Курсовая работа: Разработка симулятора работы администратора по обеспечению сетевой безопасности ОС UNIX
Курсовая работа: Разработка симулятора работы администратора по обеспечению сетевой безопасности ОС UNIX
ВВЕДЕНИЕ
1 Анализ объекта
1.1 Типовые задачи, выполняемые администраторами ИС ФНС РФ по обеспечению сетевой безопасности ОС UNIX
1.2 ОС UNIX
1.3 Обзор существующих решений
1.4 Роль ОС UNIX в ФНС РФ
1.5 Частые ошибки
1.6 Выводы
2 Выбор среды разработки
2.1 Требования к симулятору
2.2 Требования к системе разработки симулятора:
2.3 Сравнение выбранных решений
2.3.1 Adobe Flash
2.3.2Adobe Captivate
2.3.3 Язык программирования JavaScript
2.3.4 Таблица сравнения
2.4 Вывод
3 Реализация
3.1 Общие сведения
3.2 Алгоритм работы разрабатываемого симулятора
3.3 Блок-схема
3.3.1 Режим работы
3.3.2 Блок ввода-вывода
3.3.3 Проверки правильности ввода
В данном блоке переменная Pri является тестовой и представляет собой правильную команду для задания под номером i,
3.3.4 Блок распознавания введенной переменной
3.3.6 Запись ошибки в лог-файл
3.3.7 Исполнение команды
3.4 Работа симулятора в режиме контроля знаний
3.5 Работа симулятора в режиме обучения
3.6 Тестовый стенд
3.7 Примеры реализации задач для лабораторных работ
3.8 Реализация симулятора при помощи Adobe Captivate
3.9 Внешний вид симулятора
3.10 Результат разработки
4 ЭКОЛОГИЯ И БЕЗОПАСНОСТЬ
4.1 Эргономический анализ рабочего места сотрудника Федеральной Налоговой Службы
4.2 Взаимное расположение рабочих мест
4.3 Разработка требований к рабочему мсту
4.4 Требования к рабочему креслу
4.5 Требования к монитору
4.6 Анализ вредных и опасных факторов, возникающих в процессе разработки симулятора
4.6.1 Анализ микроклимата
4.6.2 Анализ освещения рабочего места
4.7 Результаты анализа соответствия рабочих мест сотрудников Федеральной Налоговой Службы нормативным требованиям
5 Экономическая часть
5.1 Рынок электронного обучения
5.2 Нормативы для расчетов
5.3 Расчет затрат на разработку проекта
5.3.1 Смета затрат включает следующие статьи затрат
5.3.2 Затраты на материалы
5.3.3 Затраты на оборудование
5.3.4 Расчет затрат на основную зарплату исполнителей
5.3.5 Отчисления на социальные нужды
5.3.6 Накладные расходы
5.3.7 Прибыль
5.3.8 Общая смета затрат
5.4 Выводы
Заключение
Список литературы
Приложение А “Интерфейс симулятора при выполнении типичного задания пользователем”
В мире существует множество систем, которые относятся к различным сферам деятельности и выполняют свои определённые функции. Для многих таких систем были разработаны симуляторы, при помощи которых можно получить практические навыки, и затем грамотно применять их на реальных системах. Симуляторы достаточно распространены во всём мире и входят в состав различных учебных курсов, в том числе посвященные информационным технологиям. Так как практиковаться на реальных системах является достаточно рискованно и дорого, симуляторы получили столь масштабное распространение [1].
На сегодняшний день большое количество крупных организаций проводят обучение, переподготовку и занимаются повышением квалификации своих сотрудников, поскольку именно квалификация сотрудников организации определяет ее успешное развитие.
Обучение администраторов – направление, позволяющее оптимизировать их работу, повысить эффективность использования ресурсов. Процесс управления ИТ-инфраструктурой складывается из множества подзадач. Одной из важнейших подзадач является обеспечение безопасности информационной системы. Однако обеспечение безопасности - сложный процесс, требующий высокой квалификации персонала, и поэтому особо остро встает проблема обучения администраторов. При ее решении приходится сталкиваться со значительными трудностями – такими, как невозможность замены специалиста на время обучения, сложности с командировкой специалиста на обучение, контроль полученных знаний. Эти проблемы в совокупности приводят к возможному решению - использования дистанционного обучения, которое в данном случае имеет очевидные преимущества - такие, как отсутствие необходимости личного присутствия обучаемого, обучение может происходить на рабочем месте, в свободное время. Не следует также забывать и об экономической выгоде такого подхода – снижение расходов на командировки специалиста, отсутствие простоя на время обучения.
Одним из важнейших моментов для специалиста является умение практического применения навыков, полученных в результате обучения. Однако не всегда имеется возможность практических тренировок – зачастую это связано с отсутствием возможности использовать оборудование, использующееся на данный момент в рабочей сети, невозможность внесения изменений в работающую информационную систему, вероятность сбоя при неверной конфигурации и т.д. В данном случае существует несколько решений - в частности, использование стендов, виртуализация ОС и оборудования. Но у этих решений есть существенные недостатки - в частности, требования к дополнительному аппаратному обеспечению, зачастую сложность развертывания данного решения.
Решением, обладающим плюсами дистанционного обучения и простотой развертывания и использование является использование эмулятора, позволяющего отработать основные практические навыки работы. Обладая также возможностью оценки практических знаний обучаемого, данное решение является более удобным инструментом с точки зрения дистанционного обучения, чем использование стендов.
Проблема обучения администраторов сетевой безопасности ФНС кроме уже рассмотренных выше сложностей имеет свои особенности - такие, как особая конфигурация сети, оборудования, используемых ОС. Особые требования по безопасности также накладывают ограничения на возможность использования неспециализированных решений. Основной задачей дипломной работы стала разработка симулятора работы администратора сетевой безопасности OC Unix для ФНС РФ. На сегодняшний день обеспечение сетевой безопасности является важной задачей администраторов сетей в различных областях.
Объектом анализа являются типовые задачи, выполняемые администраторами ИС ФНС РФ при работах по обеспечению сетевой безопасности ОС UNIX, а так же ОС UNIX.
1.1 Типовые задачи, выполняемые администраторами ИС ФНС РФ по обеспечению сетевой безопасности ОС UNIXОбеспечение сетевой безопасности ФНС РФ – процесс, имеющий свои особенности из-за действующих регламентов, особой конфигурации сети, оборудования и программ, использующихся в информационной системе. Несмотря на то, что в целом обеспечение сетевой безопасности ОС UNIX – достаточно широко освещенная тема, обучение по ней в контексте ФНС имеет ряд особенностей, т.к. работа администратора сетевой безопасности имеет ряд отличий в связи с действующими регламентами.
Список задач, решаемых администратором:
· Настройка firewall
· Настройка обновления ОС
· Управление параметрами запуска служб и компонентов
· Настройка и конфигурация маршрутизации и удаленного доступа
· Настройка прав доступа к файловой системе
· Настройка шифрования данных
· Настройка авторизации пользователей
· Управление учетными данными пользователей
· Проверка целостности данных
· Безвозвратное удаление данных
· Настройка контроля событий безопасности внутри системы
· Просмотр журналов системных событий
· Анализ журналов контроля событий безопасности
· Работа с программой net monitor
· Резервное копирование
· Командные скрипты
Проанализировав задачи, выполняемые администратором ФНС для обеспечения сетевой безопасности, были выявлены следующие направления:
· Предотвращение несанкционированного доступа
· Устранение внутренних угроз
· Контроль событий в системе
· Восстановление работоспособности системы
В частности, для предотвращения несанкционированного доступа к системе извне администратором ФНС выполняются следующие задачи:
· Настройка firewall
· Настройка обновления ОС
· Управление параметрами запуска служб и компонентов
· Настройка и конфигурация маршрутизации и удаленного доступа
Наиболее часто выполняемыми задачами по устранению внутренних угроз являются:
· Настройка прав доступа к файловой системе
· Шифрование данных
· Настройка авторизации пользователей
· Управление учетными данными пользователей
· Проверка целостности данных
· Безвозвратное удаление данных
Для выполнения настройки аудита событий, происходящих в системе, перед администратором ставятся следующие задачи:
· Настройка контроля событий безопасности внутри системы
· Просмотр журналов системных событий
· Анализ журналов контроля событий безопасности
· Работа с программой net monitor
Для восстановления работоспособности системы администратором выполняются следующие задачи:
· Резервное копирование
· Командные скрипты
Каждая отдельная задача, по сути, является совокупностью операций, направленных на какой-либо конечный результат. Совокупность данных операций позволяет организовывать сетевую безопасность ОС UNIX на уровне, соответствующем распорядку, установленному в ФНС.
Рассмотрим каждую задачу детально. В органах ФНС РФ используется ОС FreeBSD версии 8. Данная операционная система относится к ветке BSD, версии UNIX, разработанной в Университете Калифорнии, Беркли. Является одной из наиболее распространенных UNIX-систем. Соответственно, набор операций симулятора копирует поведение данной операционной системы.
Одной из наиболее часто выполняемых задач по предотвращению несанкционированного доступа является настройка межсетевого экрана. Поскольку для обучения используется ОС FreeBSD 8.0, то используемым межсетевым экраном является ipfw — межсетевой экран, который встроен во FreeBSD начиная с версии 2.0. Кроме ipfw в данной ОС есть возможность использования других межсетевых экранов, в частности packet filter и ipfilter. Однако, они не являются приложениями, изначально созданными для данной ОС, т.к. были перенесены в FreeBSD: пакетный фильтр PF из OpenBSD, а ipfilter из NetBSD. В симуляторе рассматриваются операции по запрету и разрешению сетевого обмена на определенных портах, по определенным протоколам и адресам. При работах по предотвращению несанкционированного доступа администратор выполняет следующие операции:
· Добавление правил обработки пакетов межсетевым экраном при помощи командной строки а также при помощи конфигурационных файлов
· Редактирование уже имеющихся правил обработки пакетов
· Блокировка сетевого обмена на определенных портах
· Блокировка сетевого обмена с определенными IP-адресами и сетями
· Разрешение сетевого обмена только с определенными IP-адресами и сетями
Задача по настройке обновления ОС – важное действие, позволяющее устранять уязвимости в программном обеспечении. Эта задача выполняется при помощи встроенного средства freebsd-update. Также в симуляторе рассматривается возможность автоматического обновления при помощи планировщика задач cron. Обновление ОС производится через интернет с серверов группы разработчиков FreeBSD. Администратором при настройке обновления выполняются следующие операции:
· Проверка наличия обновлений на серверах обновлений вручную
· Установка обновлений вручную при их наличии
· Конфигурирование планировщика cron для автоматической проверки на наличие обновлений
· Редактирование расписания проверки обновлений
Для того чтобы минимизировать возможность несанкционированного доступа, необходимо тщательно следить за сервисами, запускающимися вместе с операционной системой, а также уделять внимание правам, которыми обладают данные службы. В данном примере рассматривается запуск требуемых служб с определенным набором прав доступа, для исключения возможности несанкционированного доступа при возможной уязвимости службы. Администратором при настройке сервисов выполняются следующие операции:
· Редактирование конфигурационных файлов для добавления служб, автоматически запускаемых при старте системы
· Редактирование конфигурационных системных файлов для запуска служб с определенными параметрами
· Использование планировщика cron для автоматического запуска служб в различных случаях
· Конфигурация служб для запуска их от имени ограниченных учетных записей
Понятие сетевой безопасности тесно связано с маршрутизацией в сети. На данном примере в симуляторе рассматривается возможность работы системы как маршрутизатора между различными сетями, настройка сетевых интерфейсов при помощи ifconfig - присвоение ip-адреса, маски подсети, шлюза, DNS-сервера. Данные операции являются базовыми для администраторов, и поэтому важны для рассмотрения. Администратор для обеспечения работы маршрутизации выполняет следующие операции:
· Включение и выключение режима работы системы как маршрутизатора при помощи командной строки
· Включение и выключение режима работы системы как маршрутизатора при помощи редактирования конфигурационных файлов
· Инициализация сетевых интерфейсов- присвоение ip-адреса, маски подсети, шлюза, DNS-сервера.
· Настройка протоколов маршрутизации припомощи конфигурационных файлов
Однако кроме угроз, исходящих из-за пределов информационной системы следует также отметить возможность внутренних угроз – несанкционированный доступ или изменение данных легитимными пользователями информационной системы. Для минимизации подобных угроз также определен круг задач, решаемых администратором.
Одной из типовых задач по устранению внутренних угроз является настройка прав доступа к файловой системе пользователям и группам пользователей. Благодаря этому уменьшается возможность удаления или изменения данных пользователем, не имеющего на то права. Распределение прав - одно из ключевых моментов по устранению внутренних угроз. Для настройки прав доступа к файловой системе администратором выполняются следующие операции:
· Вывод и анализ прав доступа, установленных на файлы и директории
· Установка прав доступа на файлы и директории
· Изменение прав доступа на файлы и директории
Т.к. ФНС РФ часто имеет дело с информацией, являющейся конфиденциальной или секретной, то администратору приходится сталкиваться с ситуацией, когда данные требуют шифрования. В данном примере на симуляторе рассмотрена настройка шифрования и дешифрования данных при помощи симметричного алгоритма блочного шифрования AES с длиной ключа 256 бит, что обеспечивает нужную криптостойкость. При работе с шифрованием данных администратор выполняет следующие операции:
· Настройка шифрования данных при помощи open ssl из командной строки
· Настройка дешифрования данных при помощи open ssl из командной строки
Т.к. риск внутренних угроз исходит от легитимных пользователей, то одной из наиболее часто встречающихся задач является создание новых профилей пользователей с требуемыми параметрами. На симуляторе полностью смоделирован процесс создания профиля пользователя. Администратор при создании пользователей выполняет следующие операции:
· Создание нового профиля пользователя
· Создание нового профиля пользователя с определенными параметрами - группа, рабочая директория и т.д.
В процессе работы иногда перед администратором поднимается задача изменения параметров учетной записи пользователя, переноса профиля в другую группу, изменение пароля и т.д. Подобные задачи также были смоделированы на симуляторе. Администратор при изменении параметров учетных записей выполняет следующие операции:
· Перенос пользователя в другую группу
· Изменение пароля
· Изменение пути домашнего каталога пользователя
· Отключение и включение учетной записи
· Смена личных данных пользователя
Одной из важных задач для администратора является проверка данных на целостность. Для подобных случаев был рассмотрен пример проверки данных на изменение при помощи алгоритма md5. MD5 является 128-битным алгоритмом хэширования. Он используется для проверки подлинности данных путём сравнения дайджеста. Эту операцию называют «проверка хеша» Администратор при проверке данных на целостность выполняет следующие операции:
