0 800 330 485
Працюємо без вихідних!
Гаряча лінія
Графік роботи
Пн - Пт 09:00 - 20:00
Сб - Нд 10:00 - 17:00
Пишіть в чат:
Для отримання інформації щодо існуючого замовлення - прохання використовувати наш внутрішній чат.

Щоб скористатися внутрішнім чатом:

  1. Авторизуйтеся у кабінеті клієнта
  2. Відкрийте Ваше замовлення
  3. Можете писати та надсилати файли Вашому менеджеру

Інтеграція IDS та IPS систем у корпоративну мережу промислового підприємства з використанням технології Gigabit Ethernet для захисту від зовнішніх атак (ID:1212606)

Тип роботи: курсова
Дисципліна:Програмування
Сторінок: 48
Рік виконання: 2025
Вартість: 2500
Купити цю роботу
Зміст
ВСТУП. РОЗДІЛ 1. Розробка струкртури (топології) захищеної комп’ютерної мережі. 1.1. Огляд технології Fast Ethernet та стандарту 100BaseLX та поточних вимог до захисту інформації . 1.1.1 Оцінка ризиків і загроз для інформаційних систем підприємства._1.1.2 Визначення вимог до конфіденційності, цілісності та доступності даних. 1.2. Розробка топології комп'ютерної мережі фінансового підприємства, яка забезпечує високий рівень захисту інформаційних потоків. 1.2.1 Ідентифікація критично важливих сегментів мережі. 1.3. Захист мереж від несанкціонованого доступу з використанням технології VLAN та інших методів безпеки. 1.3.1 Опис налаштування VLAN для сегментації мережі. 1.3.2 Інтеграція міжмережних екранів (firewalls) та систем виявлення вторгнень (IDS). 1.4 Налаштування правил для контролю доступу та моніторингу мережі для інтеграції захисних механізмів. РОЗДІЛ 2. Вибір кабельної системи з врахуванням захисту інформації. 2.1 Порівняння типів кабелів: екрановані (STP), неекрановані (UTP), оптоволокно. 2.2 Рекомендації щодо використання екранованих кабелів (STP) для зменшення впливу електромагнітних перешкод 2.3Розрахунок необхідної довжини кабелів мережі. 2.4 Фізичний захист комунікаційних каналів. 2.4.1 Розробка плану фізичного захисту кабельних трас. 2.4.2 Налаштування систем моніторингу фізичної безпеки. РОЗДІЛ 3. Вибір необхідного комунікаційного обладнання і комутаційних елементів врахуванням засобів захисту інформації. 3.1. Аналіз вимог до маршрутизаторів, брандмауерів, комутаторів. 3.2 Вибір обладнання з вбудованими засобами захисту. 3.2.1 Рекомендації щодо вибору маршрутизаторів з функціями шифрування. 3.2.2 Вибір брандмауерів та захищених коннекторів. 3.3 Опис та вибір механізмів фізичного захисту. 3.3.1 Планування захисту обладнання від фізичного доступу. 3.4 Розрахунок дальності передачі по бездротовому каналу зв’язку. 3.5 Розрахунок зони Френеля. 3.6 Вибір технології зв’язку в бездротовій мережі. 3.7 Проєктування комп'ютерної мережі (кабельної та безпроводової) фінансового підприємства за допомогою Packet Tracer. РОЗДІЛ 4. Розробка системи захисту інформації комп’ютерної мережі. 4.1. Визначення потенційних кіберзагроз та вразливостей комп'ютерної мережі підприємства. 4.2. Розробка політик безпек. 4.3 Впровадження багаторівневої системи захисту. 4.4 Засоби контролю доступу та аутентифікації. 4.5 Моніторинг та управління доступом. 4.6 Вибір і впровадження необхідного програмного та апаратного забезпечення Висновки та пропозиції. Список використаних джерел. Додатки.
Не підійшла ця робота?
Ви можете замовити написання нової роботи "під ключ" із гарантією
Замовити нову
Зразок роботи
РОЗДІЛ 1. РОЗРОБКА СТРУКТУРИ (ТОПОЛОГІЇ) ЗАХИЩЕНОЇ КОМП'ЮТЕРНОЇ МЕРЕЖІ 1.1. Огляд технології Fast Ethernet та стандарту 1000BaseLX та поточних вимог до захисту інформації Варіант 9 Локальна комп'ютерна мережа повинна об'єднати комп'ютери, встановлені в будівлях 1 та 5. Задана модифікація (стандарт) мережної технології – 1000BASE-LX. На 3 та 4 поверсі будівлі 1 по 20 хостів. На 5 та 7 поверсі будівлі 5 по 16 хостів. Швидкість передачі даних у бездротовій мережі – 24 Мбіт/с. Канал передачі даних у бездротовій мережі – 10. Стандарт 1000BASE-LX (IEEE 802.3z) забезпечує передачу даних по оптоволоконному кабелю зі швидкістю 1 Гбіт/с на довжині хвилі 1310 нм. При використанні одномодового оптоволокна (SMF) можливе з'єднання на відстані до 5 км, а багатомодового (MMF) - до 550 м. Основні переваги цього стандарту включають високу швидкість, значну відстань передачі, надійність та стійкість до електромагнітних завад, що робить його оптимальним для з'єднання окремих будівель підприємства. 1.1.1. Оцінка ризиків і загроз для інформаційних систем підприємства Для транспортного підприємства з розподіленою мережевою інфраструктурою існують різні категорії загроз. Зовнішні мережеві загрози включають DDoS-атаки, спроби несанкціонованого доступу, фішинг та атаки типу "людина посередині", особливо в бездротових сегментах. Внутрішні загрози представлені несанкціонованим доступом співробітників до конфіденційної інформації, випадковим чи навмисним витоком даних, некоректними налаштуваннями обладнання та зловживанням адміністративними привілеями. Також важливо враховувати загрози фізичного рівня, зокрема несанкціонований доступ до мережевого обладнання, пошкодження оптоволоконних ліній та збої через технічні несправності. Специфічні загрози для транспортного підприємства включають атаки на системи моніторингу транспорту, компрометацію баз даних клієнтів і маршрутів, втручання в GPS-трекінг та логістичні системи. Аналіз загроз показує, що найвищий пріоритет захисту мають DDoS-атаки та несанкціонований зовнішній доступ, за ними слідують витік даних через інсайдерів та атаки на бездротові мережі. 1.1.2. Визначення вимог до конфіденційності, цілісності та доступності даних Вимоги до конфіденційності даних передбачають впровадження принципу найменших привілеїв, шифрування міжбудинкового та бездротового трафіку, багатофакторну автентифікацію, сегментацію мережі та запобігання витоку інформації. Забезпечення цілісності даних потребує використання цифрових підписів, регулярного резервного копіювання, контролю цілісності системних файлів та захисту від модифікації даних у базах даних підприємства. Доступність даних гарантується через резервування критичних компонентів, налаштування відмовостійких кластерів, балансування навантаження, захист від DDoS-атак та підготовку планів аварійного відновлення. 1.2. Розробка топології комп'ютерної мережі транспортного підприємства Мережева архітектура підприємства базується на ієрархічній трирівневій моделі: ядро, розподіл та доступ. Рівень ядра представлений високопродуктивними комутаторами 3-го рівня, що забезпечують швидкісне оптоволоконне з'єднання між будівлями за стандартом 1000BASE-LX. Для забезпечення відмовостійкості використовуються дубльовані пристрої. На рівні розподілу встановлені комутатори 3-го рівня в кожній будівлі, які відповідають за комутацію трафіку між поверхами та логічну сегментацію мережі. Рівень доступу включає комутатори 2-го рівня на кожному поверсі, забезпечуючи підключення кінцевих пристроїв користувачів. Бездротовий доступ реалізується через точки доступу Wi-Fi, що підтримують швидкість 24 Мбіт/с на каналі 10. Для захисту периметра мережі використовуються програмно-апаратні міжмережеві екрани. 1.2.1. Ідентифікація критично важливих сегментів мережі У мережі транспортного підприємства виділяються наступні критичні сегменти: Серверний сегмент з базами даних клієнтів, маршрутів та фінансової інформації потребує найвищого рівня захисту. Адміністративний сегмент, що включає робочі станції ІТ-персоналу з розширеними правами, також є потенційною ціллю для зловмисників. Фінансовий сегмент з робочими станціями бухгалтерії має бути захищений від несанкціонованого доступу та витоку даних. Системи моніторингу транспорту, включаючи GPS-трекінг та управління транспортними засобами, потребують спеціальних засобів захисту. Менш критичними є сегмент загального доступу для рядових співробітників та гостьовий сегмент для відвідувачів. Важливою частиною мережі є DMZ (демілітаризована зона), де розміщуються публічно доступні сервіси. 1.2.2. Розробка концепції ізоляції критичних сегментів Для захисту критичних сегментів використовується ешелонований підхід. DMZ розміщується між зовнішньою та внутрішньою мережею з двома рівнями міжмережевих екранів. Серверний сегмент ізолюється за допомогою міжмережевих екранів рівня додатків із глибокою інспекцією трафіку. Системи моніторингу транспорту захищаються спеціалізованими рішеннями для промислових систем управління. Адміністративний та фінансовий сегменти потребують багатофакторної автентифікації та шифрування даних. Загальний та гостьовий сегменти відокремлюються від критичних за допомогою технології VLAN та правил фільтрації трафіку. 1.3. Захист мереж від несанкціонованого доступу з використанням технології VLAN та інших методів безпеки 1.3.1. Опис налаштування VLAN для сегментації мережі Віртуальні локальні мережі (VLAN) використовуються для логічної сегментації фізичної мережі. Розроблена схема VLAN включає наступні сегменти: VLAN 10 (Серверний сегмент), VLAN 20 (Адміністративний), VLAN 30 (Фінансовий), VLAN 40 (Системи моніторингу транспорту). Налаштування розглянемо у прикладі (рис.1.1). Аналогічні дії робимо для інших поверхів. Рис.1.1.Налаштування VLAN На 4 поверсі Для запобігання атакам на рівні VLAN впроваджуються механізми VLAN hopping prevention, Private VLAN та динамічне призначення пристроїв до VLAN на основі MAC-адрес. У бездротовому сегменті для кожної категорії користувачів створюється окрема мережа (SSID), асоційована з відповідним VLAN. 1.3.2. Інтеграція міжмережних екранів та систем виявлення вторгнень Для комплексного захисту мережі використовуються міжмережеві екрани нового покоління (NGFW) на периметрі та між критичними сегментами. Вони налаштовані за принципом "все, що явно не дозволено, заборонено" та виконують глибоку інспекцію пакетів. Системи виявлення та запобігання вторгненням (IDS/IPS) розміщуються на ключових точках мережі для моніторингу та блокування підозрілої активності. Сенсори IDS/IPS встановлені на межі між внутрішньою мережею та DMZ, а також між різними сегментами внутрішньої мережі. 1.4. Налаштування правил для контролю доступу та моніторингу мережі для інтеграції захисних механізмів На всіх рівнях мережі впроваджуються спеціалізовані правила контролю доступу. На рівні доступу використовується аутентифікація 802.1X, фільтрація MAC-адрес та технологія портів безпеки. На рівні розподілу застосовуються списки контролю доступу (ACL) для міжсегментної взаємодії та правила фільтрації трафіку на основі IP-адрес, портів та протоколів. Для моніторингу стану мережі використовується система збору та аналізу журналів безпеки (SIEM), яка агрегує журнали з усіх мережевих пристроїв, серверів та систем безпеки. Це дозволяє оперативно виявляти інциденти безпеки та реагувати на них. Розроблена структура захищеної комп'ютерної мережі транспортного підприємства базується на комплексному підході до інформаційної безпеки. Використання стандарту 1000BASE-LX забезпечує надійне високошвидкісне з'єднання між будівлями, а ієрархічна модель мережі сприяє масштабованості та керованості інфраструктури. Застосування технологій логічної сегментації (VLAN), міжмережевих екранів, систем виявлення вторгнень та інших механізмів захисту дозволяє створити ешелоновану систему захисту, що відповідає вимогам конфіденційності, цілісності та доступності інформації. Особлива увага приділяється захисту критичних сегментів мережі, які містять найбільш чутливу інформацію та безпосередньо впливають на операційну діяльність підприємства. Запропонована структура мережі може бути ефективно реалізована за допомогою сучасного мережевого обладнання та програмних засобів, забезпечуючи високий рівень захисту інформаційних потоків в умовах зростаючих кіберзагроз.