Bezpieczeństwo Sieci Teleinformatycznych - projekt
Semestr letni 2011/2012
Należy opracować kompleksowy projekt bezpieczeństwa dla lokalnej sieci komputerowej
wybranego przedsiębiorstwa/instytucji.
Stan obecny
Przedsiębiorstwo zajmuje dwa sąsiadujące piętra biurowca. W pomieszczeniach istnieje instalacja
telefoniczna i energetyczna oraz okablowanie strukturalne (UTP kat. 6) – ok. 60 punktów
abonenckich. W wydzielonym pomieszczeniu znajduje się punkt dystrybucyjny oraz serwerownia.
W sali konferencyjnej działa sieć bezprzewodowa, zabezpieczona za pomocą szyfrowania WEP.
Sieć lokalna jest podłączona do Internetu symetrycznym łączem szerokopasmowym, bez zapory
ogniowej (na routerze działa usługa NAT). Przedsiębiorstwo dysponuje trzema serwerami, z
których dwa przeznaczone są do przechowywania baz danych i aplikacji dostępnych w sieci
lokalnej (programy księgowe, kadrowe, aplikacje do prowadzenia działalności firmy, itd.),
natomiast trzeci udostępnia usługi WWW użytkownikom Internetu oraz jest firmowym serwerem
poczty (przekierowanie portów na routerze). Część pracowników ma możliwość pracy zdalnej na
wewnętrznych serwerach, co jest realizowane za pomocą modemów podłączonych do serwerów i
linii telefonicznych.
Cel projektu
Celem projektu jest opracowanie kompleksowej dokumentacji bezpieczeństwa teleinformatycznego
(polityka bezpieczeństwa, plan bezpieczeństwa, instrukcje dla użytkowników systemu, plany
odtwarzania ciągłości działania).
Opracowanie projektu należy rozpocząć od zaproponowania polityki bezpieczeństwa i wykonania
analizy ryzyka (w tym przeanalizować zagrożenia bezpieczeństwa). Następnie należy opracować
szczegółowy plan bezpieczeństwa, czyli zaproponować mechanizmy ochrony (np. zapory ogniowe,
systemy IDS, hasła, politykę kontroli dostępu do pomieszczeń i zasobów, archiwizację danych,
aktualizacje systemów, ochronę antywirusową i antyszpiegowską, dostęp zdalnych użytkowników
poprzez sieci VPN, uwierzytelnianie użytkowników sieci bezprzewodowej, UPS, monitoring,
regulaminy, itd.), które zapewnią wymagany poziom ochrony. Należy szczegółowo zaprojektować i
przestawić konfigurację rozwiązań zapewniających bezpieczeństwo i niezawodność sieci lokalnej,
granicy (w tym odporność na ataki DoS), systemów operacyjnych, danych, itd.
Należy zwrócić szczególną uwagę na problem wycieku/kradzieży danych (włamania, nośniki
zewnętrzne, poczta, internet) i zaprojektować skuteczne mechanizmy zapobiegające.
W dalszej części należy opracować instrukcje bezpieczeństwa dla dwóch wybranych grup
użytkowników (np. programista, administrator sieci), listę potencjalnych zdarzeń mogących
zakłócić ciągłość działania systemu oraz plan odtwarzania ciągłości działania dla 3 takich zdarzeń.
Projekt zaleca się zrealizować według następującego planu:
1.
Wstęp, charakterystyka wybranej instytucji.
2.
Polityka bezpieczeństwa
Inwentaryzacja i identyfikacja zasobów, które powinny podlegać ochronie. Identyfikacja
zasobów o znaczeniu kluczowym.
Identyfikacja podmiotów (użytkowników systemu – np. z podziałem na grupy). Zdefiniowanie
zakresu odpowiedzialności.
Definicja
legalnych
i
nielegalnych
sposobów
korzystania
z
(zasobów)
systemu
teleinformatycznego
Polityka dostępu do zasobów
3.
Analiza ryzyka
4.
Plan bezpieczeństwa teleinformatycznego (projekt mechanizmów zabezpieczających)
Wymagania projektowe, wybór i projekt konfiguracja mechanizmów
5.
Instrukcja bezpieczeństwa (i procedury) – dla dwóch wybranych stanowisk pracy
6.
Plan odtwarzania ciągłości działania
Lista możliwych incydentów
Plan odtwarzania ciągłości działania dla 3 wybranych incydentów
Zajęcia odbywają się w formie konsultacji w sali prowadzącego. Projekt należy wykonać w grupach
maksymalnie 3-osobowych. Realizacja projektu podzielona jest na 2 etapy:
•
Etap pierwszy obejmuje punkty 1-3 powyższego planu – termin realizacji to 7 tydzień
semestru (forma elektroniczna – przez stronę kursu)
•
Termin oddania całego projektu to 13 tydzień zajęć (projekt wydrukowany).
W czasie zajęć w 14 i 15 tygodniu semestru nastąpi omówienie projektu i wpisy ocen. Prace (etapy)
oddane po terminie będą miały obniżoną ocenę.
Zajęcia prowadzone są w trybie konsultacyjnym w sali własnej prowadzącego. Obowiązkowa jest
obecność grupy na zajęciach w wyznaczonych przez prowadzącego terminach.
Wpływ na ocenę końcową mają: ocena merytoryczna złożonego projektu, przyjęte założenia
projektowe, obecności i merytoryczne przygotowanie do konsultacji, termin złożenia etapów
projektu.
Dodatkowe informacje dotyczące projektu
W poszczególnych punktach projektu należy uwzględnić:
1.
Wstęp, charakterystyka wybranej instytucji.
Scharakteryzować profil działania firmy oraz jej zasoby informatyczne: strukturę sieci,
sprzęt (serwery, stacje robocze, urządzenia sieciowe) oraz oprogramowanie.
2.
Polityka bezpieczeństwa
Dokonać inwentaryzacji zasobów informatycznych oraz określić ich znaczenia dla
funkcjonowania przedsiębiorstwa. Sporządzić listę zasobów o znaczeniu kluczowym. Określić
dopuszczalne czasy niedostępności zasobów i przestojów systemu.
Przeprowadzić
klasyfikacje
rodzajów
użytkowników
systemu.
Określić
zakres
odpowiedzialności pracowników za elementy systemu.
Zdefiniować legalne i nielegalne sposoby wykorzystania systemu – najlepiej osobno dla każdej
klasy użytkowników. ‘Wykorzystanie systemu’ to m.in.: dostęp do informacji (odczyt, zapis,
itd.), możliwość korzystania z usług i zasobów systemu (łącza, usługi typu www, dns, itp.).
Punkt powinien uwzględniać m. in. rodzaje kont, politykę haseł i dostępu (lokalnego oraz
zdalnego), uprawnienia.
3.
Analiza ryzyka
Zidentyfikować istniejące zagrożenia oraz podatności systemu. Określić ścieżki penetracji
systemu. Oszacować konsekwencje (koszty) możliwych naruszeń bezpieczeństwa. Wykorzystać
przedstawione na wykładzie metody do przeprowadzenia ilościowej analizy ryzyka dla kilku
ś
cieżek penetracji. Podjąć decyzje dotyczącą postępowania z ryzykiem (minimalizacja,
akceptacja, przeniesienie na inne podmioty)
4.
Plan bezpieczeństwa teleinformatycznego (projekt mechanizmów zabezpieczających
Określenie wymagań projektowych.
Podstawowe założenia dotyczące projektowanego systemu bezpieczeństwa (reguły
bezpieczeństwa), akty prawne które należy uwzględnić, itp.
Projekt mechanizmów bezpieczeństwa.
Opisać koncepcję przyjętą przy opracowywaniu systemu. Przedstawić proponowane
mechanizmy zapewnienia bezpieczeństwa i niezawodności urządzeń aktywnych sieci lokalnej
(np. przełączników, urządzeń transmisji bezprzewodowej) oraz elementów biernych
(okablowania strukturalnego). Opisać sposób zabezpieczenia podłączenia do Internetu
obejmujące np. zaporę ogniową, system IDS/IPS, szyfrowanie VPN, itd. Przedstawić (osobno dla
serwerów, osobno dla stacji roboczych) sposób zabezpieczenia systemu operacyjnego, np.
dotyczące haseł, praw dostępu, innych uprawnień, bezpieczeństwa aplikacji, itp. Przedstawić
metody zapewnienia ciągłości działania kluczowych elementów systemu. Zaproponować sposób
zabezpieczenia danych przechowywanych w systemie przed awariami, wyciekami, itd.
Uwzględnić archiwizację danych i ochronę antywirusową. Opisać pozostałe zabezpieczenia
wprowadzone do systemu bezpieczeństwa wynikające z analizy potrzeb użytkownika i wyników
audytu (np. bezpieczeństwo sieci telefonicznych, bezpieczeństwo zasilania).
W formie tabeli zastawić ceny urządzeń, oprogramowania, szkoleń i innych elementów
niezbędnych do implementacji systemu bezpieczeństwa. Załączyć zwięzłe karty katalogowe
informujące o podstawowych parametrach urządzeń i oprogramowania.
5.
Instrukcja bezpieczeństwa - Regulamin pracy.
Przedstawić
regulamin
(regulaminy)
pracy,
który
mają
być
wdrożone
w
przedsiębiorstwie/instytucji – zadania pracowników, ograniczenia, konsekwencje przekroczenia
uprawnień, procedury (np. związane z przyjęciem bądź zwolnieniem pracownika, zasady
monitorowania bezpieczeństwa, prowadzenia dzienników zdarzeń, itd.). Przygotować wzory
dokumentów i formularzy.
6. Plan odtwarzania ciągłości działania
Zidentyfikować możliwe incydenty naruszające poprawne funkcjonowanie systemu (na
podstawie wniosków z analizy ryzyka).
Zaproponować szczegółowe procedury zarządzania w sytuacjach kryzysowych dla 3 wybranych
incydentów (np. zawirusowanie części systemu, awaria serwera, atak z zewnątrz).