Академический Документы
Профессиональный Документы
Культура Документы
ДОПУСКАЮ К ЗАЩИТЕ
заместитель директора колледжа
по учебно-производственной
работе
______________ Л.В. Фокина
« » июня 2019 г.
Москва
2019
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 5
ГЛАВА 1 ТЕОРЕТИЧЕСКАЯ ЧАСТЬ 7
1.1 6
1.2 9
1.3 11
1.4 13
1.5 16
1.6 18
ГЛАВА 2 ПРАКТИЧЕСКАЯ ЧАСТЬ 23
2.1 23
2.2 26
2.3 36
2.4 39
2.5 41
ЗАКЛЮЧЕНИЕ 41
СОКРАЩЕНИЕ 42
СПИСОК ЛИТЕРАТУРЫ 44
ПРИЛОЖЕНИЕ А 46
ВВЕДЕНИЕ
4
2. Проанализировать риски.
3. На основе анализа риска выбрать решения по защите с применением
методов виртуализации для повышения уровня ИБ.
4. Выполнить оценку затрат на реализацию предложенного решения.
Объект дипломного исследования – сеть Интернет и внутренняя сеть
предприятия.
Предмет дипломного исследования – способы и средства обеспечения
безопасности информации в каналах передачи данных и центрах обработки
данных с помощью виртуализации.
Теоретическая значимость дипломной работы заключается в
расширении знаний о данной проблеме в области защиты информации с
помощью виртуализации.
Практическая значимость данного дипломного проекта заключается в
применении средств защиты информации в сетях предприятия для защиты
конфиденциальной информации.
Методологической основой для исследования послужили положения
Законодательства Российской Федерации, требования нормативно-
методических документов регуляторов по обеспечению безопасности
информации (ИБ), а также научные труды известных специалистов в области
информационной безопасности.
В качестве теоретической базы исследования используются публикации,
учебные материалы, посвященные проблеме защиты информации в средах
виртуализации.
В качестве практической базы послужили статистические материалы и
данные аналитических исследований по угрозам информационной
безопасности, методические и руководящие документы Федеральной службы
по техническому и экспортному контролю (ФСТЭК России) по применению
методов защиты информации при её обработке на объектах информатизации.
5
ГЛАВА 1 ТЕОРЕТИЧЕСКАЯ ЧАСТЬ
7
акустические, а также их комбинации. Сигналы могут быть представлены в
форме электромагнитных, механических и других видах колебаний, причем
информация, которая подлежит защите, содержится в их изменяющихся
параметрах. В зависимости от природы информационные сигналы
распространяются в определенных физических средах. Среды могут быть
газовыми, жидкостными и твердыми. Например, воздушное пространство,
конструкции зданий, соединительные линии и токопроводящие элементы,
грунт и другие. В зависимости от вида и формы представления
информационных сигналов, которые циркулируют в информационно-
телекоммуникационной системе (ИТС), в том числе и в автоматизированных
системах (АС), при построении КСЗИ могут использоваться различные
средства защиты.
Этапы построения КСЗИ:
1. Подготовка организационно-распорядительной документации.
2. Обследование информационной инфраструктуры Заказчика.
3. Разработка «Плана защиты информации».
4. Разработка «Технического задания на создание КСЗИ».
5. Разработка «Технического проекта на создание КСЗИ».
6. Приведение информационной инфраструктуры Заказчика в
соответствие с «Техническим проектом на создание КСЗИ».
7. Разработка «Эксплуатационной документации на КСЗИ».
8. Внедрение КСЗИ.
9. Испытание КСЗИ.
10. Проведение государственной экспертизы КСЗИ и получение
«Аттестата соответствия».
11. Поддержка и обслуживание КСЗИ.
При правильно проведенных этапах построения комплексной системы
защиты информации информация будет защищена от большого количества
угроз, но стоит учитывать то, что это достигается благодаря взаимодействию
8
различных аспектов информационной безопасности, именно поэтому их
невозможно рассматривать отдельно и постоянно учитывать это при
построение системы защиты информации. Виртуализация, как часть КСЗИ
является важной ее частью и требует более детального рассмотрения.
9
защиты, имея достаточные права, чтобы отключать их ради увеличения
производительности (например, антивирус).
Под термином "виртуализация" объединяется множество
информационных технологий, призванных снижать затраты на
разворачивание компьютерной сети организации, повышать
отказоустойчивость применяемых серверных решений, а также достигать
других преимуществ. Виртуализация представляет собой имитацию
программного и/или аппаратного обеспечения, в среде (на базе) которого
функционируют различные программы.
Виртуализацию проводят в отношении:
1. программ;
2. вычислительных систем;
3. систем хранения данных;
4. вычислительных сетей;
5. памяти;
6. данных.
При использовании технологий виртуализации создаются объекты
доступа, подлежащие защите наравне с другими объектами информационных
систем, в том числе аппаратные средства информационных систем,
используемые для реализации технологий виртуализации. К основным
объектам защиты при использовании технологий виртуализации относят:
1. средства создания и управления виртуальной инфраструктурой
(гипервизор I типа, гипервизор II типа, гипервизор системы хранения данных,
консоль управления виртуальной инфраструктурой и др.);
виртуальные вычислительные системы (ВМ, виртуальные сервера и др.);
2. виртуальные системы хранения данных:
3. виртуальные каналы передачи данных;
10
4. отдельные виртуальные устройства обработки, хранения и передачи
данных (виртуальные процессоры, виртуальные диски, виртуальную память,
виртуальное активное и пассивное сетевое оборудование и др.);
5. виртуальные средства защиты информации (ЗИ) и средства ЗИ,
предназначенные для использования в среде виртуализации;
6. периметр виртуальной инфраструктуры (задействованные при
реализации технологий виртуализации центральные процессоры и их ядра,
адресное пространство памяти, сетевые интерфейсы, порты подключения
внешних устройств и др.).
Для защиты перечисленных объектов используют как виртуальные
средства ЗИ и средства ЗИ, предназначенные для использования в среде
виртуализации, являющиеся разновидностями средств ЗИ, так и другие виды
средств ЗИ.
12
3. Запуск нескольких экземпляров серверных ОС на одном физическом
сервере для обеспечения большей гибкости и безопасности в работе (особенно
это касается web-серверов).
4. Облегчение миграции с одной физической платформы на другую.
Для ускорения работы гостевых операционных систем существуют
аппаратные поддержки технологии виртуализации со стороны процессоров:
1. VT-x(Intel Virtualization Technology) – технология аппаратной
поддержки виртуализации в процессорах Intel, сейчас распространившаяся
практически на все модели серверных и десктопных процессоров: Список
процессоров Intel c поддержкой VT-x.
2. AMD-V (AMD Virtualization Technology) – технология аппаратной
поддержки виртуализации в процессорах AMD, функционально аналогичная
технологии VT-x, но реализованная несколько иначе, поэтому в любом ПО для
виртуализации поддержка этих технологий может присутствовать в
различных комбинациях. Список процессоров AMD c поддержкой AMD-v.
3. VT-d (Intel Virtualization Technology for Directed I/O) - технология
виртуализации ввода-вывода, позволяющая гостевым машинам напрямик
использовать такие устройства как сетевые адаптеры, графические и дисковые
контроллеры. Разрабатываемая аналогичная технология AMD носит название
AMD-vi. Список процессоров Intel c поддержкой VT-d.
14
Человечество всегда идёт по пути разработки и внедрения всё более
эффективных решений. Не стали исключением и распределённые
виртуальные сети хранения данных. Они имеют ряд серьёзных преимуществ
по сравнению с традиционными хранилищами:
1. Высокая производительность.
Ведущим фактором повышения производительности
виртуализированных систем является динамическое
перераспределение нагрузки. Этот механизм довольно прост, тем не
менее, его применение значительно увеличивает показатели
дисковой подсистемы хранилища. Так как различные типы RAID-
массивов по-разному распределяют нагрузку между физическими
носителями, то производительность всего массива сводится к
максимальной производительности его самой нагруженной части.
Например, RAID 5 и RAID 6 в своей работе используют диски
чётности, которые контролируют целостность всей информации в
рамках массива. Получается, что количество операций ввода/вывода,
которые позволяют провести диски чётности, во многом
предопределяет производительность массива в целом.
Виртуализация же даёт абстрагироваться от физических носителей,
тем самым, виртуальный диск чётности «равномерно размазанный»
по нескольким физическим носителям осуществляет несравнимо
большее количество операций ввода/вывода, нежели реальный диск
чётности на одном физическом носителе.
В итоге при равных характеристиках ёмкости и типа RAID,
виртуальный носитель значительно превосходит физический по
производительности. Более того, уменьшение нагрузки на
конкретные физические носители ведёт к увеличению их ресурса, а
как следствие повышает время службы носителей, что снижает
издержки на поддержание IT-инфраструктуры. Также возрастает
15
вероятность безболезненного восстановления дисковой подсистемы
в случае отказа, поскольку на одном физическом носителе находится
лишь малая часть требуемой для восстановления информации.
2. Упрощённое управление.
Важной и очень удобной особенностью является простое
управление виртуальным хранилищем данных. Администраторам
более не требуется работать непосредственно с физической
составляющей инфраструктуры хранилища. Достаточно лишь с
помощью специализированного программного обеспечения
оперировать со свойствами и настройками системы. Тем самым
исчезает необходимость выполнения каких-либо задач в ручном
режиме, то есть снижается человеческий фактор.
3. Динамическое расширение.
Очень часто даже с учётом работы технологий дедупликации и
сжатия выделенное под определённые нужды дисковое пространство
достигает наполнения, близкого к максимальному, что требует
увеличения имеющейся ёмкости. В таком случае виртуализированное
хранилище позволяет, изменив параметры настроек управляющего
программного обеспечения, налету увеличить необходимую ёмкость.
Кроме того, расширение ёмкости возможно автоматизировать,
настроив соответствующие условия в элементах управления
17
1.6 Защита виртуальной среды
18
2. Роль АБИ заключается в назначении прав пользователям системы и
выработке политик безопасности, которые затем автоматически назначаются
новым сущностям.
3. В процессе работы системы управление виртуальной
инфраструктурой осуществляет АВИ, причем все изменения виртуальной
системы, корректные в рамках выбранной политики, происходят без участия
АБИ, его вмешательство в работу АВИ требуется только при физических
изменениях системы, например, при добавлении нового хранилища или
сервера.
На основе описанных выше правил, сформулируем функциональные
требования к средствам защиты информации для виртуальных сред. В
большинстве существующих комплексах защиты виртуальных систем можно
выделить две подсистемы: подсистема контроля целостности и подсистема
управления доступом. Рассмотрим каждую из них по отдельности.
Подсистема контроля целостности – программная проверка целостности
компонентов виртуальных машин перед их запуском. К контролируемым
компонентам обычно относят: файлы конфигурации и BIOS, MBR и
критичные системные файлы ОС. При появлении в системе новой
виртуальной машины для нее не существует записи о контролируемых
компонентах и, как следствие, при существующем подходе возможны два
варианта: запретить включение таким машинам или, наоборот, разрешить. Оба
варианта имеют недостатки: первый лишает нас преимущества
автоматического разворачивания системы из предварительно настроенных
шаблонов (мастер-образов), требуя вмешательства АБИ, второй делает такие
машины уязвимыми, так как не проверяет их контрольные суммы.
В случае использования шаблонов необходимо сверять контрольные
суммы новых машин систем с контрольной суммой мастер-образа, однако,
стоит учитывать, что новые виртуальные машины не имеют файла настроек
BIOS, который появляется после включения, и не все параметры vmx-файла
19
проинициализированы. Таким образом, необходимо исключить их из
проверки при старте новой виртуальной машины.
Подсистема управления доступом в большинстве существующих
средств защиты для виртуальных сред реализует мандатную политику
безопасности на основе уровней доступа. Метки безопасности назначаются
элементам, имеющим непосредственно доступ к данным: хостам,
хранилищам, сетевым устройствам и виртуальным машинам.
Как уже было замечено раннее процесс создания новых виртуальных
машин может быть автоматизирован. По этой причине необходимо назначать
политики безопасности новым виртуальным машинам во избежание
блокирования работы с ними. Это можно реализовать с помощью
наследования метки безопасности с родительской сущности, которой для
виртуальной машины является хост. Назначение меток должно предполагать
то, что сущности, разделяющие аппаратные компоненты, должны иметь
одинаковый уровень доступа.
Существует 3 вида связей сущностей:
1. Общая оперативная память (хост и виртуальные машины на нем).
2. Общая внешняя память (хранилища и виртуальные машины на нем)
3. Общая сеть (сетевые устройства, хосты и виртуальные машины в
рамках одного сетевого адаптера).
Таким образом, для настройки уровней доступа достаточно присвоить
метку хосту, который является центральным элементом виртуальной системы,
остальные метки будут розданы связанным объектам (Рис. 1.1).
20
Рис. 1.1 – Схема подключения объектов в виртуальной среде
Стрелками на схеме обозначены связи, каждая из которых помечена
цифрой в зависимости от вида. Сеть 1 и 2 принадлежат одному физическому
общему сетевому адаптеру хоста. Хранилище связано с хостом с помощью
локального подключения или специального устройства — HBA (Host Bus
Adapter).
Из вышеописанного следует, что существующие на хосте виртуальные
машины, подключенные к нему хранилища, сетевые адаптеры хоста и
назначенные им сети, получают одинаковый с ним уровень автоматически
после настройки меток хоста. Дальнейшая детализация политики
безопасности с помощью категорий и разрешения (запрещения) отдельных
действий пользователям происходит в ручном режиме.
Современные системы становятся все более сложными в управлении и
настройке, виртуализация помогает упростить эти действия, однако,
использование старых подходов к защите уменьшает ее эффективность.
Применение автоматизированных способов управления средствами защиты
помогает сократить время развертывания системы, уменьшить вероятность
21
ошибки в процессе настройки системы и избежать необоснованного
пересмотра вопросов безопасности.
22
ГЛАВА 2 ПРАКТИЧЕСКАЯ ЧАСТЬ
24
1. Организационные меры:
1) Проведение мероприятий для поддержания информационной
грамотности персонала.
2) Написание документов, регулирующих поведение персонала в
компьютерной сети.
2. Инженерно-техническая система защиты информации (СЗИ):
1) Система контроля и управления доступом – допуск на каждый
этаж и в отдельные кабинеты и департаменты по пропуску,
выполненному в виде карты.
2) Контрольно-пропускной пункт на первых этажах.
3) Система видеонаблюдения.
4) Охранные и охранно-пожарные системы.
3. Программно-аппаратная СЗИ:
1) Программы идентификации и аутентификации пользователей
компьютерной сети.
2) Программное обеспечение для защиты от вредоносных программ
и несанкционированных действий пользователей по отношению к
информации.
3) Средства виртуализации и создание виртуальных каналов
передачи данных с шифрованием.
4) Межсетевые экраны.
5) Программное обеспечение для проведения аудита событий,
связанных с безопасностью.
6) Программы разграничения доступа пользователей к ресурсам
компьютерной сети.
7) Программы шифрования информации.
Хотя данная система и является хорошо защищенной от различных угроз
информации, но идеальных СЗИ не существует. Поэтому для поиска слабых
25
мест СЗИ необходимо составить модель нарушителя, проанализировав
уязвимости СЗИ.
27
3 Преступные Внешний Причинение имущественного ущерба путем
группы мошенничества или иным преступным путем.
(криминальные Выявление уязвимостей с целью их дальнейшей
структуры) продажи и получения финансовой выгода
Продолжение таблицы 2
1 2 3 4
4 Внешние Внешний Идеологические или политические мотивы.
субъекты Причинение имущественного ущерба путем
(физические мошенничества или иным преступным путем.
лица) Любопытство или желание самореализации.
Выявление уязвимостей с целью их дальнейшей
продажи и получения финансовой выгоды
5 Конкурирующие Внешний Получение конкурентных преимуществ.
организации Причинение имущественного ущерба путем
обмана или злоупотребления доверием
6 Разработчики, Внешний Внедрение дополнительных функциональных
производители, возможностей в программное обеспечение или
поставщики программно-технические средства на этапе
программных, разработки. Причинение имущественного
технических и ущерба путем обмана или злоупотребления
программно- доверием. Непреднамеренные, неосторожные
технических или неквалифицированные действия
средств
7 Лица, Внутренни Причинение имущественного ущерба путем
привлекаемые й обмана или злоупотребления доверием.
для установки, Непреднамеренные, неосторожные или
наладки, неквалифицированные действия
монтажа,
пусконаладочны
х и иных видов
работ
8 Лица, Внутренни Причинение имущественного ущерба путем
обеспечивающие й обмана или злоупотребления доверием.
функционирован Непреднамеренные, неосторожные или
ие неквалифициро ванные действия
информационны
х систем
9 Пользователи Внутренни Причинение имущественного ущерба путем
информационно й мошенничества или иным преступным путем.
й системы Любопытство или желание самореализации.
Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или
неквалифицированные действия
10 Администраторы Внутренни Причинение имущественного ущерба путем
информационно й мошенничества или иным преступным путем.
й системы, Любопытство или желание самореализации.
администраторы Месть за ранее совершенные действия.
28
безопасности и Выявление уязвимостей с целью их дальнейшей
администраторы продажи и получения финансовой выгоды.
виртуальной Непреднамеренные, неосторожные или
инфраструктуры неквалифицированные действия
11 Бывшие Внешний Причинение имущественного ущерба путем
работники мошенничества или иным преступным путем.
(пользователи) Месть за ранее совершенные действия
По мотивации воздействия на информационные ресурсы и системы,
источники угроз ИБ можно разделить на преднамеренные и случайные.
Преднамеренные (умышленные) угрозы связаны с корыстными
стремлениями людей.
Случайные (неумышленные) угрозы вызваны ошибками в
проектировании элементов КИС, в программном обеспечении, в действиях
сотрудников и т. п.
Классификация источников угроз ИБ ИС представлена на Рис. 2.2
Источники угроз информационной
безопасности
Внешние Внутренние
сервера ,
рабочие станции
не являющиеся системное
сотрудники
сотрудниками программное
Компании принтеры
Компании
обеспечение
периферийное
оборудование
временные обслуживающий прикладное
пользователи персонал источники программное
бесперебойного обеспечение
питания
пользователи
партнёры
Системы Сетевое
удаленные жизнеобеспечения
посетители обеспечение
пользователи
системы
администраторы энергоснабжения маршрутизаторы
разработчики
системы коммутаторы
внешние технический кондиционирования
злоумышленники персонал модемы
системы
водоснабжения каналы связи
программисты
29
информационной системе с заданными структурно-функциональными
характеристиками и особенностями функционирования.
В зависимости от потенциала, требуемого для реализации угроз
безопасности информации, нарушители подразделяются на:
1. нарушителей, обладающих базовым (низким) потенциалом
нападения при реализации угроз безопасности информации в
информационной системе;
2. нарушителей, обладающих базовым повышенным (средним)
потенциалом нападения при реализации угроз безопасности информации в
информационной системе;
3. нарушителей, обладающих высоким потенциалом нападения при
реализации угроз безопасности информации в информационной системе.
Потенциал нарушителей и их возможности приведены в таблице 3.
Таблица 3 – Потенциал нарушителей и их возможности [9]
Потенциал Возможности по реализации угроз
№ Виды нарушителей
нарушителей безопасности информации
1 2 3 4
1 Нарушители Внешние субъекты Имеют возможность получить
с базовым (физические лица), лица, информацию об уязвимостях
(низким) обеспечивающие отдельных компонент ИС,
потенциалом функционирование опубликованную в общедоступных
информационных систем источниках. Имеют возможность
или обслуживающих получить информацию о методах и
инфраструктуру оператора, средствах реализации угроз
пользователи безопасности информации
информационной системы, (компьютерных атак),
бывшие работники, лица, опубликованных в общедоступных
привлекаемые для источниках, и (или) самостоятельно
установки, наладки, осуществляет создание методов и
монтажа, пусконаладочных средств реализации атак и
и иных работ реализацию атак на ИС.
2 Нарушители Террористические, Обладают всеми возможностями
с базовым экстремистские нарушителей с базовым потенциалом.
повышенным группировки, преступные Имеют осведомленность о мерах ЗИ,
(средним) группы (криминальные применяемых в ИС данного типа.
потенциалом структу ры), Имеют возможность получить
конкурирующие информацию об уязвимостях
организации, разработчики, отдельных компонентах ИС путем
производители, поставщики проведения, с использованием
программных, технических и имеющихся в свободном доступе
30
программнотехнических программных средств, анализа кода
средств, администраторы прикладного ПО и отдельных
информационной системы и программных компонентов
администраторы общесистемного ПО. Имеют доступ к
безопасности сведениям о структурно-
функциональных характеристиках и
особенностях функционирования ИС.
Продолжение таблицы 3
1 2 3 4
3 Нарушители Специальные службы Имеют хорошую осведомленность о
с высоким иностранных государств мерах защиты информации,
потенциалом (блоков государств) применяемых в информационной
системе, об алгоритмах, аппаратных и
программных средствах,
используемых в ИС. Имеют
возможность получить информацию
об уязвимостях путем проведения
специальных исследований (в том
числе с привлечением специализиро
ванных научных организаций) и
применения специально
разработанных средств для анализа
программного обеспечения. Имеют
возможность создания методов и
средств реализации угроз
безопасности информации с
привлечением специализированных
научных организаций и реализации
угроз с применением специально
разработанных средств, в том числе
обеспечивающих скрытное
проникновение в информационную
систему и воздействие на нее.
Имеют возможность создания и
применения специальных
технических средств для добывания
информации (воздействия на
информацию или технические
средства), распространяющейся в
виде физических полей или явлений.
Использование технологий виртуализации создает предпосылки для
появления угроз безопасности, не характерных для информационных систем,
построенных без использования технологий виртуализации.
Общий перечень угроз, дополнительно могущих возникать при
использовании технологий виртуализации, включает такие угрозы, как
31
угрозы, обусловленные человеческим фактором, угрозы, связанные с
техническими средствами, используемыми при разработке и эксплуатации
ИС, угрозы, связанные с программными средствами, используемыми при
разработке и эксплуатации ИС и угрозы, возникающие вследствие форс-
мажорных обстоятельств (Таблицы 4 – 7).
32
6 Угрозы перехвата Угроза связана с наличием у Внутренний нарушитель
управления консоли управления со средним потенциалом
гипервизором гипервизором программных Внешний нарушитель со
интерфейсов взаимодействия с средним потенциалом
другими субъектами доступа
и, как следствие, с
возможностью НСД к данной
консоли.
Продолжение таблицы 4
1 2 3 4
7 Угрозы Угроза заключается в Внутренний нарушитель
несанкционированног возможности нарушения со средним потенциалом
о доступа к хранимой в конфиденциальности Внешний нарушитель со
виртуальном информации, содержащейся в средним потенциалом
пространстве распределённых файлах,
защищаемой содержащих защищаемую
информации информацию, путём
восстановления данных
распределённых файлов из их
множества отдельных
фрагментов с помощью
программного обеспечения и
информационных технологий
по обработке распределённой
информации.
Таблица 5 – Угрозы, связанные с техническими средствами, используемыми
при разработке и эксплуатации ИС [9]
№ Источник, категория
Вид угроз Описание угрозы
п/п нарушителя
1 2 3 4
1 Отказы и сбои Отказ в работе серверов в Технические средства
серверного результате влияния различных
оборудования факторов
2 Отказы и сбои Отказ в работе дисковых Технические средства
дисковых массивов массивов в результате влияния
различных факторов
3 Отказы и сбои Отказ в работе сетевого Технические средства
сетевого оборудования оборудования в результате
влияния различных факторов
4 Пропадание каналов Пропадание связи между Технические средства
связи узлами ИС Компании
33
5 Отказы и сбои Отказ в работе ленточных Технические средства
ленточных библиотек библиотек в результате
влияния различных факторов
6 Отказы и сбои станций Отказ в работе станций Технические средства
управления и управления и мониторинга в
мониторинга результате влияния различных
факторов
7 Отказы и сбои рабочих Отказ в работе рабочих Технические средства
станций станций в результате влияния
различных факторов
8 Непреднамеренная Доставка информации при Технические средства
ошибка пересылке по сети по
маршрутизации ошибочному адресу
34
Таблица 6 – Угрозы, связанные с программными средствами, используемыми
при разработке и эксплуатации ИС [9]
№ Источник, категория
Вид угроз Описание угрозы
п/п нарушителя
1 2 3 4
1 Отказ системного Отказ системного Программные средства
программного программного обеспечения
обеспечения вследствие наличия ошибок в
ПО, влекущих возникновение
уязвимостей и сбоев в работе
ПО
2 Отказ прикладного Отказ прикладного ПО Программные средства
программного вследствие наличия ошибок в
обеспечения ПО, влекущих возникновение
уязвимостей и сбоев в работе
ПО
Таблица 7 –угрозы, возникающие вследствие форс-мажорных обстоятельств
[9]
Источник,
№
Вид угроз Описание угрозы категория
п/п
нарушителя
1 2 3 4
1 Отказ системы Отказ подачи электропитания в Технические
энергоснабжения помещение Общества средства
2 Отказ системы Отказ системы воздушного Технические
кондиционирования кондиционирования, средства
приводящий к приостановке
работы вследствие выхода
рабочих температур за
предельно допустимые рамки
3 Пожар Повреждение огнем физических Форс-мажорные
средств, составляющих обстоятельства
систему, включая
документацию и магнитные
носители данных
4 Затопление Повреждение водой физических Форс-мажорные
средств, составляющих обстоятельства
систему,
включая документацию и
магнитные носители данных
5 Стихийные бедствия Землетрясения, сели, ураганы, Форс-мажорные
наводнения и прочие обстоятельства
катастрофические природные
явления
35
2.3 Оценка методов виртуализации по критериям
36
альтернатив для сравнения будут выступать методы виртуализации Xen и
ESXi, потому что они является популярными и надежными методами.
В качестве критериев для сравнения данных альтернатив будут
использоваться такие качества, как:
1. Производительность – важный критерий, описывающий мощность
виртуальных машин, их скорость работы.
2. Лицензия – критерий, описывающий метод лицензирования.
3. Официально поддерживаемые гостевые ОС – критерий,
описывающий ОС, которые можно запустить на ВМ.
4. ОС хост-машины – критерий, описывающий ОС, необходимую для
запуска ВМ.
Для начала необходимо сравнить между собой критерии (Рис.2.4),
исходя из их важности в конкретной ситуации. При расчете и сравнение
большая важность придавалась тем критериям, которые напрямую влияют на
работу виртуальной среды.
37
Рис. 2.5 Сравнение альтернатив
Большая важность отдавалась той альтернативе, которая была лучше в
конкретном сравнение.
Составляется итоговая таблица (Рис. 2.6), с помощью которой и делается
выбор альтернативы:
38
Рис. 2.7 – Диаграмма итогового сравнения альтернатив
Сравнив между собой альтернативы можно оценить эффективность
лучшей альтернативы применив ее для защиты информации.
39
поддерживаемых версий VMware vSphere, Microsoft Windows и Linux.
Обновления интеграции с Microsoft Active Directory обеспечивают лучшую
поддержку для более крупных и сложных лесов Active Directory. Поддержка
загрузки UEFI позволяет XenServer идти в ногу с доступной в настоящее время
технологией современного серверного оборудования.
3. Улучшения и оптимизация сетей и хранилищ.
4. Улучшенная графика следующего поколения:
5. Комплект автоматизации центра обработки данных:
Автоматизация ключевых ИТ-процессов, для улучшения
предоставление услуг и непрерывности бизнеса в виртуальных средах,
что приводит к экономии времени и денег при одновременном
предоставлении более оперативных ИТ-услуг. Возможности включают
восстановление сайта, высокую доступность и оптимизацию памяти.
6. Оптимизация облачной среды и среды рабочего стола высокой
плотности:
Обеспечение высочайшей производительности и безопасности
данных, особенно при интеграции с другими ведущими продуктами
отрасли, включая Citrix CloudPlatform и Citrix XenDesktop.
7. Расширенные инструменты интеграции и управления.
Citrix XenServer обладает двумя версиями – Standard и Enterprise.
Citrix XenServer Standard Edition - базовая коммерческая платформа
виртуализации:
1. MCS-Accelerator / In-Memory Read Cache (для массивов NFS)
2. Полная 64-битная архитектура ядра
3. Высокая доступность и защита данных
4. Live VM Migration (XenMotion)
5. Миграция хранилища в реальном времени (Storage XenMotion)
6. Миграции без общего доступа
7. Контроллер распределенного виртуального коммутатора (DVSC)
40
8. Пропуск графического процессора (NVIDIA и AMD)
9. Проверка работоспособности XenServer с помощью доступных
отчетов Citrix Insight Services (CIS)
Citrix XenServer Enterprise Edition - комплексная платформа
виртуализации серверов для рабочих нагрузок центров обработки данных и
облачной инфраструктуры:
1. PVS-ускоритель
2. Live Patching
3. Автоматические обновления
4. Linux V2V Migration
5. Динамическое планирование ресурсов (балансировка рабочей
нагрузки)
6. Измеренная загрузка с помощью гипервизора (технология Trusted
eXecution (TXT))
7. vSphere Conversion Manager
8. NVIDIA GRID и Intel GVT-g Виртуализация графических
процессоров
Данный продукт позволяет покрыть большую часть потребностей
компании по улучшение информационной безопасности и стабильности ВМ.
Он обеспечивает ИБ каждой ВМ и рабочего места с помощью виртуализации
и шифрованием информации и каналов передачи данных. Хоть в Банке угроз
ФСТЭК присутствуют уязвимости этого продукта, но большинство из них уже
устранена производителем в обновлениях ПО. Оценка стоимости
предложенных средств позволит узнать экономическую эффективность
проекта.
42
ЗАКЛЮЧЕНИЕ
43
СОКРАЩЕНИЕ
44
DVSC – Контроллер распределенного виртуального коммутатора
45
СПИСОК ЛИТЕРАТУРЫ
46
12. Виртуальный канал https://lawbooks.news/telekommunikatsionnyie-
sistemyi-kompyuternyie/virtualnyiy-kanal-63091.html ( Дата обращения:
03.06.2019).
13. Всё по ГОСТу. Защита информации при использовании технологий
виртуализации https://habr.com/ru/company/cloud4y/blog/352178/ ( Дата
обращения: 03.06.2019).
14. Общая информация о ПАО Банк “ФК Открытие”
https://www.open.ru/about ( Дата обращения: 03.06.2019).
15. Технология виртуализации
https://www.nix.ru/computer_hardware_news/hardware_news_viewer.html?id=18
7998 ( Дата обращения: 03.06.2019).
16. Устав ПАО Банк “ФК Открытие” URL: https://clck.ru/GNH8r ( Дата
обращения: 03.06.2019).
17. VMware vSphere URL:
https://www.vmware.com/ru/products/vsphere.html ( Дата обращения:
03.06.2019).
47
ПРИЛОЖЕНИЕ А
48