Защита информации в сети предприятия средствами Secret Net
На первый взгляд, такую оценку провести несложно, но на практике это не всегда так. Один пример: в NTFS файловый объект может быть идентифицирован различными способами: к файловым объектам, задаваемым длинными именами, можно обращаться по короткому имени (так, к каталогу «Program files» можно обратиться по короткому имени «Progra~1»), а некоторые программы обращаются к файловым объектам… Читать ещё >
Защита информации в сети предприятия средствами Secret Net (реферат, курсовая, диплом, контрольная)
КУРСОВАЯ РАБОТА
ТЕМА: «Защита информации в сети предприятия средствами Secret Net»
В современном мире слово «информация» приобрело четкую связь с понятиями «прибыль», которую можно получить, располагая ею, и «ущерб», который может быть нанесен вследствие ее утечки. Одна из главных причин потери информации — несанкционированный доступ к данным и приложениям, получаемый абонентами, которые не прошли регистрацию и не имеют права на использование соответствующих информационных ресурсов. Исключительная важность вопросов защиты информации от несанкционированного доступа обуславливает распространение и постоянное усовершенствование средств защиты информации и расширение их номенклатуры. На сегодняшний день эту задачу можно обеспечить за счет целого комплекса разносторонних решений.
Целью данной работы стало изучение одного из таких решений — системы защиты информации от несанкционированного доступа «Secret Net 6».
Для ее выполнения были поставлены следующие задачи:
1. знакомство с понятием несанкционированного доступа и средствами защиты от него;
2. изучение СЗИ от НСД Secret Net 6;
3. построение с применением Secret Net 6 защищенной сети предприятия.
сеть незащищенный модификация угроза
1. Изучение структуры незащищенной сети и видов угроз информации
1.1 Изучение незащищенной сети
Для того чтобы построить систему защиты системы, необходимо построить модель системы, которую мы будем защищать.
Взаимодействие сети можно представить в виде схемы:
Рисунок 1.1 — Схема незащищенной сети
Из данной схемы мы видим, что узлы сети не защищены, а это значит — подвержены ряду угроз информационной безопасности.
При использовании данной схемы в реальных условиях имеются следующие угрозы:
— Нарушение конфиденциальности информации, циркулирующей в данной сети, что может нанести прямой ущерб ее владельцу, т. е. фирме.
— Нарушение целостности информации. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности.
— Нарушение работоспособности сети, что является причиной нарушения доступности информации. Вывод из строя или некорректное изменение режимов работы компонентов сети, их модификация или подмена могут привести к получению неверных результатов или отказу сети от потока информации.
1.2 НСД
Несанкционированный доступ к информации (НСД) — это доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами (под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем).
Другими словами, это доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Так же иногда несанкционированным доступом называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей. Это активные действия по созданию возможности распоряжаться информацией без согласия собственника.
Причины несанкционированного доступа к информации:
а) ошибки конфигурации (прав доступа, файрволов, ограничений на массовость запросов к базам данных);
б) слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохоохраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников);
в) ошибки в программном обеспечении;
г) злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации);
д) прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС;
е) использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации.
Приемы несанкционированного доступа к информации:
а) За дураком — физическое проникновение в производственные помещения — злоумышленник ожидает у закрытого помещения, держа в руках предметы связанные с работой на компьютерной технике (элементы маскировки), пока не появится кто-либо, имеющий легальный доступ в него, затем остается только войти внутрь вместе с ним или попросить его помочь занести якобы необходимые для работы на компьютере предметы. Другой вариант — электронное проникновение в СВТ — подключение дополнительного компьютерного терминала к каналам связи с использованием шлейфа «шнурка» в тот момент времени, когда законный пользователь кратковременно покидает свое рабочее место, оставляя свой терминал или персональный компьютер в активном режиме.
б) За хвост — злоумышленник подключается к линии связи законного пользователя и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его на себя, а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к системе. Подобными свойствами обладают телефонные аппараты с функцией удержания номера, вызываемого абонентом.
в) Компьютерный абордаж — злоумышленник вручную или с использованием автоматической программы подбирает код (пароль) доступа к системе с использованием обычного телефонного аппарата.
г) Неспешный выбор — злоумышленник изучает и исследует систему защиты от несанкционированного доступа, используемую в компьютерной системе, ее слабые места, выявляет участки, имеющие ошибки или неудачную логику программного строения, разрывы программы (брешь, люк) и вводит дополнительные команды, разрешающие доступ.
д) Маскарад — злоумышленник проникает в компьютерную систему, выдавая себя за законного пользователя с применением его кодов (паролей) и других идентифицирующих шифров.
е) Мистификация — злоумышленник создает условия, когда законный пользователь банковской системы осуществляет связь с нелегальным терминалом, будучи абсолютно уверенным в том, что он работает с нужным ему законным абонентом. Формируя правдоподобные ответы на запросы законного пользователя и поддерживая его заблуждения некоторое время, злоумышленник добывает коды (пароли) доступа или отклик на пароль.
ж) Аварийный — злоумышленник создает условия для возникновения сбоев или других отклонений в работе СВТ банковской компьютерной системы. При этом включается особая программа, позволяющая в аварийном режиме получать доступ к наиболее ценным данным. В этом режиме возможно «отключение» всех имеющихся в банковской компьютерной системе средств защиты информации, что облегчает доступ к ним злоумышленника.
1.3 Средства защиты от НСД
Защита от несанкционированного доступа (защита от НСД) — это предотвращение или существенное затруднение несанкционированного доступа.
Средство защиты информации от несанкционированного доступа (СЗИ от НСД) — это программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.
Назначение и общая классификация СЗИ.
СЗИ от НСД можно разделить на универсальные и специализированные (по области применения), на частные и комплексные решения (по совокупности решаемых задач), на встроенные системные средства и добавочные (по способу реализации).
Классификация крайне важна, так как при построении СЗИ каждого типа разработчики формулируют и решают совершенно разные задачи (подчас противоречащие друг другу). Так, в основу концепции защиты универсальных системных средств закладываются принципы «полного доверия к пользователю», их защита во многом бесполезна в корпоративных системах, например, при решении задач противодействия внутренним ИТ-угрозам. В подавляющей части сегодня СЗИ создаются для усиления встроенных в универсальные ОС механизмов защиты, применительно к использованию в корпоративной среде. Если речь заходит о совокупности решаемых задач, то здесь следует говорить о комплексировании механизмов как в части эффективного решения конкретной задачи защиты, так и в части решения комплекса задач.
Потребительские свойства (назначение) добавочного СЗИ от НСД определяются тем, в какой мере добавочным средством устраняются архитектурные недостатки встроенных в ОС механизмов защиты, применительно к решению требуемых задач в корпоративных приложениях, и насколько комплексно (эффективно) им решается эта совокупность задач защиты информации.
Вопросы оценки эффективности СЗИ от НСД
Эффективность СЗИ от НСД можно оценить, исследовав вопросы корректности реализации механизмов защиты и достаточности набора механизмов защиты применительно к практическим условиям использования.
Оценка корректности реализации механизмов защиты
На первый взгляд, такую оценку провести несложно, но на практике это не всегда так. Один пример: в NTFS файловый объект может быть идентифицирован различными способами: к файловым объектам, задаваемым длинными именами, можно обращаться по короткому имени (так, к каталогу «Program files» можно обратиться по короткому имени «Progra~1»), а некоторые программы обращаются к файловым объектам не по имени, а по ID. Если установленное в информационной системе СЗИ не перехватывает и не анализирует лишь один подобный способ обращения к файловому объекту, то, по большому счету, оно становится полностью бесполезным (рано или поздно злоумышленник выявит данный недостаток средства защиты и воспользуется им). Упомянем и о том, что файловые объекты, не разделяемые между пользователями системой и приложениями, могут служить «каналом» понижения категории документа, что сводит на нет защиту конфиденциальной информации. Подобных примеров можно привести много.
Требования к корректности реализации механизмов защиты определены в нормативном документе «Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» [4]; он используется при сертификации СЗИ от НСД.
Эти требования присутствуют в документе в необходимом объеме, они корректны, но сформулированы в общем виде (а как иначе, в противном случае потребовалось бы создавать свой нормативный документ под каждое семейство ОС, а возможно, и под каждую реализацию ОС одного семейства), и для выполнения одного требования может понадобиться реализация нескольких механизмов защиты. Следствием этого становится неоднозначность толкования данных требований (в части подходов к их реализации) и возможность принципиально разных подходов к реализации механизмов защиты в СЗИ от НСД разработчиками. Результат — разная эффективность СЗИ от НСД у производителей, реализующих одни и те же формализованные требования. А ведь невыполнение любого из этих требований может свести на нет все усилия по обеспечению информационной безопасности.
Оценка достаточности (полноты) набора механизмов защиты
Требования к достаточности (полноте, применительно к условиям использования) набора механизмов защиты определены документом «Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» [5], который используется при аттестации объектов информатизации, в том числе и при использовании в АС СЗИ от НСД. Однако и здесь ситуация во многом схожа с описанной выше.
Так, формулировку требования к достаточности механизмов в СЗИ от НСД для защиты конфиденциальных данных в нормативных документах, при которой возникает неоднозначность определения того, что отнести к защищаемым ресурсам, целесообразно было бы расширить, например, следующим образом: «Должен осуществляться контроль подключения ресурсов, в частности устройств, в соответствии с условиями практического использования защищаемого вычислительного средства, и контроль доступа субъектов к защищаемым ресурсам, в частности к разрешенным для подключения устройствам».
Заметим, что механизмы контроля доступа к ресурсам, всегда присутствующим в системе, — файловые объекты, объекты реестра ОС и т. д. — априори защищаемые, и они должны присутствовать в СЗИ от НСД в любом случае, а что касается внешних ресурсов, то с учетом назначения СЗИ. Если предназначение СЗИ — защита компьютеров в сети, то оно должно иметь механизмы контроля доступа к сетевым ресурсам; если оно служит для защиты автономных компьютеров, то должно обеспечивать контроль (запрет) подключения к компьютеру сетевых ресурсов. Это правило, на наш взгляд, подходит без исключения ко всем ресурсам и может быть использовано в качестве базового требования к набору механизмов защиты при аттестации объектов информатизации.
Вопросы достаточности механизмов защиты должны рассматриваться не только применительно к набору ресурсов, но и применительно к решаемым задачам защиты информации. Подобных задач при обеспечении компьютерной безопасности всего две — противодействие внутренним и внешним ИТ-угрозам.
Общая задача противодействия внутренним ИТ-угрозам — обеспечение разграничения доступа к ресурсам в соответствии с требованиями к обработке данных различных категорий конфиденциальности. Возможны разные подходы к заданию разграничений: по учетным записям, по процессам, на основе категории прочтенного документа. Каждый из них задает свои требования к достаточности. Так, в первом случае надо изолировать буфер обмена между пользователями; во втором — между процессами; для третьего случая вообще необходимо кардинально пересмотреть всю разграничительную политику доступа ко всем ресурсам, так как один и тот же пользователь одним и тем же приложением может обрабатывать данные различных категорий конфиденциальности.
Существуют десятки способов межпроцессного обмена (поименованные каналы, сектора памяти и т. д.), поэтому необходимо обеспечить замкнутость программной среды — предотвратить возможность запуска программы, реализующей подобный канал обмена. Встают и вопросы неразделяемых системой и приложениями ресурсов, контроля корректности идентификации субъекта доступа, защиты собственно СЗИ от НСД (список необходимых механизмов защиты для эффективного решения данной задачи весьма внушительный). Большая их часть в явном виде не прописана в нормативных документах.
Задача эффективного противодействия внешним ИТ-угрозам, на наш взгляд, может быть решена только при условии задания разграничительной политики для субъекта «процесс» (т.е. «процесс» следует рассматривать как самостоятельный субъект доступа к ресурсам). Это обусловлено тем, что именно он несет в себе угрозу внешней атаки. Подобного требования в явном виде нет в нормативных документах, но в этом случае решение задачи защиты информации требует кардинального пересмотра базовых принципов реализации разграничительной политики доступа к ресурсам.
Если вопросы достаточности механизмов защиты применительно к набору защищаемых ресурсов еще как-то поддаются формализации, то применительно к задачам защиты информации формализовать подобные требования не представляется возможным.
В данном случае СЗИ от НСД разных производителей, выполняющих формализованные требования нормативных документов, также могут иметь кардинальные отличия как в реализуемых подходах и технических решениях, так и в эффективности этих средств в целом.
В заключение отметим, что нельзя недооценивать важность задачи выбора СЗИ от НСД, так как это особый класс технических средств, эффективность которых не может быть высокой или низкой. С учетом сложности оценки реальной эффективности СЗИ от НСД рекомендуем потребителю привлекать специалистов (желательно из числа разработчиков, практически сталкивающихся с этими проблемами) на стадии выбора СЗИ от НСД.
2. СЗИ ОТ НСД Secret Net 6.0
2.1 Назначение и сфера применения Secret Net 6.0
Система Secret Net 6.0 предназначена для предотвращения несанкционированного доступа к рабочим станциям и серверам, работающим в гетерогенных локальных вычислительных сетях под управлением ОС MS Windows 2000, MS Windows XP, MS Windows Vista, MS Windows 7, MS Windows Server 2003 и MS Windows Server 2008.
Secret Net 6.0 дополняет своими защитными механизмами стандартные защитные средства операционных систем и тем самым повышает защищенность всей автоматизированной информационной системы предприятия в целом, обеспечивая решение следующих задач:
· управление правами доступа и контроль доступа субъектов к защищаемым информационным, программным и аппаратным ресурсам;
· управление доступом к конфиденциальной информации, основанное на категориях конфиденциальности;
· шифрование файлов, хранящихся на дисках;
· контроль целостности данных;
· контроль аппаратной конфигурации;
· дискреционное управление доступом к устройствам компьютера;
· регистрация и учет событий, связанных с информационной безопасностью;
· мониторинг состояния автоматизированной информационной системы;
· ролевое разделение полномочий пользователей;
· аудит действий пользователей (в том числе администраторов и аудиторов);
· временная блокировка работы компьютеров;
· затирание остаточной информации на локальных дисках компьютера.
Сферы применения Secret Net 6.0
Основными сферами применения системы Secret Net 6.0 являются:
· защита информационных ресурсов;
· централизованное управление информационной безопасностью;
· контроль состояния информационной безопасности.
2.2 Функциональные части Secret Net 6.0
Система Secret Net 6.0 состоит из трех функциональных частей:
· защитные механизмы, которые устанавливаются на все защищаемые компьютеры автоматизированной системы (АС) и представляют собой набор дополнительных защитных средств, расширяющих средства безопасности ОС Windows.
· средства управления защитными механизмами, которые обеспечивают централизованное и локальное управление системой.
· средства оперативного управления, которые выполняют оперативный контроль (мониторинг, управление) рабочими станциями, а также централизованный сбор, хранение и архивирование системных журналов.
Администратору безопасности предоставляется единое средство управления всеми защитными механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности.
Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журнале регистрации. О попытках свершения пользователями неправомерных действий администратор безопасности узнает немедленно.
Существуют средства генерации отчетов, предварительной обработки журналов регистрации, оперативного управления удаленными рабочими станциями.
2.3 Компоненты Secret Net 6.0
Secret Net 6.0 состоит из трёх компонентов:
1. СЗИ Secret Net 6.0 — Клиент. Устанавливается на все защищаемые компьютеры. В состав этого ПО входят следующие компоненты:
· Защитные механизмы — совокупность настраиваемых программных и аппаратных средств, обеспечивающих защиту информационных ресурсов компьютера от несанкционированного доступа, злонамеренного или непреднамеренного воздействия.
· Модуль применения групповых политик.
· Агент сервера безопасности.
· Средства локального управления — это штатные возможности операционной системы, дополненные средствами Secret Net 6.0 для управления работой компьютера и его пользователей, а также для настройки защитных механизмов.
2. СЗИ Secret Net 6.0 — Сервер безопасности. Включает в себя:
· Собственно сервер безопасности.
· Средства работы с базой данных (БД).
3. СЗИ Secret Net 6.0 — Средства управления. Включает в себя:
· Программу «Монитор». Эта программа устанавливается на рабочем месте администратора оперативного управления — сотрудника, уполномоченного контролировать и оперативно корректировать состояние защищаемых компьютеров в режиме реального времени.
Рисунок 2.1 — архитектура системы Secret Net
Особенностью системы Secret Net 6.0 является клиент-серверная архитектура, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.
Клиентская часть системы защиты
Клиент Secret Net 6.0 (как автономный вариант, так и сетевой) устанавливается на компьютер, содержащий важную информацию, будь то рабочая станция в сети или какой-либо сервер (в том числе и сервер безопасности).
Основное назначение клиента Secret Net 6.0:
Защита ресурсов компьютера от несанкционированного доступа и разграничение прав зарегистрированных пользователей. Регистрация событий, происходящих на рабочей станции или сервере сети, и передача информации на сервер безопасности. Выполнение централизованных и децентрализованных управляющих воздействий администратора безопасности.
Клиенты Secret Net 6.0 оснащаются средствами аппаратной поддержки (для идентификации пользователей по электронным идентификаторам и управления загрузкой с внешних носителей):
· программно-аппаратный комплекс «Соболь»;
· плата Secret Net Touch Memory Card 2.
Рисунок 2.2 — плата Secret Net Touch Memory Card 2
В качестве индивидуальных идентификаторов могут быть использованы:
· iButton (серия DS199x);
· eToken;
· USB флэш диск.
Рисунок 2.3 — индивидуальные идентификаторы
Сервер безопасности
Сервер безопасности устанавливается на выделенный компьютер или контроллер домена и обеспечивает решение следующих задач:
· Ведение центральной базы данных (ЦБД) системы защиты, функционирующую под управлением СУБД Oracle 9.2 Personal Edition и содержащую информацию, необходимую для работы системы защиты.
· Сбор информации о происходящих событиях со всех клиентов Secret Net 6.0 в единый журнал регистрации и передача обработанной информации подсистеме управления.
· Взаимодействие с подсистемой управления и передача управляющих команд администратора на клиентскую часть системы защиты.
Подсистема управления Secret Net 6.0
Подсистема управления Secret Net 6.0 устанавливается на рабочем месте администратора безопасности и предоставляет ему следующие возможности:
· Централизованное управление защитными механизмами клиентов Secret Net 6.0.
· Контроль всех событий имеющих отношение к безопасности информационной системы.
· Контроль действий сотрудников в информационной системе организации и оперативное реагирование на факты и попытки НСД.
· Планирование запуска процедур копирования ЦБД и архивирования журналов регистрации.
Схема управления, реализованная в Secret Net 6.0, позволяет управлять информационной безопасностью в терминах реальной предметной области и в полной мере обеспечить жесткое разделение полномочий администратора сети и администратора безопасности.
Автономный и сетевой вариант
Система защиты информации Secret Net 6.0 выпускается в автономном и сетевом вариантах.
Автономный вариант — состоит только из клиентской части Secret Net 6.0 и предназначен для обеспечения защиты автономных компьютеров или рабочих станций и серверов сети, содержащих важную информацию.
Сетевой вариант — состоит из клиентской части, подсистемы управления, сервера безопасности и позволяет реализовать защиту, как всех компьютеров сети, так и только тех рабочих станций и серверов, которые хранят и обрабатывают важную информацию. Причем в сетевом варианте, благодаря наличию сервера безопасности и подсистемы управления, будет обеспечено централизованное управление и контроль работы всех компьютеров, на которых установлены клиенты Secret Net 6.0.
3. Разработка и формирование защищённой сети
3.1 Формирование структуры защищённой сети средствами Secret Net
Для защиты данной сети от НСД с использованием Secret Net 6 нам необходимо:
1. Включить все контроллеры домена.
2. Установить на контроллере домена инструментарий Windows Support Tools из состава дистрибутива ОС.
3. Выполнить модификацию AD и дождаться репликации схемы AD на все контроллеры домена.
4. На компьютерах, которые будут использоваться в качестве серверов безопасности, установить:
а) ПО сервера безопасности;
б) ПО клиента.
5. На рабочих местах администраторов Secret Net 6 установить:
а) средство Microsoft Administration Tools Pack из состава дистрибутива ОС Windows серверных платформ;
б) ПО клиента;
в) средства управления.
6. Установить ПО клиента системы Secret Net 6 на серверы и контроллеры домена, затем на компьютеры сотрудников.
С учетом данных требований и требований защиты к нашей сети составим схему ее защиты.
Рисунок 3.1 — Схема защищенной сети
3.2 Модификация схемы Active Directory
Модификацию схемы AD должен выполнять пользователь, входящий в группу администраторов «Schema Admins» и имеющий право записи в AD. Модификацию AD можно проводить с любого компьютера домена (леса).
Для модификации схемы AD
1. Вставим в привод установочный компакт-диск системы Secret Net 6. Дождитесь появления окна программы автозапуска и активируем команду «Модификатор схемы AD» (или запустим с установочного компакт-диска файл SetupADSnADMS. exe).
На экране появится диалог «Модификатор схемы Active Directory», модификатор AD автоматически найдет контроллер домена, являющийся мастером схемы AD, и на фоне диалога появится сообщение: «Поиск мастера схемы Active Directory успешно завершен».
2. Нажимаем кнопку «ОК».
На экране появится диалог «Параметры модификации схемы Active Directory».
3. Заполним поля «Пользователь» и «Пароль» данными учетной записи пользователя, входящего в группу «Schema Admins».
4. Для запуска процесса модификации AD нажмем кнопку «Применить».
На экране появится запрос для подтверждения операции.
5. Для начала процесса модификации нажмем кнопку «Да».
Начнется процесс модификации AD, по окончании которого на экране появится сообщение: «Модификация схемы Active Directory успешно завершена».
6. Для выхода из программы нажмем кнопку «Закрыть».
3.3 Установка сервера безопасности
Установка сервера безопасности выполняется пользователем, входящим в группу администраторов домена.
Перед установкой сервера безопасности необходимо установить компоненты СУБД Oracle.
Для установки сервера безопасности:
1. Вставим в привод установочный компакт-диск системы Secret Net 6. Дождемся появления окна программы автозапуска и запустите установку с помощью команды «Сервер безопасности».
Запуск установки можно выполнить вручную без использования программы автозапуска. Для этого запустите с установочного компакт-диска файл SetupServerSetup.exe.
Программа установки начнет выполнение подготовительных действий, по окончании которых на экран будет выведен диалог приветствия.
2. Для продолжения установки нажмем кнопку «Далее >».
На экране появится диалог принятия лицензионного соглашения.
3. Ознакомившись с содержанием лицензионного соглашения, отметим соответствующий принятию соглашения пункт и нажмем кнопку «Далее >».
На экране появится диалог «Модификация Active Directory».
4. Укажем учетные данные пользователя с правами администратора домена и нажмем кнопку «Далее >».
На экране появится диалог «Серийные номера».
5. Введем серийные номера сервера безопасности (СНС), клиента (СНК) и средств управления (СНУ).
Пояснения.
* Без ввода СНС установка сервера безопасности невозможна.
* СНК и СНУ на установку сервера безопасности не влияют — их можно добавить позже в программе «Консоль управления». При установке сервера безопасности можно зарегистрировать один или несколько СНК, что позволит в дальнейшем автоматически регистрировать эти номера на клиентах, подчиняемых данному СБ. СНУ вводится, если к данному серверу безопасности планируется подключение программ управления с нескольких рабочих мест одновременно.
6. Нажмем кнопку «Далее >». На экране появится диалог «Папка назначения».
7. Оставим заданную по умолчанию папку установки сервера безопасности и нажмем кнопку «Далее >».
На экране появится диалог «Настройки СУБД».
8. Выполним следующие действия:
* Укажем параметры соединения сервера безопасности с тем экземпляром БД, который предназначен для работы с устанавливаемым сервером безопасности:
* в поле «Имя БД» — укажем строку соединения с экземпляром БД в виде: <имя_или_IP-адрес_сервера_Oracle>/<имя_экземпляра_БД>
* в поля «Имя» и «Пароль» — данные учетной записи администратора БД или системное имя SYSTEM и его пароль, заданный при установ;
ке компонентов Oracle.
* Оставим заданный по умолчанию каталог для размещения резервных копий журналов Secret Net 6.
* Нажмем кнопку «Далее >».
При успешном соединении с БД установка сервера безопасности будет продолжена и на экране появится диалог «Настройки ISAPI-расширения».
9. Оставим заданный по умолчанию каталог для хранения временных файлов и нажмем кнопку «Далее >».
На экране появится диалог «Название организации».
11. Укажем названия организации и подразделения, которое будет обслуживать устанавливаемый сервер, и нажмем кнопку «Далее >».
Примечание. Эти данные будут использоваться при генерации сертификата сервера безопасности. Названия организации и подразделения могут быть введены позднее или заменены другими при выполнении процедуры «Генерация и установка сертификата сервера безопасности».
На экране появится диалог «Готова к установке программы».
12. Нажмем кнопку «Установить».
Начнется копирование файлов на жесткий диск и регистрация компонентов в системном реестре ОС Windows. Ход процессов копирования и настройки отображается в информационном окне в виде полосы прогресса.
После успешной установки и настройки компонентов на экране появится диалог «Программа 2е1091 установки завершена».
13. Нажмем кнопку «Готово» и перезагрузим компьютер.
3.4 Установка клиента
Установка клиента в сетевом режиме функционирования выполняется пользователем, входящим в локальную группу администраторов компьютера.
Для установки клиента в сетевом режиме функционирования:
1. Вставим в привод установочный компакт-диск системы Secret Net 6. Дождемся появления окна программы автозапуска и запустим установку с помощью команды «Клиентское ПО».
Примечание. Запуск установки можно выполнить вручную без использования программы автозапуска. Для этого в зависимости от операционной системы компьютера выполним соответствующее действие:
* если установку необходимо выполнить на компьютер с 64-разрядной версией Windows — запустим с установочного компакт-диска файл SetupClientx64Setup. exe;
* если установку необходимо выполнить на компьютер с 32-разрядной версией Windows — запустите с установочного компакт-диска файл SetupClientWin32Setup.exe.
Программа установки начнет выполнение подготовительных действий. Перед началом процедуры установки на экране появится диалог для выбора режима работы компонента.
2. Установим отметку в поле «Сетевой режим» и нажмем кнопку «Далее >».
По окончании подготовительных действий на экран будет выведен диалог приветствия программы установки.
3. Для продолжения установки нажмем кнопку «Далее >».
На экране появится диалог принятия лицензионного соглашения.
4. Ознакомившись с содержанием лицензионного соглашения, отметим соответствующий принятию соглашения пункт и нажмем кнопку «Далее >».
На экране появится диалог «Модификация Active Directory».
5. Укажем учетные данные пользователя с правами администратора домена и нажмем кнопку «Далее >».
На экране появится диалог «Настройка подключения к серверу безопасности».
6. Выберем вариант продолжения процедуры (при наличии в домене хотя бы одного сервера безопасности):
— с подключением к серверу безопасности — отметим пункт «связать этот компьютер с сервером и настроить параметры подключения» и заполним поля данными, необходимыми для установления связи данного компьютера с сервером безопасности:
* в поле «Имя сервера» из раскрывающегося списка выберем имя компьютера, на котором установлен нужный сервер безопасности;
* в поле «Скорость подключения» из раскрывающегося списка выберем название шаблона сетевых настроек, который соответствует скоростным параметрам используемой сети;
* без подключения к серверу безопасности — отметим пункт «не связывать этот компьютер с сервером» (в случае такой установки подключить компьютер к серверу безопасности можно позже с помощью программы конфигурирования).
7. Для продолжения установки нажмем кнопку «Далее >».
На экране появится диалог «Серийный номер».
8. Введем серийный номер клиента.
9. При установке клиента на компьютер, который будет использоваться администратором для централизованной настройки параметров механизмов КЦ и ЗПС, а также параметров доменных пользователей, оставим отмеченным поле «установить средства централизованной настройки». Если на компьютере будут работать только рядовые пользователи — удалим отметку из поля.
10. Для продолжения установки нажмем кнопку «Далее >».
На экране появится диалог «Папка назначения».
11. Оставим заданную по умолчанию папку установки клиента и нажмите кнопку «Далее >».
На экране появится диалог «Учетная информация компьютера».
12. Заполним поля диалога учетными данными и нажмите кнопку «Далее >».
При установке на ОС Windows 2000/ХР на экране появится диалог «Дополнительные параметры». Если выполняется установка на другой ОС, на экране появится диалог «Готова к установке программы» — в этом случае пропустите действия 13−14.
13. При установке на ОС Windows 2000/ХР определим необходимость замены установленных по умолчанию прав доступа пользователей к основным ресурсам компьютера. Если требуется заменить права доступа пользователей, оставим отмеченным поле «выполнить расстановку прав доступа на файлы, каталоги и ключи реестра».
Пояснения.
* Замена прав доступа усиливает защищенность операционной системы, однако выполнять ее рекомендуется только в тех случаях, когда после установки ОС администратор не осуществлял специальную расстановку прав доступа.
* Права доступа на каталог установки системы Secret Net 6 устанавливаются для любой ОС в обязательном порядке независимо от выбранного режима расстановки прав.
14. Для продолжения установки нажмем кнопку «Далее >».
На экране появится диалог «Готова к установке программы».
15. Нажмем кнопку «Установить».
Начнется копирование файлов на жесткий диск и регистрация компонентов в системном реестре ОС Windows. Ход процессов копирования и настройки отображается в информационном окне в виде полосы прогресса.
В процессе установки ПО на экране могут появляться различные запросы системы. В частности, запросы на выбор нужных действий выводятся в следующих случаях:
* При установке на ОС Windows Vista и выше перед добавлением в систему драйвера средства аппаратной поддержки Secret Net Card или Secret Net Touch Memory Card появляется запрос на установку драйвера. Если на данном компьютере такое изделие использоваться не будет, можно отказаться от установки драйвера. При подтверждении установки драйвер регистрируется в системе в качестве самостоятельного компонента (при установке на ОС Windows 2000/ХР/2003 драйвер регистрируется по умолчанию).
* Если на компьютере установлен брандмауэр, который отслеживает сетевую активность приложений, при первом запуске некоторых подсистем Secret Net 6 может появиться запрос о разрешении сетевых вызовов. Чтобы обеспечить нормальную работу подсистем в дальнейшем, необходимо в таких запросах выбирать вариант разрешения работы соответствующим службам по умолчанию (без подтверждения). Данная рекомендация относится и к случаям, когда брандмауэр начинает функционировать после установки Secret Net 6.
Перед завершением установки требуется выполнить окончательную настройку ПО. Действия для окончательной настройки выполняются в диалоговом окне «Управление Secret Net 6. На этапе установки достаточно закрыть диалоговое окно, не внося никаких изменений.
16. После окончательной настройки перезагрузим компьютер.
3.5 Установка средств управления
Установка средств управления выполняется пользователем, входящим в группу администраторов домена.
Перед установкой средств управления необходимо установить на компьютере ПО клиента в сетевом режиме функционирования.
Для установки средств управления:
1. Вставим в привод установочный компакт-диск системы Secret Net 6. Дождемся появления окна программы автозапуска и запустим установку с помощью команды «Средства управления».
Программа установки начнет выполнение подготовительных действий, по окончании которых на экран будет выведен диалог приветствия.
2. Для продолжения установки нажмем кнопку «Далее >».
На экране появится диалог принятия лицензионного соглашения.
3. Ознакомившись с содержанием лицензионного соглашения, отметим соответствующий принятию соглашения пункт и нажмем кнопку «Далее >».
На экране появится диалог «Папка назначения».
4. Оставим заданную по умолчанию папку установки средств управления и нажмем кнопку «Далее >».
На экране появится диалог «Готова к установке программы».
5. Нажмем кнопку «Установить».
Начнется копирование файлов на жесткий диск и регистрация компонентов в системном реестре ОС Windows. Ход процессов копирования и настройки отображается в информационном окне в виде полосы прогресса.
После успешной установки и настройки компонентов на экране появится диалог «Программа установки завершена».
6. Нажмем кнопку «Готово» и перезагрузим компьютер.
Заключение
В ходе выполнения данной курсовой работы была достигнута поставленная цель. Как результат была реализована сеть с защитой от НСД. Данная сеть удовлетворяет требованиям руководящих документов в области защиты информации от несанкционированного доступа и реализована с использованием программного комплекса Secret Net 6.
Для достижения поставленной цели были реализованы следующие задачи:
— составлена модель защищаемой сети;
— ознакомились с нормативно-правовой базой в области защиты информации от НСД;
— рассмотрена и практически реализована установка СЗИ Secret Net.
Что касается самого программного продукта, то он зарекомендовал себя как удобное, надежное средство в борьбе с угрозой НСД. Одним из достоинств Secret Net 6 служит ряд уже определенных параметров при формировании замкнутой программной среды и объектов контроля целостности. Простота установки, администрирования, дружественный интерфейс являются неотъемлемыми качествами данного продукта.
В ходе выполнения данной работы были получены знания и практические навыки, которые будут полезными в будущем.
Список использованной литературы и источники
1. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения [Текст]: утв. председателем ГТК 30.03.92
2. Война и мир в терминах и определениях — Словарь: безопасность информационная: [Электронный ресурс] URL: http://www.voina-i-mir.ru/dicdefinition/? id=32.
3. Выбор СЗИ от НСД: [Электронный ресурс] // Орбита — информационные технологии. — 2008. URL: http://www.otchet-online.ru/? id=sznsd.
4. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [Текст]: утв. председателем ГТК 30.03.92
5. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [Текст]: утв. председателем ГТК 30.03.92
6. Щеглов А. Ю. Выбор СЗИ от НСД: [Электронный ресурс] // Information Security. — 2007. URL: http://www.itsec.ru/articles2/Inf_security/szi-choice
7. Информзащита — Secret Net: [Электронный ресурс] URL: http://www.securitycode.ru/products/secret_net.