Материал: Система защиты информации в локальной сети предприятия

Время регламентированных перерывов за рабочую смену следует принимать в зависимости от категории трудовой деятельности с ЭВМ, а также продолжительности смены.

Продолжительность непрерывной работы с ЭВМ без регламентированного перерыва не должна превышать 2 часов.

Продолжительность обеденного перерыва определяется действующим законодательством о труде и Правилами внутреннего трудового распорядка предприятия (организации, учреждения).

При 8-часовои рабочей смене регламентированные перерывы целесообразно устанавливать:

·     для I категории работ с ПК через 2 часа от начала смены и через 2 часа после обеденного перерыва продолжительностью 15 минут каждый;

·        для II категории работ через 2 часа от начала смены и через 2 часа после обеденного перерыва продолжительностью 15 минут каждый или продолжительностью 10 минут через каждый час работы;

·        для III категории работ с ПК через 2 часа от начала смены, через 1,5 и 2,5 часа после обеденного перерыва продолжительностью 5-15 минут и через каждый час работы.

При 12-часовой рабочей смене регламентированные перерывы устанавливаются в первые 8 часов работы аналогично перерывам при 8-часовой рабочей смене, а в течение последних 4 часов работы, независимо от категории и вида работ, через каждый час продолжительностью 5-10 минут.

При работе с ПК в ночную смену, независимо от вида и категории работ, продолжительность регламентированных перерывов увеличивается на 60 минут.

С целью уменьшения отрицательного влияния монотонии целесообразно применять чередование операций ввода осмысленного текста и числовых данных (изменение содержания работ), чередование редактирования текстов и ввода данных (изменение содержания и темпа работы) и т.п.

В случаях возникновения у работающих с ЭВМ зрительного дискомфорта и других неблагоприятных субъективных ощущений, несмотря на соблюдение санитарно-гигиенических, эргономических требований, режимов труда и отдыха следует применять индивидуальный подход в ограничении времени работ с ЭВМ и коррекцию длительности перерывов для отдыха или проводить смену деятельности на другую, не связанную с использованием ЭВМ.

.3.3 Рекомендации по выбору ПЭВМ

При подборе вычислительной техники следует отдавать предпочтение мониторам с низкими уровнями излучений, отвечающим стандартам ТСО 95, ТСО 99, ТСО 2001, MPR II и повышенными визуальными характеристиками.

На мониторы рекомендуется устанавливать защитные фильтры класса полной защиты (Total shield), обеспечивающие практически полную защиту от всех вредных воздействий монитора в электромагнитном спектре и позволяющие уменьшить блик от электронно-лучевой трубки, а также повысить читаемость символов.

Вывод: Используемые методы и способы по защите от воздействия опасных и вредных факторов и соблюдение эргономических требований обеспечивают безопасность разработчика и пользователей.

4. Заключение

В дипломном проекте рассмотрены вопросы организации системы защиты информации в локальной сети предприятии.

Данная тема имеет большое значение для развития предприятия. На сегодняшний день разработка и внедрение сетевых информационных систем является одной из самых интересных и важных задач в области информационных технологий. В процессе дипломного проектирования была изучена структура локально-вычислительной сети предприятия, проанализированы потоки информации циркулирующие во внутренней сети предприятия, а так же потоки информации циркулирующие между филиалами. Также была представлена электронная модель обращения и хранения информации и хранения документации.

В дипломном проекте были предложены дополнительные меры защиты информации, разработана архитектура системы защиты безопасности и ограничения доступа в ЛВС предприятия.

В качестве базисного решения для охраны конфиденциальной информации передаваемой между филиалами использована технология виртуальной корпоративной сети предприятия, позволяющая реализовать защиту канала передачи данных от перехвата и подмены информации. Для защиты внутренней информационной структуры предприятия использованы Антивирусные решения.

В разделе охраны труда проведена оценка возможных опасных и вредных факторов при разработке программного продукта и их влияние на разработчика, а также предложены меры по защите от них воздействия.

Приложение 1

Защита информации в IP сетях

Конфигурация брандмауэра

Конфигурация iptables

Любое правило iptables записывается в виде:

iptables [-t таблица] команда [критерий] [действие \ переход в другую цепочку]

Использованные команды

Общие критерии

Для удобства используются элементы программирования bash.

#!/bin/sh

start_fw()

{

Задаем статическую информацию, такую как используемые интерфейсы и IP адреса:

# IPTables Configuration.

#="usr/sbin/iptables"_IFACE="eth0"_IFACE="eth1"_VIFACE="eth2"_IP_RANGE ="192.168.100.0"_IP="192.168.100.254"_PROXY_IP="192.168.100.250"_TERM_IP="192.168.150.100"_VIP="192.168.150.1"_FIL = "212.111.80.21"_IP= ="192.168.100.3"_IP = "192.168.100.2"_IP="127.0.0.1"_IFACE="lo"

Активируем необходимые нам модули:

#

# Module loading.

# Needed to initially load modules

#

/sbin/depmod -a

#

# Required modules

#

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

#

#Required proc configuration

#"1" > /proc/sys/net/ipv4/ip_forward

Задаем политики на сброс всех пакетов:

#

# policies

#

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD DROP

Цепочка bad_tcp_packets предназначена для фильтрования пакетов с "неправильными" заголовками и решения ряда других проблем. Здесь отфильтровываются все пакеты, которые распознаются как NEW, но не являются SYN пакетами, а так же обрабатываются SYN/ACK-пакеты, имеющие статус NEW. Эта цепочка использована для защиты от вторжения и сканирования портов.

#

# rule bad_tcp_packets

#

$IPTABLES -N bad_tcp_packets

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \

m state --state NEW -j REJECT --reject-with tcp-reset

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \

-log-prefix "New not syn:"

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

Цепочка allowed используется как дополнительная проверка после цепочки bad_tcp_packets. Первое правило проверяет, является ли пакет SYN пакетом, т.е. запросом на соединение. Такой пакет мы считаем допустимым и пропускаем.

#

# ICMP rules

#

$IPTABLES -N icmp_packets

$IPTABLES -A icmp_packets -i $INET_IFACE -p ICMP -j DROP

$IPTABLES -A icmp_packets -i $LAN_IFACE -p ICMP -s $LAN_IP_RANGE -j ACCEPT

#

# Rules for special networks not part of the Internet

#

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

Это правило отвечает за трафик который идет с сети интернет, зависимости от протокола идет переключению на соответствующую цепочку

#

# Rules for incoming packets from the internet.

#

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state -state \ ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j bad_tcp_packets

$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

#

# FORWARD chain

# Bad TCP

#

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

#

# OUTPUT chain

# Bad TCP

#

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

#

# Special OUTPUT rules to decide which IP's to allow.

#

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

Здесь задаем правила доступа для создания VPN шлюза.

#

# Internet IPsec connect

# key

$IPTABLES -A INPUT -p udp --sport 500 --dport 500 -s $IP_FIL -j ACCEPT

$IPTABLES -A OUTPUT -p udp --sport 500 --dport 500 -d $IP_FIL -j ACCEPT

# esp

$IPTABLES -A INPUT -p 50 -s $IP_FIL-j ACCEPT

$IPTABLES -A OUTPUT -p 50 -d $IP_FIL -j ACCEPT

# ah

$IPTABLES -A INPUT -p 51 -s $IP_FIL -j ACCEPT

$IPTABLES -A OUTPUT -p 51 -d $IP_FIL -j ACCEPT

Разрешаем доступ Прокси сервера в сеть интернет.

#

# PRX to Internet

#

$IPTABLES -A FORWARD -i $LAN_IFACE -s $LAN_PROXY_IP -o $INET_IFACE -j ACCEPT

Разрешаем доступ Терминал сервера в локальную сеть.

#

# TSRV to LAN

#

$IPTABLES -A FORWARD -i $LAN_VIFACE -o $LAN_IFACE -d $BASE_IP -j ACCEPT

$IPTABLES -A FORWARD -i $LAN_VIFACE -o $LAN_IFACE -d $DOMEN_IP -j ACCEPT

}"$1" in)     echo -n "Starting"_fw"."

;;)      echo -n "Stopping"-F-X"."

;;)      echo -n "Saving"save > /etc/rules-save"."

;;) echo -n "Restarting"-F-X/etc/rules-save | iptables-restore"."[C

;;

*)      echo "Usage: iptables start|stop|save|restart"

exit 1

;;0

Приложение 2

Защита информации в IP сетях

Конфигурация VPN шлюза

# /etc/ipsec.conf - конфигурационный файл FreeS/WAN

# Примеры конфигурационных файлов находятся в каталоге

# doc/examples исходных кодов.setup

# Сетевой интерфейс, используемый IPSec="IPSEC0=eth0"

# Запрет на выдачу отладочных сообщений

# all - включение выдачи отладочных сообщений=none=none

# Автоматическая установка соединений и аутентификация

# при запуске IPSec=%search=%search

# Параметры соединения между локальными сетями

# Название соединения (произвольная строка)Moscow_Fil

# Исходные данные для шлюза в Москвe

# IP адрес=212.45.28.123

# Описание локальной сети=192.168.150.0/24

# IP ближайшего к шлюзу в Москве роутера

# (может быть определен с помощью traceroute)=62.117.82.145

# Исходные данные для шлюза в филиале

# IP адрес=212.111.80.21

# Описание локальной сети=192.168.1.0/24

# IP ближайшего к шлюзу в филиале роутера=212.111.78.1

# Количество попыток проверки ключей

# 0 - до достижения положительного результата=0

# Тип аутентификации(AH или ESP)=ah

#Опции устанавливаемые для использования RSA-ключей =rsasig = =

# Устанавливать соединение при запуске IPSec=start