Организация антивирусной защиты частного предприятия с 25-ю рабочими станциями

Министерство образования и науки Российской Федерации

Государственное образовательное учреждение высшего профессионального образования

 

Факультет высшего образования  

Направление 230100.62 Информатика и вычислительная техника

Кафедра естественнонаучных дисциплин (ЕН)

 

 

 

Завкафедрой ЕН

д-р техн. наук, проф.

___________/

«____»______________ 2011г.

 

 

 

 

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

на соискание академической степени бакалавра

 

 

На тему  Организация антивирусной защиты частного предприятия с 25-ю рабочими станциями._______________________________________________________________

 

 

Студент: _______________/

  (подпись)   (Фамилия И.О.)  

 

 

 

 

Состав ВКР:

1. Пояснительная записка на _67_ стр.

 

 

 

 

Руководитель ВКР

Доцент кафедры ЕН. _________/ 

 

 

 

 

 

 

 

 

Лысьва  2011 г.


Министерство образования и науки Российской Федерации

Государственное образовательное учреждение высшего профессионального образования

 

 

Кафедра естественнонаучных дисциплин

 

 

«УТВЕРЖДАЮ»

Завкафедрой ЕН

д-р техн. наук, проф.

___________/___»______________2011 г.

 

 

ЗАДАНИЕ

на выполнение выпускной квалификационной работы бакалавра

 

Фамилия, имя, отчество

Факультет высшего образования   Группа   ВИВТ-06-1

Начало выполнения работы   2 ноября 2010 года

Контрольные сроки просмотра работы кафедрой 19 января 2011 года

Срок представления на рецензию 23 июня 2010 года

Защита работы на заседании ГЭК 24 января 2011 года

 

 

1.Наименование темы: «  Организация антивирусной защиты частного предприятия с 25-ю рабочими станциями.».

 

2.Исходные данные к работе  Организация антивирусной защиты частного предприятия с 25-ю рабочими станциями(пример)  Разработать защиту рабочих станций, выбрать методы и средства защиты информации.

 

3.Содержание пояснительной записки

3.1 Исследовательский раздел Функциональная схема локальной вычислительной сети предприятие. Способ управления сетью, сетевая архитектура, Сетевые ресурсы.

3.2 Специальный (конструкторский) раздел Обзор основных антивирусных средств Обоснование выбора. Организационные меры реализации системы администратирования. Экономический эффект.

 

4.   Перечень графического материала

 

5.Дополнительные указания (заполняются при необходимости)   _   _____________________________________________________________________________

 

6.Основная литература

1. Методические указания по дипломному проектированию для студентов специальности 220100. Пермь, ПГТУ.-2003.

2.Стандарты:

a. ГОСТ Р ИСО/МЭК 15288-2005. Системная инженерия. Процессы жизненного цикла систем;

b.ГОСТ 24.205-80. Система технической документации по АСУ. Требования к содержанию документов по информационному обеспечению;

c.  ГОСТ 34.601-90. Автоматизированные системы. Стадии создания.

3. ГОСТ 34.602-89. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.

4. ГОСТ 7.32-2001- на

5. Свободная интернет энциклопедия Википедия, #"Times New Roman"> 

 

 

Руководитель выпускной квалификационной работы бакалавра

 

_______________________.___________________________(_______________)

(должность, Ф.И.О.)

 

 

Задание получил______________________________________________(______________  )

(дата и подпись студента)


 


КАЛЕНДАРНЫЙ ГРАФИК ВЫПОЛНЕНИЯ

ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЫ БАКАЛАВРА

 

 

п/п

Этапы работы

Объем  этапа   в процентах

 

 

Сроки выполнения

Примечание

 

 

 

 

начало

конец

 

 

1.  

Определение темы, руководителя, сбор информации по ВКР

15

02.01.10

22.10.10

 

2.  

Подготовка теоретического раздела

20

22.10.10

29.10.10

 

3.  

Подготовка специального раздела

30

30.10.10

14.11.10

 

4.  

Разработка алгоритмов, программ. Отладка программных модулей.

10

 

 

 

5.  

Представление ВКР на проверку и отзыв руководителю

5

24.12.10

 

 

6.  

Компоновка материалов по разделам. Оформление пояснительной записки ВКР. Выбор графический приложений, демонстрационных материалов.

10

24.12.10

20.01.11

 

7.  

Подготовка доклада к предзащите

10

19.01.11

 

 

8.  

Предзащита на кафедре

 

19.01.11

21.01.11

 

9.  

Устранение замечаний по оформлению. Представление работы заведующему кафедрой.

 

19.01.11

23.01.11

 

10.  

Защита на заседании ГЭК

 

24.01.11

26.01.11

 

ПРИМЕЧАНИЕ. Развернутый календарный график выполнения ВКР выдает научный руководитель согласованно с кафедрой, утверждающей тему. Заполняется руководителем поэтапно.

 

 

Руководитель работы __________________________________ /__________________

 

«______» ___________________ 201___ г.

 


Министерство образования и науки Российской Федерации

Государственное образовательное учреждение высшего профессионального образования

 

ОТЗЫВ

РУКОВОДИТЕЛЯ ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЫ

БАКАЛАВРА

 

Выпускная квалификационная работа выполнена:

 

Студентом (кой) группы ультет высшего образования

Кафедра естественнонаучных дисциплин (ЕН)

Направление 230100.62 Информатика и вычислительная техника

Наименование темы «Организация антивирусной защиты частного предприятия с 25-ю рабочими станциями.»

Руководитель _______________________________________

 (Ф.И.О., должность, ученое звание, ученая степень)

Текст отзыва.

(Далее в произвольной форме руководитель отмечает нижеперечисленные и другие основные качества студента и его выпускной квалификационной работы:

·   самостоятельность работы студента;

·   умение анализировать состояние решаемых задач;

·   степень владения математическим аппаратом и компьютерными технологиями;

·   степень полноты решения поставленных задач;

·   уровень, корректность и глубину приводимых решений;

·   ясность, четкость, стиль и уровень грамотности изложения результатов;

·   качество оформления пояснительной записки;

·   применение современных информационных технологий;

·   качество графических документов;

·   оригинальность и новизна полученных результатов;

·   достоинства и недостатки выпускной квалификационной работы).

 

В заключении отзыва отмечается, что задание на выпускную квалификационную работу бакалавра выполнено полностью (не полностью выполнено). Подготовленность студента соответствует (не соответствует) требованиям Государственного образовательного стандарта по направлению 230100.62 Информатика и вычислительная техника.

 

Приводится итоговая оценка проделанной работы.

 

Руководитель выпускной квалификационной работы

_________/___________________________/

  (подпись) (Фамилия И.О.)  

«____»_____ 2011 г.

 

 

 

 

СОДЕРЖАНИЕ

РЕФЕРАТ……………………………………………………………………. …   7

ВВЕДЕНИЕ…………………………………………………………………….  8

1. Постановка задачи ………………………………………………………….   9

2. Функциональная схема локальной вычислительной сети ………………. 10

  2.1. Информационные потоки в ЛВС  предприятия …………………... 10

  2.2. Компьютерная сеть …………………………………………………..   11

  2.3 Способ управления сетью ……………………………………………   12

  2.4. План помещений ……………………………………………………..   14

  2.5. Размещение сервера ………………………………………………….   14

  2.6. Сетевая архитектура ………………………………………………… 14

  2.7. Сетевые ресурсы ……………………………………………………...   16

3. Средства защиты информации……… ………………………..................... 18

  3.1. Классификация ……………………………………………………….. 18

  3.2. Антивирусное ПО для серверов локальных сетей …..……………...   19

  3.3. Классификация антивирусных программ …………………………...   21

  3.3.1. Антивирус Касперского ………………………………………….   23

  3.3.2. Trend Micro ServerProtect for Microsoft Windows/Novell NetWare. .   24

  3.3.3 Panda Security for File Servers ………..……………………………..   25

  3.3.4. ESET NOD32 Smart Security Business Edition……………………..   26

  3.4  Программно-аппаратный МЭ………………………………………..  30

  3.4.1 Выбор программно-аппаратного МЭ………………………………  32 

4. Защита информации посредством Windows 2003 server……………. 41

  4.1.  Анализ возможностей системы разграничения доступа

 Windows  2000 Server……………………………………………… 41

  4.1.1. Слежение за деятельностью сети …………………………….   41

  4.1.2.  Начало сеанса на рабочей станции ………………………….. 41

  4.1.3.  Учетные карточки пользователей …………………………...   42

  4.1.4.  Журнал событий безопасности ……………………………… 43

  4.1.5. Права пользователя …………………………………………… 45

  4.1.6.  Установка пароля и политика учетных карточек ………….. 46

  4.1.6.  Шифрованная файловая система EFS …………...………….. 47

5. Расчеты затрат на создание сети …………………………………………..   49

  5.1. Определение трудоемкости настройки корпоративной сети ……... 49

  5.2. Определение среднечасовой оплаты труда разработчика ………… 52

  5.3. Расчет затрат на организацию и обслуживание  локальной

  компьютерной сети ……………………………………...……………..   53

6. Безопасность жизнедеятельности …………………………………………..   55

  6.1. Производственный микроклимат …………………………………… 55

  6.2. Производственное освещение ………………………………………. 56

  6.3. Воздействие шума ……………………………………………………   61

  6.4. Электромагнитные излучения ………………………………………. 61

  6.5. Электропожаробезопасность ………………………………………...   62

  6.6. Эргонометрические характеристики рабочего места ……………… 63

Заключение ……………………………………………………………………..   67

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ ……………………………   68

 

 

 

 

 

РЕФЕРАТ

 

Дипломная работа посвящена разработке и организации антивирусной защиты  корпоративной компьютерной сети на предприятии ООО «».

В работе изложены основные принципы предпринимательской деятельности предприятия, его организационная структура.

Выбор фирмы производителя антивирусных программ, обоснование выбора. Изложены рекомендации по дополнительной защите информации на предприятии.

Произведен  экономический расчет, также предоставлены дополнения по безопасность жизнедеятельности.    

Работа состоит из 6 глав, введения, и заключения общим объемом 69 лист. В работе содержится  10 таблиц, 9 рисунков.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ

Фирма «» - сравнительно молодая организация, занимающаяся в основном торгово-закупочной и посреднической деятельностью в широком спектре товаров и услуг, а так же имеющая дочернюю компанию, организующую сбор  и сдачу в переработку вторсырья. Какая-либо производственная деятельность на предприятии отсутствует.

В данном дипломном проекте рассматривается проблема построения защиты вычислительной сети и организации под управлением операционной системы Windows 2003 Server.

С  подключением к глобальной сети Internet фирма получает практически неограниченные информационные возможности, оперативное получение финансовых и биржевых новостей.

Так как подразделение ведет работу с закрытой информацией, доступ к которой посторонним лицам строго запрещен, то возникает проблема защиты информации в ЛВС.

 Защита локальной вычислительной сети должна быть спроектирована таким образом, чтобы обеспечить надлежащую степень защищенности данных. Надо помнить, что от этого не должно страдать удобство пользователей и администраторов сети.

ЛВС подразделения управляется операционной системой Windows 2003   Server. Предполагается   провести   исследование встроенных возможностей этой ОС по защите информации от   несанкционированного доступа. На основе проведенного анализа сделать выводы и выбрать дополнительные средства, повышающие степень защиты данных.

В качестве основного средства бухгалтерского учета на предприятии используется сетевая версия программы 1С-предприятие, прекрасно зарекомендовавшая себя по всем характеристикам. Программа поддерживается операционной системой Windows 2000/NT/XP и сервисно обслуживается специа льно подготовленным для этого персоналом фирмы-продавца.

 

1. Постановка задачи

 

Целью дипломной работы является организация антивирусной защиты корпоративной компьютерной сети общества с ограниченной ответственностью «I».

Для решения поставленной цели в дипломной работе  решаются следующие задачи:

§ выбор способа управления сетью;

§ управление сетевыми ресурсами и пользователями сети;

§ рассмотрение вопросов безопасности сети;

§ расчет затрат на защиту сети предприятия;

Необходимо разработать рациональную, гибкую структурную схему сети фирмы, предусмотреть режимы быстрого обновления оперативной информации на сервере, а так же проработать вопросы обеспечения необходимого уровня защиты данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Функциональная схема локальной вычислительной сети

2.1 Информационные потоки в ЛВС  предприятия

 

Рассмотрим организационно-штатную структуру подразделения. Во главе подразделения стоит генеральный директор предприятия. В состав подразделения входят 4 отдела, один из которых  - специализированный отдел прямого подчинения начальнику. Каждый отдел имеет в подчинении разное количество отделений. В каждом отделении, в свою очередь, служат сотрудники согласно штатно-списочного расписания. Все вышесказанное иллюстрирует рисунок 2.1.

 

1-й отдел

2-й отдел  

3-й отдел

4-й отдел

Отдел прямого подчинения

1-е отделение

2-е отделение

3-е отделение

4-е отделение

5-е отделение

6-е отделение

Директор предприятия

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


  - распоряжения

  - оперативная информация

  - доклады

 

Рисунок 2.1- Организационная структура подразделения

 

Всего в подразделении задействовано 23 человека, у каждого из которых  в пользовании персональный компьютер.

 

 

 

 

 

 

 

2.2  Компьютерная сеть

 

 Компьютерная сеть - это несколько компьютеров в пределах ограниченной территории (находящихся в одном помещении, в одном или нескольких близко расположенных зданиях) и подключенных к единых линиям связи. Сегодня большинство компьютерных сетей – это локальные компьютерные сети (Local-Area Network), которые размещаются внутри одного конторского здания и основанные на компьютерной модели клиент/сервер. Сетевое соединение состоит из двух участвующих в связи компьютеров и пути между ними. Можно создать сеть, используя беспроводные технологии, но пока это не распространено. [4]

В модели клиент/сервер связь по сети делится на две области: сторону клиента и сторону сервера. По определению, клиент запрашивает информацию или услуги из сервера. Сервер в свою очередь, обслуживает запросы клиента. Часто каждая сторона в модели клиент/сервер может выполнять функции, как сервера, так и клиента. При создании компьютерной сети необходимо выбрать различные компоненты, определяющие, какое программное обеспечение и оборудование вы сможете использовать, формируя свою корпоративную сеть. Компьютерная сеть – это неотъемлемая часть современной деловой инфраструктуры, а корпоративная сеть – лишь одно из используемых в ней приложений и, соответственно, не должна быть единственным фактором, определяющим выбор компонентов сети. Необходимые для Intranet компоненты должны  стать дополнением к имеющейся сети, не приводя к существенному изменению ее архитектур. [3]

 

 

 

 

 

 

 

 

 

 

 

 

2.3 Способ управления сетью

 

Каждая фирма  формулирует собственные требования к конфигурации сети, определяемые характером решаемых задач.

Количество рабочих станций напрямую зависит от предполагаемого числа сотрудников. Другим фактором является иерархия компании. Для фирмы с горизонтальной структурой, где все сотрудники должны иметь доступ к данным друг друга, оптимальным  решением является  простая одноранговая сеть. [2]

Фирме, построенной по принципу вертикальной структуры, в которой точно известно, какой сотрудник и к какой информации должен иметь доступ, следует ориентироваться на более дорогой вариант сети – с выделенным сервером.  Только в такой сети существует возможность администрирования прав доступа, рисунок 2.2.

 

 

 

 

Количество рабочих станций в сети

 

 

 


5 и более рабочих станций

От 3 до 5 рабочих станций

 

 

 

 

 


Вертикальная структура предприятия

Горизонтальная структура предприятия

Вертикальная структура предприятия

Горизонтальная структура предприятия

 

 

 

 


Требуется установка сервера

Возможно использование одноранговой сети

Требуется установка сервера

Желательна установка сервера

 

 

Рисунок 2.2- Выбор типа сети

 

 

 

В данном случае на предприятии имеется 23 рабочих станции и  1 сервера,  которые и  объединены в корпоративную сеть. Причем  они объединены в следующие группы: 

§ директор предприятия – 1 рабочая станция;

§ отдел прямого подчинения - 2 рабочих станции;

§ секретарь – 1 рабочая станция;

§ отделения 1, 2 и 3 2-го отдела по 3, 2 и 4 рабочих станции соответственно;

§ отделения 4 и 5 3-го отдела по 3 и 4 рабочих станции;

§ отделение 6 4-го отдела – 3 рабочих станции.

Установлен сервер, так как  предприятие имеет  вертикальную структуру , то есть  разграниченный доступ к информации.

На предприятии «_» вся сеть  располагаться на одном этаже.

 

2.4  План помещений

 

Рисунок 2.3- План помещения

 

 

 

2.5 Размещение сервера

 

На выбор места влияет несколько факторов:

§ из-за высокого уровня шума сервер желательно установить отдельно от остальных рабочих станций;

§ необходимо обеспечить постоянный доступ к серверу для технического обслуживания;

§ по соображениям защиты информации требуется ограничить доступ к серверу;

. Сервер установлен в  помещении кассы, так как только это помещение удовлетворяет требованиям, то есть уровень шума  в помещении кассы минимален, помещение кассы изолированно от других, следовательно, доступ к серверу будет ограничен, в соответствии с рисунком 2.3. В то же время в кассе  более удобно проводить обслуживание сервера, так как при установке сервера  в кабинете директора или зам. директора обслуживание будет затрудненно  в связи с выполнением  ими своих служебных обязанностей, а  в кабинете отдела кадров доступ к серверу  посторонних лиц не сильно затруднен. Размещение же сервера в кабинетах информатики  не отвечает ни одному условию.

 

2.6 Сетевая архитектура

 

Сетевая архитектура  - это сочетание топологии, метода доступа, стандартов, необходимых для создания работоспособной сети.

Выбор топологии определяется, в частности, планировкой помещения, в котором разворачивается ЛВС. Кроме того, большое значение имеют затраты на приобретение и установку сетевого оборудования, что является важным вопросом для фирмы, разброс цен здесь также достаточно велик.

Топология типа «звезда» представляет собой более производительную структуру, каждый компьютер, в том числе и сервер, соединяется отдельным сегментом кабеля с центральным концентратором (HAB).

Основным преимуществом такой сети является её устойчивость к сбоям, возникающим вследствие неполадок на отдельных ПК или из-за повреждения сетевого кабеля. [5]

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

.

Рисунок 2.4-­­­ Топология  сети предприятия

 

Важнейшей характеристикой обмена информацией в локальных сетях являются так называемые методы доступа (access methods), регламентирующие порядок, в котором рабочая станция получает доступ к сетевым ресурсам и может обмениваться данными.

За аббревиатурой CSMA/CD  скрывается английское выражение «Carrier Sense Multiple Access with Collision Detection » (коллективный доступ с контролем несущей и обнаружением коллизий). С помощью данного метода все компьютеры получают равноправный доступ в сеть. Каждая рабочая станция перед началом передачи данных проверяет, свободен ли канал. По окончании передачи каждая рабочая станция проверяет, достиг ли адресата отправленный пакет данных.  Если ответ отрицательный, узел производит повторный цикл передачи/контроля приема данных и так до тех пор, пока не получит сообщение об успешном приеме информации адресатом. [3]

Предприятие использует  этот метод, так как он хорошо зарекомендовал себя именно в малых и средних сетях, в соответствии с рисунком 2.4.

Спецификацию Ethernet в конце семидесятых годов предложила компания Xerox Corporation. Позднее к этому проекту присоединились компании Digital Equipment Corporation (DEC) и Intel Corporation. В 1982 году была опубликована спецификация на Ethernet версии 2.0. На базе Ethernet институтом IEEE был разработан стандарт IEEE 802.3. [5]

В настоящее время технология, применяющая кабель на основе витой пары (10Base – T), является наиболее популярной. Такой кабель не вызывает трудностей при прокладке.

Сеть на основе витой пары, в отличие от тонкого и толстого коаксиала, строится по топологии звезда. Чтобы построить сеть по звездообразной топологии, требуется большее количество кабеля (но цена витой пары не велика). Подобная схема имеет и неоценимое преимущество – высокую отказоустойчивость. Выход из строя одной или нескольких рабочих станций не приводит к отказу всей системы.  Правда если из строя выйдет хаб, его отказ затронет все подключенные через него устройства.

Еще одним преимуществом данного варианта является простота расширения сети, поскольку при использовании дополнительных хабов (до четырех последовательно) появляется возможность подключения большого количества рабочих станций (до 1024).

 

2.7  Сетевые ресурсы

 

Следующим важным аспектом сети является совместное использование сетевых ресурсов (принтеров, факсов, модемов).

Перечисленные ресурсы могут использоваться как в одноранговых сетях, так и в сетях с выделенным сервером. Однако в случае одноранговой сети сразу выявляются её недостатки. Чтобы работать с перечисленными компонентами, их нужно установить на  рабочую станцию или подключить к ней периферийные устройства.  При отключении этой станции все компоненты и соответствующие службы становятся недоступными для коллективного пользования. [2]

В сетях с сервером такой компьютер существует по определению.  Сетевой сервер никогда не выключается, если не считать коротких остановок для технического обслуживания. Таким образом, обеспечивается круглосуточный доступ рабочих станций к сетевой периферии.

На предприятии имеется десять принтеров: в каждом обособленном помещении. Администрация пошла на расходы для создания максимально комфортных условий работы коллектива.

Принтеры подключены к той рабочей станции, которая находиться к нему ближе всего, в результате чего данная рабочая станция становится сервером печати.  Недостаток такого подключения в том, что при выполнении заданий на печать  производительность рабочей станции на некоторое время снижается, что отрицательно скажется на работе прикладных программ при интенсивном использовании принтера. Кроме того, если машина будет выключена, сервер печати станет недоступным для других узлов. 

На это решение повлиял ещё и тот факт, что  принтеры расположены около тех рабочих станций, потребность которых в принтере наибольшая. 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
3.1 Классификация
Средства защиты информации по методам реализации можно разде-лить на три группы:
• программные;
• программно-аппаратные;
• аппаратные.
Программными средствами защиты информации называются специ-ально разработанные программы, которые реализуют функции безопасности вычислительной системы, осуществляют функцию ограничения доступа пользователей по паролям, ключам, многоуровневому доступу и т.д. Эти программы могут быть реализованы практически в любой операционной сис-теме, удобной для пользователя. Как правило, эти программные средства обеспечивают достаточно высокую степень защиты системы и имеют уме-ренные цены. При подключении такой системы в глобальную сеть вероят-ность взлома защиты увеличивается. Следовательно, этот способ защиты приемлем для локальных замкнутых сетей, не имеющих внешний выход. 
Программно-аппаратными средствами называются устройства, реали-зованные на универсальных или специализированных микропроцессорах, не требующие модификаций в схемотехнике при изменении алгоритма функ-ционирования. Эти устройства также адаптируются в любой операционной системе, имеют большую степень защиты. Они обойдутся несколько дороже (их цена зависит от типа операционной системы). При этом данный тип уст-ройств является самым гибким инструментом, позволяющим вносить изме-нения в конфигурацию по требованию заказчика. Программно-аппаратные средства обеспечивают высокую степень защиты локальной сети, подклю-ченной к глобальной. 
Аппаратными средствами называются устройства, в которых функцио-нальные узлы реализуются на сверхбольших интегральных системах (СБИС) с неизменяемым алгоритмом функционирования. Этот тип устройств адапти-руется в любой операционной системе, является самым дорогим в разработ-ке, предъявляет высокие технологические требования при производстве. В то же время эти устройства обладают самой высокой степенью защиты, в них невозможно внедриться и внести конструктивные или программные измене-ния. Применение аппаратных средств затруднено из-за их высокой стоимо-сти и статичности алгоритма.
Программно-аппаратные средства, уступая аппаратным по скорости, позволяют в то же время легко модифицировать алгоритм функционирования и не обладают недостатками программных методов.
 
3.2  Антивирусное ПО для серверов локальных сетей
Вопросы эффективной антивирусной защиты сегодня как никогда актуальны и в корпоративном секторе, и среди частных пользователей, однако, в отличие от последних, проблемы и задачи, встающие перед компаниями, намного серьезнее и требуют решений иного уровня. Администраторам корпоративных информационных систем приходится устанавливать антивирусные средства, конфигурировать их и настраивать политики обновления, а также следить, чтобы антивирусы постоянно были включены на сотнях или даже тысячах машин, — и зачастую делать все это приходится вручную. 
Локальные сети – один из основных источников распространения вирусов. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере (в случае Novell NetWare - LOGIN.COM). На следующий день пользователи при входе в сеть запускают зараженные файлы. Вместо служебного файла LOGIN.COM может также выступать различное программное обеспечение, установленное на сервере, стандартные документы-шаблоны или Excel-таблицы, применяемые в фирме. 

Опасность заражения вычислительных сетей реальна для любого предприятия, но реальное развитие вирусная эпидемия может получить в локальных сетях крупных хозяйственно-производственных комплексов с территориально-развлетвленной инфраструктурой. Их вычислительные сети, как правило, создавались поэтапно, с использованием различного аппаратного и программного обеспечения. Очевидно, что для таких предприятий вопрос антивирусной защиты становится весьма сложным, причем не только в техническом, но и в финансовом плане.

Вместе с тем решение этого вопроса достигается путем сочетания организационных мер и программно-технических решений. Данный подход не требует больших технических и немедленных финансовых затрат, и может быть применен для комплексной антивирусной защиты локальной сети любого предприятия.

В основу построения такой системы антивирусной защиты могут быть положены следующие принципы:

- принцип реализации единой технической политики при обосновании выбора антивирусных продуктов для различных сегментов локальной сети;

- принцип полноты охвата системой антивирусной защиты всей локальной сети организации;

- принцип непрерывности контроля локальной сети предприятия, для своевременного обнаружения компьютерной инфекции;

- принцип централизованного управления антивирусной защитой;

· Принцип реализации единой технической политики предусматривает использование во всех сегментах локальной сети только антивирусного ПО, рекомендуемого подразделением антивирусной защиты предприятия. Эта политика носит долгосрочный характер, утверждается руководством предприятия и является основой для целевого и долговременного планирования затрат на приобретение антивирусных программных продуктов и их дальнейшее обновление.

· Принцип полноты охвата системой антивирусной защиты локальной сети предусматривает постепенной внедрение в сеть программных средств антивирусной защиты до полного насыщения в сочетании с организационно-режимными мерами защиты информации.

·   Принцип непрерывности контроля за антивирусным состоянием локальной сети подразумевает такую организацию ее защиты, при которой обеспечивается постоянная возможность отслеживания состояния сети для выявления вирусов.

·        Принцип централизованного управления антивирусной защитой предусматривает управление системой из одной органа с использованием технических и программных средств. Именно этот орган организует централизованный контроль в сети, получает данные контроля или доклады пользователей со своих рабочих мест об обнаружении вирусов и обеспечивает внедрение принятых решений по управлению системой антивирусной защиты.

 

3.3 Классификация антивирусных программ

Классифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения.

Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, а on demand-продукты - сканерами.

Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт - это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку, в соответствии с рисунком 3.1.

 

Рисунок 3.1- Схема классификации антивирусных программ

Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Программы двойного назначения - это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker - ревизор изменений на основе контрольных сумм - может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.

 

 

3.3.1   Антивирус Касперского

Антивирус Касперского 6.0 для Windows Servers Enterprise Edition защищает данные на серверах под управлением Microsoft Windows (включая версии x86-64) от вредоносных программ. Продукт разработан специально для высокопроизводительных корпоративных серверов. Эффективная защита от вредоносных программ. Постоянная антивирусная защита. Приложение проверяет все запускаемые, открываемые и модифицируемые файлы, проводит лечение или удаление зараженных объектов, а также изолирует подозрительные объекты в карантине для дальнейшего анализа.

Проверка по требованию. Приложение проводит антивирусную проверку в заданных областях по запросу администратора или по расписанию. Проверка критических областей системы. Отдельная задача позволяет проверять области ОС, наиболее подверженные заражению. Например, проверка объектов автозапуска помогает предотвратить запуск вируса при старте системы, обнаружить скрытые процессы. В числе областей, наиболее подверженных заражению, находятся объекты автозапуска и оперативной памяти. Предотвращение вирусных эпидемий. Приложение фиксирует возникновение вирусных атак, что позволяет администратору системы оперативно предпринимать ответные меры: запускать сканирование, обновлять базы или включать повышенный уровень защиты системы.

Изоляция зараженных компьютеров. Если какая-то из рабочих станций в сети заражена, то приложение запрещает пользователю обращаться к ресурсам сервера в течение определенного времени. За этот период администратор может выявить источник заражения и провести лечение. Защита терминальных серверов. Поддержка кластеров. Приложение готово к работе на терминальных серверах Citrix и Microsoft Terminal. Оно обеспечивает полноценную нотификацию терминальных пользователей при обнаружении зараженных объектов. Кроме этого, Антивирус Касперского может быть использован для защиты кластера серверов. Масштабируемость. При использовании многопроцессорных серверов администратор задает количество рабочих процессов антивируса для ускорения обработки запросов к серверу.

Оптимизация проверки. Технологии iSwift и iChecker позволяют существенно увеличить скорость работы приложения: программа проверяет все объекты только при первой проверке по требованию, а при последующих – только новые и измененные файлы.

Недостатки:  не совместим с Windows 2008 R2 terminal servers. [20]

 

 

 

3.3.2. Trend Micro ServerProtect for Microsoft Windows/Novell NetWare

Защита от распространения вирусов по вашей сети за счет блокирования угроз до того, как они попадут к конечному пользователю. Trend Micro ServerProtect для Microsoft Windows и Novell NetWare сканирует, находит и удаляет вирусы из обычных и сжатых файлов в реальном времени. ServerProtect предоставляет поддержку и защиту в режиме 24х7 благодаря тому, что его база вирусов постоянно пополняется и автоматически обновляется. Централизованное управление серверами через веб-консоль облегчает защиту сети.

Основные возможности: защита от вирусов в режиме реального времени, проверка файловой системы по запросу или по расписанию, многопоточный сканирующий механизм, сертификат совместимости с Microsoft Windows Server 2003/2000 Datacenter, управление защитой на основе задач позволяет осуществлять гибкое распределение ресурсов в зависимости от режима работы серверов.

Обеспечивается сбор истории вирусной активности по всем серверам в единый протокол, данные из которого затем можно экспортировать в какое-либо внешнее приложение для подробного анализа. Централизованное управление всеми серверами, расположенными на одной площадке

Используется механизм фрагментарного обновления (incremental update), позволяющий загружать только сигнатуры новых вирусов, добавленные за время, прошедшее с момента последнего обновления базы данных. Автоматическое или ручное обновление вирусных сигнатур и сканирующего модуля.

Примечание: корпорация Trend Micro в большинстве случаев рекомендует использовать для защиты файловых серверов Windows продукт Office Scan Client-server edition. Однако, в случае необходимости использования управления на основе задач а также для защиты высоконагруженных серверов сохраняется поддержка Server Protect. [20]

3.3.3   Panda Security for File Servers

 

Panda Security File Servers разработан для компаний, которым необходима защита их файловых серверов. Продукт гарантирует всестороннюю защиту всей хранимой и открытой сотрудниками для совместного использования информации в корпоративной сети. Продукт представляет собой идеальное высокопроизводительное решение для защиты файловых серверов Windows с минимальным использованием системных ресурсов, предоставляя сканирование как постоянное, так и по запросу.

Продукт содержит технологии TruPrevent (HIPS), которые предлагают проактивную, превентивную защиту от всех типов вредоносных программ.

Продукт предотвращает распространение массивных вирусных атак, шпионов, рекламное ПО, червей, троянцев... когда компьютеры получают доступ к открытым сетевым ресурсам.

Проверяет обновления сигнатурного файла и новые образцы поведений вредоносных программ каждый час. Отслеживает каналы распространения инфекций и гарантирует соблюдение правил доступа к системным ресурсам.

Полноценный антивирусный движок обнаруживает подозрительные файлы даже в тех случаях, когда они открыты в эксклюзивном режиме. Сканирует сжатые файлы на серверах. Централизованное и удаленное администрирование сетей с различными отчетами для облегчения административных задач.

 

Сканирование процессов в памяти позволяет обнаруживать скрытые процессы и сканировать файлы и следы этих процессов. Если эти файлы или следы содержат вредоносный код, они будут вылечены.

Контролирует поведение пользователя, через которого инфекции могли бы проникнуть в сеть. [20]

 

3.3.4  ESET NOD32 Smart Security Business Edition

ESET NOD32 Smart Security Business Edition - комплексная защита серверов и рабочих станций для всех типов организаций, включающая в себя антивирус, антишпион, антиспам, персональный файервол, а также приложение ESET Remote Administrator, которое обеспечивает обновление и централизованное администрирование в корпоративных сетевых средах или глобальных сетях, в соответствии с рисунком 3.2. 

 

 

Рисунок  3.2- Централизованное управление

 

Масштабируемое решение ориентировано на предприятия от 5 до 100 000 ПК в рамках одной структуры устанавливается как на сервер, так и на рабочие станции. Современные технологии, проактивная защита от неизвестных угроз применение интеллектуальных технологий, сочетающих эвристический и сигнатурный методы детектирования, обновляемое эвристическое ядро ThreatSenseтм, регулярное автоматическое обновление сигнатурных баз.

Фильтрация почтового и веб-контента; антиспам полное сканирование всей входящей корреспонденции через протокол POP3 и POP3s, сканирование входящей и исходящей электронной почты, подробный отчет по обнаруженным вредоносным программам и спам-фильтрации,антиспам надежно защищает пользователя от нежелательных сообщений.

Полная интеграция в популярные почтовые клиенты: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail и Mozilla Thunderbird, The Bat!.

Персональный файервол, защита от внешних вторжений, низкоуровневое сканирование трафика обеспечивает высокий уровень защиты от сетевых атак, пять режимов работы: автоматический режим, автоматический режим с исключениями, интерактивный режим, режим на основе политик и режим обучения.

Централизованное управление. С помощью решения ESET Remote Administrator можно удаленно осуществлять инсталляцию и деинсталляцию программных продуктов ESET, контролировать работу антивирусного ПО, создавать внутри сети серверы для локального обновления продуктов ESET («зеркала»), позволяющие существенно сокращать внешний интернет-трафик.

Удобные отчеты. ESET NOD32 Business Edition автоматически формирует отчет по обна­руженным инфицированным объектам, отправленным в карантин, по динамике угроз, событиям, проверкам, задачам, можно сформировать различные комбинированные отчеты и т.д. Возможна отправка предупреждений и сообщений через протокол SMTP или посредством менеджера сообщений.

Поддержка файловых серверов: Windows, Novell Netware и Linux/FreeBSD. Операционные системы:

Microsoft Windows 7/Vista/XP/ 2000 (32-bit e 64-bit версии)

Microsoft Windows Server 2000 / 2003 / 2008 (32-bit и 64-bit версии)

Linux (RedHat, Mandrake, SuSE, Debian и др., FreeBSD 4.X, 5.X и 6.Х, NetBSD 4)

Novell Netware 4.x, 5.x и 6.х, Solaris 10.  [20]

 

Таким образом, сравнительная таблица 1, для решения задач оптимального выбора будет иметь следующий вид:

Таблица  1. Сравнительная таблица

Наименование показателя

Антивирусные программные продукты

Kaspersky Antivirus

Trend Micro ServerProtect

Panda Security

Nod 32

 

1

Алгоритм нахождения вируса

Эврист.

Эврист.

Эмуляц.

Эврист

Эмуляц.

Эврист

 

  2

Анализ поведения программ

есть

есть

Есть

есть

 

3

Проверка макросов

есть

есть

Нет

нет

 

4

Firewall

есть

нет

Нет

есть

 

5

Структура программной системы

модульная

монолитная

монолитная

модульная

 

6

Число поддерживаемых семейств ОС

14

10

11

20

 

7

Объем дистрибутива (Мб)

70МБ

81 МБ

85МБ

46 MB

 

 

Для решения задачи оптимизации преобразуем эту таблицу в числовую форму с одновременной нормализацией данных, таблица 2.

  Таблица  2  Нормализация данных

Наименование показателя

Антивирусные программные продукты

Kaspersky Antivirus

Trend Micro ServerProtect

Panda Security

Nod 32

1

Алгоритм нахождения вируса

0,5

0,5

1

1

2

Анализ поведения программ

1

1

1

1

3

Проверка макросов

1

1

0

0

4

Firewall

1

0

0

1

5

Структура программной системы

1

0,5

0,5

1

6

Число поддерживаемых семейств ОС

0,33

0,33

0,33

1

7

Объем дистрибутива (Мб)

0,27

0,16

0,18

0,6

 

 

Задачи оптимизации будем решать как поиск такого средства, для которого взвешенная сумма из 7 основных характеристик будет максимальной:

 

[3.1]

Где ai–весовой коэффициент, причем , pi–числовое значение параметра. Вычисления приведены в таблице 3.

 

Таблица 3 - Критерий J

Наименование показателя

Ai

Антивирусные программные продукты

Kaspersky Antivirus

Trend Micro ServerProtect

Panda Security

Nod 32

1

Алгоритм нахождения вируса

0,25

0,5

0,5

1

1

2

Анализ поведения программ

0,2

1

1

1

1

3

Проверка макросов

0,17

1

1

0

0

4

Проверка скрипов

0,13

1

1

1

1

5

Структура программной системы

0,08

1

0,5

0,5

1

6

Число поддерживаемых семейств ОС

0,12

0,33

0,33

0,33

1

7

Объем дистрибутива (Мб)

0,05

0,27

0,16

0,18

0,6

8

Критерий J

1

0,7581

0,7126

0,6686

0,81

 

Из таблицы 3 видно, что оптимальным антивирусным средством по указанному критерию является NOD 32. Следующим по значимости идет Антивирус Касперского, чуть хуже - Trend Micro ServerProtect, следом Panda Security.

 

3.4  Программно-аппаратный МЭ

Межсетевой экран (МЭ) (firewalls) или брандмауэр предназначен для контроля над исходящей и входящей в систему информацией, то есть он занимается фильтрацией потока данных на заранее оговоренных условиях. Эти условия задаются системным администратором сети и способствует предотвращению атак со стороны внешней сети. Кроме внешних МЭ существуют и внутренние, которые занимаются контролем над потоком между сегментами локальной сети. 
Межсетевые экраны можно классифицировать по тому на каком уровне они работают: канальном, сетевом, транспортном, прикладном. В зависимости от уровня различаются и задачи МЭ. Чем ниже уровень, тем выше производительность и ниже стоимость. Чем выше уровень, тем больше задач способен решать межсетевой экран. Например, при фильтрации на сетевом уровне возможно просмотреть структуру локальной сети из глобальной. 
Сегодня на российском рынке МЭ присутствует огромное количество их наименований, но рекомендуется при их выборе исходить из того, что приобретаемые средства должны быть сертифицированы Гостехкомиссией при Президенте РФ или ФАПСИ. В таблице 4 представлены некоторые из сертифицированных межсетевых экранов.
Как видно из таблицы все МЭ разделены на классы. Всего установлено 5 классов защищенности. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Например, для автоматизированных систем (АС):
2 класс, работа с грифом СС;
3 класс, работа с грифом С.

 

 

 

 

 

 

 

 

Таблица 4- Сертифицированные межсетевые экраны

Название МЭ

Класс защищенности по руководящему документу (РД) и номер сертификата

Аппаратно-программный комплекс МЭ “Застава-Джет” под управлением ОС Solaris 2.5.1.

Сертификат СЗИ №146 выдан 14.01.1998 г. Гостехкомиссией России. (По классу 2 СВТ )

МЭ “CyberGuard” версии 4.0

Сертификат СЗИ №171 выдан 24.04.1998 г. Гостехкомиссией России. (По классу 3 СВТ)

Аппаратно-программные комплексы на базе маршрутизаторов Bay Networks: Advanced Remote Node, Access Stack Node 2 (ASN2), BackBone Node (BN)

4 по РД “МЭ” - № 175

Программный комплекс “Межсетевой экран FireWall-1/VPN-1” версии 4.0, Service Pack 2

4 по РД “МЭ” - № 230

Программно-аппаратный комплекс ФПСУ-IP

по 3 классу для МЭ - № 233

Аппаратно-программные комплекс “МЭ WatchGuard”

4 по РД “МЭ” - № 236

СКЗИ от НСД в сетях передачи данных по протоколу TCP/IP - МЭ “Пандора” (на базе МЭ “Gauntlet” версии 3.1.1.)

Сертификат СЗИ №73 выдан 16.01.1997 г. Гостехкомиссией России. (По классу 3Б АС)

 

Сертификат СЗИ №183 выдан 10.06.1998 г. Гостехкомиссией России. (По классу 3 МЭ)

 

 

Системы уровня сети занимаются тем, что анализируют проходящий трафик, сравнивают его с известными сигнатурами атак и принимают решение о вторжении в случае совпадения кода. В этом случае делается запись журнале и извещается системный администратор. Ну и конечно же СОВ пытается сама противодействовать атаке.

Процедурная же модель систем обнаружения вторжений занимается тем же, что и система сетевого уровня, а также фиксирует и исследует проходящую работу, пытаются адаптироваться к данной сети.

Система обнаружения вторжений является неплохим дополнением к МЭ и в ряде случаев занимаются облегчением труда системных администраторов, но в тоже время обладает существенным недостатком, коим обладают и антивирусные сканеры: СОВ не способны обнаружить неизвестные вторжения, пока не будут обновлены сигнатуры. [9]

 

 

 

 

Рисунок 3.3- Защита МЭ

 

 

 

3.4.1 Выбор программно-аппаратного МЭ

 

1) Cisco ASA 5520

 Адаптивная Security Appliance поставляет широкий спектр охранных услуг с Active / Активный высокой доступности и Gigabit Ethernet для подключения средних предприятий сетей, в модульных, высокую производительность устройства. С помощью своих четырех Gigabit Ethernet интерфейсов и поддержкой до 25 VLANs, предприятия могут легко развертывать эти службы безопасности на несколько зон, в пределах своей сети. Cisco ASA 5520 Адаптивная Security Appliance в масштабе предприятия, как их сети требованиям безопасности возрастать, обеспечивая прочную защиту инвестиций. Предприятия могут продлить свою IPSec и SSL VPN потенциала через многочисленные средства для поддержки большего числа мобильных работников, удаленных объектах, а также деловых партнеров. VPN потенциал может быть увеличен за счет использования комплексных кластеризации VPN и балансировки нагрузки, возможности Cisco ASA 5520 Адаптивная Security Appliance, а также более чем вдвое каждой платформы VPN потенциала путем установки VPN обновлении лицензии. Advanced прикладного уровня безопасности и анти-х оборону, представленной Cisco ASA 5520 Адаптивная Security Appliance может быть продлен путем размещения высокопроизводительных служб безопасности модуля.

 С помощью факультативных безопасности контексте возможности Cisco ASA 5520 Адаптивная Security Appliance, предприятия могут разместить до 10 виртуальных межсетевых экранов в устройство, чтобы характер контроля политик безопасности на уровне департаментов. Это виртуализации укрепляет безопасность и снижает общее руководство и поддержку в то время как расходы по консолидации многочисленных охранных устройств в одном устройстве. [21]

 

 

 

2) D-Link - DFL-2500 [DFL-2500]

По мере того, как бизнес-процессы становятся все более зависимыми от сетевой инфраструктуры, капиталовложения, сделанные в решения по безопасности становятся все более значимыми. D-Link представляет межсетевые экраны серии NetDefend нового поколения, являющиеся комплексным решением по обеспечению безопасности сетей предприятий. Серия NetDefend учитывает растущие требования, предъявляемые к сетевой безопасности, защите от атак хакеров, вирусным угрозам и повышению конфиденциальности информации. Каждый межсетевой экран этой серии обеспечивает высокий процент возврата инвестиций, благодаря поддержке широкого набора функций, гибкой настройке и высокому уровню защиты сети.

Устройства серии NetDefend представляют собой законченное решение в области безопасности, включающее встроенную поддержку межсетевого экрана, балансировки нагрузки, функций отказоустойчивости, механизма Zone-Defense, фильтрации содержимого, аутентификации пользователей, блокировки «мгновенных» сообщений и приложений Р2Р, защиты от атак «отказ в обслуживании» DoS. Эти устройства соответствуют требованиям предприятий к безопасности и удаленному доступу, обеспечивая высокопроизводительное решение по разумной цене. В межсетевых экранах гармонично объединены расширенные функции, предоставляющие администраторам сетей решение безопасности «все в одном» business-класса.

Для того чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны поддерживают специальную функцию - Zone-Defense, представляющую собой механизм, позволяющий им работать с коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность. Функция Zone-Defense автоматически изолирует инфицированные компьютеры сети и предотвращает распространение ими вредоносного трафика.

Аппаратная спецификация межсетевых экранов NetDefend включает высокоскоростные процессоры, большие базы данных и вычислительные мощности, позволяющие обрабатывать до миллиона параллельных сессий. Устройства поставляются с несколькими, настраиваемыми пользователями интерфейсами, включая порты Gigabit Ethernet, позволяя развертывать гибкие, масштабируемые и свободные от «узких» мест сети, объединяющие между собой различные рабочие группы и предприятия.

Все межсетевые экраны данной серии поддерживают удаленное управление через Web-интерфейс или выделенное соединение. Они включают набор функций для мониторинга и поддержания состояния и безопасности сети, в том числе отправку уведомлений по email, ведение журнала системных событий и предоставление статистики в режиме реального времени. Эти функции, наряду с возможностью обновления программного обеспечения, гарантируют, что межсетевой экран сможет предоставить максимальную производительность и безопасность для сети. [21]

 

3) D-Link - DFL-260 [DFL-260]

D-Link, лидер в предоставлении комплексных сетевых решений для SOHO и SMB, поставляющий широкий набор оборудования (от широкополосных модемов/маршрутизаторов до управляемых коммутаторов Fast/Gigabit Ethernet, а также оборудование для беспроводных LAN, IP-камеры и NAS), представляет высокопроизводительный межсетевой экран NetDefend UTM, полностью удовлетворяющий потребностям бизнеса в создании интегрированной сети, включающей различные продуктовые линейки.

Межсетевой экран D-Link серии NetDefend UTM DFL-260 является надежным решением для обеспечения безопасности, позволяющим защитить офисы SMB от различных сетевых угроз. Этот межсетевой экран поддерживает трансляцию сетевых адресов (NAT), виртуальные частные сети (VPN), активную сетевую безопасность, систему предотвращении вторжений (IPS), фильтрацию Web-содержимого (WCF), антивирусную (AV) защиту и управление полосой пропускания – и весь этот функционал реализован в едином компактном настольном корпусе. При этом устройство может легко интегрироваться в существующую сеть.

Межсетевой экран для сетей SOHO DFL-260 обеспечивает законченное решение для управления, мониторинга и обслуживания безопасной сети. Среди функций управления: удаленное управление, политики управления полосой пропускания, блокировка по URL/ключевым словам, политики доступа и SNMP. Также поддерживаются такие функции сетевого мониторинга, как уведомление по e-mail, системный журнал, проверка устойчивости и статистика в реальном времени.

Производительность VPN DFL-260 поддерживает встроенный VPN-клиент и сервер, что позволяет работать практически с любой политикой VPN и осуществлять подключение филиалов к головному офису по безопасной сети. Пользователи, работающие на дому, также могут безопасно подключиться к сети для доступа к внутренним данным компании и получения электронной почты. DFL-260 поддерживает аппаратный VPN engine для поддержки и управления широким диапазоном сетей VPN. Это устройство поддерживает протоколы IPSec, PPTP и L2TP в режиме Клиент/Сервер и осуществляет обработку проходящего через него трафика.

Расширенные опции настройки VPN включают: шифрование ES/3DES/AES/Twofish/Blowfish/CAST-128, управление ключами IKE/ISAKMP или вручную, согласование режимов Quick/Main/Aggressive и поддержка аутентификации VPN, используя внешний RADIUS-сервер или базу данных пользователей.

Unified Threat Management (UTM) DFL-260 оснащен системой обнаружения и предотвращения вторжений (IDP/IPS), антивирусом (AV) и фильтрацией Web-содержимого для проверки и защиты содержимого на 7 уровне. Используемый в данном устройстве аппаратный ускоритель увеличивает производительность IPS и AV, управляющей базы поиска в Web, содержащей миллионы URL для фильтрации Web-содержимого (WCF). Сервисы обновления IPS, антивируса и базы данных URL защищают офисную сеть от вторжений, червей, вредоносных кодов и удовлетворяют потребностям бизнеса по управлению доступом сотрудников к Интернет.

Мощная система предотвращения атак (IPS), использует уникальную технологию IPS – компонентные сигнатуры, которые позволяют распознавать и обеспечивать защиту, как против известных, так и против новых атак. В результате данное устройство помогает при атаках (реальных или потенциальных) значительно снизить влияние на такие важные аспекты, как полезная нагрузка, закрытая информация, а также предотвратить распространение инфекций и компьютерные вторжения. База данных IPS включает информацию о глобальных атак и вторжениях, собранную на публичных сайтах (например, National Vulnerability Database и Bugtrax). DFL-260 обеспечивает высокую эффективность сигнатур IPS, постоянно создавая и оптимизируя сигнатуры NetDefend через D-Link Auto-Signature Sensor System. Эти сигнатуры обеспечивают высокую точность обнаружения при минимальном количестве ошибочных срабатываний.

Фильтрация Web-содержимого помогает работодателям осуществлять мониторинг, управление и контроль использования сотрудниками предоставленного им доступа к Интернет. DFL-260 поддерживает несколько серверов глобальных индексов с миллионами URL и информацией в реальном времени о Web-сайтах, что позволяет увеличить производительность и обеспечить максимальную доступность сервиса. В этом межсетевом экране используются политики с множеством параметров, а также белые и черные списки, что позволяет запретить или разрешить доступ в заданное время к Web-сайтам для любой комбинации пользователей, интерфейсов и IP-сетей. Эти устройства также позволяют обходить потенциально опасные объекты, включая Java-апплеты, Java-скрипты/VBS-скрипты, объекты ActiveX и cookies, активно обрабатывая содержимое Интернет.

Аппаратный ускоритель. Благодаря встроенным аппаратным ускорителям, межсетевой экран DFL-260 позволяет одновременно выполнять функции IPS и антивирусного сканирования, не снижая производительность межсетевого экрана и VPN. Помимо этого, аппаратные ускорители обеспечивают работу межсетевого экрана DFL-260 с большей производительностью, по сравнению с аналогичными межсетевыми экранами UTM, представленными на рынке. [21]

 

 

4) D-Link - DFL-210 [DFL-210]

По мере того, как бизнес-процессы становятся все более зависимыми от сетевой инфраструктуры, капиталовложения, сделанные в решения по безопасности становятся все более значимыми. D-Link представляет ряд мощных решений нового поколения для защиты сетей предприятий Серия NetDefend учитывает растущие требования, предъявляемые к сетевой безопасности, защите от атак хакеров, вирусным угрозам и повышению конфиденциальности информации. Каждый межсетевой экран этой серии обеспечивает высокий процент возврата инвестиций, благодаря поддержке широкого набора функций, гибкой настройке и высокому уровню защиты сети.

Устройства серии NetDefend представляют собой законченное решение в области безопасности, включающее встроенную поддержку межсетевого экрана, балансировку нагрузки, функции отказоустойчивости, механизм Zone-Defense, фильтрацию содержимого, аутентификацию пользователей, блокировку «мгновенных» сообщений и приложений Р2Р, защиту от атак «отказ в обслуживании» DoS и поддержку виртуальных локальных сетей VPN. Эти устройства соответствуют требованиям предприятий различного масштаба, от SOHO до Enterprise к безопасности и удаленному доступу, обеспечивая высокопроизводительное решение по разумной цене. В межсетевых экранах эффективно объединены расширенные функции, предоставляющие администраторам сетей решение безопасности business-класса «все в одном».

Для того, чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны поддерживают специальную функцию - Zone-Defense, представляющую собой механизм, позволяющий им работать совместно с управляемыми коммутаторами D-Link и обеспечивающий активную сетевую безопасность. Функция Zone-Defense автоматически изолирует инфицированные компьютеры сети и предотвращает распространение ими вредоносного трафика.

Аппаратная спецификация межсетевых экранов NetDefend включает высокоскоростные процессоры, базы данных и вычислительные мощности, позволяющие обрабатывать до миллиона параллельных сессий. Эти межсетевые экраны поставляются с несколькими сетевыми интерфейсами, настраиваемыми пользователями, включая порты Gigabit Ethernet, позволяя развертывать гибкие, масштабируемые и свободные от «узких» мест сети, объединяющие между собой различные рабочие группы и предприятия.

Все межсетевые экраны серии NetDefend поддерживают удаленное управление через Web-интерфейс, как из локальной подсети, так и через выделенное VPN-соединение.

Устройства также включают в себя набор функций для мониторинга и поддержания состояния и безопасности сети, в том числе отправку уведомлений по электронной почте, ведение журнала системных событий и предоставление статистики в режиме реального времени. Эти функции, наряду с возможностью обновления программного обеспечения, гарантируют, что межсетевой экран сможет предоставить максимальную производительность и безопасность для сети.  [21]

 Основные характеристики МЭ, представлены в таблица 5.

 

 

Таблица 5 - Сравнительная таблица

Характиристики

Название

D-Link - DFL-2500

2 D-Link - DFL-260

2 D-Link - DFL-210

Cisco ASA 5520

Пропускная способность МСЭ, Мбит/с

Пропускная способность VPN IPSec (AES), Мбит/с

 

150/60

80/25

80/25

100/30

Количество портов

40

25

25

25

Предотвращение DoS/DDoS-атак

 

Есть

есть

есть

есть

Отказоустойчивость:

высокая

средняя

средняя

средняя

Балансировка нагрузки

Есть

есть

есть

есть

Стоимость в руб.

154475 руб

20439 руб

16346 руб.

 

17540 руб.

 

 

Из таблицы 5 видно, что оптимальным средством Cisco ASA 5520.  Это устройство соответствует требованиям предприятия к безопасности и удаленному доступу, обеспечивая высокопроизводительное решение по разумной цене.

Учитывает  требования, предъявляемые к сетевой безопасности, защите от атак хакеров, вирусным угрозам и повышению конфиденциальности информации. Межсетевой экран этой серии обеспечивает высокий процент возврата инвестиций, благодаря поддержке широкого набора функций, гибкой настройке и высокому уровню защиты сети.

 

Вид антивирусной защиты частного предприятия «_», после монтажа, установки и настройки ПО.

 

 

 

 

 

 

Рисунок 3.4- Защищенная сеть «_»

 

 

 

Выводы.

 

Установка антивируса ESET NOD32 Smart Security Business Edition совместно с межсетевым экраном Cisco ASA 5520 обеспечют высокий процент возврата инвестиций, благодаря поддержке широкого набора функций, невысокой стоимости, гибкой настройке и высокому уровню защиты сети.

Предложения, дополнения и замечания.

 

1) Защита помещения от возможного прослушивания и утечки информации.

2) Необходимо разработать нормативную базу, которая позволит соблюсти необходимый режим в организации, позволяющий не допустить посторонних лиц к секретам фирмы.

3) Использование сертифицированных криптографических средств при передаче и хранении секретной информации.

4) Электрическое разделение корпоративной сети на две независимые: сеть для передачи секретной информации, сеть для передачи открытой информации.

4. Защита информации посредством Windows 2003 server

4.1.  Анализ возможностей системы разграничения доступа  Windows 2003 Server

 

Windows 2003 Server имеет средства обеспечения безопасности, встроенные в операционную систему. Ниже рассмотрены наиболее значимые из них.

4.1.1. Слежение за деятельностью сети

 

Windows 2003 Server дает много инструментальных cредств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть сервер и увидеть, какие ресурсы он  использует; увидеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.

 

4.1.2.  Начало сеанса на рабочей станции

 

Всякий раз, когда пользователь начинает сеанс на рабочей станции, экран начала сеанса запрашивает имя пользователя, пароль и домен. Затем рабочая станция посылает имя пользователя и пароль в  домен для идентификации. Сервер в  домене проверяет имя пользователя и пароль в базе данных учетных карточек пользователей домена. Если имя пользователя и пароль идентичны данным в учетной карточке, сервер уведомляет рабочую станцию о начале сеанса. Сервер также загружает другую информацию при начале сеанса пользователя, как например установки пользователя, свой каталог и переменные среды.

По умолчанию не все учетные карточки в домене позволяют входить в систему. Только карточкам групп администраторов, операторов сервера, операторов управления печатью, операторов управления учетными карточками и операторов управления резервным копированием разрешено это делать.

Для всех пользователей сети предприятия предусмотрено свое имя и пароль.

 

4.1.3.  Учетные карточки пользователей

 

Каждый клиент, который использует сеть, должен иметь учетную карточку пользователя в  домене сети. Учетная карточка пользователя содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные  ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе, таблица 4.1 показывает содержимое учетной карточки пользователя.

 

Таблица 4.1- Содержимое учетной карточки

Учетная карточка пользователя.

Элемент учетной карточки.

Комментарии.

Username

Имя пользователя

Уникальное имя пользователя, выбирается при регистрации.

Password

Пароль

Пароль пользователя.

Full name

 

Полное имя

 

Полное имя пользователя.

 

Logon hours

 

Часы начала сеанса

 

Часы, в течение которых пользователю позволяется входить в систему. Они влияют на вход в систему сети и доступ к серверу. Так или иначе, пользователь вынужден будет выйти из системы, когда его часы сеанса, определенные политикой безопасности, истекут

 

 

 

 

 

 

 

 

 

 

 

Продолжение таблицы 4.1

Logon workstations

Рабочие станции

Имена рабочих станций, на которых пользователю позволяется работать. По умолчанию пользователь может использовать любую рабочую станцию, но возможно введение ограничений.

Expiration date

Дата истечения срока

Дата в будущем, когда учетную карточку автоматически исключают из базы, полезна при принятии на работу временных служащих

Учетная карточка пользователя.

Элемент учетной карточки.

Комментарии.

Home directory

Собственный каталог

Каталог на сервере, который принадлежит пользователю; пользователь управляет доступом к этому каталогу.

Logon script

Сценарий начала сеанса

 

Пакетный или исполняемый файл, который запускается автоматически, когда пользователя начинает сеанс.

 

Profile

 

Установки (параметры)

 

Файл, содержащий запись о параметрах среды рабочего стола (Desktop) пользователя, о таких, например, как сетевые соединения, цвета экрана и установочные параметры, определяющие, какие аспекты среды, пользователь может изменить.

 

Account type

 

Тип учетной карточки

Тип учетной карточки - глобальный или локальный

 

4.1.4.  Журнал событий безопасности

 

Windows 2003 Server позволяет определить, что войдет в ревизию и будет записано в журнал событий безопасности всякий раз, когда выполняются определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает выполненное действие, пользователя, который выполнил его, а также дату и время действия. Это позволяет контролировать как успешные, так и неудачные попытки каких-либо действий.

Журнал событий безопасности  для условий предприятиа является обязательным, так как в случае попытки взлома сети можно будет отследить источник.

Таблица 4.2 включает категории событий, которые могут быть выбраны для ревизии, а также события покрываемые каждой категорией.

 

Таблица 4.2- Категории событий для ревизии

Категория
События

Начало и конец сеанса

Попытки начала сеанса, попытки конца сеанса; создание и завершение сетевых соединений к серверу

Доступ к файлам и объектам

 

Доступы к каталогу или файлу, которые устанавливаются для ревизии в диспетчере файлов; использование принтера, управление компьютером

 

Использование прав пользователя

 

 

Успешное использование прав пользователя и неудачные попытки использовать права, не назначенные пользователям

 

Управление пользователями и группами

 

Создание, удаление и модификация учетных карточек пользователя и групп

 

Изменения полиса безопасности

 

Предоставление или отменена прав пользователя пользователям и группам, установка и разрыв связи доверия с другими доменами

 

Перезапуск, выключение и система

 

Остановка и перезапуск компьютера, заполнение контрольного журнала и отвержение данных проверки если контрольный журнал уже полон

 

Трассировка процесса

Начало и остановка процессов в компьютере

 

 

 

 

 

 

 

Таблица 4.3 показывает типы доступа к каталогам и файлам, которые можно проверить.

 

 
Таблица 4.3- Типы доступа к каталогам и файлам
Доступ к каталогу
Доступ к файлу

Отображение имен файлов в каталоге

 

Отображение данных, хранимых в файле

 

Отображение атрибутов каталога

Отображение атрибутов файла

 

Изменение атрибутов каталога

Отображение владельца файла и разрешений

Создание подкаталогов и файлов

 

Изменение файла

 

Переход в подкаталогах каталога

 

Изменение атрибутов файла

 

Отображение владельца каталога и разрешений

 

Запуск файла

 

Удаление каталога

 

Удаление файла

 

Изменение разрешений каталога

 

Изменение файловых разрешений

 

Изменение владельца каталога

 

Изменение владельца файла

 

 

 

 

 

 

4.1.5 Права пользователя

 

Права пользователя определяют разрешенные типы действий для этого пользователя. Действия, регулируемые правами, включают вход в систему на локальный компьютер, выключение, установку времени, копирование и восстановление файлов сервера и выполнение других задач.

В домене Windows 2003 Server права предоставляются и ограничиваются на уровне домена; если группа находится непосредственно в домене, участники имеют права во всех первичных и резервных контроллерах домена. В каждой рабочей станции  и в каждом компьютере Windows 2003 Server, который не является контроллером домена, предоставленные права применяются только к этому единственному компьютеру.

Для каждого пользователя предприятия обязательно устанавливаются свои права доступа к информации, разрешение на копирование и восстановление файлов. [2]

 

4.1.6.  Установка пароля и политика учетных карточек

 

Для  домена можно определить все аспекты политики пароля: минимальную длину пароля (по умолчанию 6 символов), минимальный и максимальный возраст пароля (по умолчанию устанавливается 14 и 30 дней) и исключительность пароля, который предохраняет пользователя от изменения его пароля на тот пароль, который пользователь использовал недавно (по умолчанию должен предохранить пользователей от повторного использования их последних трех паролей).

Дается возможность также определить и другие аспекты политики учетных карточек:

- должна ли происходить блокировка учетной карточки;

-   должны ли пользователи насильно отключаться от сервера по истечении часов начала сеанса;

-   должны ли пользователи иметь возможность входа в систему, чтобы изменить свой пароль.

Когда разрешена блокировка учетной карточки, тогда учетная карточка блокируется в случае нескольких безуспешных попыток начала сеанса пользователя, и не более, чем через определенный период времени между любыми двумя безуспешными попытками начала сеанса. Учетные карточки, которые заблокированы, не могут быть использованы для входа в систему. Блокировка учетной карточки обязательно должна быть установлена в предприятие, что бы предотвратить попытки входа в систему.

Если пользователи принудительно отключаются от серверов, когда время его сеанса истекло, то они получают предупреждение как раз перед концом установленного периода сеанса. Если пользователи не отключаются от сети, то сервер произведет отключение принудительно. Однако отключения пользователя от рабочей станции не произойдет. Часы сеанса в фирме устанавливаться не будут, так как в успешной деятельности заинтересованы все сотрудники и зачастую некоторые остаются работать сверхурочно или в выходные дни.

Если от пользователя требуется изменить пароль, то, когда он этого не сделал при просроченном пароле, он не сможет изменить свой пароль. При просрочке пароля пользователь должен обратиться к администратору системы за помощью в изменении пароля, чтобы иметь возможность снова входить в сеть. Если пользователь не входил в систему, а время изменения пароля подошло, то он будет предупрежден о необходимости изменения, как только он будет входить. Изменение своего пароля будет разрешено не для всех пользователей, в компьютерных классах будет запрещено менять пароль, эта возможность будет только у администрации сети.

 

4.1.7.  Шифрованная файловая система EFS

Windows 2003 предоставляет возможность еще больше защитить зашифрованные файлы и папки на томах NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2003 можно работать только с теми томами, на которые есть права доступа. В файловых системах, в которых не используется шифрование, если запускается компьютер по сети или воспользоваться загрузочной дискетой то можно получить доступ ко всем файлам, хранящимся на диске, так как на пользователя в этом случае не распространяются ограничения доступа, сведения о которых содержатся в специальных списках контроля доступа.

При использовании шифрованной файловой системы EFS можно файлы и папки, данные которых будут зашифрованы с помощью пары ключей. Любой пользователь, который захочет получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться. Система EFS так же обеспечивает схему защиты файлов в среде Windows 2003. Однако не следует забывать о том, что при использовании шифрования производительность работы системы снижается.[2]

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5. Расчеты затрат на создание сети

 

Для принятия решения о целесообразности создания корпоративной сети на предприятии необходима предварительная оценка ориентировочных трудовых, материальных и финансовых затрат на ее разработку.

В данном случае затраты на создание корпоративной сети складываются из расходов на оплату машинного времени при отладке настроек сети и на оплату труда разработчика.

 

Зобщ=Зпр + Змаш   (чел/час)

 

где: Зобщ – общие затраты на создание,

Зпр - затраты на оплату труда разработчика,

Змаш – расходы по оплате машинного времени.

Расходы на оплату труда разработчика определяются путем умножения трудоемкости настройки сети на среднечасовую оплату труда разработчика.

 

Зпр = ЗПсрч * Тобщ * К   (чел/ час)

 

где:  

Зпр – расходы по оплате труда разработчика,

ЗПсрч – среднечасовая заработная плата разработчика,

Тобщ – трудоемкость отладки,

К – коэффициент, учитывающий отчисления на социальные

нужды, дополнительную заработную плату, поясной коэффициент и т.д.

 

5.1 Определение трудоемкости настройки корпоративной сети

 

Tобщ= t1 + t2 + t3 + t4 + t5 + t6  (чел/час)

 

где:

t1 - затраты труда на подготовку описания задачи,

t2 - затраты труда на исследование  решения задачи,

t3 - затраты труда на исследование сетевой архитектуры,

t4 - затраты труда на настройку,

t5 - затраты труда на отладку,

t6 - затраты труда на подготовку документации.

Затраты труда на подготовку описания задачи (t1) точной оценке не поддаются, так как это связано с творческим характером работы.

Примем t1 = 24  чел/час.

Все остальные виды затрат труда можно выразить через условное  число клиентов сети.

 

Укс = У * Ксл * (1 + Ккор)

 

где:

Укс – условное число клиентов сети,

У – предполагаемое число клиентов сети,

Ксл – коэффициент сложности сетевой архитектуры

(Ксл = 1,25-2,0),

Ккор – коэффициент коррекции сетевой архитектуры в ходе разработки (Ккор = 0,05-1,0).

 

Укс = 20 * 1,5 * (1 + 0,05) = 31,5

 

 

Затраты труда на исследование решения задачи (t2):

 

t2 = Укс * Куз /  (5…10) * К

 

где:

Куз - коэффициент увеличения затрат труда, вследствие недостаточно точного описания задачи, последующих уточнений и дополнений (Куз = 1,2...1,5)

К – коэффициент, учитывающий квалификацию разработчика в зависимости от стажа работы:

Для работающих до 2-х лет   0.8

до 3-х лет 1

  до 5-и лет   1,1...1,2

  до 7-и лет   1,3...1,4

  свыше 7 лет 1,5...1,6

 

t2 = 31,5 * 1,35 / 7 * 1 = 6 (чел/час)

 

(5…10) среднее количество клиентов сети, подлежащих настройке в один час.

Затраты труда на исследование сетевой архитектуры (t3):

 

t3 = Укс / (3…5) * К = 31,5 / 4 * 1 = 8  (чел/час)

 

Затраты труда на настройку сети (t4) вычисляются также:

Принимаем t4 =8  (чел/час)

 

Затраты труда на  отладку (t5):

 

t5= (Укс  / (1…3) * К) * 1,5 = 16 (чел/час)

 

При комплексной отладке  t5 умножается 1,5.

Затраты на подготовку документации (t6):

 

t6  =  t61  +  t62 

 

где:

t61 - затраты труда на подготовку документации в рукописи,

t62 – затраты на оформление документации.

t61 =  Укс / (15…20) * К = 31,5 / (15…20) * 1 = 2 (чел/час)

t62 = 0.75 * t61 = 0.75 * 2 = 1 (чел/час)

 

итак:

t6 = 2 + 1 = 3 (чел/час)

 

Итого, общая трудоемкость создания программного продукта составит:

 

Тобщ = 24+6+8+8+16+3  = 65 (чел/час)

 

5.2 Определение среднечасовой оплаты труда разработчика

 

ЗПсрч = ОК / Др * Дпр

 

где:   ОК – оклад разработчика (5000 руб.),

Др - среднемесячное число рабочих дней (21 день),

Дпр – продолжительность рабочего дня (8 час).

ЗПсрч  =  5000 / 21 * 8 =  29,76 (руб/час)

Итак, расходы на оплату труда разработчика:

 

Зпр = ЗПсрч * Тобщ * Доп * Ур *  ( 1 + ЕСН)

 

где:  

Ур – уральский коэффициент, 15%

Доп – доплаты за вредные условия труда, 8%

ЕСН – единый соц. налог, 35,6%

 

Зпр = 29.76 *65 + 154.72 + 290 + 708 = 3087.12 (руб.)

 

Расходы по оплате машинного времени при отладке программного продукта определяются как произведение стоимости 1 часа машинного времени на трудозатраты по отладке:

 

Змаш  =  Тот  *  Счм

 

где: Счм – стоимость 1 часа машинного времени (30 руб.),

Тот – время отладки программы.

 

Змаш  =  16  * 30  =  480 (руб.)

 

Итак, общие затраты на создание программного продукта составляют:

 

Зобщ  =  3087.12  +  480  =  3567.12 (руб.)

 

 

 

 

 

5.3 Расчет затрат на организацию и обслуживание  локальной компьютерной сети

 

  Предприятие понесет затраты на приобретение недостающего для организации локальной информационной сети оборудования и программного обеспечения, в таблицах 5.1 и 5.2 приведен расчет необходимых денежных средств.

 

Таблица 5.1 Расчет затрат на приобретение

 

Наименование

Количество шт.

Цена за ед., руб.

Сумма, руб.

ESET NOD32 Smart Security Business Edition

1

17558

17558

Лицензия на 25 рабочих станций

25

1000

25000

МЭ Cisco ASA 5520

1

17540

17540

Итого:

 

 

60098

Таблица 5.2 Стоимость услуг

Наименование

Количество

Цена за ед.

Сумма, руб.

Прокладка кабеля в коробе

200

10

2000

Обжим кабеля

23

40

920

Наладка рабочей станции

23

200

4600

 

Продолжение табл. 7.2

Наладка сервера

1

1800

1800

Сопровождение сети (за 1 мес.):

Рабочие станции

Сервер

 

 

23

1

 

 

250

1300

 

 

5750

1300

Итого:

 

 

16370

 

Общая стоимость внедрения сети составит 3567.12 + 60098 + 16370 = 83035 рублей.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6. Безопасность жизнедеятельности

 

Совокупность факторов производственной среды, оказывающей влияние на здоровье и работоспособность человека в процессе труда называется условиями труда. Организация и улучшение условий труда на рабочем месте является одним из важных резервов производительности и эффективности труда.

Основными, при определении условий труда являются следующие вопросы:

- производственный микроклимат помещения;

- производственное освещение;

- воздействие шума и вибрации;

- электромагнитные излучения

- электропожаробезопасность;

- эргонометрические характеристики рабочего места.

 

6.1 Производственный микроклимат

 

Нормы производственного микроклимата  определяют оптимальные условия для рабочей зоны и нормируются в соответствии с ГОСТ 12.1.005-88 ССБТ (Общие санитарно-гигиенические требования к воздуху рабочей зоны). Контроль параметров воздушной среды осуществляется соответствующими специалистами с помощью следующих приборов:

- термометр (температура воздуха);

- психрометр (относительная влажность);

- анемометр (скорость движения воздуха);

- актинометр (интенсивность теплового излучения);

- газоанализатор (концентрация вредных веществ).

Для рассматриваемых помещений характерны следующие показатели:

 

1.  Комната системного администратора:

- температура воздуха 16-18 С - в холодное время года, 18-20 - в теплое;

  - относительная влажность воздуха 40-60% - в холодное время года, 55-75% - в теплое;

- скорость движения воздуха 0.2 м/с.

2.  Кабинет директора предприятия:

- температура воздуха 18-20 С - в холодное время года, 20-22 - в теплое;

  - относительная влажность воздуха 40-60% - в холодное время года, 55-75% - в теплое;

- скорость движения воздуха 0.2 м/с.

3. Основные производственные помещения, в которых находятся операторы ПЭВМ однотипны и обладают следующими климатическими показателями:

- температура воздуха 20-22 С - в холодное время года, 22-24 - в теплое;

  - относительная влажность воздуха 40-60% - в холодное время года, 55-75% - в теплое;

- скорость движения воздуха 0.2 м/с.

 

С целью создания комфортных условий труда, для поддержания влажности и оптимальной температуры в помещениях установлены кондиционеры («Electra”, вентиляция, охлаждение, увлажнение воздуха). Система кондиционирования воздуха обеспечивает поддержание необходимых параметров микроклимата, осуществляет очистку воздуха от пыли и вредных веществ.

 

 

 

 

6.2 Производственное освещение

 

Освещение служит одним из важнейших факторов влияющих на благоприятные условия труда. Рационально устроенное освещение на рабочих местах работников, обеспечивает высокий уровень работоспособности и оказывает положительное психологическое воздействие на работающих, способствует повышению производительности труда

Вся информация подается через зрительный анализатор. Вред. воздействие на глаза человека оказывают следующие опасные и вред. производственные факторы:

1. Недостаточное освещение рабочей зоны;

2. Отсутствие/недостаток естественного света;

3. Повышенная яркость;

4. Перенапряжение анализаторов (в т.ч. зрительных)

По данным ВОЗ на зрение влияет:

-  УФИ;

-  яркий видимый свет;

-  мерцание;

-  блики и отраженный свет.

 

Нормирование естественного освещения осуществляется СНиП 23-05-95 «Естественное и искусственное освещение» в зависимости от характера зрительной работы. Растет естественного освещения, состоит, в определении площади световых проемов. Для него используется формула:

Sp= (S * Lн * Кз * Nо/(100 * Т * R1)) * Кзт   (6.1)

где S - освещаемая площадь;

Lн, - нормируемое значение коэффициента естественной освещенности, равное 1,12 [16];

Кз - коэффициент запаса, зависящий от концентрации пыли в помещении и периодичности очистки стекол [17];

Nо - световая характеристика окна;

Ктз- коэффициент затенения;

Т - общий коэффициент светопропускания;

R1 - коэффициент учитывающий повышение н при отражении света от стен, потолка.

 

Освещаемая площадь в среднем для основных кабинетов равна S = 5 х 4 = 20 м. кв. Площадь оконных проемов – 3,75 м. кв.

Значение Lн определяется по формуле 6.2.

LнIV = LнIII * m * c,   (6.2)

где Lн - коэффициент естественной освещенности:

m - коэффициент светового климата;

с - коэффициент солнечности климата.

 

Lн = 2 * 0,8 * 0,7=1.12

 

Значение Кз определяется по СНиП 23-05-95 и при очистке окон 2 раза в год равен 1.2.

Значение Nо определяется конструкцией окон и согласно СНиП 23-05-95 равно 15.

Коэффициент затенения Кзт равен единице, так как отсутствуют противостоящие здания.

Значение Т определяется по формуле 6.3:

 

Т = T1 * Т2 * Т3 * Т4 * Т5 = 0,8 * 0,80 * 1 * 1 * 1 = 0,64 (6.3)

 

где: T1 = 0,8 - коэффициент светопропускания материала; [16]

Т2 = 0,80 - коэффициент потерь в переплетах окон; [16]

Т3 = 1 -коэффициент в несущих конструкциях, при боковом освещении; [16]

Т4 = 1 – коэффициент, учитывающий потери света в солнцезащитных устройствах; [16]

Т5 = 1 - коэффициент потерь света в защитной сетке для фонарей;[16]

 

Значение Т1 - Т5 определяются по СНиП 23-05-95.

Значение R1 определяются по СНиП 23-05-95 и равно 1,85.

Все значения взяты из таблицы 1 и 2 СНиП 23-05-95 [11].

Зная все параметры можно определять площадь световых проемов:

Sp= (20 * 1,12 *1,2 * 15 / 100 * 0,64 * 1,85) * 1 = 3,41 м кв.

Исходя из данных расчетов можем сделать вывод, что параметры площади световых проемов соблюдены.

Искусственное освещение создается электрическими светильниками. Приемы искусственного освещения позволяют изменить освещение помещений за счет переключения светильников. Нормирование искусственного освещения также осуществляется СНиП 23-05-95. Для общего освещения используют главным образом люминесцентные лампы, что обусловлено их достоинствами. Исходя из экономической целесообразности, выбираем люминесцентные лампы типа ЛБ белого цвета. Для расчета искусственного освещения применяют метод коэффициента использования потока. Коэффициент определяют по формуле:

F = Е * К * S * Z / N * C   (6.4)

где: F - световой поток;

Е - нормируемая минимальная освещенность;

Кз - коэффициент запаса [14]

S - освещаемая площадь;

Z - коэффициент неравномерности освещения;

С - коэффициент использования излучаемого светильниками светового потока на расчетной площади (среднее значение для компьютерных классов);

N - число светильников.

Норма освещенности:

Е = 400 лк;

К = 1,5;

S = 5 * 4 = 20 м2;

Z = 1,2

 

При выбранном типе и мощности люминесцентных ламп их необходимое количество определяется по формуле 6.5.

 

N = E * K * S * Z / F * С (6.5)

 

Наиболее приемлемыми для помещения являются люминесцентные лампы ЛБ (белого света) мощностью 80 Вт. Нормальный световой поток лампы ЛБ-80 равен F = 5320 люмен (лм).

Величина i, индексом помещения можно установить зависимость освещения от площади помещения и высоты подвеса эта величина рассчитывается по формуле  6.6 (СНиП 23-05-95):

 

i = A * B / h * (A + B)   (6.6)

 

где: А - длина помещения – 5 м;

В - ширина помещения – 4 м;

h - высота подвеса, которая определяется по формуле  6.7.

 

h = H – hp – hc (6.7)

 

где: Н - высота помещения – 3,2 м;

hp - высота рабочей поверхности – 0,8 м;

he - высота от потолка до нижней части лампы – 0.15 м.

При подстановке значения в формулу 6.7, нужно определить высоту подвеса.

h = 3,2 – 0,8 – 0,15 = 2,25 м

 

Получившееся значение нужно подставить в формулу 6.6, чтобы определить искомый индекс.

i = 0,98 м

Коэффициент использования светового потока на расчетной площади  С = 0,4. [таблице 1 СНиП 23-05-95]. В итоге число светильников получится равным:

N = 400 *0,98 * 20 * 1,1 / 5320 * 0,4 = 4,05

Таким образом потребуется 5 люминесцентных ламп.

Фактически в помещении имеется 3 светильника по 2 лампы ЛБ-80 в каждом.

Иная ситуация с комнатой системного администратора, в которой отсутствуют окна. Общая площадь ее равна 12 кв.м. Тип ламп не меняется, и их необходимое количество определяется по формуле   6.8.

 

N = E * K * S * Z / F * С (6.8)

 

N = 400 *0,98 * 12 * 1,1 / 5320 * 0,4 = 2,43

Таким образом в комнате системного администратора необходимы 3 лампы LK-80. В комнате же используются 2 светильника по 2 лампы ЛБ-80 в каждом.

 

 

 

6.3 Воздействие шума

 

Шум - всякий нежелательный для человека звук, мешающий восприятию полезных сигналов. Для измерения шума служат шумомеры типа ШВК с фильтром ФЭ-2, а так же виброакустическая аппаратура типа RFT. Нормативным документом является ГОСТ 12.1.003-83 ССБТ.

Допустимые уровни звукового давления, уровни звука и эквивалентные им уровни шума на рабочем месте  не должны превышать 20 дБ, что является областью звукового комфорта.

Источниками шума в рассматриваемых помещениях являются кондиционер, компьютер, принтер. Уровень шума - порядка 20  дБ, что не превышает допустимых уровней.

Внешний шум и вибрации в рассматриваемом помещении отсутствуют практически полностью, так как отделка выполнена с учетом требований звукоизоляции. 

 

6.4 Электромагнитные излучения

 

 Мониторы являются основным источником различных видов излучений (электромагнитного, ионизирующего, неионизирующего) и статического электричества. Электронно-лучевая трубка (ЭЛТ) монитора является потенциальным источником рентгеновского излучения.[17]

В данном случае на рабочем месте  установлены ПЭВМ типа IBM-PC с монитором Samsung SyncMaster 500S типа SVGA со следующими техническими характеристиками:

- Размер экрана 15 дюймов;

- Величина зерна (dot/pitch)  трубки по горизонтали, т. е. минимальный размер точки на экране монитора входит в норму от 0,22 до 0,41 мм;

- Частота регенерации изображения входит в норму от 75 Гц;

- Максимальное разрешение монитора для 15 дюймового монитора составляет 800на600 точек;

- монитор  удовлетворяет стандарту ТСО 92.95.99 и MPR – II.

Тем не менее, в течение рабочего дня необходимо равномерно распределять и чередовать различную по степени напряженности нагрузку  (ввод данных, редактирование программ, печать документов или чтение информации с экрана). При этом непрерывная работа за монитором не должна превышать четырех часов при 8 часовом рабочем дне, а количество обрабатываемых символов (знаков) 30 тыс. за 4 часа работы.

Таким образом, при использовании вышеуказанной аппаратуры и соблюдении изложенных требований условия работы  за дисплеем  выполнены в соответствии с основными требованиями санитарных норм и правил.

 

 

6.5 Электропожаробезопасность

 

Для обеспечения электробезопасности в помещении проверены следующие показатели:

- соответствие напряжения в сети тому на которое рассчитан ПК;

- наличие защитного заземления;

- меры защиты от перепадов в сети.

Приборы, находящиеся в помещении работают от номинального напряжения 220 В. В нашем случае применено заземление с изолированной нейтралью. Заземление выведено на заземляющий контур с сопротивлением 4 Ома. Заземление дисплеев осуществляется через системный блок ЭВМ.

 Соединение ПК с сетью выполнено с помощью трехжильного медного силового кабеля с вилкой, имеющей клеммы заземления. Все провода в рабочем помещении имеют характеристики, соответствующие токам и напряжениям в сети.

При эксплуатации ЭВМ возможны возникновения следующих аварийных ситуаций:

- короткие замыкания;

- перегрузки;

- повышение переходных сопротивлений в электрических контактах;

- перенапряжение;

- возникновение токов утечки.

 

6.6. Эргонометрические характеристики рабочего места

 

Большое значение в создании оптимальных условий труда имеет планировка рабочего места, которая должна удовлетворять требованиям удобства выполнения работ, экономии энергии и времени оператора.

Сидячая продолжительная работа вредна человеку в принципе: работник сутулится или подается вперед и его позвоночник деформируется, травмируя диски; он поднимает плечи и сгибает руки, держа их в напряжении - и естественно они начинают болеть. Пережимая сосуды, он перегружает сердце; ну а о хронических растяжениях сухожилий кистей рук и постоянно ухудшающемся зрении можно не говорить. Поза, а следовательно и здоровье, зависят, в конечном итоге, от размеров и дизайна рабочего места.

Научная организация рабочего пространства (Рис. 6.1) базируется на данных о средней зоне охвата рук человека - 35-40 см.   Ближней зоне соответствует область, охватываемая рукой с прижатым к туловищу локтем, дальней зоне - область вытянутой руки. Тонкой линией изображено фактическое положение монитора на рабочем столе сотрудника – на углу стола с левой стороны. Это приводит к значительному неудобству при работе. При работе с компьютером приходится постоянно поворачивать голову влево, что ведет к усталости шейных мышц.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рисунок 6.1. Организация рабочего пространства

  Значимым фактором является пространство под столешницей. Высота столов, использующихся на предприятии соответствует общепринятым стандартам, и составляет 74 см. Конструкция столов обеспечивает требования СанПин 2.2.2.542-96 по ширине и высоте необходимого пространства для ног.

 

 

 

 

 

 

 

 

 

 

 

 

Рисунок 6.2 Необходимое пространство для ног

 

 

Взаимное расположение предметов на рабочем месте :

a1 - угол обзора по вертикали, 35°

a2 - угол наклона клавиатуры, 10°

h1 - высота рабочей поверхности, 79 см

h2 - высота сиденья стула, регулируется под конкретного человека

h3 - расстояние от края стола до клавиатуры, 10 см

h4 - расстояние от органов зрения оператора до экрана, 65 см

Взгляд человека направлен перпендикулярно центру экрана монитора.

При компоновке рабочего места не следует забывать о том, что наиболее важные из орудий труда следует располагать спереди и справа от человека.

Клавиатура, как наиболее часто используемое устройство ввода. Параметры этой зоны: угол - 70°, глубина - 30-40 см.

Остальные устройства - угол - 130 градусов, глубина 70-80 см.

С учетом выше приведенных данных об углах обзора, а так же зная максимальный размер зоны досягаемости правой руки (70-100 см). Можно считать, что расположение рабочих предметов в моторном поле правильное.

Таким образом, можно сделать вывод, что на рабочем месте  все эргономические требования  выполнены.

 

Выводы

1.   Во всех помещениях, за исключением комнаты системного администратора, производственный микроклимат соответствует ГОСТ 12.1.003-88-ССБТ. В комнате системного администратора по причине отсутствия окон и принудительной вентиляции даже при наличии кондиционера, фильтрующего и увлажняющего атмосферу, наблюдается некоторая спертость воздуха.

2.   Производственное освещение удовлетворяет требованиям СНиП 23.05.95.

3.   Шумность во всех помещениях не превышает нормы – 20 Дб.

4.   Электромагнитные излучения соответствуют данным паспортов на используемую аппаратуру и не превышают требований СанПиН 2.2.2.549-96.

5.   Электропожаробезопасность соответствует ГОСТ 12.3.002.75-ССБТ

6.   Эргономические характеристики не во всем соответствуют СанПиН 2.2.2.542-96. Мониторы на рабочих столах расположены неудобно, за границей рекомендуемого поля зрения.

 

 

Предложения, дополнения и замечания.

 

1.   Исходя из выводов необходимо настоятельно порекомендовать руководству обеспечить в помещении системного администратора устройство притяжной и вытяжной вентиляции, что обеспечит, в свою очередь, необходимый приток свежего воздуха. Это качественно отразится на работе персонала, а так же и на работе в сети в целом.

2.   Основных производственные помещения необходимо укомплектовать столами, позволяющими размещать компьютерные мониторы в пределах рекомендованного  СанПиН 2.2.2.542-96 поля зрения.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

 

В данном дипломном проекте рассмотрены вопросы организации антивирусной защиты локальной вычислительной сети общества с ограниченной ответственностью «_».

Данная тема имеет немаловажное значение для дальнейшего развития предприятия. На сегодняшний день разработка, внедрение и защита локальных информационных систем является одной из самых интересных и важных задач в области информационных технологий. Появляется потребность в использовании новейших технологий передачи информации.  Интенсивное использование информационных технологий уже сейчас является сильнейшим аргументом в конкурентной борьбе, развернувшейся на мировом рынке.

Были поставлены и успешно решены задачи выбора антивируса, конфигурации сетевого оборудования, рассмотрены  вопросы управления сетевыми ресурсами и пользователями сети,  вопросы безопасности сети, а так же произведен расчет затрат на приобретение программных и аппаратных средств защиты для сети предприятия.

Рассмотрены проблемы обеспечения безопасности жизнедеятельности в соответствии с руководящими документами.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список использованных источников

 

1.   Большой юридический словарь. Под ред. А.Я. Сухарева, В.Д. Зорькина, В.Е. Крутских., М.: ИНФРА-М, 1999г.

2.   Администрирование сети на основе Microsoft Windows 2003. Учебный курс, изд-во Русская редакция, 2000 г.

3.   Интрасети: доступ в Internet, защита. Учебное пособие для ВУЗов, Милославская Н. Г и др.,  изд-во ЮНИТИ, 1999 г.

4.    Локальные сети: архитектура, алгоритмы, проектирование. Новиков Ю. В. и др., изд-во ЭКОМ, 2000 г.

5.   Биячуев, Т.А. Безопасность корпоративных сетей / Т.А. Биячуев. – СПб: СПб ГУ ИТМО, 2004.- 161 с.

6.   Вихорев, С. Как определить источники угроз / С. Вихорев, Р.Кобцев //Открытые системы. – 2002. - №07-08.-С.43.

7.   Конахович, Г. Защита информации в телекоммуникационных системах/ Г.Конахович.-М.:МК-Пресс,2005.- 356с.

8.   Устинов, Г.Н. Уязвимость и информационная безопасность телекоммуникационных технологий/ Г.Н. Устинов– М.: Радио и связь, 2003.-342с.

9.   Джефф Форристал, Грег Шипли, Сканеры для обнаружения изъянов в корпоративной сети//Сети и системы связи - #7. – 2001. – С.114 – 124.

10. Windows 2003 Server за 24 часа. Б. Сосински, Дж. Московиц. Издательский дом Вильямс, Москва, С.-Петербург, Киев, 2000.

11. Анализ хозяйственной деятельности предприятия: 5-е изд./ Г.В. Савицкая. – Минск: ООО Новое знание, 2001.

12. Экономика малого предприятия,  Глухов В.В., изд-во Специальная литература, 1997 г.

13. Методика финансового анализа предприятия, Шеремет А.Д. Москва: ИПО « МП »,   1996 г.

14. ГОСТ 12.3.002-75-ССБТ. Процессы производственные. Общие требования безопасности (с изменениями по И-1-V-80; И-2-II-91);

15. ГОСТ 12.1.005-88-ССБТ. Общие санитарно-гигиенические требования к воздуху рабочей зоны.

16. СНиП 2.04.05 – 91 – Отопление, вентиляция, кондиционирование (с изменениями по И-1-94);

17.  ГОСТ 12.1.003 – 88 – ССБТ. Общие санитарно-гигиенические требования к воздуху рабочей зоны;

18.  СНиП  23-05-95. Естественное и искусственное освещение. – М.:   Минстрой России, 1995;

19.  СанПин 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно–вычислительным машинам и организация работы (Постановление Госкомсанэпиднадзора России от 14.07.1996г. №14). Санитарные правила и нормы. – М.: Информационно-издательский центр Госсанэпиднадзора России, 1996;

20. сайт #"Times New Roman">21  сайт  #"Times New Roman"> 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Теги: Организация антивирусной защиты частного предприятия с 25-ю рабочими станциями  Диплом  Информационная безопасность
Просмотров: 17381
Найти в Wikkipedia статьи с фразой: Организация антивирусной защиты частного предприятия с 25-ю рабочими станциями
Назад