Создание локальной вычислительной сети ООО "РАТИБОР"

Рисунок 13 – Авторизация

 

После удачной аутентификации администратору будет доступна информация о подключенных и отключенных станциях (рис. 14).

 

 

Рисунок 14 – Список станций

 

На рисунке 14 синим цветом изображена отключенная станция, а зеленым – подключенная к серверу.

Чтобы просмотреть свойства рабочей  станции необходимо нажать двойным щелчком правой кнопкой мыши на номер станции. После этого появится информация о станции (рис. 15).

 

 

Рисунок 15 – Свойства бездисковой станции

Для просмотра экрана пользователя данной бездисковой станции можно  нажать кнопку View Screen, изображенной на рисунке 15. На рисунке 16 изображен экран пользователя станции.

 

 

Рисунок 16 – Экран пользователя бездисковой станции

Настройку бездисковой станции  можно произвести и при помощи программы NCT -2000-XP (рис.17).

Рисунок 17 – Настройка бездисковой станции

4.3 Защита информации в сети

 

Исследование и анализ многочисленных случаев воздействий на информацию и несанкционированного доступа к ней показывают, что их можно разделить на случайные и преднамеренные. Причинами таких воздействий могут быть:

• отказы и сбои аппаратуры;
• помехи на линии связи от воздействий внешней среды;
• ошибки человека как звена системы;
• системные и системотехнические ошибки разработчиков;
• структурные, алгоритмические и программные ошибки;
• аварийные ситуации;
• другие воздействия.

Преднамеренные угрозы связаны  с действиями человека, причинами  которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей.

Нет никаких сомнений, что на предприятии  произойдут случайные или преднамеренные попытки взлома  сети извне. В связи с этим обстоятельством требуется тщательно предусмотреть защитные мероприятия.

Для вычислительных систем характерны следующие штатные каналы доступа  к информации:

• терминалы пользователей, самые доступные из которых это рабочие станции в компьютерных классах;
• терминал администратора системы;
• терминал оператора функционального контроля;
• средства отображения информации;
• средства загрузки программного обеспечения;
• средства документирования информации;
• носители информации;
• внешние каналы связи.

Принято различать пять основных средств защиты информации:

• технические;
• программные;
• криптографические;
• организационные;
• законодательные.

 

Анализ возможностей системы разграничения доступа. Windows 2003 Server дает много инструментальных средств, для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть,  какие ресурсы используются на данный момент; видеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверять данные в журнале безопасности; записи в журнале событий.

Модель безопасности Windows 2003 основана на понятиях аутентификации и авторизации. При аутентификации проверяются идентификационные данные пользователя, а при авторизации – наличие у него прав доступа к ресурсам компьютера или сети. В Windows 2003 также имеются технологии шифрования, которые защищают конфиденциальные данные на диске и в сети: например, EFS (Encrypting File System) – технология открытого ключа.

Аутентификация. Регистрируясь на компьютере для получения доступа к ресурсам локального компьютера или сети, пользователь должен ввести свое имя и пароль. В Windows 2003 возможна единая регистрация для доступа ко всем сетевым ресурсам. Таким образом, пользователь может войти в систему с клиентского компьютера по единому паролю или смарт – карте и получить доступ к другим компьютерам домена без повторного ввода идентификационных данных.

Главный протокол безопасности в доменах  Windows 2003 – NTLM.

Используя Windows 2003 в сети с активным каталогом (Active Directory), можно управлять безопасностью регистрации с помощью параметров политики групп, например, ограничивать доступ к компьютерам и принудительно завершать сеансы работы пользователей спустя заданное время. Можно применять предварительно сконфигурированные шаблоны безопасности, соответствующие требованиям к безопасности данной рабочей станции или сети. Шаблоны представляют собой файлы с предварительно сконфигурированными параметрами безопасности, которые можно применять на локальном компьютере или импортировать в групповые политики активного каталога. Эти шаблоны используются в неизменном виде или настраиваются для определенных нужд.

 Авторизация. Авторизация позволяет контролировать доступ пользователей к ресурсам. Применение списков управления доступом (access control list, ACL) и прав доступа NTFS гарантирует, что пользователь получит доступ только к нужным ему ресурсам, например, к файлам, дискам (в том числе сетевым), принтерам и приложениям. С помощью групп безопасности, прав пользователей и прав доступа можно одновременно управлять безопасностью, как на уровне ресурсов, так и на уровне фалов, папок и прав отдельных пользователей.

Группы безопасности. Среди групп безопасности, локальных для домена и компьютера, имеется ряд предварительно сконфигурированных групп, в которые можно включать пользователей.

Администраторы (Administrators) обладают полным контролем над локальным компьютером и правами на совершение любых действий. При установке Windows 2003 Server для этой группы создается и назначается встроенная учетная запись Администратор.

Опытные пользователи (Power Users) обладают правами на чтение и запись файлов не только в личных папках, но и за их пределами. Они могут устанавливать приложения и выполнять многие административные действия.

Пользователи (Users) в отношении  большей части системы имеют только право на чтение. У них есть право на чтение и запись только файлов их личных папок. Пользователи не могут читать данные других пользователей (если они не находятся в общей папке), устанавливать приложения, требующие модификации системных каталогов или реестра, и выполнять административные действия.

Гости (Guests) могут регистрироваться по встроенной учетной записи Guest и выполнять ограниченный набор действий, в том числе выключать компьютер.

Учетные записи пользователей. Учетная запись содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные  ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе.

На таблице 5 показано содержание учетной записи пользователя.

Таблица 5  - Содержание учетной записи

 

Учетная карточка пользователя	Элемент учетной за писи	Комментарии
1	2	3
Username	Имя пользователя	Уникальное имя пользователя, выбирается при регистрации.
Password	Пароль	Пароль пользователя.
Full name	Полное имя	Полное имя пользователя.
1	2	3
Logon hours	Часы начала сеанса	Часы, в течение которых пользователю позволяется входить в систему. Они влияют на вход в систему сети и доступ к серверу. Так или иначе, пользователь вынужден будет выйти из системы, когда его часы сеанса, определенные политикой безопасности, истекут.
Logon workstations	Рабочие станции	Имена рабочих станций, на которых  пользователю позволяется работать. По умолчанию пользователь может использовать любую рабочую станцию, но возможно введение ограничений
Expiration date	Дата истечения срока	Дата в будущем, когда учетную  карточку автоматически исключают из базы, полезна при принятии на работу временных служащих
Home directory	Собственный каталог	Каталог на сервере, который принадлежит пользователю; пользователь управляет доступом к этому каталогу.
Logon script	Сценарий начала сеанса	Пакетный или исполняемый файл, который запускается автоматически, когда пользователя начинает сеанс.
Profile	Установки (параметры)	Файл, содержащий запись о параметрах среды рабочего стола (Desktop) пользователя. О таких, например, как сетевые соединения, цвета экрана и установочные параметры, определяющие, какие аспекты среды, пользователь может изменить
Account type	Тип учетной карточки	Тип учетной карточки - глобальный или локальный.

 

Журнал событий безопасности. Windows 2003 Server позволяет определить, что войдет в ревизию и будет записано в журнал событий безопасности всякий раз, когда выполняются определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает выполненное действие, пользователя, который выполнил его, а также дату и время действия. Это позволяет контролировать как успешные, так и неудачные попытки каких-либо действий.

Журнал событий безопасности  для условий фирмы является обязательным, так как в случае попытки взлома сети можно будет отследить источник.

Политика групп. Параметры политики групп позволяют назначать ресурсам права доступа, а также предоставлять права доступа пользователям. Это нужно для того, чтобы требовать запуска определенных приложений только в заданном контексте безопасности (тем самым, снижая риск воздействия на компьютер нежелательных приложений, например, вирусов) и конфигурировать различные права доступа множества клиентских компьютеров. Функции  аудита позволяют обнаруживать попытки отключить или обойти защиту ресурсов.

Шифрование.Windows 2003 предоставляет возможность еще больше защитить зашифрованные файлы и папки на томах NTFS, благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2003 можно работать только с теми томами, на которые есть права доступа. В файловых системах, в которых не используется шифрование, можно получить доступ ко всем файлам, хранящимся на диске, так как на пользователя в этом случае не распространяются ограничения доступа, сведения о которых содержатся в специальных списках контроля доступа.

Любой пользователь, который захочет  получить доступ к определенному  файлу, должен обладать личным ключом, с помощью которого данные файла  будут расшифровываться.

При использовании шифрованной  файловой системы следует учесть что:

• Могут быть зашифрованы только файлы и папки, находящиеся на томах NTFS
• Сжатые файлы и папки не могут быть зашифрованы
• Зашифрованные файлы не могут быть сделаны общими
• Зашифрованный файл может стать расшифрованным, если скопируется или переместится на том, не являющийся томом NTFS
• Системные файлы не могут быть зашифрованы
• Шифрование папки или файла не защищает их от удаления

Также существует и более надежное средство защиты от несанкционированного доступа к информации, чем методы аутентификации и шифрования, это биометрия, eToken, смарт-карты.

Варианты использования биометрии  весьма разнообразны: аутентификация, в зависимости от системы, производится по геометрии руки и лица, радужной оболочке и сетчатке глаза, клавиатурному подчерку и подписи. Активно ведутся разработки и в области голосовой аутентификации.

Антивирусные программы. Антивирусные программы, такие как DrWeb, Antiviral Tolkit Pro(AVP), ADInf, являются не менее важной защитой компьютерной информации от вирусов.

 

4.4 Тестирование и приёмка кабельной системы

Испытания проводятся на территории здания. Тестированию подлежат все  установленные в здании кабельные линии. В испытаниях участвуют представители Заказчика и Исполнителя.

Процедура тестирования производится в соответствии с TSB-67 (TIA/IEC) и ISO/IEC 11801.

Объектом испытаний является структурированная  кабельная система. Эта система  использует для передачи данных медный кабель категории 5e – неэкранированная витая пара.

В процессе испытаний должны быть достигнуты следующие цели:

– осуществлен контроль целостности проложенных кабельных путей;

– произведена проверка качества компонентов и выполнения работ;

– произведена проверка соответствия кабельной системы требованиям  стандартов в соответствии с техническим  заданием проекта;

– установлены и исправлены недоработки и ошибки монтажа.

Процесс испытания структурированной  кабельной системы представляет собой четыре этапа и производится в следующем порядке:

1) Выборочный (не менее 5%) визуальный  осмотр горизонтальных кабельных трасс. На этом этапе проверяется целостность оболочки кабеля, правильность расположения и крепления кабельных жгутов, а также местоположения кабельных трасс.

Перед осмотром кабельных трасс  необходимо обеспечить доступ к их элементам. Осмотр производится на произвольно  выбранных участках. При обнаружении несовпадений расположения кабельных трасс с указанными на этажном плане производится полный осмотр всех кабельных трасс.

При осмотре кабельных трасс  необходимо руководствоваться следующими положениями: кабельные трассы должны быть защищены от случайного доступа, не допускается повреждение оболочки кабеля, не допускается скручивание и сдавливание кабеля.

2) Выборочный (не менее 5%) визуальный  осмотр рабочих мест. На этом  этапе проверяется правильность  прокладки кабеля в месте  расположения информационной розетки, целостность оболочки и изоляции, а также правильность подсоединения проводников пары к контактам модульного гнезда. Кроме того, измеряются такие количественные характеристики, как развив проводников в паре и зазор между оболочкой кабеля и корпусом модульного гнезда.