Концепция политики безопасности и систем контроля доступа для локальных вычислительных сетей

Управление и регулировка осуществляются с помощью специальной программы-конфигуратора системы или ПАК УСЗИ «Шлюз» на компьютере оператора по сети Ethernet.Для защиты будем использовать электронный ключ DS1992 DallasTouchMemory (iButton) от компании «Конфидент». iButton DS1992 - мощный перезаписываемый носитель данных, предназначенный для хранения небольших баз данных, доступ к которым может быть получен с минимальными аппаратными затратами. Энергонезависимая память даёт возможность хранения информации и идентификации объектов. Обмен данными происходит по однопроводному протоколу 1-Wire, который требует только одного вывода данных и общего вывода.Дополнительно прибор содержит буферный блокнот, который действует как буфер при записи в память. Данные сначала записываются в буферный блокнот, из которого они могут быть считаны назад. После верификации соответствующая команда производит копирование данных из буферного блокнота в память. Этот процесс гарантирует целостность информации при перезаписи памяти.Прибор DS1992 широко применяется в различных средствах защиты информации и электронной цифровой подписи (ЭЦП), системах доступа к компьютерам и серверам, системах контроля и управления доступом в помещения, системах контроля охраны периметра, службах контроля над передвижением грузового транспорта и путешественников, для хранения градуировочных констант.Компьютерам в офисе нужна защита от вредоносных программ. Простое в настройке и использовании, антивирус ESET NOD32 может удовлетворить любые потребности. Антивирусное программное обеспечение, конечно же, сканирует известные вирусы и вредоносные программы и может предложить защиту в режиме реального времени. И он следит за темными веб-сайтами и подозрительными ссылками, чтобы уберечь вас от неприятностей. Он также может предлагать защиту от программ-вымогателей и отслеживать неожиданное поведение, которое может быть признаком новых и еще не идентифицированных вирусов и вредоносных программ. Нужно антивирусное программное обеспечение, которое может успешно идентифицировать эти неизвестные онлайн-угрозы, не отмечая слишком много ложных срабатываний.Для акустической и виброакустической защиты мы выбрали СВАЗ от производителя НПЦ фирма "НЕЛК".Система акустической и виброакустической защиты речевой информации SEL SP-157 "Шагрень". Система защиты информации путём постановки акустических и вибрационных маскирующих помех предназначена для защиты речевой информации в помещениях от её утечки по техническим каналамВозможности системы-Цифровое автономное (защищённое паролем) управление и контроль за настройками системы с выводом информации на встроенный жидкокристаллический экран.-Наличие встроенного счётчика суммарного времени наработки для каждого канала генерации помех с регистрацией значений в защищённой энергонезависимой памяти.-Cистема контроля и индикации нормального режима работы или возникновения аварийной ситуации в элементах системы (визуальная, звуковая, текстовая) позволяет получать информацию о функционировании системы в режиме реального времени.-Предусмотрена возможность как горизонтального, так и настенного крепления центрального генераторного блока.Для малого офиса будет достаточно базовой комплектации устройства.Базовая конфигурация системы-Центральный генераторный блок помех SEL SP-157G -Вибрационный преобразователь SEL SP-157VP -Акустический излучатель SEL SP-157AS -Вибрационный преобразователь повышенной мощности SEL SP-157VPS -Акустический излучатель повышенной мощности SEL SP-157ASP.Чтобы быть уверенным, что система безопасности обнаружит и предупредит вас, если происходит что-то неприятное (например, взлом, наводнение или отключение электроэнергии), кабинет должен быть оборудован датчиками.Датчики могут включать в себя огромное количество различных типов устройств, которые обнаруживают самые разные вещи. Вот несколько наиболее распространенных типов датчиков:Дверные контакты: контакт состоит из двух магнитов, один из которых идет на дверь (или окно), а другой остается на раме. Когда магниты разделены, устройство срабатывает. Дверные и оконные контакты необходимы для защиты периметра здания.Датчик движения: датчик движения работает, посылая лазерный луч в общий коридор. Если кто-то движется внутри здания, датчик движения сработает. Датчики движения также могут захватывать и записывать изображения при срабатывании, если они оснащены функциями визуализации. Иногда их называют датчиками изображения.Датчик вибрации: датчик вибрации можно использовать вместо датчика движения для обнаружения движения внутри здания. Он работает, улавливая вибрации, возникающие при движении.Чтобы обеспечить безопасность здания, необходимо, как минимум, установить датчики по периметру здания. Обычно это означает использование дверных контактов на каждой двери или обеспечение наличия датчика движения при отсутствии дверного контакта.Подразумевается, что каждый датчик представляет собой отдельную «зону» системы безопасности. Большинство систем безопасности активируются, когда срабатывает более 1 зоны. Другими словами, необходимо активировать более 1 датчика, чтобы система знала о проблеме.В случае ограбления или взлома сработает 1 датчик, когда они нарушают периметр здания (например, открывают дверь или окно), а другой датчик срабатывает, когда они перемещаются по внутренней части здания (срабатывание датчика движения).Эта 2-зонная система помогает предотвратить ложные срабатывания сигнализации.Для защиты офиса будем использовать MaxPatrol SIEM от компании «PositiveTechnologies» обеспечивает 360-градусный обзор инфраструктуры и обнаруживает инциденты безопасности. Регулярно обновляется знаниями экспертов Positive Technologies. Легко адаптируется к изменениям в сети.MaxPatrol SIEM помогает пользователям обнаруживать TTP злоумышленников до того, как возникнут последствия.Рисунок – Преимущества MaxPatrol SIEMОднако есть и другие ситуации, в которых система будет предупреждена при срабатывании только одной зоны. Обычно для этого используются более сложные датчики, которые выходят за рамки базового пакета безопасности:Датчик разбития стекла: датчик разбития стекла полезен для защиты области, которая уязвима из-за большого листа стекла, например, стеклянной двери или окна. Если кто-то разбивает стекло вместо того, чтобы убрать контакт с рамки, сработает датчик разбития стекла.Датчик замерзания: датчик замерзания может предупредить владельца бизнеса, когда в трубах есть замерзшая вода.Датчик освещенности: датчики света могут обнаруживать изменения в освещении или источнике питания.Датчик температуры / влажности: эти датчики часто используются в морозильных камерах для обнаружения и предупреждения о внезапном падении температуры. Их можно использовать для сигнализации об изменении температуры.Датчик воды: датчик воды может предупредить владельца бизнеса и / или власти в случае наводнения или утечки в трубе.Датчик присутствия: датчики присутствия обнаруживают присутствие человека в здании и используются для автоматического регулирования освещения, вентиляции, температуры или других функций.Детектор дыма: Детектор дыма используется в качестве прокси для обнаружения пожаров. Его можно подключить к системе безопасности, чтобы немедленно получить помощь в случае пожара.Детектор CO: детектор угарного газа обнаруживает увеличение содержания угарного газа в здании. Его можно подключить к системе безопасности для срабатывания сигнализации при обнаружении CO.Каждый из этих типов датчиков выполняет особую функцию и может быть необходим не для каждого офиса.Системы безопасности незначительно различаются в зависимости от предлагаемого оборудования. Как и любой продукт, какое-то оборудование более чувствительное или современное, а какое-то не такое сложное.Одно из основных различий между оборудованием охранных компаний состоит в том, что какое-то оборудование является проводным, а какое-то - беспроводным. Если он проводной, процесс установки может стать затруднительным. Необходимо будет просверлить стены, чтобы провести провода по всему офису.Беспроводное оборудование более удобно устанавливать, но оно может быть более уязвимо для перехвата, если оно подключено к Wi-Fi. Различия между типами оборудования, предлагаемого каждой компанией, изложены во второй половине статьи.Когда все эти датчики установлены, должно быть что-то, отслеживающее происходящее.Панель управленияДатчики могут обнаружить происходящее только в том случае, если им прикажут быть начеку. Для этого требуется место для централизации всей информации, что и делает панель управления.Панель управления - это то, что соединяет все устройства. Это основная точка связи между физическим оборудованием и компьютерной системой.В панели управления находится вся информация о состоянии датчиков. Затем пользователь должен предоставить информацию панели управления о том, ставить ли систему на охрану.Клавиатура и / или мобильное приложениеКогда в офисе никого нет, систему необходимо поставить на охрану. Это сообщает системе, что если на датчиках обнаруживается какая-либо активность, происходит что-то плохое. Однако, когда пришло время снова использовать офис, систему необходимо снять с охраны.Многие современные разработки сделали возможным ставить и снимать систему с охраны с помощью мобильного приложения или брелока, однако классический способ постановки и снятия системы с охраны - с клавиатуры.Тревожная кнопкаКроме того, в некоторых офисах может потребоваться тревожная кнопка. Тревожные кнопки - это кнопки, которые нужно нажимать в случае возникновения чрезвычайной ситуации. Они полезны в офисах, школах, больницах, заправочных станциях и в любом другом месте, где люди могут беспокоиться о том, что кто-то может войти с плохими намерениями. Тревожная кнопка немедленно отправляет власти и активирует сигнализацию.С базовыми элементами, описанными выше, система безопасности сработает, если произойдет что-то нежелательное, вызывающее срабатывание датчика. Устройства сообщат панели управления, что нужно подать сигнал тревоги, и в результате будет слышен громкий шум.То, что происходит дальше, - это еще один важный момент, в котором системы различаются.Для защиты данных ЛВС будем использовать ViPNet Policy Manager от компании "Инфотекс" система централизованного управления политиками безопасности для отдельных узлов и групп узлов защищенной сети ViPNet.Политики безопасности, сведения о сетевых узлах, журналы событий, а также другая важная информация содержатся в централизованной базе данных, которая обеспечивает их надежное хранение.Преимущества:-Централизованное управление политиками безопасности и возможность объединять узлы защищенной сети по группам.-Возможность отправки, применения и действия политик безопасности по расписанию.-Контроль отправки и применения политик безопасности на сетевых узлах ViPNet. -Гибкое управление доступом разграничения полномочий администраторов безопасности, сетевых администраторов, аудиторов и др.-Регистрация и аудит действий пользователей программы ViPNet Policy Manager.-Совместная работа с программным обеспечением ViPNet Client для управления политиками безопасности через защищенный канал.Для защиты данных ЛВС так же будем использовать Континент WAF, от компании "Код Безопасности", система защиты веб-приложений c автоматизированным анализомих бизнес-логики. Для предотвращения изученных и неизвестных атак на веб-приложения, искусственный интеллект анализирует модель поведения приложения и значительно облегчает формирование политики безопасности. Таким образом внедрение Континент WAF занимает минимальное количество времени, комплекс фиксирует разграничение доступа пользователей и может использоваться как уже сертифицированное наложенное средство защиты от несанкционированного доступа для веб-приложений.Так же будем использовать Континент АП (Мобильный) клиентское приложение для защищенного доступа в корпоративнуюсеть с удаленных планшетов и смартфонов сотрудников. Для защиты удаленного доступа к корпоративной сети по алгоритмам ГОСТ.Обмен данными с сотрудниками, работающими удаленно или находящимися в командировке, а также их подключение к информационным ресурсам организации защищены в соответствии с криптоалгоритмами ГОСТ.В Континент АП предусмотрено всё для быстрого развёртывания клиента на большом количестве новых устройств – для настройки необходим только файл конфигурации, единожды созданный администратором.Мобильные приложения бесплатно доступны в фирменных магазинах приложений операционных систем: Google Play, Huawei AppGallery и Apple AppStore.Сервер доступа не учитывает ОС клиента, поэтому при смене устройств нет необходимости в покупке новых лицензий на подключение.Если компания решает контролировать свою систему безопасности, это означает, что, когда срабатывает сигнализация, охранная компания получает уведомление. Затем охранная компания может действовать от имени владельца бизнеса, чтобы направить соответствующие органы и связаться с необходимыми людьми.Во избежание возникновения ложных тревог существует временной буфер между моментом срабатывания датчика и срабатыванием сигнала тревоги, а затем контактом с компанией. Единственное исключение - когда нажата тревожная кнопка, сразу же срабатывает тревога и вызываются соответствующие органы.Наконец, мониторинг может осуществляться как регулярный мониторинг, как описано выше, или видеонаблюдение, при котором изображения используются для определения характера аварийной ситуации.Самоконтроль или неконтролируемыйКонечно, вместо этого можно выбрать мониторинг собственного офиса. В этом случае, как только сработает сигнализация, система сигнализации свяжется напрямую с владельцем бизнеса. В зависимости от типа системы он может отправлять текстовые сообщения, звонить, отправлять по электронной почте или предупреждать владельца бизнеса о срабатывании сигнализации, а также может включать уровень детализации, соответствующий выбору оборудования и его качеству.Владелец бизнеса должен будет сам исследовать сигнал тревоги и, при необходимости, позвонить в органы власти.Одним из основных преимуществ систем с самоконтролем является то, что они не требуют ежемесячной платы за мониторинг. Однако одним из недостатков является то, что система менее безопасна, чем была бы, если бы с властями связались автоматически.Повышение уровня офиса: интеграция систем безопасности.Помимо обнаружения нарушения периметра, пожара, изменения температуры или любых других угроз безопасности здания, существует множество других интересных интеграций, которые могут быть настроены для предоставления дополнительных функций. В зависимости от того, что человек хочет и сколько он хочет потратить, он может подключить к своей системе сигнализации полностью функционирующий смарт-офис.Для защиты ЛВС имеющий выход в Интернет в условиях малого офиса используется Dionis DPS 2000 Series от предприятия "Фактор-ТС". Маршрутизатор работает под управлением операционной системы Dionis NX 2.0Dionis DPS cерии 2000 - решение формата RM 19″ 1U. Оптимальное сочетание цены, производительности и низкого энергопотребления позволяет обеспечивать защиту сетей малых предприятий с максимальной экономической эффективностью и организовать географически распределенную защищенную сеть передачи данных. Изделия Dionis DPS серии 2000 обладают всем необходимым набором функций, что позволяет включать их в сложную сетевую инфраструктуру с поддержкой VPN и протоколов динамической маршрутизации.Камеры видеонаблюдения: внутренние, наружные, с датчиком движения, инфракрасные и другие варианты. Камеры могут работать симбиотически в системе безопасности, помогая освещать происходящее в здании.Дверные замки: регистрация сотрудников, когда хозяина нет рядом, с помощью умных замков, проверяя, когда двери открываются утром. Кроме того, владельцы бизнеса могут убедиться, что офис закрыт на ночь, не заходя в офис, используя функцию удаленной блокировки и разблокировки в приложении.Мобильное приложение: мобильные приложения обеспечивают удаленный доступ ко многим функциям умного офиса и позволяют владельцам бизнеса ежеминутно обновлять информацию о работе бизнеса.3 - й партии устройств: Термостаты, фары и многое другое можно дистанционно управляемые и интегрированные в систему безопасности. Поставщики систем безопасности предлагают интеграцию смарт-офиса для автоматизации многих функций офиса.Видео дверной звонок: видео дверной звонок позволяет людям внутри офиса видеть, кто находится за пределами офиса, когда они звонят в звонок.Облачное хранилище: кадры с видеокамеры, а также данные со всех устройств хранятся удаленно в облаке, размещенном охранными компаниями.Подобные интеграции делают возможными бесконечные комбинации функций, которые предлагают различные охранные компании.Однако, мы можем для защиты малого офиса разработать собственное ПО, однако это потребует большего количества временных и денежных вложений.А именно разработать собственную DLP систему.Предотвращение потери данных или DLP - это набор технологий, продуктов и методов, которые предназначены для предотвращения утечки конфиденциальной информации из организации. Стратегии DLP должны включать решения, которые отслеживают, обнаруживают и блокируют несанкционированный поток информации.DLP система это комплексное решение, которое включает в себя отслеживание, системы контроля доступа в ЛВС, видео системы идентификации личности, хранение и обработку данных и многое другое, в зависимости от масштабов разрабатываемой системы.Решения по предотвращению потери сетевых данных преследуют одну цель: не дать конфиденциальным данным покинуть вашу организацию. Есть несколько ключевых функций, на которые следует обратить внимание при выборе решения по предотвращению потери сетевых данных, чтобы вы были уверены, что ваши конфиденциальные данные защищены. Надежное решение для предотвращения потери данных в сети должно обеспечивать:Автоматическое предупреждение или блокировка пользователей, если активность определена как опасная на основе содержимого данных и контекста событияАвтоматическое шифрование конфиденциальных данных, отправляемых по электронной почте или передаваемых на съемные устройства или облачные / веб-приложенияРегистрация событий для реагирования на инциденты и криминалистического анализаОбеспечение полной проверки содержимого с учетом контекста для автоматического распознавания конфиденциальных данных, требующих защитыФункции обнаружения и классификации данных для обнаружения и маркировки конфиденциальных данных, чтобы можно было применять политики защитыПостоянный поток разрушительных и громких утечек данных в сочетании с тенденцией к тому, что предприятия становятся все более мобильными и географически распределенными, привели к усилению зависимости от решений по предотвращению потери данных в сети на уровне предприятия. Внутренние угрозы в сети особенно нуждаются в быстром мониторинге и обнаружении до того, как будет нанесен ущерб и данные будут потеряны. Точно так же необходимо отслеживать и контролировать внутренние сети, чтобы конфиденциальные данные оставались в безопасности. Усовершенствованное решение по предотвращению потери данных в сети имеет важное значение для удовлетворения этих требований к защите данных, и в результате сетевая защита от потери данных остается сегодня бесценным компонентом программ безопасности предприятия.Мы реализовали один модуль для DLP системы, а именно программу, реализующую алгоритм симметричного шифрования ГОСТ 28147-89 для одного блока сообщения. Где нНеобходимо зашифровать и дешифровать, например, текстовый документ.Пояснения.1) Алгоритм шифрует только один блок размером 64 бита.2) В программе рекомендуется оформить алгоритм в виде отдельной функции с передаваемыми ей параметрами и возвращаемым значением.3) Интерфейс программы должен предусматривать возможность изменения ключа шифрования (в том числе перед дешифрованием), открытого текста и шифротекста (в самой программе или как отдельные файлы).Общие сведения.Алгоритм шифрования ГОСТ 28147-89 является симметричным, блочным алгоритмом. Преобразование осуществляется над блоком размером 64 бита, размер секретного ключа 256 бит, в алгоритме 32 раунда преобразований.Для шифрования и дешифрования сообщения используется один алгоритм.Рисунок – Шифрование алгоритмом ГОСТ 28147-89Однако, создание собственной DLP системы является дорогостоящим, и цена на разработку качественной комплексной системы может начинаться от 40 млн. руб. Либо можно воспользоваться уже существующими комплексными решениями, где присутствует защита ЛВС.3.2 Политики безопасностиСпроектированная система защиты соответствует ГОСТ и готова к использованию в малом офисе, в том числе в офисе с ценной информацией - государственной важности.Всё оборудование имеет сертификат ФСБ (СКЗИ КС1, КС3) и сертификат ФС ТЭК (МЭ2, НДВ2, СОВ2).Компьютерная сеть - это цифровая сеть, которая действует как точка соединения для различных вычислительных устройств. Размер сети может быть представлен в терминах географической области, которую она охватывает, и количества компьютерных устройств, которые являются частью сети. Существуют различные виды компьютерных сетей, которые можно разделить на категории по размеру и назначению. Некоторые из наиболее часто используемых сетей - это PAN, LAN, MAN и WAN.Локальная сеть - это группа компьютеров и связанных устройств, которые совместно используют общую сеть для целей связи в пределах определенной географической области. Локальные сети можно найти в домах, офисах, общих рабочих местах, библиотеках, по сути, в комнате, здании или группе зданий. Локальная сеть может быть проводной, беспроводной или даже их комбинацией. Проводная локальная сеть использует Ethernet для подключения различных компьютеров, а беспроводная локальная сеть использует технологию Wi-Fi для подключения компьютеров друг к другу, а также к Интернету. Некоторые маршрутизаторы могут поддерживать как Ethernet, так и Wi-Fi и, следовательно, могут использоваться для создания как проводных, так и беспроводных сетей.ЛВС - это частная сеть, что делает ее достаточно безопасной и надежной для использования в компаниях и на предприятиях. Он может сдерживать любое внешнее вмешательство в сеть. LAN может работать на сравнительно более высоком уровне, чем другие типы глобальных сетей.В настоящее время большинство компаний используют локальную сеть в качестве основной сети. Эти компании работают на высоком уровне и требуют, чтобы их сеть была защищена от внешнего вмешательства и злонамеренных пользователей. Таким организациям нужна безопасная локальная сеть. Когда дело касается компаний и предприятий, локальная сеть является основным объектом кибератак. Вот почему так важно защитить локальную сеть. Регулирование способов доступа пользователей к Интернету и аналогичным сетям поможет защитить вашу локальную сеть.Наиболее распространенная стратегия защиты локальной сети - это установка ресурса межсетевого экрана за единственной точкой доступа, например начальным беспроводным маршрутизатором. Администраторы также могут защитить маршрутизаторы и коммутаторы, необходимые для создания сети (как проводной, так и беспроводной). Это также хороший вариант использования определенных протоколов безопасности, таких как WPA или WPA2, для шифрования паролей внешнего трафика. Другой способ защитить локальную сеть - это фильтровать трафик в надежных сетевых областях. Для проверки сетевого трафика используются в основном специализированные политики аутентификации.ЛВС также требует внутренней безопасности, чтобы избежать таких угроз, как почтовые вирусы или вирусы при загрузке файла из незаконного источника. Эти меры внутренней безопасности включают использование таких методов, как защита от вирусов или вредоносных программ, когда хакерские действия вводятся в сеть через внутренние действия.Локальная сеть - одна из наиболее широко используемых сетей в небольших помещениях. Это помогает управлять всеми данными в одном централизованном месте, что упрощает их защиту. LAN также позволяет легко передавать данные по компьютерам в сети. По этим причинам ЛВС так популярны в домах, офисах и библиотеках и поэтому требуют защиты.В следующем списке приведены рекомендуемые политики безопасности, которые могут применяться во многих организациях. Все точки доступа / базовые станции, подключенные к корпоративной сети, должны быть зарегистрированы и утверждены группой компьютерной безопасности организации. Эти точки доступа / базовые станции подлежат периодическим тестам на проникновение и аудитам. Незарегистрированные точки доступа / базовые станции в корпоративной сети строго запрещены.Все карты сетевого интерфейса (т. е. карты ПК), используемые в корпоративных портативных или настольных компьютерах, должны быть зарегистрированы в группе безопасности компании.Для доступа к локальной сети необходимо использовать продукты и конфигурации безопасности, одобренные компанией.Все компьютеры с устройствами локальной сети должны использовать одобренную корпорацией виртуальную частную сеть (VPN) для связи по каналу. VPN будет аутентифицировать пользователей и шифровать весь сетевой трафик.Точки беспроводного доступа / базовые станции должны быть развернуты так, чтобы весь трафик направлялся через устройство VPN перед входом в корпоративную сеть. Устройство VPN должно быть настроено на отбрасывание всего неаутентифицированного и незашифрованного трафика.Идентификатор набора услуг (SSID) не обеспечивает безопасности и не должен использоваться в качестве пароля. Кроме того, злоумышленники могут легко собрать и подделать MAC-адреса карты. Следовательно, схемы безопасности не должны основываться исключительно на фильтрации MAC-адресов, поскольку они не обеспечивают адекватную защиту для большинства применений.Ключи Wired Equivalency Privacy (WEP) могутбытьвзломаны. WEP может использоваться для идентификации пользователей, но только вместе с решением VPN.Мощность передачи для беспроводных точек доступа / базовых станций рядом с периметром здания (например, у внешних стен или верхних этажей) должна быть уменьшена. В качестве альтернативы беспроводные системы в этих областях могут использовать направленные антенны для управления утечкой сигнала из здания.Департаменты должны запросить установку, ремонт, замену или перемещение существующей точки доступа у ИТ-отдела.Департаменты несут ответственность за все расходы, связанные с установкой, ремонтом или заменой точек доступа.Подразделения, не соблюдающие эту политику в полной мере, могут вызвать проблемы, которых можно избежать. Чтобы свести к минимуму помехи и проблемы безопасности, системы, не соблюдающие вышеуказанные процедуры, будут идентифицированы, обнаружены и отключены до тех пор, пока проблемы не будут решены и не будет подтверждено соответствие политике.3.3Расчет затрат на проектированиеЛВС позволяет двум или более компьютерам подключаться в небольшой физической области. Небольшая территория в нашем случае - малый офис.Политики безопасности LAN фокусируются на возможности подключения, например, на определении того, как устройства подключаются к сети. Политики также определяют, как управлять трафиком, например, посредством сегментации и фильтрации маршрутизатора.Далее опишем минимальные цены на используемую систему защиты:-Система SEL 111 «Шифон» - 20 тыс. руб.-DS1992 Dallas TouchMemory – 5 тыс. руб.-ESET NOD32 – 3 тыс. руб. на 5 устройств-SEL SP-157 "Шагрень" – 20 тыс. руб.-MaxPatrol SIEM - 70 тыс. руб.-ViPNet Policy Manager - 80 тыс. руб.-Континент WAF и Континент АП (Мобильный) - 100 тыс.руб.-Dionis DPS 2000 Series - 100 тыс. руб.Итого, за реализацию всех мероприятий по защите малого офиса потребуется минимальная сумма в размере 398 тыс. руб.ЗаключениеВ данной работе мы рассмотрели средства и ПО по защите малого офиса и представили рекомендации к составу и построению системы по защите ЛВС.Предложили вариант разработки собственной комплексной защиты малого офиса и ЛВС, реализовали один модуль алгоритма ГОСТ28147-89, однако создание подобной системы является дорогостоящей разработкой, которая потребует большое количество времени. Дешевле воспользоваться существующими решениями для защиты ЛВС и малого офиса, поэтому мы спроектировали систему по защите с минимальными вложениями в 398 тыс. руб., всё предложенное ПО и техническое оснащение имеетсертификат ФСБ (СКЗИ КС1, КС3) и сертификат ФС ТЭК (МЭ2, НДВ2, СОВ2). Почти все системы безопасности бизнеса необходимо настраивать, если вы хотите полное покрытие, защищающее все ваши интересы.Бизнес-решение включает передовые технологии, удаленный доступ и беспроводную систему безопасности, которая более доступна по цене, чем другие системы безопасности для бизнеса, представленные на рынке. Кроме того, если вы выбираете систему безопасности для своего бизнеса,высококачественные системы безопасности помогут вам защитить ваш бизнес, сотрудников и инвентарь от преступлений, потерь и других потенциальных катастроф. Это также поможет защитить вас от инсценированных несчастных случаев и мошеннических действий, дискриминации и судебных процессовСписок литературы1. Олифер В.Г. Сетевые операционные системы / В.Г. Олифер, Н.А. Олифер. – СПб.: Питер, 2019. – 544 с.2. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы, 2016. – 958 с.3. Родерик Смит FreeBSD: полный справочник / "Вильямс" Москва - Санкт-Петербург – Киев, 2019. – 676c.4. Фортенбери Тадеуш. Проектирование виртуальных частных сетей в среде Windows 2020: Пер. с англ. / Тадеуш Фортенбери. – М.: «Вильямс», 2020. – 320 с.5. ДжозефДэвис, ТомасЛи. Microsoft Windows Server 2017. ПротоколыислужбыTCP/IP. 20019. – 752 с.6. А. Боренков, Ю. Зозуля. WindowsXP. Питер, 2018 – 496 с.7. Кульгин М.В. Компьютерные сети. Практика построения, 2019. – 462 с.8. Федеральный закон "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" (в ред. Федеральных законов от 28.10.2002 N 129-ФЗ, от 22.08.2004 N 122-ФЗ).9. Санитарно-эпидемиологические правила и нормативы СанПиН 2.2.2/2.4.1340-03.10. Ляпина О.П. Безопасность жизнедеятельности. Управление охраной труда и промышленной безопасностью, 2018. – 147 с.11. Рогозин Б. Ю., Автоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. - М.: ЮНИТИ, 2005 г.- 399 с.12. Соколов А.В. Устройства для защиты объектов и информации,2016, 156 с.13. ГОСТ Р 15971-90. Системы обработки информации. Термины и определения14. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»15. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации;16. ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»17. ГОСТ Р 51583-00. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения18. ГОСТ Р 51624-00 «Зашита информации. Автоматизированные системы в защищённом исполнении. Общие требования».19. Галатенко В.А. Основы информационной безопасности. 2008, 153 с.20. Олифер В.Г., Безопасность в сети, 2019,372 с21. Зима В.М., Молдавян А.А., Молдавян Н.А. Компью­терные сети и защита передаваемой информации, 2019, 182 с.ПриложениеПример кода программыnamespaceWinGost{ ///

/// Шифратор ///

class E32 : Converter { readonly byte[] _encrByteFile; readonly uint[] _uintKey; ulong[] _ulongFile; private E32() { } public E32(byte[] file, byte[] key) { _uintKey = GetUIntKeyArray(key); _ulongFile = GetULongDataArray(file); _encrByteFile = ConvertToByte(EncryptFile()); } public byte[] GetEncryptFile { get { return _encrByteFile; } } private ulong[] EncryptFile() { BasicStep[] K = new BasicStep[8]; ulong[] ulongEncrFile = new ulong[_ulongFile.Length]; for (int k = 0; k < _ulongFile.Length; k++) { ulongEncrFile[k] = _ulongFile[k]; for (int j = 0; j < 3; j++) { for (int i = 0; i < K.Length; i++) { K[i] = new BasicStep(ulongEncrFile[k], _uintKey[i]); ulongEncrFile[k] = K[i].BasicEncrypt(false); } } for (int i = K.Length - 1; i >= 0; i--) { K[i] = new BasicStep(ulongEncrFile[k], _uintKey[i]); if (i != 0) ulongEncrFile[k] = K[i].BasicEncrypt(false); else ulongEncrFile[k] = K[i].BasicEncrypt(true);} } return ulongEncrFile; } }}using System;namespace WinGost{ ///

/// Дешефратор ///

class D32 : Converter { byte[] decrByteFile; uint[] uintKey; ulong[] ulongFile; private D32() { } public D32(byte[] file, byte[] key) { uintKey = GetUIntKeyArray(key); ulongFile = GetULongDataArray(file); decrByteFile = ConvertToByte(DecryptFile()); } public byte[] GetDecryptFile { get { return decrByteFile; } } private ulong[] DecryptFile() { BasicStep[] K = new BasicStep[8]; ulong[] ulongDecrFile = new ulong[ulongFile.Length]; for (int k = 0; k < ulongFile.Length; k++) { ulongDecrFile[k] = ulongFile[k]; for (int i = 0; i < K.Length; i++) { K[i] = new BasicStep(ulongDecrFile[k], uintKey[i]); ulongDecrFile[k] = K[i].BasicEncrypt(false); } for (int j = 0; j < 3; j++) { for (int i = K.Length - 1; i >= 0; i--) { K[i] = new BasicStep(ulongDecrFile[k], uintKey[i]); if ((j == 2) && (i == 0)) ulongDecrFile[k] = K[i].BasicEncrypt(true); else ulongDecrFile[k] = K[i].BasicEncrypt(false);} } } return ulongDecrFile; } }}