Курсовая работа по дисциплине «Системное Программное Обеспечение»



Скачать 442.46 Kb.
страница1/3
Дата17.09.2014
Размер442.46 Kb.
ТипКурсовая
  1   2   3
Московский государственный институт электроники и математики

Кафедра Информационно-Коммуникационных Технологий



Курсовая работа по дисциплине «Системное Программное Обеспечение»

Технологии обеспечения безопасности информационной системы ВУЗа

Выполнил: Новиков Р.О.

Преподаватель: д.т.н. профессор Зарудный Д.И.

Москва 2008



Аннотация

Данная работа посвящена актуальной проблеме обеспечения безопасной работы информационной системы Высшего Учебного Заведения. Подробно рассматриваются технологии построения виртуальных защищенных сетей (Virtual Private Network, VPN) в ВУЗах, включающих в свой состав отдельные компьютеры (рабочие станции и сервера), находящиеся в локальной сети ВУЗа или удаленно подключаемые, фрагменты локальных сетей, локальные сети в целом. Путем построения распределенной системы персональных и межсетевых экранов, обеспечивающих также шифрование трафика в сети, автоматически для информационных систем ВУЗов обеспечивается конфиденциальность и достоверность информации, защита от сетевых атак, как из глобальных, так и из локальных сетей. Рассматриваемая технология VPN основана на использовании программных модулей, применяется на существующих сетях университетов и не требует установки специального оборудования. Одновременно обеспечивается поддержка инфраструктуры для использования электронной цифровой подписи, организация виртуальных каналов для безопасного подключения отдельных станций локальной сети к открытым ресурсам Интернет, защита конфиденциальных данных на дисках при таких подключениях.



Содержание

стр.

Введение

4

1. Постановка задачи

5

2. Функции системы безопасности ИС ВУЗа

6

2.1. Структура ИС ВУЗа

6

2.2. Организация безопасности ИС ВУЗа

9

3. Технология виртуальных защищенных сетей

10

3.1. Обзор технологии VPN

10

3.2.
Классификация виртуальных сетей

12

3.3. Процесс обмена данными в VPN

14

3.4. Защищенные протоколы обмена информацией

15

3.5. Преимущества и недостатки технологии VPN

17

4. Контроль трафика компьютеров в сети

18

5. Архитектура защищенных виртуальных сетей

21

5.1. Виртуальные сети внутри локальной сети

23

5.2. Соединение локальной сети с другой локальной сетью и удаленными пользователями

23

5.3. Защита сегментов локальной сети

25

5.4. Произвольная распределенная сеть

26

5.5. Технология «Открытый Интернет»

27

6. Пример развертывания виртуальной защищенной сети

28

6.1. Постановка задачи

28

6.2. Схема сети

28

6.3. Организация защищенного соединения

29

6.4. Преимущества и недостатки системы

30

7. Интегрированная виртуальная защищенная среда

32

Выводы

33

Список использованной литературы

34

Введение

Интернет, составляющий основу мирового киберпространства, сегодня во многом определяет темпы развития не только в научно-технической или образовательной сфере, но и на других национально значимых направлениях хозяйственной деятельности, таких как промышленное производство и бизнес, оборона и медицина, сфера услуг, транспорт или энергетика. Технологии и инфраструктура, обеспечивающие обработку и передачу информации, вышли и, по прогнозам аналитиков, в ближайшее время останутся главными факторами, определяющими научно-технический прогресс информационного общества.

Технологические, архитектурные и, как следствие, инфраструктурные решения современного интернета, основы которого закладывались 20-30 лет назад, на сегодня уже не удовлетворяют развившимся на их основе потребностям современного общества, приложениям в различных сферах деятельности человека. В настоящее время во всех экономически развитых государствах мира наблюдаются активные действия исследовательского сектора, направленные на поиск подходов, разработку и внедрение в практику технических и технологических, архитектурных и инфраструктурных решений для интернета следующего поколения. Основу таких решений формируют результаты исследований в области информатики и информационных технологий. В первую очередь благодаря именно этой базе достигается прогресс в области телекоммуникаций высокой производительности, сетей с интегральным обслуживанием, современных систем информационной безопасности и средств визуализации с высоким разрешением.

Повышение безопасности ВУЗа в настоящее время непосредственно зависит от широкого внедрения информационных и коммуникационных технологий в процессы обучения на всех уровнях. Это одна из важнейших и актуальных задач, стоящих сегодня перед университетом. В связи с этим, на первый план выходит задача создания общей информационно-технологической инфраструктуры. Она включает в себя учебные информационные системы и ресурсы, а также средства, обеспечивающие их безопасность.

Опыт крупных ВУЗов говорит о том, что одним из способов решений данной задачи является создание виртуальной защищенной сети (англ. Virtual Private Network — виртуальная частная сеть).

Виртуальные защищенные сети (VPN) используют для организации надежных и безопасных каналов передачи данных между территориально удаленными друг от друга предприятиями и организациями: в результате, все они объединяются в единое информационное пространство. Это универсальное решение, обеспечивающее все потребности в высококачественной телефонной местной, международной и междугородной связи, видеоконференциях, доступе в Интернет и других интерактивных сервисах. При этом расходы предприятий и организаций на фиксированную связь реально сокращаются, и, кроме того, достигается существенная экономия на мобильной связи.

Технология VPN подразумевает создание виртуальных частных сетей связи на базе IP-сети с использованием в большинстве случаев технологии MPLS (Multi Protocol Label Switching), которая позволяет объединять удаленные предприятия и организации в единую защищенную корпоративную сеть с полным спектром телекоммуникационных услуг и гарантией качества обслуживания.

1. Постановка задачи

Задачей данного проекта является описание технологий обеспечения безопасности информационной системы ВУЗа, при помощи защищенных виртуальных сетей и виртуальных каналов, технологии Multi Protocol Label Switching, сетей IP VPN и протоколов используемых в них. Будут рассмотрены аспекты практического развертывания VPN сетей, а также применение данных технологий для защиты данных информационной системы ВУЗа. Причем ИС может быть развернута в локальной сети университета, а часть информации, которая должна быть открыта, должна переноситься в открытую сеть либо на цифровых носителях, либо по защищенному каналу передачи информации. В данной работе показано, что такое разделение может быть реализовано не только путем физического разделения, но и с применением технологии VPN.



2. Функции системы безопасности ИС ВУЗа

2.1. Структура ИС ВУЗа

Вопрос защиты данных в ВУЗе должен быть поставлен еще на стадии проектирования информационной системы (ИС). В большинстве высших учебных заведений России ИС были разработаны задолго до вступления в силу Законов, требующих обязательной сертифицированной защиты ИС. Ни в одной из существующих систем не решен вопрос грамотной защиты конфиденциальной информации.

ИС ВУЗа, является организационно–технической системой, в которой реализуются информационные технологии, и предусматривается использование аппаратного, программного и других видов обеспечения, необходимого для реализации информационных процессов сбора, обработки, накопления, хранения, поиска и распространения информации. Основу современной ИС высшей школы, как правило, составляют территориально распределенные компьютерные системы (вычислительные сети) элементы которых расположены в отдельно стоящих зданиях, на разных этажах этих зданий и связаны между собой транспортной средой, которая использует физические принципы ("витая пара", оптико-волоконные каналы, радиоканал и т.п.). Основу аппаратных (технических) средств таких систем составляют ЭВМ (группы ЭВМ), периферийные, вспомогательные устройства и средства связи, сопрягаемые с ЭВМ. Состав программных средств определяется возможностями ЭВМ и характером решаемых задач в данной ИС.



Структура ИС ВУЗа

Основными элементами, составляющими такую систему, являются:



  • Локальная сеть;

  • Каналы и средства связи (КС);

  • Узлы коммутации;

  • Рабочие места сотрудников ИС;

  • Учебные лаборатории

  • Рабочее место удаленного пользователя;

  • Носители информации (магнитные, оптические и др.);

  • Отдельные ПК и рабочие станции;

  • Непосредственно пользователи (студенты).

Перечисленные элементы в процессе функционирования, активно взаимодействую между собой, что в свою очередь позволяет использовать различные точки доступа к информационным ресурсам: это библиотека, компьютерные классы, Интернет-залы, Интернет-кафе, кафедральные и факультетские компьютерные сети, и, наконец, система доступа студентов и преподавателей ВУЗа с домашних компьютеров (удаленных компьютеров). Такое количество точек доступа к информационным ресурсам, в значительной степени повышает проблему безопасности. Уровень защиты всей системы, будет определяться степенью защиты уязвимых мест на конкретных точках доступа. Информационные ресурсы любого вуза включают в себя документальные и информационные потоки для обеспечения учебного и научного процессов в вузе. К ним относятся рабочие планы специальностей, рабочие программы дисциплин, учебные графики, сведения о контингенте вуза, приказы и распоряжения ректора университета и деканов факультетов, электронный каталог библиотеки, электронные журналы и другие полнотекстовые базы данных, как создаваемые на месте, так и приобретаемые. Совокупность информационных ресурсов, наряду с высококвалифицированным персоналом является одной из составляющих успешного функционирования ВУЗа. Все материалы, подготовленные ВУЗом, связанные с обеспечение учебного процесса, являются служебными, и требуют особого обращения. Часть из них не подлежит разглашению, другие материалы требуют специального режима использования. Это подтверждает, что в ВУЗе, циркулирует информация различного уровня доступа и функционального наполнения. Эту информацию можно разделить на два основных типа с точки зрения регламентации распространения и использования: общедоступная информация и информация ограниченного распространения:

Данные, обрабатываемы в ИС управления ВУЗом, можно разделить на открытые данные (учебные планы, расписание и т.п.) и данные ограниченного распространения (конфиденциальные), которые можно классифицировать следующим образом:



  1. персональные данные студентов, сотрудников и других лиц;

  2. данные, относимые к служебной тайне;

  3. данные, относимые к коммерческой тайне;

Большинство ИС ВУЗов можно разделить на локализованные и распределенные, когда данные передаются за пределы контролируемой зоны. При этом для распределенных ИС средой передачи защищаемых данных служит локальная, либо виртуальная защищенная сеть.

Можно рассмотреть три варианта защиты данных ограниченного распространения:



  1. защита серверов и клиентов СУБД, которые составляют ИС;

  2. защита среды передачи данных;

  3. совмещение двух предыдущих вариантов.

Помимо разграничения прав доступа и определения других мер по защите информации, циркулирующей в ВУЗе, в целом эффективность защиты информации в ИС достигается лишь в том случае, если обеспечивается ее надежность на всех объектах и элементах системы, которые могут быть подвергнуты угрозам со стороны дестабилизирующих факторов. Под объектом защиты информации, понимается такой структурный компонент системы, в котором находится или может находиться подлежащая защите информация.

  • Объекты защиты должны соответствовать следующим условиям:

  • Принадлежность к одному и тому же организационному компоненту ИС;

  • Локализация (ограничение с точки зрения территориального расположения).

  • Исходя и структуры ИС ВУЗа, к объектам защиты можно отнести:

  • Рабочие станции пользователей;

  • Рабочие станции администраторов;

  • Серверы (сетевые, Баз Данных, приложений);

  • Аппаратура связи (модемы, маршрутизаторы);

  • Периферийные устройства коллективного пользования (принтеры);

  • Помещения (места установки оборудования, хранилища машинных носителей информации и т.д.).

Под элементом защиты подразумевается находящаяся в ИС совокупность данных, которая может содержать подлежащие защите сведения.

Элементы защиты специфицируются, как правило, для каждого отдельного объекта защиты. Так, по признаку локализации можно выделить следующие основные элементы защиты данных:



  • Обрабатываемых в ЭВМ;

  • На дискете;

  • На локальном жестком диске рабочей станции;

  • На жестком диске сервера;

  • Обрабатываемы в аппаратуре связи;

  • Передаваемы по каналу (линии) связи;

  • Данные, выводимые из ЭВМ на периферийные устройства.

Таким образом, при формировании политики безопасности, соответствующие вузовские службы, должны осуществлять комплексный подход к защите ИС. Комплексный подход подразумевает использование единой совокупности законодательных, организационных и технических мер, направленных на выявление, отражение и ликвидации различных видов угроз информационной безопасности.

2.2. Организация системы безопасности ИС ВУЗа

Под подключением к сети мы будем понимать любое подключение компьютера к внешней среде для общения с другими ресурсами, когда уже нельзя быть полностью уверенным, что к этому компьютеру и информации в нем имеют доступ только пользователь компьютера или только санкционированные пользователи из сети.



  • Если компьютер подключен к локальной сети, то, потенциально, к этому компьютеру и информации в нем можно получить несанкционированный доступ из локальной сети.

  • Если локальную сеть соединили с другими локальными сетями, то к возможным несанкционированным пользователям добавляются и пользователи из этих удаленных сетей. Мы не будем говорить о доступности такого компьютера из сети или каналов, через которые соединили локальные сети, потому что наверняка на выходах из локальных сетей стоят устройства, осуществляющие шифрование и контроль трафика, и необходимые меры приняты.

  • Если компьютер подключили напрямую через провайдера к внешней сети, например через модем к Интернет, для удаленного взаимодействия со своей локальной сетью, то компьютер и информация в нем потенциально доступны взломщикам из сети Интернет. А самое неприятное, что через этот компьютер возможен доступ взломщиков и к ресурсам локальной сети.

Естественно при всех таких подключениях применяются либо штатные средства разграничения доступа операционной системы, либо специализированные средства защиты от несанкционированного доступа, либо криптографические системы на уровне конкретных приложений, либо и то и другое вместе.

Однако все эти меры, к сожалению, не могут гарантировать желаемой безопасности при проведении сетевых атак, и объясняется это следующими основными причинами:



  1. Операционные системы (ОС), особенно WINDOWS относятся к программным продуктам высокой сложности, созданием которых занимается большие коллективы разработчиков. Детальный анализ этих систем провести чрезвычайно трудно. В связи с чем, достоверно обосновать для них отсутствие штатных возможностей, ошибок или недокументированных возможностей, случайно или умышленно оставленных в ОС, и которыми можно было бы воспользоваться через сетевые атаки, не представляется возможным.

  2. В многозадачной ОС, в частности WINDOWS, одновременно может работать много разных приложений, в которых могут присутствовать программные ошибки или недокументированные возможности. Это позволяет воспользоваться информационными ресурсами через сетевые атаки.

  3. В современных системах присутствует масса разнообразных механизмов удаленной загрузки и запуска исполняемых программ, проконтролировать работу которых очень сложно.

Исходя из намеченных задач, стоящих перед информационной системой ВУЗа, предлагается рассмотреть реализацию системы безопасности ИС, использующей в своей основе технологию виртуальных защищенных сетей.

3. Технология виртуальных защищенных сетей

3.1. Обзор технологии VPN

Технология VPN создает виртуальные каналы связи через общедоступные сети, так называемые «VPN-туннели». Трафик, проходящий через туннели, связывающие удаленные филиалы, шифруется. Злоумышленник, перехвативший шифрованную информацию, не сможет просмотреть ее, так как не имеет ключа для расшифровки.

Для пользователей VPN-туннели абсолютно прозрачны. К примеру, студент МИРЭА получает доступ к данными, находящимся в базе данных МИЭМ также просто, как и к данным у себя в институте. Таким образом, VPN это логическая сеть. Она создается поверх другой сети, например, интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям, с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько филиалов ВУЗа в единую сеть с использованием для связи между ними неподконтрольных каналов.

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE). Технология VPN последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами для предоставления выхода в Интернет.

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Одним из главных достоинств Internet является то, что она широкодоступна. Однако связь через Internet имеет свои недостатки, главным из которых является то, что она подвержена потенциальным нарушениям защиты и конфиденциальности. При использовании Internet в качестве расширения собственной сети, информация проходит по общедоступным каналам, и всякий, кто может установить на ее пути анализатор протоколов, имеет потенциальную возможность перехватить эту информацию. И здесь на помощь приходит технология VPN. Виртуальные частные сети могут гарантировать, что направляемый через Internet трафик так же защищен, как и передачи внутри локальной сети, при сохранении всех финансовых преимуществ, которые можно получить, используя Internet. Современное состояние технологии VPN позволяет обеспечить достаточную гибкость на случай будущего расширения сети при сохранении высокой надежности и безопасности. А главное, виртуальные сети обеспечивают существенную экономию затрат по сравнению с содержанием собственной сети глобального масштаба. Однако при этом надо помнить, что внедрение решений на основе VPN может привести к снижению производительности и потребовать значительных начальных затрат. Поэтому решение вопроса о выборе VPN или альтернативного решения требует тщательного анализа.

VPN-устройство располагается между внутренней сетью и Internet на каждом конце соединения. Когда информация передается через VPN, она исчезает "с поверхности" в точке отправки и вновь появляется только в точке назначения. Этот процесс принято называть "туннелированием". Как можно догадаться из названия, это означает создание логического туннеля в сети Internet, который соединяет две крайние точки. Благодаря туннелированию частная информация становится невидимой для других пользователей Web. Прежде чем попасть в Internet-туннель, данные еще и шифруются, что обеспечивает их дополнительную защиту. Протоколы шифрования бывают разные. Все зависит от того, какой протокол туннелирования поддерживается тем или иным VPN-решением. IPsec поддерживает самый широкий спектр стандартов шифрования, включая DES (Data Encryption Standard) и Triple DES. Еще одной важной характеристикой VPN-решений является диапазон поддерживаемых протоколов аутентификации. Большинство популярных продуктов работают со стандартами, основанными на использовании открытого ключа, такими как X.509. Это означает, что, усилив свою виртуальную частную сеть соответствующим протоколом аутентификации, вы сможете гарантировать, что доступ к вашим защищенным туннелям получат только известные вам люди.

http://www.price.od.ua/images/articles/a_5_12_img1.gif

Виртуальные частные сети часто используются в сочетании с межсетевыми экранами. Ведь VPN обеспечивает защиту корпоративных данных только во время их движения по Internet и не может защитить внутреннюю сеть от проникновения злоумышленников.


  1   2   3

Похожие:

Курсовая работа по дисциплине «Системное Программное Обеспечение» iconМетодические указания по выполнению курсовых работ по дисциплине «Системное программное обеспечение»
Разработано в соответствии с Государственным образовательном стандартом впо 2000 г для направления (специальности) подготовки на...
Курсовая работа по дисциплине «Системное Программное Обеспечение» iconП. Ф. Лесгафта г. Санкт-Петербург Л. А. Заварухина информатика (лекции) Санкт-Петербург 2009 Содержание лекция
Новые термины и понятия: программа, программное обеспечение, базовое программное обеспечение, системное программное обеспечение,...
Курсовая работа по дисциплине «Системное Программное Обеспечение» iconМетодическое пособие по дисциплине «Системное программное обеспечение»
Целью преподавания дисциплины также является ознакомление с некоторыми теоретическими основами построения компиляторов
Курсовая работа по дисциплине «Системное Программное Обеспечение» iconСистемное программное обеспечение

Курсовая работа по дисциплине «Системное Программное Обеспечение» iconСамостоятельная работа студента при изучении дисциплины «Системное и прикладное программное обеспечение»
Самостоятельная работа предполагает осознание цели своей деятельности, принятие учебной задачи, придание ей личного смысла, самоорганизацию...
Курсовая работа по дисциплине «Системное Программное Обеспечение» iconЗадание к курсовой работе по дисциплине “Системное программное обеспечение”
Цель работы: практическое применение теоретических основ проектирования трансляторов с языков программирования; освоение средств...
Курсовая работа по дисциплине «Системное Программное Обеспечение» iconСписок экзаменационных вопросов по курсу «Системное программное обеспечение»
Понятие формальной грамматики и языка. Выводимость. Язык, порождаемый грамматикой
Курсовая работа по дисциплине «Системное Программное Обеспечение» iconСистемное программное обеспечение
...
Курсовая работа по дисциплине «Системное Программное Обеспечение» iconВступительного экзамена по специальности
В основу настоящей программы положены следующие дисциплины: алгебра, логика, дискретная математика, системное и прикладное программное...
Курсовая работа по дисциплине «Системное Программное Обеспечение» iconВопросы к экзамену по курсу "основы информационных технологий"
Общая характеристика программного обеспечения пэвм. Системное, инструментальное и профессионально-ориентированное программное обеспечение...
Разместите кнопку на своём сайте:
ru.convdocs.org


База данных защищена авторским правом ©ru.convdocs.org 2016
обратиться к администрации
ru.convdocs.org