Обеспечение защиты от несанкционированного доступа в организации

Размещено на http://www.allbest.ru//

Размещено на http://www.allbest.ru//

Введение

Информационная безопасность - одно из популярнейших сегодня понятий. Наша жизнь уже неразрывно связана с информационными технологиями в современном их понятии, и поэтому защищать свои данные уже приходится каждому из нас. Одно из основных направлений в обеспечении информационной безопасности - это безопасность при пользовании удаленными сервисами, что особенно актуально при совершении финансовых транзакций.

Безопасность в сфере информационных технологий -- это комплекс мер, и она должна восприниматься как система. Компьютерная безопасность имеет различные аспекты, среди которых нельзя выделить более значимые или менее. Здесь важно все. Нельзя отказаться от какой-либо части этих мер, иначе система не будет работать.

Компьютерная безопасность мало отличается от безопасности в общем смысле. В обычной жизни никто не будет ставить железную дверь с хорошим замком на деревянный амбар с дыркой в стене. Точно так же и автомобиль с хорошей резиной, но неисправными тормозами будет небезопасен. Аналогично и при обеспечении компьютерной безопасности важно соблюдать меры защиты во всех точках соприкосновения с агрессивной средой. Каждый информационный ресурс, будь то компьютер пользователя или сервер организации, должен быть полностью защищен. Защищены должны быть файловые системы, сеть и т.д. Доступ к данным тоже должен быть безопасным, и люди, работающие с информацией, могут рассматриваться как звено в цепочке механизма, который обеспечивает работоспособность и безопасность всей системы.

В нашей работе будут рассмотрены вопросы, касающиеся обеспечения защиты от несанкционированного доступа в организации ООО «555».

Целью настоящей работы является разработка защищенной сети предприятия с использованием зонной архитектуры, позволяющего снизить вероятность реализации информационных угроз от несанкционированного доступа к информации.

В соответствии с целями работы в ней поставлены следующие задачи:

анализ информационных угроз и построение модели нарушителя;

расчет стоимости разработки и срока ее окупаемости.



Глава 1. Организационная структура и основные направления деятельности предприятия

защита сеть несанкционированный информация безопасность

1.1 Анализ организационной структуры и основных направлений деятельности предприятия

Компания "555" - фирма основана в 2006 году.

Основные направления деятельности: электронная отчётность, торговое оборудование, проведение торгов, продажа и ремонт офисной техники, антивирусная защита, создание сайтов

Основные организационно-экономические параметры организации за 2015г. приведены в таблице 1.

Таблица 1 - Экономические параметры ООО«555» за 2015г.

№ п\п	Наименование характеристики (показателя)	Значение
1	Суммарная выручка, млн.руб.	184,5
2	Количество сотрудников, чел.	230
3	Количество офисов	2
4	Чистая прибыль за 2014год, руб.	12456852
5	Количество наименований продукции	1256
6	Фонд заработной платы, руб.	2512395

В настоящее время наблюдается рост как производственных, так и торговых оборотов предприятия, внедряются новые технологии, расширяется клиентская база, в связи с чем возникает вопрос защиты информации организации от несанкционированного доступа.

Схема организационной структуры ООО «555» представлена на рис.1.1

Как показано на рис.1.1, в структуру ООО «555» входят:

- Склад;

- Бухгалтерия;

- Отдел маркетинга (рекламы);

- Отдел учета;

- Отдел персонала;

- ИТ-отдел.

Рис.1.1 - Схема организационной структуры ООО «555»

Генеральный директор осуществляет руководство, в соответствии с целями организации и действующим законодательством, производственно-хозяйственной и финансово-экономической деятельностью ООО «555». Несет всю полноту ответственности за последствия принимаемых решений, сохранность и эффективное использование имущества и ресурсов ООО «555», а также, за финансово-хозяйственные результаты бизнес-деятельности. Организует работу, эффективное и результативное взаимодействие и координацию производственных и бизнес-единиц, структурных подразделений. Обеспечивает выполнение задач и целей деятельности организации, всех ее обязательств перед поставщиками, заказчиками и банками, включая обязательства перед бюджетами разных уровней и внебюджетными фондами, а также по договорам.

Основные функции отдела бухгалтерского учета:

сбор, формирование и своевременное изменение информации об объектах бухучета, необходимой для внутреннего пользования руководителями и работниками предприятия, в том числе и для предоставления ее по требованию вышестоящего руководства или компетентных органов (налоговой инспекции, например);

контроль за движением объектов бухучета и достоверное информирование в виде отчетности по требованию;

стабилизация финансовой деятельности предприятия, стремление к положительной динамике, уведомление руководства об отрицательных результатах производственной или непроизводственной деятельности;

контроль соответствия налоговой и иной деятельности предприятия законодательству Российской Федерации.

К функциям отдела рекламы и маркетинга относится помощь в выработке стратегии рыночной деятельности предприятия. Целью отдела маркетинга является выработка рекомендаций и координация деятельности по формированию и проведению закупочной, сбытовой и сервисной политики предприятий. В функции Отдела маркетинга входит анализ внутренней и внешней среды предприятий, анализ конкурентов, сегментирование рынка и позиционирование товара, ценообразование, формирование ассортимента и формулирование требований к качеству продукции и обслуживанию клиентов, формирование и поддержание имиджа организации.

Функции отдела персонала:

подбор, наем и формирование персонала;

оценку персонала;

развитие организационной структуры и морального климата организации, способствующих проявлению творческой активности каждого работника;

наилучшее использование потенциала работников, выработка системы мотивации сотрудников;

обеспечение гарантий социальной ответственности организаций перед каждым работником.

анализ имеющегося кадрового потенциала и планирование его развития с учетом перспективы;

мотивация персонала,

оценка и обучение кадров,

содействие адаптации работников к нововведениям,

создание социально комфортных условий в коллективе.

В компетенцию отдела информационных технологий входит поддержка функционирования ИТ-инфраструктуры сети, что предполагает наличие системных администраторов, ответственных за функционирование общесистемного программного обеспечения, аппаратного обеспечения, политику закупки технических средств. Также в штате ИТ-отдела имеется группа технической поддержки, в функции которой входит поддержка функционирования прикладного программного обеспечения: работа с удаленными площадками, консультирование пользователей в области функционирования программного обеспечения, устранение нештатных ситуаций. В функции программистов входит разработка программного обеспечения, а также доработка приобретенных предприятием программных продуктов.

В таблице 2 приведен перечень организационно-штатной численности по структурным подразделениям предприятия.

Таблица 2 - Перечень организационно-штатной численности по структурным подразделениям

Подразделение	Штатная численность	Требования к квалификации персонала	Основные функции
Склад	25	без предъявления требований	Комплектация продукции, работа с браком, контроль качества, работа экспедиторов
Отдел бухгалтерского учета	8	высшее экономическое	ведение бухгалтерского, налогового учета, анализ экономических показателей предприятия
Отдел персонала	4	высшее юридическое образование, либо образование в области управления персоналом	Работа с персоналом
Отдел рекламы и маркетинга	20	Высшее по специальностям: маркетинг, менеджмент	Маркетинговая деятельность
ИТ-отдел	13	Высшее в области информационных технологий	Поддержка ИТ-инфраструктуры

Каждый из специалистов курирует свой участок работы, при этом в должностных инструкциях специалистов предусмотрена взаимозаменяемость.

Информационная модель ООО «555» представлена на рис.1.2.

Как показано на рис.1.2, специалисты отделов работают с первичной информацией (договора на поставку продукции, платежные документы). Специалисты отделов, по материалам поступившей первичной информации готовят отчеты для начальников отделов, которые готовят консолидированную отчетную информацию для генерального директора.

Информация, циркулирующая в системе ООО «555», может предоставляться и обрабатываться как в автоматизированной, так и в неавтоматизированной форме.



Рис.1.2 - Информационная модель ООО «555»

1.2 Выявление проблемной области при обработке информации в предприятии

Одной из самых актуальных проблем в организации ООО «555» является низкая квалификация кадров в сфере информационных технологий и особенно в части ИБ. Главным образом это вызвано нацеленностью собственника на решение вопросов, непосредственно связанных с существованием и развитием бизнеса, а также с недопониманием руководством предприятий важности проблем ИБ. В условиях кризиса и отсутствия дешёвых кредитов проблемы ИБ зачастую не рассматриваются даже по остаточному принципу. При этом недостаточность финансирования, неустойчивость бизнеса и текучка кадров приводят владельцев к необходимости скрывать коммерческую информацию от своих сотрудников. Чаще всего с этой целью приобретаются антивирусные программы и средства шифрования серверов класса SecretDiskServer [12] и персональных компьютеров класса SecretDisk [13].

В условиях недостатка квалифицированных кадров и политик безопасности в виде тенденций стали проявляться две противоположные крайности: приобретение сертифицированных свободно распространяемых решений ИБ, с одной стороны, и наиболее надежных СЗИ - с другой.

Задачи, решаемые отделом информационных технологий должны обеспечивать внедрение и сопровождение информационных систем обеспечения безопасности разрабатываемых и внедряемых проектов.

На законодательном уровне

Анализ и разработка политики безопасности и регламентных документов в соответствии требованиям российской законодательной базы, государственным и мировым стандартам и рекомендациям;

Подготовка внедряемых информационных систем к сертификации;

Подготовка информационных систем к процессу аттестации.

Административный уровень

Анализ и управление рисками;

Разработка политики и программ безопасности организации;

Оказание помощи в подготовке персонала по направлению защиты информационных ресурсов и поддерживающей инфраструктуры.

Процедурный уровень

Проведение обследований безопасности информационных систем;

Тестированию корпоративных систем на предмет защищенности;

Аудит информационных систем и отдельных элементов подсистемы информационной безопасности на соответствие требованиям информационной безопасности, оценка текущего состояния;

Разработка концепций информационной безопасности;

Подготовка регламентных, нормативных и организационно-рапорядительных документов и инструкций в соответствии с политикой безопасности организации и требованиями законодательного уровня;

Выполнение проектных работ;

Разработка проектов защищенных сетей, почтовых систем, систем документооборота, Интернет-решений;

Разработка рекомендаций по защите отдельных элементов подсистем информационной безопасности - WEB-серверов, операционных систем, баз данных, межсетевых экранов, маршрутизаторов и proxy-серверов, систем электронной почты.

Программно-технический уровень

Защита внешнего периметра информационной системы;

Межсетевое экранирование;

криптографическая защита каналов связи и передачи данных);

Системы идентификации и аутентификации;

Системы однократной аутентификации;

Инфраструктура публичных криптографических ключей;

Реализация систем фильтрации почтового трафика и потоков информационного обмена с Internet/Intranet - решениями (Web-ресурсами);

Обеспечение защиты почтовых систем;

Обеспечение защиты систем управления документами;

Защита Web-серверов и порталов;

Реализация подсистем активного аудита (поиска уязвимостей ресурсов информационной системы);

Организация подсистем контроля защищенности;

Системы обнаружения и нейтрализации отказов, проведение оперативного восстановления;

Внедрение централизованных систем управления информационной безопасностью;

Обеспечение безопасности связи: Системы защиты телефонных переговоров;

Обеспечение безопасности электромагнитного излучения: Системы защиты помещений от утечки информации по каналу побочных электромагнитных излучений и наводок (ПЭМИН);

Обеспечение безопасности функций обработки, хранения и передачи информации;

Системы резервного копирования;

Реализация антивирусной защиты ресурсов корпоративной информационной системы и рабочих мест;

Защита персональных компьютеров (индивидуальных рабочих мест).

Используемая вычислительная техника в сети весьма разнообразна, с различными операционными системами. Дорогостоящие сервера в большинстве своем не допускают установку дополнительных аппаратных средств защиты внутрь аппаратуры. Поэтому часть решений должна быть чисто программной или аппаратной в виде автономных устройств.

С точки зрения защиты можно выделить следующие задачи:

защита документооборота,

ограничение доступа на рабочие места (ПК),

разграничение доступа к информации на серверах,

защита каналов связи.

1.3 Исследование возможностей потенциальных инициаторов утечки информации

Источниками угроз НСД в информационной системе могут быть:

нарушитель;

носитель вредоносной программы;

аппаратная закладка.

Для источников угроз - людей, должна быть разработана модель нарушителя информационной системы, включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий, а также возможных технических и специальных средств нарушения.

По наличию права постоянного или разового доступа в контролируемую зону (КЗ) информационной системы нарушители подразделяются на два типа:

Внешние нарушители (I тип) - нарушители, не имеющие доступа к информационной системы, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;

Внутренние нарушители (II тип) - нарушители, имеющие доступ к информационной системе, включая пользователей организации, реализующие угрозы непосредственно в ЛВС.

Внешними нарушителями могут быть:

криминальные структуры;

конкуренты (конкурирующие организации);

бывшие сотрудники;

физические лица, пытающиеся получить доступ к ПДн в инициативном порядке;

Внешний нарушитель имеет следующие возможности:

осуществлять несанкционированный доступ к каналам связи с использованием портативных, возимых, носимых, а также автономных автоматических средств разведки ПЭМИН(Побочные Электромагнитные Излучения и Наводки) серийной разработки;

осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;

осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;

осуществлять несанкционированный доступ через элементы информационной инфраструктуры ЛВС, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны;

осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ЛВС.

Осуществление несанкционированного доступа через АРМ, подключенные к сетям связи, сетям международного информационного, необходимо рассматривать т.к. все АРМ, имеют связи с сетями международного информационного обмена и не защищены средством межсетевого экранирования.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированных действий.

Исходя из особенностей функционирования информационной системы, допущенные к ней физические лица, имеют разные полномочия на доступ к информационным, программным, аппаратным и другим ресурсам в соответствии с принятой политикой информационной безопасности (правилами). К внутренним нарушителям могут относиться:

категория I-администраторы ЛВС;

категория II-пользователи (бухгалтера, работники отдела рекламы, отдела персонала, отдела брака, комплектации);

категория III -сотрудники, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются ресурсы ЛВС, но не имеющие права доступа к ресурсам (работники склада);

категория IV-обслуживающий персонал (уборщица);

категория V - уполномоченный персонал разработчиков ЛВС, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов информационной системы(специалист по обновлению ПО 1С).

За I полугодие 2015 года Аналитическим центром InfoWatch зарегистрировано 723случая утечки конфиденциальной информации (см. Рисунок 1). Это на 10% больше,чем за аналогичный период 2014 года (654 утечки). В пределах исследуемого периода рост утечек замедлился на 22 процентных пункта (п. п.) по сравнению с показателями I полугодия 2014 года (тогда рост к 2013 году составил 32%).

Рисунок 1Число зарегистрированных утечек информации, Ѕ 2006 - Ѕ 2015 гг.

Зарегистрирована 471 (65%) утечка информации, причиной которой стал внутренний нарушитель. В 233 (32%) случаях утечка информации произошла из-за внешнего воздействия. Для некоторых случаев (2,6%) установить вектор воздействия(направление атаки) оказалось невозможно

Рисунок 2 Распределение утечек по вектору воздействия

Вопрос защиты персональных данных от утечек для среднего бизнеса сегодня даже более актуален,чем для крупного. В организациях среднего размера зафиксировано в разы больше утечек, чем в крупных компаниях. Совокупный объем скомпрометированных записей в средних компаниях впервые за годы наблюдения превысил объем скомпрометированных записей в крупных компаниях.Исходя из результатов исследования, наиболее уязвимыми следует считать сегмент высоких технологий, торговые и транспортные компании. Наибольший объем скомпрометированных данных (без учета «мега-утечек») пришелся на интернет-сервисы

Нормативно-техническая документация

Техническая документация на систему должна соответствовать требованиям комплекса стандартов и руководящих документов на автоматизированные системы, в том числе:

ГОСТ 34.201-89 «Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;

ГОСТ 34.601-90 «Комплекс стандартов на автоматизированные системы. Стадии создания»;

ГОСТ 34.602-89 «Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;

ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем»;

РД 50-34.698-90 «Комплекс стандартов и руководящих документов на автоматизированные системы. Методические указания. Автоматизированные системы. Требования к содержанию документов».

Также необходимо использовать рекомендации и положения следующих стандартов:

ISO13335-5:2001 Information technology. Guidelines for the management of IT security. Managementguidanceofnetworksecurity (Информационные технологии. Руководство по управлению ИТ безопасностью. Руководство по управлению сетевой безопасностью);

ISO/IEC 18028-1:2006. Information technology. Security techniques. IT networksecurity. Part 1 - Networksecuritymanagement (Безопасность сети - Часть 1:Управление безопасностью сети);

ISO/IEC 18028-2:2006. Information technology. Security techniques. IT networksecurity. Part 2 - Networksecurityarchitecture (Безопасность сети - Часть 2:Архитектура безопасности сети);

ISO/IEC 18028-3:2005. Information technology. Security techniques. IT network security. Part 3 - Securing communications between networks using security gateways (Безопасностьсети - Часть 3: Обеспечениебезопасностикоммуникациймеждусетямисиспользованиемшлюзов);

ISO/IEC 18028-4:2005. Information technology. Security techniques. IT networksecurity. Part 4 - Securingremoteaccess (Безопасность сети - Часть 4:Обеспечение безопасности удаленного доступа);

ISO/IEC 18028-5:2006. Information technology. Security techniques. IT network security. Part 5 - Securing communications across networks using virtual private networks (Безопасностьсети - Часть 5: Обеспечение безопасности коммуникаций между сетями с использованием VPN).

Решения по структуре системы

Система представляет собой ЛВС, состоящую из следующих компонентов:

подсистемы межсетевого экранирования;

подсистемы обнаружения и предотвращения вторжений.

Каждый из компонентов системы имеет свое назначение и обеспечивает возложенный на него функционал. Решения, применяемые при проектировании, выбирались с позиции обеспечения отказоустойчивости, производительности, высокой доступности сетевой инфраструктуры.

Решения по численности, квалификации и функциям персонала системы

Численность и квалификация персонала системы, а также режим его работы определяются штатным расписанием и должностными инструкциями соответствующих подразделений организации Заказчика.

Подразделения, выполняющие эксплуатацию подсистем, должны включать инженерно-технический персонал, обеспечивающий постоянную работоспособность системы за счет выполнения регламентного обслуживания и надлежащей эксплуатации ее компонентов в соответствии с рекомендациями производителей оборудования.

Допускается проводить эксплуатацию подсистем по договору на техническое обслуживание со специализированной организацией.

Подсистема межсетевого экранирования. Назначение

Подсистема межсетевого экранирования обеспечивает:

информационное взаимодействие пользователей Заказчика;

информационное взаимодействие серверных сегментов ЦО;

информационное взаимодействие между элементами системы;

защиту серверных ресурсов и внутренних пользователей с использованием средств межсетевого экранирования.

Физическое представление

На текущий момент времени роль ядра / распределения ЛВС ЦО выполняет стек коммутаторов Cisco 3750E-48TD, к которому, в свою очередь, подключаются коммутаторы уровня доступа, а также серверные ресурсы ЦО. Настоящим техническим проектом предлагается переложить функции уровня ядра на вновь устанавливаемые МЭ Cisco ASA5585-X, а коммутаторы Cisco 3750E-48TD оставить в роли уровня распределения (см. Рис. 3).

Данное решение позволит организовать гибкую политику фильтрации трафика серверных сегментов с использованием списков контроля доступа и инспекции протоколов входящих и исходящих соединений всех подсистем в соответствии с предварительно настроенными правилами.



Рисунок 3. Структурная схема ЛВС ЦО

Описание физических подключений

Как уже было сказано выше, в роли ядра ЛВС предполагается использовать высокопроизводительные мультисервисные МЭ ASA 5585-X, которые представляют собой 2-U шасси с двумя установленными модулями:

ASA5585-SSP-10 - модуль межсетевого экранирования;

ASA5585-SSP-IPS10 - модуль обнаружения и предотвращения атак (IPS).

Модуль межсетевого экранирования ASA5585-SSP-10 является процессорным модулем для всех карт, установленных в шасси ASA 5585-X. Данный модуль позволяет подключать 8 интерфейсов GigabitEthernet, а также 2 SFP-порта с поддержкой 10 GbitEthernet (при соответствующей лицензии). При установке дополнительного модуля ASA5585-SSP-IPS10 суммарное количество портов межсетевого экрана увеличивается вдвое. Производительность МЭ в режиме межсетевого экранирования - 4 Гбит/с, в режиме предотвращения вторжений - 2 Гбит/с.

Для обеспечения отказоустойчивости предполагается использовать два устройства адаптивной безопасности ASA 5585-X, работающих в режиме StatefulFailover, где один МЭ ASA 5585-X будет функционировать в режиме Active, а второй - в режиме Standby. Реализация StatefulFailover осуществляется путем связи двух МЭ с помощью каналов Failover и Stateful. Failover-канал предназначен для наблюдения за состоянием активного МЭ, канал Stateful предназначен для синхронизации информации о сессиях активного устройства. Применение данных каналов позволяет осуществлять прозрачное для клиентов переключение на резервное устройство в случае сбоя активного.

Межсетевые экраны, помимо специализированного канала Failover, используют другой метод определения состояния соседа - «состояние интерфейсов» (MonitoringInterface). Данный метод призван предотвратить состояние, в котором оба МЭ являются активными (dual-active-состояния). Метод «состояние интерфейсов» работает следующим образом: на интерфейсе (или на sub-интерфейсе) настраиваются два IP-адреса, где первый IP-адрес принадлежит интерфейсу активного МЭ, а второй - резервному МЭ. Так как оба интерфейса находятся в одном широковещательном домене (в одной VLAN), резервный МЭ всегда проверяет доступность IP-адреса активного МЭ с помощью Hello-пакетов. Как только Hello-пакеты перестанут приходить на интерфейс, резервный МЭ по истечении определенного времени (Hold-time) становится активным (см. Рис.4).

Рисунок 4 Метод «состояние интерфейсов»

Метод StatefulFailover позволяет увеличить отказоустойчивость системы, однако, пропускная способность в режиме Active/Standby снижена, так как передачей данных занимается лишь интерфейс активного МЭ. Для увеличения пропускной способности предлагается от каждого МЭ подключить по два канала GigabitEthernet к каждому коммутатору Cisco 3750E (см. Приложение А). Далее необходимо каждую физическую пару каналов GigabitEthernet объединить в один логический канал Port-channel, используя технологию EtherChannel, которая позволяет объединить до 8-ми физических интерфейсов в одни логический с использованием протокола LACP.

Семейство МЭ CiscoASA 5500 обладает особой политикой безопасности, основанной на уровне доверия к каждому интерфейсу платформы. Каждому интерфейсу присваивается свой уровень безопасности, в зависимости от того, к какой сети этот интерфейс подключен с точки зрения безопасности. Значение уровня безопасности варьируется от 0 (наименьший уровень доверия к данному подключению) до 100 (наибольший уровень доверия).

Состав логических интерфейсов и их уровень сетевой безопасности представлен вТабл. 1.

Таблица1. Состав логических интерфейсов и их уровень сетевой безопасности

Логический интерфейс	Название логического интерфейса	Securitylevel	Назначение	Состав физических интерфейсов
Port-channel 1.51	users	20	Подключение пользователей Заказчика	GigabitEthernet 0/0 GigabitEthernet 1/0
Port-channel 1.52	Itusers	35	Подключение администраторов ЛВС
Port-channel 1.53	dbuser	30	Подключение пользователей дирекция по безопасности
Port-channel 1.61	printers	22	Подключения принтеров и МФУ
Port-channel 1.62	wifi	7	Подключение пользователей беспроводного доступа Wi-Fi
Port-channel 1.65	management	50	Управление АСО ЦО
Port-channel 1.68	phones	25	Подключение IP-телефонов
Port-channel 2.20	outside	0	Связь с ISA-сервером	GigabitEthernet 0/1 GigabitEthernet 1/1
Port-channel 2.21	servers1	18	Подключение к серверной группе №1
Port-channel 2.22	servers2	16	Подключение к серверной группе №2
Port-channel 2.23	servers3	14	Подключение к серверной группе №3
Port-channel 2.24	servers4	12	Подключение к серверной группе №4
Port-channel 2.25	servers5	10	Подключение к серверной группе №5
Port-channel 2.100	remoteoffice	5	Подключение удаленных подразделений

В случае если трафик направлен от интерфейса с высоким уровнем безопасности к интерфейсу с меньшим уровнем, МЭ пропустит трафик, предварительно запомнив информацию о данной сессии. Если поток данных направлен в обратную сторону, трафик будет заблокирован МЭ до тех пор, пока в явном виде не будет прописан доступ с помощью списков доступа (Access-list). Данный метод позволяет администратору создавать гибкую политику безопасности, исключая несанкционированный доступ к ЛВС. Принцип работы интерфейсов с определенным уровнем безопасности показан на Рис. 5.

Рисунок 5. Принцип работы интерфейсов с определенным уровнем безопасности

Протоколы, которые используются в локальной сети, не всегда используют одну сессию для своей работы (когда весь обмен данными происходит по одной сессии TCP или UDP). Примерами таких «сложных» для МЭ протоколов являются FTP, SIP, SCCP, H.323, и многие другие. Все приведенные протоколы используют для служебной информации одно соединение, а для передачи данных - другое. Например, популярный протокол SIP устанавливает служебную сессию на ТСР/5060 с SIP-сервером, но голосовой поток идет от одного телефона до другого напрямую. Для корректной передачи данного типа трафика, МЭ Cisco ASA 5585x реализована функция глубокого исследование протоколов (AdvancedProtocolHandling). Данная функция позволяет МЭ разбирать многопотоковыепротоколы (в некоторых случаях и однопотоковые, которым требуется пристальное внимание HTTP, ESMTP, DNS, SNMP и др.) до 7 уровня модели OSI анализируя их структуру, информацию в заголовках и передаваемых данных. В рамках данного проекта, предполагается включить инспектирование для следующих протоколов: ftp, h323 h225, sqlnet, sip, netbios, tftp, ip-options, icmp, http.

Помимо глубокого исследования протоколов, МЭ Cisco ASA 5585X поддерживает технологию сбора событий по сетевой активности в ЛВС с разбивкой по хостам, протоколам, портам и спискам доступа. Данная технология называется threat-detection и имеет 2 уровня. Первый уровень - threat-detectionbasic (включен по умолчанию). Данный уровень собирает статистику по:

Хостам:количество посланных/полученных пакетов/байтов за 1,8 и 24 часа. Также учитывается количество уничтоженных пакетов, если такие были;

Спискам доступа:количество совпадений со строками списка доступа;

Протоколам и портам:учитывается количество пакетов и байт, прошедших по конкретному протоколу, либо приложению за 1,8 и 24 часа.

Вторая часть этой технологии называется scanning-threat (по умолчанию выключена). Эта часть позволяет анализировать неуспешные попытки хостов связаться через МЭ по TCP/UDP протоколам.

Если активировать scanning-threat, то МЭ будет блокировать хосты, которые превысили установленный порог «исследовательской активности», которая часто означает, что хост заражен трояном и может быть частью ботнета.

1.4Сеть управления активным сетевым оборудованием

Для организации сети управления АСО используются существующие IP-адреса из диапазона 192.168.15.0/24 (см. Табл. 2).

Табл. 2. IP-адресация АСО управления подсистемы распределенной ЛВС

Модель устройства	Сетевое имя устройства	IP-адрес
Cisco ASA 5585-x	ASA 5585x-1	192.168.15.1
Стек коммутаторов CiscoCatalyst 3750E-48TD	С3750-1	192.168.15.250
Cisco Catalyst 2960-48TC	c2960-48-1	192.168.15.241
Cisco Catalyst 2960-48TC	c2960-48-2	192.168.15.242
Cisco Catalyst 2960-48TC	c2960-48-3	192.168.15.243
Cisco Catalyst 2960-48TC	c2960-48-4	192.168.15.244
Cisco Catalyst 2960-48TC	c2960-48-5	192.168.15.245
Cisco Catalyst 2960-48TC	c2960-48-6	192.168.15.246
Cisco Catalyst 2960-48TC	c2960-48-7	192.168.15.247
Cisco Catalyst 2960-48TC	c2960-24-1	192.168.15.249
Cisco AIR-WLC2112	WLC2112-1	192.168.15.240
ASA5585-SSP-IPS10	IPS5585x-1	192.168.15.251
ASA5585-SSP-IPS10	IPS5585x-2	192.168.15.252

Шлюзом по умолчанию для всех устройств в сети управления служит вновь устанавливаемый МЭ ASA 5585x-1.

Описание виртуальных сетей и разграничение доступа

В настоящее время все SVI (SwitchVirtualInterface) созданы на существующем коммутаторе С3750-1. Поскольку основной задачей данного технического проекта является повышение сетевой безопасности ЛВС ЦО, необходимо всю маршрутизацию трафика (Inter-Vlan-Routing) возложить на вновь устанавливаемые МЭ ASA 5585x-1. Для этого на коммутаторе Cisco 3750-1 необходимо удалить все SVI, предварительно настроив на ASA 5585x-1 шлюзы по умолчанию для всех подсетей. Данное техническое решение позволит направлять потоки трафика напрямую через МЭ и СОПВ и, тем самым, досконально анализировать каждый пакет данных на предмет уязвимости или сетевых атак (см. Табл. 3).

Табл. 3. Перечень VLAN и используемых IP-адресов ЛВС ЦО

Номер VLAN / номер интерфейса	Диапазон IP-адресов	Назначение
VLAN 20(Port-channel 2.20)	192.168.20.0/24	Связь с ISA-серверами
VLAN 21(Port-channel 2.21)	192.168.21.0/24	Подключение к серверной группе №1
VLAN 22(Port-channel 2.22)	192.168.22.0/24	Подключение к серверной группе №2
VLAN 23(Port-channel 2.23)	192.168.23.0/24	Подключение к серверной группе №3
VLAN 24(Port-channel 2.24)	192.168.24.0/24	Подключение к серверной группе №4
VLAN 25(Port-channel 2.25)	192.168.25.0/24	Подключение к серверной группе №5
VLAN 51(Port-channel 1.51)	192.168.1.0/24	Подключение пользователей
VLAN 52(Port-channel 1.52)	192.168.2.0/24	Подключение администраторов ЛВС
VLAN 53(Port-channel 1.53)	192.168.3.0/24	Подключение пользователей дирекцией по безопасности
VLAN 61(Port-channel 1.61)	192.168.11.0/24	Подключения принтеров и МФУ
VLAN 62(Port-channel 1.62)	192.168.12.0/24	Подключение пользователей беспроводного доступа Wi-Fi
VLAN 65(Port-channel 1.65)	192.168.15.0/24	Управление АСО ЦО
VLAN 68(Port-channel 1.68)	192.168.18.0/24	Подключение IP-телефонов
VLAN 100(Port-channel 2.100)	192.168.100.0/24	Подключение удаленных подразделений

Для корректного получения хостам IP-адреса с помощью DHCP-сервера, необходимо на МЭ активировать функцию DHCP-relay, которая позволяет широковещательный DHCP-запрос конвертировать в unicastDHCP-запрос по протоколу UDP с номером порта 67.

Для организации политики прав доступа к подсетям, на МЭ ASA 5585x-1 необходимо настроить списки доступа (Access-list). В каждом списке доступа настраиваются конкретные подсети и протоколы, доступ к которым либо разрешен (Permit), либо запрещен (Deny).

Для упрощения написания больших списков доступа на МЭ ASA 5585x-1 применяются так называемые объектные группы (objectgroup). При помощи них можно группировать схожие элементы сети (протоколы, сети, сервисы, сообщения icmp).Сами объектные группы применяются вместо явного указания однотипного элемента в списке доступа. Например, вместо адресов источника или назначения можно применить объектную группу сетевого типа (object-groupnetwork), а вместо явного указания сервиса TCP (ssh, http) можно применить группу типа сервис ТСР.Списки доступа настраиваются согласно таблице Приложение 2.

Подсистема обнаружения и предотвращения вторжений

Подсистема обеспечивает защиту серверных ресурсов и пользователей ЛВС от возможных атак путем глубокого анализа передаваемого трафика и блокирования трафика, связанного с проведением атак.

Общее описание

Основным требованием к современным ЛВС является защита от сетевых атак, червей и вирусов, которые могут подорвать стабильность всей инфраструктуры сети за считанные минуты. Не имея запаса времени на реагирование, необходимо заставить саму сеть интеллектуально распознавать и автоматически подавлять данные типы угроз. СОПВ, поддерживающая глубокую проверку пакетов, позволяет эффективно подавлять различные сетевые атаки, возникающие внутри ЛВС, путем интеллектуального обнаружения, классификации и блокирования нежелательного трафика в режиме реального времени.

Существуют три основные модели обнаружения уязвимости в ЛВС:

анализ на основе сигнатур (Signature-based) - анализирует сетевой трафик в реальном времени и сравнивает полученные данные с локальной базой сигнатур;

анализ на основе статистики (Anomaly-based) - данный метод основан на наблюдении и сборе статистической информации о поведении сетевого трафика;

доступ на основе политик (Policy-based) - метод который позволяет администратору вручную определить список хостов, доступ к сети которых запрещен.

Анализ на основе сигнатур - это мощный инструмент по обнаружению и предотвращению атак на сеть. В основу данного метода положен глубокий анализ любого проходящего через СОПВ пакета на предмет его вредоносности. СОПВ анализирует заголовок пакета вплоть до 7-го уровня модели OSI и сопоставляет полученные данные с актуальной базой шаблонов атак - сигнатур. В случае если реакция сигнатуры на проходящий пакет окажется положительной, СОПВ незамедлительно предпримет предписанное только данной сигнатуре действие:

DenyPacketInline - система отбросит пакет, в случае если сигнатура сработала.

DenyConnectionInline - данное действие отбрасывает все последующие пакеты, принадлежащие одному TCP или UDP-потоку.

DenyAttackerInline - блокирует любой поток трафика от источника атаки на время, установленное администратором (по умолчанию - 3600 с).

Reset TCP Connection - сбрасывает TCP-сессию в случае положительной реакции сигнатуры.

LogPairPackets - система сохраняет определенный размер трафика (dump), который затем можно проанализировать с помощью любой программы-анализатора пакетов.

ProduceAlert - система сигнализирует о срабатывании сигнатур, не предпринимая с потоком данных никаких действий.

На текущий момент времени актуальная база сигнатур насчитывает порядка 5500 различный сигнатур, из них 1300 по умолчанию включены, остальные сигнатуры включаются по мере необходимости. Примечание: перед включением дополнительных сигнатур необходимо помнить, что данное действие может привести к ложному срабатыванию (Falsepositives) сигнатуры на индивидуальную сетевую активность ЛВС.

Каждая сигнатура в СОВП перед срабатыванием рассчитывает важность значение события - Рейтинг Риска (RiskRating). Данный рейтинг указывает системе и сетевому администратору на важность события после срабатывания той или иной сигнатуры. На основе РР администратор может определить действие для конкретного типа трафика. Значение РР варьируется от 0 (менее важное событие) до 100 (наиболее важное событие) и рассчитывается с помощью следующий формулы:

AttackSeverityRating (ASR) - коэффициент, указывающий администратору на важность той или иной атаки. Данный коэффициент администратор вправе выбирать самостоятельно в зависимости от важности конкретной сигнатуры из четырех значений: High, Informational, Low, Medium (см.Рис. 4).

Рис. 4. Изменения значения AttackSeverityRating

TargetValueRating (TVR) - данная функция позволяет администратору указывать конкретные подсети или хосты, где расположены особо защищенные сетевые ресурсы ЛВС. Во время сетевой атаки система сверяет IP-адрес жертвы с таблицей TVR. Если адрес совпадает с указанным в TVR, РР увеличивается в зависимости от уровня, выбранного из пяти значений (см. Рис. 5).

Рис. 5. Указание критичных сервисов и значений TVR

SignatureFidelityRating (SFR) - коэффициент, указывающий правдоподобность сигнатуры с точки зрения ее создателя. Значение варьируется от 0 до 100 и устанавливается администратором непосредственно в свойствах сигнатуры (см. Рис. 6).

Рис. 6. Задание значения SFR

AttackRelevancyRating (ARR) - данное значение позволяет администратору, создавая определенную сигнатуру, указывать тип операционной системы, более уязвимой к определенной атаке (см. Рис. 7). В случае если в сигнатуре определен тип ОС, и сигнатура сработала положительно, значение РР увеличивается на 10.

Рис. 7. Задание значения ARR

Таким образом, администратор, в зависимости от всех описанных коэффициентов, может влиять на значение РР. Система, анализируя результат, принимает решение о действии, которое должна применить к проходящему трафику.

Анализ РР каждой сигнатуры - довольно трудоемкая работа. Зачастую, во время сетевой атаки администратору может понадобиться значительное время на анализ всех событий, генерируемых сигнатурами, и определение для них действий. Поэтому для увеличения скорости реагирования на сетевые атаки системой предусмотрена функция EventAction. Функция EventAction основана на распределении значений рейтингов рисков всех сигнатур на несколько основных категорий. На примере, показанном на Рис. 8, созданы три основные категории: HIGHRISK, MEDIUMRISK и LOWRISK. Каждой категории задается диапазон рейтинга риска.

Рис. 8. Определение диапазона рисков



Если сигнатура после расчета рейтинга риска попадет в диапазон одной из трех категорий, система выполнит предписанные администратором действия, как показано на Рис. 9.

Рис. 9. Определение действия при срабатывании сигнатуры

EventAction позволяет администратору довольно быстро реагировать на сетевые атаки, однако, увеличивается вероятность ложныхй срабатываний. Если у некоторых сигнатур до внедрения EventAction с рейтингом риска 100 действием на сетевую аномалию было лишь генерирование предупреждения, то после внедрения трафик будет заблокирован, так как попадет в категорию HIGHRISK. Поэтому рекомендуется перед внедрением на всех категориях выставить действие Генерирование Тревог (ProduceAlert), затем в течение некоторого времени (обычно не более 24 часов) тщательным образом проанализировать все события, которые были получены за это время. После этого можно с уверенностью выставлять пороги рейтингов рисков, не боясь применять к категориям действия блокировки опасного трафика.

Описание физических подключений

В качестве СОПВ выступают два высокопроизводительных модуля ASA5585-SSP-IPS10. Данные модули устанавливаются в каждое шасси ASA5585-X и обеспечивают проверку пакетов и соединений с производительностью до 2 Гбит/c.

Отказоустойчивость в данном решении основана на функции Failover МЭ. Активный МЭ, помимо мониторинга каналов, следит за состоянием модуля ASA5585-SSP-IPS10. Как только модуль IPS перестает отвечать на hello-запросы, активный МЭ запускает алгоритм Failover и переходит в резервное состояние.

Стоит отметить, что в отличие от МЭ, которые поддерживают функцию Failover, модули СОПВ работают независимо друг от друга и не синхронизируют базы сигнатур. Пока работает активный МЭ, трафик проходит через модуль СОПВ. Как только по каким-либо причинам происходит отказ активного МЭ, функция передачи трафика переходит на резервный МЭ, а, значит, и на резервный модуль СОПВ (см. Рис. 10). Поэтому администратору после изменения настроек на активном модуле необходимо произвести те же самые изменения и на резервном.

Рис. 10. Принцип работы модуля СОПВ



2.Описание методов борьбы с L2-атаками

Многие организации, рассматривая вопрос о сетевой безопасности, не уделяют должного внимания методам борьбы с сетевыми атаками на втором уровне. В отличие от сетевых атак уровня выше, L2-атаки трудно детектируемы и зачастую приносят больший урон сети. Не рассматривая вопросы защиты от L2-атак, организация ставит под угрозу стабильность всей сетевой инфраструктуры, а также конфиденциальность передаваемых внутри сети данных.

Существуют основные типы сетевых атак на втором уровне:

DHCP SpoofAttack;

ARP Spoofing;

Attackon STP;

MAC FloodingAttack.

DHCP SpoofAttack

Данный тип атак основан на перехвате злоумышленником DHCP-запросов от пользователей, пытающихся получить IP-адрес от DHCP-сервера. Перехватив DHCP-запрос, злоумышленник отвечает DHCP-ответом, где в качестве шлюза по умолчанию указывает свой IP-адрес. Поскольку жертва и злоумышленник находятся в одной подсети, DHCP-ответ от легитимного DHCP-сервера не успевает дойти до клиента. Клиент, пользуясь шлюзом по умолчанию злоумышленника, передает всю информацию ему, не подозревая об этом.

Для предотвращения DHCPSpoofAttack на коммутаторах уровня доступа необходимо активировать функцию IPDHCPSnooping.

При настройке DHCPSnooping в качестве доверенных портов (trusted) настраиваются восходящие линии связи к коммутатору С3750-1. На данных портах отслеживание DHCP-сообщений не осуществляется. Порты доступа настраиваются в качестве недоверенных портов (untrusted), на которых осуществляется инспектирование DHCP-запросов, и создается таблица привязки (DHCPSnoopingBindingTable), в которой содержится информация о порте, IP- и MAC-адресах, времени аренды адреса и т.п. Получение ответов от DHCP-серверов возможно только на доверенных портах, на недоверенныхпортах данный тип сообщений фильтруется (см. Рис. 11).

Рис. 11. Принцип работы DHCP Snooping

Помимо несанкционированных подключений DHCP-серверов, существуют атаки на подмену IP-адреса источника (IPspoofing). Для борьбы с данной атакой на коммутаторах доступа активируется функция IPsourceguard, действие которой основано на таблице, создаваемой функционалом DHCPSnooping. Каждый пакет на недоверенном интерфейсе проверяется на предмет соответствия привязки IP-MAC. При несоответствии пакет отбрасывается.

ARP Spoofing

Протокол ARP предназначен для определения MAC-адреса с помощью известного IP-адреса. Пользователь, отсылая широковещательный запрос для определения MAC-адреса, выполняет широковещательную рассылку, участниками которой являются все устройства в данной подсети (VLAN). Поскольку в алгоритме протокола ARP не предусмотрены способы проверки подлинности пакетов (как запросов, так и ответов) злоумышленник с помощью gratuitous ARP может подменить MAC-адрес назначения своим. (см. Рис. 12). Реализовав атаку ARP-spoofing, злоумышленник перенаправляет все потоки через себя, тем самым, нарушая конфиденциальность данных.

Для предотвращения ARP-spoofing необходимо на коммутаторах доступа настроить функцию Dynamic ARP Inspection (DAI). DAI позволяет определять легитимность ARP-пакетов путем сопоставления MAC-адреса источника ARP с IP-адресом, зарегистрированным в таблице DHCP snooping.

Рис. 12. Принцип работы ARP-spoofing

Attack on STP

Протокол STP позволяет обеспечить резервирование L2-связности, не допуская появления «петель» путем блокирования резервных линий. Несмотря на важность выполняемой задачи, STP имеет недостатки, заложенные еще при его разработке - интенсивное использование ресурсов процессора, неустойчивость к сетевой нестабильности, большое время сходимости, невозможность обеспечить изоляцию возникающих проблем в рамках одного сетевого сегмента, сложность администрирования при росте сетевой инфраструктуры. Используя все недостатки протокола STP, злоумышленник может за считанные секунды вывести из строя всю сетевую инфраструктуру сети.

Для предотвращения атак на STP необходимо на коммутаторах уровня доступа и распределения выполнить следующие действия:

на клиентских портах коммутаторов доступа включить функцию BPDU guard. Функция BPDU guard позволяет коммутатору блокировать клиентский порт, в случае если на него придет пакет BPDU.

на портах коммутатора С3750-1, которые подключены к коммутаторам доступа, включить функцию RootGuard. Функция RootGuard предотвращает появления нового корневого коммутатора, который, в свою очередь, может привести к перерасчету STP-дерева.

все не используемые порты выключить административно.

MAC FloodingAttack

MAC FloodingAttack - это атака канального уровня, цель которой в выводе из строя коммутатора доступа. Атакующий за короткий промежуток времени отсылает L2-пакеты в которомMAC-адрес источника все время меняется, что приводит к переполнению таблицы коммутации. При данной атаке утилизация процессора коммутатора может доходить до 100 процентов, вызывая перерыв сервисов у остальных пользователей, подключенных к коммутатору.

Атаку можно предотвратить при помощи функции PortSecurity, настраиваемой на клиентских портах коммутатора доступа.

Обеспечение безопасности функционирования сетевого оборудования

Для обеспечения безопасности функционирования АСО необходимо выполнить следующие действия:

включить протоколирование (logging) событий во внутренний буфер;

отключить функцию управления по HTTP;

отключить неиспользуемые сервисы устройства:

finger;

pad;

udp-small-servers;

tcp-small-servers;

bootpserver;

отключить неиспользуемые функции интерфейсов:

ip redirects;

ip directed-broadcast;

ipproxy-arp;

отключить протокол CDP на интерфейсах, не требующих его использования;

настроить доступ к устройству для управления по протоколу SSHv.2;

настроить аутентификацию точек доступа на беспроводном контролере WLC2112-1;

с помощью списков доступа задать IP-адреса, с которых возможно обращение к устройствам с целью удаленного управления и отслеживания попыток несанкционированного доступа.

Энергопотребление активного сетевого оборудования

Электропитание вновь устанавливаемого сетевого оборудования осуществляется от источника переменного тока, значение напряжения которого должно находиться в диапазоне от 220 до 240 В. Энергопотребление АСО приведено в Табл. 6.

Табл. 6. Энергопотребление и тепловыделение АСО

Спецификация	Энергопотребление, Вт	Тепловыделение, BTU
ASA5585-S10P10	770	4070
ASA5585-S10P10	770	4070
Итого	1540	8140



3.Мероприятия по подготовке объекта автоматизации к вводу системы в действие

Размещение оборудования должно быть выполнено с учетом требований фирм-производителей и удобств технической эксплуатации.

Помещения должны быть оборудованы отоплением, вентиляцией, системой кондиционирования воздуха, искусственным освещением, охранно-пожарной сигнализацией и средствами пожаротушения.

Для функционирования технических средств в помещениях узлов связи должен быть обеспечен необходимый температурно-влажностный режим. Рекомендуемые климатические условия в помещениях (с учетом оптимальных режимов функционирования аппаратуры) следующие:

рекомендуемый диапазон температур в помещении - от +18 до +24єС;

относительная влажность воздуха - от 20 до 80 ;

атмосферное давление - от 84 кПа до 107 кПа (630-800 мм рт. ст.);

массовая концентрация пыли в воздухе - не более 0,75 мг/м3.

Оборудование системы должно быть обеспечено электропитанием переменного тока 380/220 В, частотой 50 Гц.

Для присоединения нетоковедущих металлических частей оборудования системы, помещения для его размещения должны быть оборудованы шиной защитного заземления здания.



Приложение 1

Сокращение	Значение
АСО	активное сетевое оборудование
ЛВС	локальная вычислительная сеть
МЭ	межсетевое экранирование
СМЭ	система межсетевого экранирования
СОПВ	система обнаружения и предотвращения вторжений
ЦО	центральный офис



Приложение 2 Политика прав доступа к подсетям

Номер VLAN	Куда
	51	52	53	61	62	65	68	100	20	21	22	23	24	25
откуда	51		0	0	0	0	0	0	0	+	+	+	+	+	+
	52	+		+	+	+	+	+	+	+	+	+	+	+	+
	53	0	0		0	0	+	0	0	+	+	+	+	+	+
	61	0	0	0		0	0	0	0	0	+	+	0	0	0
	62	0	0	0	0		0	0	0	+	+	+	+	+	+
	65	0	0	0	0	0		0	0	0	+	+	0	0	0
	68	0	0	0	0	0	0		0	0	0	0	0	0	0
	100	0	0	0	0	0	0	0		+	+	+	+	+	+
	20	+	+	+	0	+	0	0	0		+	+	0	0	+
	21	0	0	0	0	0	0	0	0	+		+	+	+	+
	22	0	0	0	0	0	0	0	0	+	+		+	+	+
	23	0	0	0	0	0	0	0	0	+	+	+		+	+
	24	0	0	0	0	0	0	0	0	+	+	+	+		0
	25	0	0	0	0	0	0	0	0	+	+	+	0	0

Примечание: «+» - взаимодействие разрешено; «0» - взаимодействие запрещено.



Приложение 3 Логическая схема сети



Приложение 4 физическая схема сети

Размещено на Allbest.ru