль или случайно удалить важные данные.
Далее, зная наши уязвимости и потенциальных противников, мы строим модель угроз. Она представляет собой таблицу или перечень, описывающий для каждой актуальной угрозы три компонента: Источник (кто атакует) → Способ реализации (как атакует) → Объект атаки (на что нацелена атака).
Пример фрагмента модели угроз:
- Угроза: Несанкционированный доступ к финансовой базе данных.
- Источник: Внешний нарушитель.
- Способ: Эксплуатация уязвимости в веб-сервисе или подбор слабого пароля администратора.
- Объект: Сервер с базой данных 1С.
- Угроза: Заражение сети вирусом-шифровальщиком.
- Источник: Внутренний неквалифицированный пользователь.
- Способ: Открытие вредоносного вложения в фишинговом письме.
- Объект: Рабочая станция пользователя и доступные с нее сетевые диски.
Теперь, когда мы знаем, что защищать (Глава 2) и от кого (Глава 3), мы готовы к главному — проектированию адекватной и комплексной системы защиты.
Глава 3. Проектирование и внедрение усовершенствованной системы защиты
Это ядро дипломной работы, где теоретические знания и результаты анализа превращаются в конкретный, технически обоснованный проект. Цель — предложить комплекс мер, который закроет выявленные уязвимости и будет противостоять угрозам из разработанной модели. Система защиты должна быть многоуровневой (эшелонированной), чтобы отказ одного компонента не приводил к коллапсу всей системы.
Проект совершенствования системы защиты должен включать следующие направления:
-
Модернизация сетевой архитектуры и защиты периметра. Предлагается сегментация сети на несколько зон с разным уровнем доверия: DMZ для публичных сервисов (веб-сайт), серверный сегмент, пользовательский сегмент, гостевая Wi-Fi сеть. Управление доступом между сегментами должно осуществляться современным межсетевым экраном нового поколения (NGFW), который обеспечивает не только фильтрацию по портам, но и глубокий анализ трафика (DPI) и функциональность системы предотвращения вторжений (IPS).
-
Внедрение криптографической защиты данных. Для противодействия перехвату внутреннего трафика предлагается использовать протоколы шифрования, например, активировать SMB Signing для защиты файлового обмена. Для безопасного удаленного доступа сотрудников — развернуть VPN-шлюз на базе технологии IPSec или SSL VPN. Для защиты критичных баз данных следует рассмотреть возможность использования встроенных средств шифрования СУБД.
-
Усиление защиты конечных точек. Вместо разрозненных антивирусов предлагается внедрение централизованного решения класса Endpoint Security, которое включает антивирус, персональный файрвол, контроль устройств и веб-контроль. Это позволит администратору управлять политиками безопасности на всех рабочих станциях с единой консоли.
-
Разработка и внедрение организационных мер. Технологии бессильны без регламентов. Это самая важная часть проекта, которая часто недооценивается. Необходимо разработать и утвердить пакет документов, составляющих Политику информационной безопасности:
- Правила управления доступом: Четкое определение, кто и к каким ресурсам имеет доступ. Принцип минимальных привилегий.
- Парольная политика: Требования к сложности и периодичности смены паролей.
- Регламент антивирусной защиты: Обязанности пользователей и администраторов.
- Регламент резервного копирования: Частота, глубина и порядок восстановления данных.
- Инструкции для пользователей и программа обучения: Повышение осведомленности персонала о фишинге и других угрозах.
Выбор конкретных программно-аппаратных решений (например, межсетевого экрана от Checkpoint, антивируса от Kaspersky или системы на базе открытого ПО) должен быть обоснован. Необходимо провести сравнение нескольких альтернатив по ключевым параметрам: функциональность, стоимость, простота управления, техническая поддержка.
Мы спроектировали технически и организационно сильное решение. Однако любая модернизация требует затрат. В следующем разделе мы докажем, что эти вложения оправданы.
Экономическое обоснование проекта
Любой технический проект в корпоративной среде должен быть экономически целесообразен. Этот раздел дипломной работы призван доказать, что затраты на предложенную систему защиты — это не расходы, а выгодные инвестиции в стабильность и безопасность бизнеса. Расчет строится на сравнении стоимости внедрения с размером предотвращаемого ущерба.
Первым шагом составляется подробная смета затрат. Она включает:
- Капитальные затраты (CAPEX): стоимость нового оборудования (межсетевой экран, сервер для системы управления) и лицензий на программное обеспечение (Endpoint Security, лицензии для VPN).
- Операционные затраты (OPEX): стоимость работ по внедрению и настройке системы, затраты на обучение персонала, а также годовая стоимость технической поддержки и обновления лицензий.
Далее необходимо оценить потенциальный ущерб, который компания может понести, если не внедрять систему защиты. Здесь используется методология из анализа рисков (Глава 2). Рассчитывается показатель Ожидаемых годовых потерь (ALE — Annual Loss Expectancy). Он определяется как произведение стоимости одного инцидента на вероятное количество таких инцидентов в год. Например, если ущерб от простоя из-за вируса-шифровальщика оценивается в 500 000 рублей, а вероятность такого события — раз в два года (0.5 в год), то ALE для этой угрозы составит 250 000 рублей в год.
Ключевой момент — это сопоставление затрат и выгоды. Основная выгода от внедрения системы защиты — это снижение показателя ALE. Например, если до внедрения проекта общий ALE составлял 1 000 000 рублей в год, а после внедрения снизился до 100 000 рублей, то выгода составляет 900 000 рублей в год.
На основе этих данных можно рассчитать показатель возврата инвестиций в безопасность (ROSI — Return on Security Investment). Формула ROSI показывает, какую экономию получает компания на каждый вложенный в безопасность рубль. Положительное значение этого показателя убедительно доказывает экономическую эффективность и целесообразность предложенного проекта.
Мы доказали, что предложенная система не только технически эффективна, но и экономически выгодна. Осталось подвести итоги всей проделанной работы.
Заключение
В ходе выполнения дипломной работы была решена актуальная и комплексная задача — разработан проект совершенствования системы защиты информации для локальной вычислительной сети конкретного предприятия. Работа над проектом позволила достигнуть всех поставленных целей и подтвердить высокую практическую значимость исследования.
В процессе работы были получены следующие ключевые результаты:
- Проведен системный анализ теоретических основ защиты ЛВС, классифицированы угрозы и средства противодействия.
- Выполнен аудит безопасности реальной сети, в ходе которого были выявлены критические уязвимости и оценены информационные риски.
- Разработаны формализованные модели угроз и потенциального нарушителя, применимые к исследуемому объекту.
- Спроектирована комплексная, многоуровневая система защиты, включающая как технические (NGFW, VPN, Endpoint Security), так и важнейшие организационные меры (политики, регламенты).
- Представлено экономическое обоснование, доказывающее финансовую целесообразность инвестиций в безопасность.
Таким образом, главная цель дипломной работы — создание готового к внедрению, обоснованного проекта по усилению ИБ — полностью достигнута. Предложенные решения позволяют значительно снизить риски, связанные с реализацией актуальных киберугроз, и обеспечить выполнение требований к конфиденциальности, целостности и доступности корпоративной информации.
В качестве перспектив дальнейшего развития системы можно рассмотреть внедрение систем класса SIEM (Security Information and Event Management) для централизованного сбора и корреляции событий безопасности, что позволит перейти от реактивного к проактивному подходу в выявлении инцидентов.
Список литературы
- «Конституция Российской федерации» (принята всенародным голосованием 12.12.1993)
- Гражданский кодекс Российской Федерации (часть первая): офиц. текст от 30.11.1994 № 51-ФЗ в ред. от 23.05.2015 г. (Собрание законодательства Российской Федерации от 05.12.1994)
- Федеральный закон РФ от 23 мая 2009 г. N 98-ФЗ «О ратификации Сингапурского договора о законах по товарным знакам» (Собрание законодательства Российской Федерации от 25 мая 2009 г. N 21 ст. 2497)
- Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) «О коммерческой тайне» (Собрание законодательства Российской Федерации от 9 августа 2004 г. N 32 ст. 3283)
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) (Собрание законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451)
- Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 31.12.2014) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.09.2015) (Собрание законодательства Российской Федерацииот 31 июля 2006 г. N 31 (часть I) ст. 3448)
- Федеральный закон от 8 августа 2001 г. N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (Собрание законодательства Российской Федерации от13 августа 2001 г., N 33 (Часть I), ст. 3431)
- Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» (Собрание законодательства Российской Федерацииот 13 октября 1997 г., N 41, ст. 4673)
- Доктрина информационной безопасности Российской федерации(утверждена Президентом Российской Федерации В.Путиным 9 сентября 2000 г., № Пр-1895) («Российская газета» от 28 сентября 2000 г. N 187)
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
- ГОСТ Р 50922- 2006. Защита информации. Основные термины и определения. — Введ. 2008-02-01. -М.: Стандартинформ, 2007. — 12 с.
- ГОСТ Р 50922- 2006. Защита информации. Основные термины и определения. — Введ. 2008-02-01. -М.: Стандартинформ, 2007. — 12 с.
- ГОСТ Р ИСО/МЭК 27001–2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
- Бузов Г.А. Защита от утечки информации по техническим каналам: Учебное пособие. – М.: Горячая линия-Телеком, 2011. – 225с.
- Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. — М.: ФИЗМАТЛИТ, 2012. — 768 с.
- Информатика:Учебник. — 3-е перераб. изд. /Под ред. проф. Н.В. Макаровой. — М.: Финансы и статистика, 2010. — 768 с.: ил.
- Исаев А.С., Хлюпина Е.А. Правовые основы организации защиты персональных данных. – СПб: НИУ ИТМО, 2014. – 106 с.
- Килясханов И.Ш., Саранчук Ю.М. Информационное право в терминах и понятиях: учебное пособие, Юнити-Дана, 2011 г. — 135 с.
- Кобб М., Джост М. Безопасность IIS , ИНТУИТ, 2013 г. — 678
- Козлова Е. А. Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации // Молодой ученый. — 2013. — №5. — С. 154-161.
- Куняев, Н. Н. Информационная безопасность как объект правового регулирования в Российской Федерации / Н. Н. Куняев. //Юридический мир. -2008. — № 2. — С. 38 – 40
- Олифер В. Г.,Олифер Н. П. Компьютерные сети. Принципы, технологии, протоколы. — 4-е. — СПб: Питер, 2010. —902с.
- Стефанов А.П., Жуков В.Г., Жукова М.Н. Модель нарушителя прав доступа в автоматизированной системе // Прогр. продукты и системы. – 2012. – № 2. – С. 51-54.
- Тенетко М.И., Пескова О.Ю. Анализ рисков информационной безопасности// Известия Южного федерального университета. Технические науки. — №12. – 2011. – С.49-58
- Формирование информационного общества в XXI веке./Сост.: Е.И.Кузьмин, В.Р.Фирсов — СПб.: РНБ, 2006. — 640 с.
- Хореев П.В. Методы и средства защиты информации в компьютерных системах. – М.: издательский центр «Академия», 2013. – с. 205.
- Хорошко В. А., Чекатков А. А. Методы и средства защиты информации, К.: Юниор, 2013г. — 504с.
- Яницкий И.А. Организация защиты информации в сетях Cisco [Текст]/ И.А. Яницкий// Информационные системы и технологии: управление и безопасность. — Тольятти: Издательство Поволжского государственного университета сервиса. — №2. – 2013. – С.374-379