BST_projekt_2011

Bezpieczeństwo Sieci Teleinformatycznych - projekt

Semestr letni 2011/2012

Należy opracować kompleksowy projekt bezpieczeństwa dla lokalnej sieci komputerowej

wybranego przedsiębiorstwa/instytucji.

Stan obecny

Przedsiębiorstwo zajmuje dwa sąsiadujące piętra biurowca. W pomieszczeniach istnieje instalacja

telefoniczna i energetyczna oraz okablowanie strukturalne (UTP kat. 6) – ok. 60 punktów

abonenckich. W wydzielonym pomieszczeniu znajduje się punkt dystrybucyjny oraz serwerownia.

W sali konferencyjnej działa sieć bezprzewodowa, zabezpieczona za pomocą szyfrowania WEP.

Sieć lokalna jest podłączona do Internetu symetrycznym łączem szerokopasmowym, bez zapory

ogniowej (na routerze działa usługa NAT). Przedsiębiorstwo dysponuje trzema serwerami, z

których dwa przeznaczone są do przechowywania baz danych i aplikacji dostępnych w sieci

lokalnej (programy księgowe, kadrowe, aplikacje do prowadzenia działalności firmy, itd.),

natomiast trzeci udostępnia usługi WWW użytkownikom Internetu oraz jest firmowym serwerem

poczty (przekierowanie portów na routerze). Część pracowników ma możliwość pracy zdalnej na

wewnętrznych serwerach, co jest realizowane za pomocą modemów podłączonych do serwerów i

linii telefonicznych.

Cel projektu

Celem projektu jest opracowanie kompleksowej dokumentacji bezpieczeństwa teleinformatycznego

(polityka bezpieczeństwa, plan bezpieczeństwa, instrukcje dla użytkowników systemu, plany

odtwarzania ciągłości działania).

Opracowanie projektu należy rozpocząć od zaproponowania polityki bezpieczeństwa i wykonania

analizy ryzyka (w tym przeanalizować zagrożenia bezpieczeństwa). Następnie należy opracować

szczegółowy plan bezpieczeństwa, czyli zaproponować mechanizmy ochrony (np. zapory ogniowe,

systemy IDS, hasła, politykę kontroli dostępu do pomieszczeń i zasobów, archiwizację danych,

aktualizacje systemów, ochronę antywirusową i antyszpiegowską, dostęp zdalnych użytkowników

poprzez sieci VPN, uwierzytelnianie użytkowników sieci bezprzewodowej, UPS, monitoring,

regulaminy, itd.), które zapewnią wymagany poziom ochrony. Należy szczegółowo zaprojektować i

przestawić konfigurację rozwiązań zapewniających bezpieczeństwo i niezawodność sieci lokalnej,

granicy (w tym odporność na ataki DoS), systemów operacyjnych, danych, itd.

Należy zwrócić szczególną uwagę na problem wycieku/kradzieży danych (włamania, nośniki

zewnętrzne, poczta, internet) i zaprojektować skuteczne mechanizmy zapobiegające.

W dalszej części należy opracować instrukcje bezpieczeństwa dla dwóch wybranych grup

użytkowników (np. programista, administrator sieci), listę potencjalnych zdarzeń mogących

zakłócić ciągłość działania systemu oraz plan odtwarzania ciągłości działania dla 3 takich zdarzeń.

Projekt zaleca się zrealizować według następującego planu:

Wstęp, charakterystyka wybranej instytucji.

Polityka bezpieczeństwa

Inwentaryzacja i identyfikacja zasobów, które powinny podlegać ochronie. Identyfikacja

zasobów o znaczeniu kluczowym.

Identyfikacja podmiotów (użytkowników systemu – np. z podziałem na grupy). Zdefiniowanie

zakresu odpowiedzialności.

Definicja

legalnych

nielegalnych

sposobów

korzystania

(zasobów)

systemu

teleinformatycznego

Polityka dostępu do zasobów

Analiza ryzyka

Plan bezpieczeństwa teleinformatycznego (projekt mechanizmów zabezpieczających)

Wymagania projektowe, wybór i projekt konfiguracja mechanizmów

Instrukcja bezpieczeństwa (i procedury) – dla dwóch wybranych stanowisk pracy

Plan odtwarzania ciągłości działania

Lista możliwych incydentów

Plan odtwarzania ciągłości działania dla 3 wybranych incydentów

Zajęcia odbywają się w formie konsultacji w sali prowadzącego. Projekt należy wykonać w grupach

maksymalnie 3-osobowych. Realizacja projektu podzielona jest na 2 etapy:

•

Etap pierwszy obejmuje punkty 1-3 powyższego planu – termin realizacji to 7 tydzień

semestru (forma elektroniczna – przez stronę kursu)

•

Termin oddania całego projektu to 13 tydzień zajęć (projekt wydrukowany).

W czasie zajęć w 14 i 15 tygodniu semestru nastąpi omówienie projektu i wpisy ocen. Prace (etapy)

oddane po terminie będą miały obniżoną ocenę.

Zajęcia prowadzone są w trybie konsultacyjnym w sali własnej prowadzącego. Obowiązkowa jest

obecność grupy na zajęciach w wyznaczonych przez prowadzącego terminach.

Wpływ na ocenę końcową mają: ocena merytoryczna złożonego projektu, przyjęte założenia

projektowe, obecności i merytoryczne przygotowanie do konsultacji, termin złożenia etapów

projektu.

Dodatkowe informacje dotyczące projektu

W poszczególnych punktach projektu należy uwzględnić:

1.

Wstęp, charakterystyka wybranej instytucji.

Scharakteryzować profil działania firmy oraz jej zasoby informatyczne: strukturę sieci,

sprzęt (serwery, stacje robocze, urządzenia sieciowe) oraz oprogramowanie.

Polityka bezpieczeństwa

Dokonać inwentaryzacji zasobów informatycznych oraz określić ich znaczenia dla

funkcjonowania przedsiębiorstwa. Sporządzić listę zasobów o znaczeniu kluczowym. Określić
dopuszczalne czasy niedostępności zasobów i przestojów systemu.
Przeprowadzić

klasyfikacje

rodzajów

użytkowników

systemu.

Określić

zakres

odpowiedzialności pracowników za elementy systemu.
Zdefiniować  legalne  i  nielegalne  sposoby  wykorzystania  systemu  –  najlepiej  osobno  dla  każdej
klasy  użytkowników.  ‘Wykorzystanie  systemu’  to  m.in.:  dostęp  do  informacji  (odczyt,  zapis,
itd.),  możliwość  korzystania  z  usług  i  zasobów  systemu  (łącza,  usługi  typu  www,  dns,  itp.).
Punkt  powinien  uwzględniać  m.  in.  rodzaje  kont,  politykę  haseł  i  dostępu  (lokalnego  oraz
zdalnego), uprawnienia.

Analiza ryzyka

Zidentyfikować istniejące zagrożenia oraz podatności systemu. Określić ścieżki penetracji

systemu. Oszacować konsekwencje (koszty) możliwych naruszeń bezpieczeństwa. Wykorzystać
przedstawione na wykładzie metody do przeprowadzenia ilościowej analizy ryzyka dla kilku
ś

cieżek penetracji. Podjąć decyzje dotyczącą postępowania z ryzykiem (minimalizacja,

akceptacja, przeniesienie na inne podmioty)

Plan bezpieczeństwa teleinformatycznego (projekt mechanizmów zabezpieczających
Określenie wymagań projektowych.

Podstawowe założenia dotyczące projektowanego systemu bezpieczeństwa (reguły

bezpieczeństwa), akty prawne które należy uwzględnić, itp.
Projekt mechanizmów bezpieczeństwa.

Opisać koncepcję przyjętą przy opracowywaniu systemu. Przedstawić proponowane

mechanizmy  zapewnienia  bezpieczeństwa  i  niezawodności  urządzeń  aktywnych  sieci  lokalnej
(np.  przełączników,  urządzeń  transmisji  bezprzewodowej)  oraz  elementów  biernych
(okablowania  strukturalnego).  Opisać  sposób  zabezpieczenia  podłączenia  do  Internetu
obejmujące np. zaporę ogniową, system IDS/IPS, szyfrowanie VPN, itd. Przedstawić (osobno dla
serwerów,  osobno  dla  stacji  roboczych)  sposób  zabezpieczenia  systemu  operacyjnego,  np.
dotyczące  haseł,  praw  dostępu,  innych  uprawnień,  bezpieczeństwa  aplikacji,  itp.  Przedstawić
metody zapewnienia ciągłości działania kluczowych elementów systemu. Zaproponować sposób
zabezpieczenia  danych  przechowywanych  w  systemie  przed  awariami,  wyciekami,  itd.
Uwzględnić  archiwizację  danych  i  ochronę  antywirusową.  Opisać  pozostałe  zabezpieczenia
wprowadzone do systemu bezpieczeństwa wynikające z analizy potrzeb użytkownika i wyników
audytu (np. bezpieczeństwo sieci telefonicznych, bezpieczeństwo zasilania).

W formie tabeli zastawić ceny urządzeń, oprogramowania, szkoleń i innych elementów

niezbędnych do implementacji systemu bezpieczeństwa. Załączyć zwięzłe karty katalogowe
informujące o podstawowych parametrach urządzeń i oprogramowania.

Instrukcja bezpieczeństwa - Regulamin pracy.

Przedstawić

regulamin

(regulaminy)

pracy,

który

mają

być

wdrożone

przedsiębiorstwie/instytucji  –  zadania  pracowników,  ograniczenia,  konsekwencje  przekroczenia
uprawnień,  procedury  (np.  związane  z  przyjęciem  bądź  zwolnieniem  pracownika,  zasady
monitorowania  bezpieczeństwa,  prowadzenia  dzienników  zdarzeń,  itd.).  Przygotować  wzory
dokumentów i formularzy.