
Тип работы:	Предмет:	Язык работы:

Обеспечение безопасности системы управления инфраструктурой центра обработки данных ТПУ

Работа №	11525
Тип работы	Дипломные работы, ВКР
Предмет	эвм
Объем работы	109
Год сдачи	2016
Стоимость	5900 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено	492

Не подходит работа?

Узнай цену на написание

Содержание

Введение 17
Глава 1 Обзор тенденций и основ информационной безопасности 18
1.1 Оценка тенденций в сфере защиты информации 18
1.2 Информационная безопасность 19
1.3 Шифрование и аутентификация 21
Глава 2 Исследование системы управления ЦОД в контексте информационной безопасности 25
2.1 Область атаки атомарной виртуальной машины ЦОД 29
Глава 3 Проектирование системы управления инфраструктурой 32
3.1 Выбор типа аутентификации 33
3.1.1 Аутентификация по протоколу GSSAPI 33
3.1.2 Аутентификация по принципу доверенных узлов 34
3.1.3 Аутентификация по открытым ключам 34
3.2 Выбор способа распространения учетных записей 36
3.2.1 Network Information Service 37
3.2.2 Lightweight Directory Access Protocol 37
3.2.3 Puppet 38
3.2.4 Chef 39
3.2.5 Ansible 40
3.2.6 Salt 41
3.3 Выбор способа защиты от атак подбора учетных данных 43
3.3.1 Netfilter 43
3.3.2 Fail2ban 44
3.4 Выбор системы сбора журналируемой информации 45
3.4.1 Rsyslog...
3.4.2 Syslog-ng 47
3.5 Выбор дистрибутива операционной системы 48
3.5.1 Gentoo Linux 49
3.5.2 Debian Linux 50
3.5.3 CentOS Linux 51
3.6 Концептуальная модель разрабатываемой системы управления 52
3.6.1 Узел управления 53
3.6.2 Узел журналирования 54
Глава 4 Реализация системы управления инфраструктурой 55
4.1 Узел управления 56
4.1.1 Модуль tpu_sshd 60
4.1.2 Модуль tpu_ssh_acc 63
4.1.3 Модуль tpu_autoupdate 64
4.1.4 Модуль tpu_mirror_repository 65
4.1.5 Описание конфигурации атомарного управляемого узла 65
4.2 Узел журналирования 66
Глава 5 Финансовый менеджмент, ресурсоэффективность и ресурсосбережение 69
5.1 Организация и планирование работ 69
5.2 Продолжительность этапов работ 70
5.3 Расчет накопления готовности проекта 72
5.4 Расчет сметы затрат на выполнение проекта 73
5.4.1 Расчет затрат на материалы 74
5.4.2 Расчет заработной платы 74
5.4.3 Расчет затрат на социальный налог
5.4.4 Расчет затрат на электроэнергию 75
5.4.5 Расчет амортизационных расходов 76
5.4.6 Расчет прочих расходов 77
5.4.7 Расчет общей себестоимости работы 77
5.4.8 Расчет прибыли 78
5.4.9 Расчет НДС 78
5.4.10 Цена разработки НИР 78
5.5 Оценка экономической эффективности проекта 79
5.6 Оценка научно-технического уровня НИР 80
Глава 6 Социальная ответственность 82
6.1 Анализ возможных сбоев разрабатываемой системы 82
6.2 Анализ причин сбоев в работе системы 83
6.3 Меры по аппаратной защите системы 84
6.4 Организационные меры, обеспечивающие защиту системы 85
6.5 Меры по программной защите системы 85
6.6 Требования к аппаратному и программному обеспечению 88
6.7 Влияние данной работы на существующую инфраструктуру 89
6.7.1 Результирующее состояние системы управления инфраструктурой ... 90
6.7.2 Угрозы, привнесенные разработанной системой управления
инфраструктурой 91
Заключение 93
Список литературы 95
Приложение А Экземпляры объявления узлов в файле manifests/site.pp 101
Приложение Б Исходный текст файла modules/tpu_sshd/manifests/init.pp 102
Приложение В Экземпляры определения учетных записей администраторов в файле modules/tpu_ssh_acc/manifests/init.pp 105
Приложение Г Исходный текст файла modules/tpu_autoupdate/manifests/ init.pp 107
Приложение Д Исходный текст файла modules/tpu_mirror_repository/manifests/ init.pp 109

Введение

С каждым днем информация играет всё более важную роль в нашей повседневной жизни. Мы стали информационно зависимым обществом XXI века и живем в мире команд и запросов. Это означает потребность в получении необходимой информации независимо от времени и места.
Для обеспечения бесперебойной доступности информационных систем Томского Политехнического Университета (ТПУ) на базе структурного подразделения Главный информационный узел (ГИУ) создан центр обработки данных (ЦОД). ЦОД представляет собой консолидированные в рамках одной инфраструктуры ресурсы вычисления, передачи и хранения данных, обеспечивающие работу большинства информационных систем университета.
С целью обеспечить возложенную на ЦОД задачу, в аппаратную и программную части ЦОД вложены существенные средства. Закуплено дорогостоящее надежное оборудование и не менее дорогостоящие программные продукты от именитых производителей.
Однако, существенной угрозой стабильности ЦОД является ненадлежащее внимание к вопросам информационной безопасности при осуществлении процедур администрирования информационных систем ЦОД.
Целью данной работы является модернизация существующей системы управления инфраструктурой центра обработки данных ТПУ (ЦОД) с учетом современных требований к безопасности, без ухудшения удобства управления и финансовых вложений на приобретение программных или аппаратных средств. Ключевой задачей является обеспечение безопасности системы управления ЦОД.

Возникли сложности?

Нужна помощь преподавателя?

Помощь студентам в написании работ!

ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ

Курсовые Статьи Диплом Рязань

Заключение

Реализованная система отвечает всем требованиям поставленной задачи. Безопасность управления серверами, находящимися в ведении ГИУ ТПУ обеспечивается за счет механизмов аутентификации, авторизации и шифрования в соответствии с современными требованиями к стойкости алгоритмов и длине ключей.
Для защиты от атак посредника используется аутентификация на всех этапах взаимодействия: системы управления и серверов, администратора и системы управления, администратора и серверов. Аутентификация осуществляется при помощи криптографических алгоритмов асимметричного шифрования. При подключении нового сервера к системе, на сервер устанавливается агент puppet. Агент, совершая первый запрос к серверу, генерирует ключевую пару: открытый ключ и закрытый ключ, затем открытый ключ передается системе в виде запроса на выпуск сертификата. Коммуникация между сервером и системой возможна только после того, как администратор системы подпишет данный запрос и выпустит сертификат.
Для защиты от атак типа подбора на все серверы устанавливается программный продукт fail2ban, который отслеживает неудавшиеся попытки авторизоваться по протоколу ssh и, в случае превышения установленных лимитов, временно блокирует атакующего. Данная стратегия исключает возможность подбора пароля в разумные промежутки времени.
Для защиты от эксплуатации уязвимостей предусмотрен механизм автоматической проверки наличия обновлений безопасности в источниках дистрибутивов операционной системы.
Система обеспечивает централизованное администрирование из одной точки, т. е. с узла управления. Система спроектирована и реализована исходя из требования к обеспечению профилирования серверов и пользователей.
Поддерживаются группы доступа. За счет того, что на каждом подключенном к системе сервере установлен агент, который инициирует подключение к системе,решается проблема управления узлами, находящимися в закрытых подсетях ЦОД.
Отказ системы управления не может привести управляемые серверы в нештатный режим, так как вся конфигурация состояния сервера хранится на каждом сервере локально, включая пользователей их публичные ключи. Единственным негативным явлением, в данном случае, будет неспособность серверами получить обновление своего состояния.
Все примененные компоненты системы являются бесплатными. Их использование допустимо в коммерческой среде. Код данных приложений открыт.

Литература

1. Эви Немет, Гарт Снайдер, Трент Хейн, Бэн Уэйли. Unix и Linux: руководство системного администратора. 4-е изд. Москва: ООО “И.Д. Вильямс”, 2012.
2. State of Cybersecurity: Implications for 2015 [Электронный ресурс] //
Information Technology - Information Security - Information Assurance: [сайт]. URL: http://www.isaca.org/cyber/Documents/State-of-
Cybersecurity_Res_Eng_0415.pdf (дата обращения: 25.12.2015).
3. Kaspersky Security Bulletin 2006 [Электронный ресурс] // Сетевая штаб- квартира экспертов «Лаборатории Касперского»: [сайт]. URL: https:// securelist.ru/analysis/ksb/987/kaspersky-security-bulletin-2006-razvitie- vredonosny-h-programm/ (дата обращения: 22.05.2016).
4. Kaspersky Security Bulletin 2015 [Электронный ресурс] // Сетевая штаб- квартира экспертов «Лаборатории Касперского»: [сайт]. URL: https:// securelist.ru/analysis/ksb/27519/kaspersky-security-bulletin-2015-evolyuciya- ugroz-informacionnoj -bezopasnosti-v-biznes-srede/ (дата обращения:
22.05.2016) .
5. Trustwave 2015-Global-Security-Report [Электронный ресурс] // Trustwave: Smart Security On Demand: [сайт]. URL: https://www2.trustwave.com/rs/815- RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf (дата обращения:
25.12.2015) .
6. 2015 Norton Cybercrime Report [Электронный ресурс] // Symantec - Global
Leader In Next - Generation Cyber Security: [сайт]. URL: https:// www4 .symantec.com/mktginfo/whitepaper/ISTR/21347931_GA-internet- security-threat-report-volume-20-2015-appendices.pdf (дата обращения:
25.12.2015) .
7. IX Евразийский форум информационной безопасности и информационного взаимодействия [Электронный ресурс] // МВД России: [сайт]. URL: http://
8. Гатчин Ю. А., Сухостат В. В. Теория информационной безопасности и методология защиты информации. СПб.: СПбГУ ИТМО, 2010.
9. EMC. От хранения данных к управлению информацией. 1 -е изд. СПб.: Питер,
2010.
10. Брюс Ш. Секреты и ложь. Безопасность данных в цифровом мире. СПб.: Питер, 2003.
11. Таненбаум Э. Компьютерные сети. 5-е изд. СПб.: Питер, 2012.
12. Guy R.K. How to Factor a Number // Fifth Manitoba Conference on Numeral Mathematics Congressus Numerantum. Winnipeg. 1976.
13. Gardner M. A New Kind of Cipher That Would Take Millions of Year to Break // Scientific American. August 1977. No. 237. pp. 120-124.
14. Atkins D., Graff M., Lenstra A.K., Leyland R. The Magic Words are Squeamish Ossifrage // Advances in Cryptology ASIA CRYPT’94. Proceedings. 1994. pp. 263-277.
15. Schneier B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. 2nd ed. New-York: Wiley, 2015.
16. Common Vulnerabilities and Exposures [Электронный ресурс] // CVE: [сайт]. URL: https://cve.mitre.org/cve/index.html (дата обращения: 25.12.2015).
17. Securing Debian Manual [Электронный ресурс] // Debian: [сайт]. URL: https:// www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html#s-deb-pack- sign (дата обращения: 25.12.2015).
18. Checking a Package's Signature [Электронный ресурс] // CentOS Project: [сайт]. URL: https://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-check- rpm-sig.html (дата обращения: 25.12.2015).
19. RFC4251: The Secure Shell (SSH) Protocol Architecture [Электронный ресурс] // Internet Engineering Task Force (IETF): [сайт]. URL: https://www.ietf.org/rfc/ rfc4251.txt (дата обращения: 22.05.2016).
20. RFC2743: Generic Security Service Application Program Interface Version 2, Update 1 [Электронный ресурс] // Internet Engineering Task Force (IETF): [сайт]. URL: https://tools.ietf.org/html/rfc2743 (дата обращения: 22.05.2016).
21. RFC4462: Generic Security Service Application Program Interface (GSS-API) Authentication and Key Exchange for the Secure Shell (SSH) Protocol [Электронный ресурс] // Internet Engineering Task Force (IETF): [сайт]. URL: https://tools.ietf.org/html/rfc4462 (дата обращения: 22.05.2016).
22. SSH General Commands Manual [Электронный ресурс] // OpenBSD manual pages: [сайт]. URL: http://man.openbsd.org/ssh.! (дата обращения: 22.05.2015).
23. OpenSSH: Legacy Options [Электронный ресурс] // OpenSSH: [сайт]. URL: http://www.openssh.com/legacy.html (дата обращения: 22.05.2016).
24. FIPS PUB 186-2 DIGITAL SIGNATURE STANDARD (DSS) // National Institute of Standards and Technology. URL: http://csrc.nist.gov/publications/fips/archive/ fips186-2/fips186-2.pdf (дата обращения: 22.05.2016).
25. FIPS PUB 186-4 Digital Signature Standard (DSS) // National Institute of Standards and Technology. URL: http://nvlpubs.nist.gov/nistpubs/FIPS/ NIST.FIPS.186-4.pdf (дата обращения: 22.05.2016).
26. OpenSSH 6.5 released [Электронный ресурс] // LWN.net: [сайт]. URL: https:// lwn.net/Articles/583485/ (дата обращения: 22.05.2016).
27. OpenSSH 5.7 released [Электронный ресурс] // LWN.net: [сайт]. URL: https:// lwn.net/Articles/424392/ (дата обращения: 22.05.2016).
28. System Administration: Yellow Pages, part 1 [Электронный ресурс] // The
Public's Library and Digital Archive: [сайт]. URL: http://www.ibiblio.org/pub/ Linux/docs/LDP/linuxfocus/English/July2001/article 148.shtml (дата
обращения: 22.05.2016).
29. End of Features (EOF) Planned for Future Releases of Oracle Solaris [Электронный ресурс] // Oracle | Integrated Cloud Applications and Platform Services: [сайт]. URL: http://www.oracle.com/technetwork/systems/end-of-
30. ITU-T X.500 [Электронный ресурс] // ITU: Committed to connecting the world: [сайт]. URL: http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=11732 (дата обращения: 22.06.2016).
31. RFC4511: Lightweight Directory Access Protocol (LDAP): The Protocol [Электронный ресурс] // Internet Engineering Task Force: [сайт]. URL: https:// tools.ietf.org/html/rfc4511 (дата обращения: 22.05.2016).
32. Security Overview [Электронный ресурс] // Puppet Documentation: [сайт]. URL: https://docs.puppet.com/mcollective/security.html (дата обращения:
22.05.2016) .
33. Security [Электронный ресурс] // Chef Docs: [сайт]. URL: https://docs.chef.io/ server_security.html (дата обращения: 22.05.2016).
34. An Overview of Chef [Электронный ресурс] // Chef Docs: [сайт]. URL: https:// docs.chef.io/chef_overview.html (дата обращения: 22.05.2016).
35. Installation [Электронный ресурс] // Ansible Documentation: [сайт]. URL: http:/ /docs.ansible.com/ansible/intro_installation.html (дата обращения: 22.05.2016).
36. Introduction [Электронный ресурс] // Ansible Documentation: [сайт]. URL: http://docs.ansible.com/ansible/intro.html (дата обращения: 22.05.2016).
37. SaltStack Documentation [Электронный ресурс] // CloudOps, ITOps & DevOps: [сайт]. URL: https://docs.saltstack.com/en/latest/ (дата обращения: 22.05.2016).
38. Sendmail [Электронный ресурс] // The Architecture of Open Source Applications: [сайт]. URL: http://www.aosabook.org/en/sendmail.html (дата обращения: 22.05.2016).
39. RFC 3164: The BSD syslog Protocol [Электронный ресурс] // Internet Engineering Task Force: [сайт]. URL: https://tools.ietf.org/html/rfc3164 (дата обращения: 22.05.2016).
40. Syslog Standardization [Электронный ресурс] // rsyslog: [сайт]. URL: http:// www.rsyslog.com/doc/syslog_parsing.html (дата обращения: 22.05.2016).
41. RFC5424: The Syslog Protocol [Электронный ресурс] // Internet Engineering Task Force: [сайт]. URL: https://tools.ietf.org/html/rfc5424 (дата обращения:
22.05.2016) .
42. RFC5425: Transport Layer Security (TLS) Transport Mapping for Syslog [Электронный ресурс] // Internet Engineering Task Force: [сайт]. URL: https:// tools.ietf.org/html/rfc5425 (дата обращения: 22.05.2016).
43. RFC5426: Transmission of Syslog Messages over UDP [Электронный ресурс] // Internet Engineering Task Force: [сайт]. URL: https://tools.ietf.org/html/rfc5426 (дата обращения: 22.05.2016).
44. RFC5427: Textual Conventions for Syslog Management [Электронный ресурс] // Internet Engineering Task Force: [сайт]. URL: https://tools.ietf.org/html/ rfc5427 (дата обращения: 22.05.2016).
45. RFC5848: Signed Syslog Messages [Электронный ресурс] // Internet Engineering Task Force: [сайт]. URL: https://tools.ietf.org/html/rfc5848 (дата обращения: 22.05.2016).
46. Datagram Transport Layer Security (DTLS) Transport Mapping for Syslog [Электронный ресурс] // Internet Engineering Task Force: [сайт]. URL: https:// tools.ietf.org/html/rfc6012 (дата обращения: 22.05.2016).
47. Transmission of Syslog Messages over TCP [Электронный ресурс] // Internet Engineering Task Force: [сайт]. URL: https://tools.ietf.org/html/rfc6587 (дата обращения: 22.05.2016).
48. The syslog-ng Open Source Edition 3.7 Administrator Guide [Электронный ресурс] // BalaBit IT Security: [сайт]. URL: https://www.balabit.com/sites/ default/files/documents/syslog-ng-ose-latest-guides/en/syslog-ng-ose-guide- admin/html/index.html (дата обращения: 22.05.2016).
49. changing the default syslog daemon for lenny? [Электронный ресурс] // debian- devel Jan 2008 by thread: [сайт]. URL: https://lists.debian.org/debian-devel/2008/ 01/thrd3.html#01002 (дата обращения: 22.05.2016).
50. DistroWatch Weekly, Issue 663, 30 May 2016 [Электронный ресурс] // DistroWatch.com: Put the fun back into computing. Use Linux, BSD: [сайт]. URL: http://distrowatch.com/weekly.php?issue=20160530 (дата обращения:
22.05.2016) .
51. GNU/Linux Distribution Timeline 12.10 [Электронный ресурс] // GNU/Linux Distribution Timeline: [сайт]. URL: http://futurist.se/gldt/2012/10/29/gnulinux- distribution-timeline-12-10/ (дата обращения: 22.05.2016).
52. Home [Электронный ресурс] // Gentoo Packages: [сайт]. URL: https:// packages.gentoo.org/ (дата обращения: 22.05.2016).
53. Statistics [Электронный ресурс] // Gentoo Portage Overlays: [сайт]. URL: https:/ /gpo.zugaina.org/Statistics (дата обращения: 12.05.2016).
54. DistroWatch Page Hit Ranking [Электронный ресурс] // DistroWatch.com: Put the fun back into computing. Use Linux, BSD: [сайт]. URL: http:// distrowatch.com/dwres.php?resource=popularity
55. Выпущен Debian 8 "Jessie" [Электронный ресурс] // Debian -- Новости: [сайт]. URL: https://packages.debian.org/stable/allpackages?format=txt.gz (дата обращения: 22.05.2016).
56. Долгосрочная поддержка Debian [Электронный ресурс] // Debian Wiki: [сайт]. URL: https://wiki.debian.org/ru/LTS (дата обращения: 22.05.2016).
57. LogAnalyzer 3.6.6 (v3-stable) [Электронный ресурс] // Adiscon LogAnalyzer: [сайт]. URL: http://loganalyzer.adiscon.com/downloads/loganalyzer-3-6-6-v3- stable/ (дата обращения: 22.05.2016).