МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
УХТИНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
КАФЕДРА ИСБ
КУРСОВАЯ РАБОТА
на тему: «Обеспечение защиты данных в системе «Учет рабочего времени»»
Выполнила: студентка группы ИС-2-00
Шульц О.В.
Проверила: Некучаева Н.А.
УХТА 2008
В данном курсовом проекте рассматривается вопрос обеспечения защиты данных в системе «Учет рабочего времени», разрабатываемой для предприятия НПО «Криста» занимающегося внедрением и сопровождением бухгалтерской программы «Смета» в г.Воркута.Система создается для автоматизации процесса контроля и учета распределения рабочего времени, а так же формирования сопроводительных документов, и информации полученной в процессе работы.
В работе рассматривается вопрос обеспечения защиты данных в системе, разрабатываемой для сопроводителей и методы практической реализации обеспечения безопасности этих данных.
Целью проекта является повышение эффективности работы сопроводителей.
Кроме этого, предлагаемая система должна позволять: уменьшить затраты времени на обработку заявок, поступающих от организаций, экономить рабочее время сотрудника и облегчить его работу в оперативности получения и обработки информации о предстоящих посещениях организаций; хранить данные в более удобном компактном виде, что существенно повысит скорость доступа к информационным ресурсам, а также обеспечит надёжную защиту от потери информации и несанкционированного доступа к ней.
Разработчиком системы является студент группы ИСТ-03, Степанова И.А., Заказчиком системы является НПО «Криста» в лице директора
Все классы оценки автоматизируемых систем разделяют на 3 группы, которые различаются особенностями обработки информации:
3 группа: классифицирует АС, в которой работает один пользователь, допущенный ко всему объёму информации АС, относящейся к одному уровню конфиденциальности (3А, 3Б).
2 группа: классифицирует АС, в которой пользователи имеют одинаковые права ко всей информации и вся она размещена на одном уровне конфиденциальности (2А, 2Б).
1 группа: классифицирует многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности, и не все пользователи имеют права доступа ко всей информации (1А, 1Б, 1В, 1Г, 1Д).
Разрабатываемая система относится к первой группе, т.к. она является многопользовательской. В подсистеме предусматривается разграничение прав доступа пользователей к данным (каждый пользователь имеет доступ только к тем данным, которые необходимы только ему). В то же время информация, с которой работает система, не имеет ни один из грифов секретности, а носит чисто конфиденциальный характер. Таким образом, классом защиты нашей системы будет являться 1Г.
Все пользователи системы, а также сервера баз данных соединены в сеть (см. Приложение 1 «Схема сети»). Компьютеры пользователей соединены между собой устройством (Switch), которое позволяет объединить компьютеры в небольшую локальную сеть. Один из компьютеров подключен к Интернету с помощью модема.
Данная сеть нуждается в защите информации, передаваемой по сети. Информация может быть подвергнута изменению, удалению, хищению, что приведет предприятие к потерям. Для разграничения доступа к информации на сервере будет установлена СУБД и организован доступ к серверу со всех клиентов. Следовательно, получение, заполнение и редактирование информации будет происходить средствами сервера СУБД, что позволяет разграничивать доступ к информации средствами самой СУБД. АС будет доступна только сопроводителям предприятия и руководителю.
Вся информация будет храниться на сервере с установленной системой управления базами данных (СУБД) и будет организован доступ к серверу со всех клиентов посредством локальной сети предприятия. Таким образом, получение, заполнение и редактирование информации будет происходить средствами сервера СУБД, что позволяет разграничивать доступ к информации средствами самой СУБД.
В разрабатываемой системе в зависимости от используемых ролей настраиваются права конкретного пользователя, при этом оговаривается набор доступных ему подсистем и перечень операций, которые он может выполнять в каждой из них.
Табл.1
Пользователи | ||
Таблица БД | Сопроводитель | Руководитель |
Расписание | П | ПРДУ |
Организации | П | ПРДУ |
Заявки | П | ПРДУ |
Сотрудники | П | ПРДУ |
Акты | ПРДУ | ПРДУ |
Условные обозначения:
П – просмотр данных;
Р – редактирование;
Д – добавление данных;
У – удаление данных;
Сопроводитель имеет право просматривать расписание, организации заявки и информацию о сотрудниках. Руководитель же, может все эти данные просматривать, редактировать добавлять в них данные и удалять их. На таблицу Акты и сопроводитель, и руководитель имеют одинаковые права.
2.1 Организационные мероприятия
Самым дешёвым и самым эффективным средством защиты информации является проведение организационных мероприятий. Для защиты автоматизируемой подсистемы «Учет рабочего времени» необходимо проведение следующих организационных мероприятий:
1. Утверждение политики безопасности;
2. Охрана периметра здания;
3. Распоряжения о персональном доступе в кроссовое помещение;
4. Учёт ключей и их выдача лицам, утверждённым в специальном списке, имеющим доступ к серверным помещениям, активному оборудованию и конфиденциальной информации; все действия, выполняемые в этих помещениях, должны документироваться и регистрироваться, т.е. необходимо ведение аудита;
5. Регламент на работу с конфиденциальной информацией;
6. Регламент о резервном копировании и архивировании:
Выполнение функций резервного копирования и архивирования данных за отчетный период должны быть закреплены за ответственным лицом;
Резервное копирование и архивирование должно производиться на внешние носители - CD/RW;
Резервные копии должны быть в двух экземплярах и должны храниться в различных местах не с сервером;
7. Запрет использования переносных устройств информации;
8. Должен быть разработан список доступа пользователей к информационным объектам: матрица доступа;
9. Регламент на использование и защиту паролей:
Минимальная длина пароля;
Минимальный срок жизни пароля;
Максимальное количество ошибок при вводе пароля;
Поддержка истории паролей;
При входе пользователя в систему необходимо предупреждение о запрете использования чужих паролей и НСД;
10 Описание конфигурации серверов, все конфигурационные файлы должны быть зарезервированы;
11 Разработка регламента о получении сведений при перемещении по службе (увольнении): на основании приказов об увольнении служащих или их переводе в другие подразделения необходимо удалить учётную запись, либо изменить права доступа соответственно;
12 Разработка регламента на использование антивирусов;
13 Регламент на восстановление системы после сбоев;
14 Налаживание учёта используемого программного обеспечения: учёт лицензий, стандарт программного обеспечения, рабочего места;
15 Регламент на профилактику: установка patch-ей;
16 При обнаружении уязвимого места в программном обеспечении установить соответствующий patch. Если же такового ещё нет, то следить за его появлением, а так же за информацией об использовании обнаруженного изъяна злоумышленниками.
4.3. Горизонтальная модель информационной подсистемы
Предприятие НПО «Криста», для которого проектируется система «Учета рабочего времени» имеет одно подразделение. Вся информация, необходимая при работе системы, будет централизованно храниться на сервере баз данных, находящемся в администрации предприятия. Сервер баз данных находится в специальном помещении (серверная). Все пользователи данной подсистемы при работе будут обращаться к серверу для получения необходимой информации, занесения новой, а также её модификации.
Для этого все пользователи системы, а также сервер баз данных соединены между собой в сеть. Компьютеры пользователей соединены специальным устройством (HUB-ом), который позволяет объединить компьютеры в небольшую локальную сеть. К этому устройству также подключены сетевые принтеры для того, чтобы пользователи могли распечатать всю необходимую для них информацию.
В соответствии с такой иерархией сети, необходимо следить за её безопасностью и передаваемой по ней информации, которая может быть подвергнута изменению, удалению, либо похищению, в результате чего предприятие может понести большие потери.
Описание возможных угроз
Выявим потенциальные угрозы.
Угрозы по внешним источникам
Несанкционированный доступ к каналам передачи данных. Информация может быть подвергнута удалению хищению или изменению, что может привести к потерям.
Внутренние источники угроз
– Несанкционированный доступ к основным ресурсам: серверы, активное оборудование; – Несанкционированный доступ к персональному компьютеру пользователя; – Прослушивание сетевого трафика; – Подмена рабочего места пользователя. Эта угроза возникает в результате замены компьютера пользователя другим и подмены IP-адреса. В этом случае, данные, предназначенные для пользователя, попадают в посторонние руки.