Bezpieczeństwo Sieci Teleinformatycznych - projekt

Semestr letni 2011/2012

Należy opracować kompleksowy projekt bezpieczeństwa dla lokalnej sieci komputerowej

wybranego przedsiębiorstwa/instytucji.

Stan obecny

Przedsiębiorstwo zajmuje dwa sąsiadujące piętra biurowca. W pomieszczeniach istnieje instalacja

telefoniczna i energetyczna oraz okablowanie strukturalne (UTP kat. 6) – ok. 60 punktów

abonenckich. W wydzielonym pomieszczeniu znajduje się punkt dystrybucyjny oraz serwerownia.

W sali konferencyjnej działa sieć bezprzewodowa, zabezpieczona za pomocą szyfrowania WEP.

Sieć lokalna jest podłączona do Internetu symetrycznym łączem szerokopasmowym, bez zapory

ogniowej (na routerze działa usługa NAT). Przedsiębiorstwo dysponuje trzema serwerami, z

których dwa przeznaczone są do przechowywania baz danych i aplikacji dostępnych w sieci

lokalnej (programy księgowe, kadrowe, aplikacje do prowadzenia działalności firmy, itd.),

natomiast trzeci udostępnia usługi WWW użytkownikom Internetu oraz jest firmowym serwerem

poczty (przekierowanie portów na routerze). Część pracowników ma możliwość pracy zdalnej na

wewnętrznych serwerach, co jest realizowane za pomocą modemów podłączonych do serwerów i

linii telefonicznych.

Cel projektu

Celem projektu jest opracowanie kompleksowej dokumentacji bezpieczeństwa teleinformatycznego

(polityka bezpieczeństwa, plan bezpieczeństwa, instrukcje dla użytkowników systemu, plany

odtwarzania ciągłości działania).

Opracowanie projektu należy rozpocząć od zaproponowania polityki bezpieczeństwa i wykonania

analizy ryzyka (w tym przeanalizować zagrożenia bezpieczeństwa). Następnie należy opracować

szczegółowy plan bezpieczeństwa, czyli zaproponować mechanizmy ochrony (np. zapory ogniowe,

systemy IDS, hasła, politykę kontroli dostępu do pomieszczeń i zasobów, archiwizację danych,

aktualizacje systemów, ochronę antywirusową i antyszpiegowską, dostęp zdalnych użytkowników

poprzez sieci VPN, uwierzytelnianie użytkowników sieci bezprzewodowej, UPS, monitoring,

regulaminy, itd.), które zapewnią wymagany poziom ochrony. Należy szczegółowo zaprojektować i

przestawić konfigurację rozwiązań zapewniających bezpieczeństwo i niezawodność sieci lokalnej,

granicy (w tym odporność na ataki DoS), systemów operacyjnych, danych, itd.

Należy zwrócić szczególną uwagę na problem wycieku/kradzieży danych (włamania, nośniki

zewnętrzne, poczta, internet) i zaprojektować skuteczne mechanizmy zapobiegające.

W dalszej części należy opracować instrukcje bezpieczeństwa dla dwóch wybranych grup

użytkowników (np. programista, administrator sieci), listę potencjalnych zdarzeń mogących

zakłócić ciągłość działania systemu oraz plan odtwarzania ciągłości działania dla 3 takich zdarzeń.

Projekt zaleca się zrealizować według następującego planu:

1.

Wstęp, charakterystyka wybranej instytucji.

2.

Polityka bezpieczeństwa

Inwentaryzacja i identyfikacja zasobów, które powinny podlegać ochronie. Identyfikacja

zasobów o znaczeniu kluczowym.

Identyfikacja podmiotów (użytkowników systemu – np. z podziałem na grupy). Zdefiniowanie

zakresu odpowiedzialności.

Definicja

legalnych

i

nielegalnych

sposobów

korzystania

z

(zasobów)

systemu

teleinformatycznego

Polityka dostępu do zasobów

3.

Analiza ryzyka

4.

Plan bezpieczeństwa teleinformatycznego (projekt mechanizmów zabezpieczających)

Wymagania projektowe, wybór i projekt konfiguracja mechanizmów

5.

Instrukcja bezpieczeństwa (i procedury) – dla dwóch wybranych stanowisk pracy

6.

Plan odtwarzania ciągłości działania

Lista możliwych incydentów

Plan odtwarzania ciągłości działania dla 3 wybranych incydentów

Zajęcia odbywają się w formie konsultacji w sali prowadzącego. Projekt należy wykonać w grupach

maksymalnie 3-osobowych. Realizacja projektu podzielona jest na 2 etapy:

•

Etap pierwszy obejmuje punkty 1-3 powyższego planu – termin realizacji to 7 tydzień

semestru (forma elektroniczna – przez stronę kursu)

•

Termin oddania całego projektu to 13 tydzień zajęć (projekt wydrukowany).

W czasie zajęć w 14 i 15 tygodniu semestru nastąpi omówienie projektu i wpisy ocen. Prace (etapy)

oddane po terminie będą miały obniżoną ocenę.

Zajęcia prowadzone są w trybie konsultacyjnym w sali własnej prowadzącego. Obowiązkowa jest

obecność grupy na zajęciach w wyznaczonych przez prowadzącego terminach.

Wpływ na ocenę końcową mają: ocena merytoryczna złożonego projektu, przyjęte założenia

projektowe, obecności i merytoryczne przygotowanie do konsultacji, termin złożenia etapów

projektu.

Dodatkowe informacje dotyczące projektu

W poszczególnych punktach projektu należy uwzględnić:

1.

Wstęp, charakterystyka wybranej instytucji.

Scharakteryzować profil działania firmy oraz jej zasoby informatyczne: strukturę sieci,

sprzęt (serwery, stacje robocze, urządzenia sieciowe) oraz oprogramowanie.

2.

Polityka bezpieczeństwa

Dokonać inwentaryzacji zasobów informatycznych oraz określić ich znaczenia dla

funkcjonowania przedsiębiorstwa. Sporządzić listę zasobów o znaczeniu kluczowym. Określić
dopuszczalne czasy niedostępności zasobów i przestojów systemu.
Przeprowadzić

klasyfikacje

rodzajów

użytkowników

systemu.

Określić

zakres

odpowiedzialności pracowników za elementy systemu.
Zdefiniować legalne i nielegalne sposoby wykorzystania systemu – najlepiej osobno dla każdej
klasy użytkowników. ‘Wykorzystanie systemu’ to m.in.: dostęp do informacji (odczyt, zapis,
itd.), możliwość korzystania z usług i zasobów systemu (łącza, usługi typu www, dns, itp.).
Punkt powinien uwzględniać m. in. rodzaje kont, politykę haseł i dostępu (lokalnego oraz
zdalnego), uprawnienia.

3.

Analiza ryzyka

Zidentyfikować istniejące zagrożenia oraz podatności systemu. Określić ścieżki penetracji

systemu. Oszacować konsekwencje (koszty) możliwych naruszeń bezpieczeństwa. Wykorzystać
przedstawione na wykładzie metody do przeprowadzenia ilościowej analizy ryzyka dla kilku
ś

cieżek penetracji. Podjąć decyzje dotyczącą postępowania z ryzykiem (minimalizacja,

akceptacja, przeniesienie na inne podmioty)

4.

Plan bezpieczeństwa teleinformatycznego (projekt mechanizmów zabezpieczających
Określenie wymagań projektowych.

Podstawowe założenia dotyczące projektowanego systemu bezpieczeństwa (reguły

bezpieczeństwa), akty prawne które należy uwzględnić, itp.
Projekt mechanizmów bezpieczeństwa.

Opisać koncepcję przyjętą przy opracowywaniu systemu. Przedstawić proponowane

mechanizmy zapewnienia bezpieczeństwa i niezawodności urządzeń aktywnych sieci lokalnej
(np. przełączników, urządzeń transmisji bezprzewodowej) oraz elementów biernych
(okablowania strukturalnego). Opisać sposób zabezpieczenia podłączenia do Internetu
obejmujące np. zaporę ogniową, system IDS/IPS, szyfrowanie VPN, itd. Przedstawić (osobno dla
serwerów, osobno dla stacji roboczych) sposób zabezpieczenia systemu operacyjnego, np.
dotyczące haseł, praw dostępu, innych uprawnień, bezpieczeństwa aplikacji, itp. Przedstawić
metody zapewnienia ciągłości działania kluczowych elementów systemu. Zaproponować sposób
zabezpieczenia danych przechowywanych w systemie przed awariami, wyciekami, itd.
Uwzględnić archiwizację danych i ochronę antywirusową. Opisać pozostałe zabezpieczenia
wprowadzone do systemu bezpieczeństwa wynikające z analizy potrzeb użytkownika i wyników
audytu (np. bezpieczeństwo sieci telefonicznych, bezpieczeństwo zasilania).

W formie tabeli zastawić ceny urządzeń, oprogramowania, szkoleń i innych elementów

niezbędnych do implementacji systemu bezpieczeństwa. Załączyć zwięzłe karty katalogowe
informujące o podstawowych parametrach urządzeń i oprogramowania.

5.

Instrukcja bezpieczeństwa - Regulamin pracy.

Przedstawić

regulamin

(regulaminy)

pracy,

który

mają

być

wdrożone

w

przedsiębiorstwie/instytucji – zadania pracowników, ograniczenia, konsekwencje przekroczenia
uprawnień, procedury (np. związane z przyjęciem bądź zwolnieniem pracownika, zasady
monitorowania bezpieczeństwa, prowadzenia dzienników zdarzeń, itd.). Przygotować wzory
dokumentów i formularzy.

6. Plan odtwarzania ciągłości działania

Zidentyfikować możliwe incydenty naruszające poprawne funkcjonowanie systemu (na

podstawie wniosków z analizy ryzyka).
Zaproponować szczegółowe procedury zarządzania w sytuacjach kryzysowych dla 3 wybranych
incydentów (np. zawirusowanie części systemu, awaria serwera, atak z zewnątrz).