Комплексная система защиты информации на предприятии
Безопасность информационный локальный сеть В АПКШ «Континент» применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата. Шифрование данных производится в соответствии с ГОСТ 28 147−89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ… Читать ещё >
Комплексная система защиты информации на предприятии (реферат, курсовая, диплом, контрольная)
Оглавление Введение
1. Характеристика организации
1.1 Общая характеристика организации
1.2 Штат сотрудников
2. Защита
2.1 Анализ угроз информационной безопасности объекта
2.2 Описание используемых средств обработки информации
2.3 Защита локальной сети
2.4 Задачи сотрудников
3. Физическая защита
4. Поддержание работоспособности Заключение Библиографические знания
Введение
Актуальность работы обеспечивается:
1. Разработкой политики безопасности компании в условиях ин формационной борьбы;
2. Глубокой проработкой и решением ряда важных проблем, направленных на повышение информационной безопасности в системах обработки данных с одновременным обеспечением устойчивости к противодействию диверсионной и технической разведке;
3. Разработкой и введением в работу пакета документов по безопасности информации.
Объектом исследования является информационная безопасность объекта вычислительной техники.
Предметом исследования является разработка научных рекомендаций по организации информационной безопасности для университета.
Задачи:
рассмотреть существующие каналы утечки информации и способы их устранения, разработать концепцию безопасности сети;
разработать структуру локальной вычислительной сети с учетом требований информационной безопасности;
осуществить выбор программных и аппаратных средств защиты данных для сети;
1. Характеристика организации
1.1 Общая характеристика организации Основными направлениями деятельности ЗАО «Secure Tech» являются разработка программного обеспечения в области защиты информации, применяемого во всех областях информационной безопасности, таких как защита конфиденциальной информации, персональных данных, среды виртуализации, коммерческой и государственной тайны. Организация активно развивает научно-техническую деятельность в области защиты информации и компьютерной безопасности.
Услуги:
— Разработка систем обеспечения и управления информационной безопасностью (СОИБ/СУИБ)
— Анализ защищенности ПО, аудит исходного и закрытого кода.
— Безопасность локальных и беспроводных сетей, организация защищённых сетевых решений, анализ защищенности, аудит безопасности, тесты на проникновение, аудит на соответствию стандарта PCI DSS.
— Расследование компьютерных инцидентов.
— Риск-ориентированная оценка состояния ИБ.
— Оценка состояния защиты персональных данных требованиям законодательства.
— Консалтинг в области информационной безопасности Офис организации находится на первом этаже, имеет два входа с улицы.
Рисунок 1 — Схема офиса Вход номер один предназначен для менеджеров, вход номер два — для остальных сотрудников.
Материал стен здания — кирпич, толщина наружных стен — 48 см, внутренних — 18 см. Перекрытия в здании кирпичные. Высота помещения составляет 3 м. Перед входной дверью и на всех окнах установлены рольставни. Материал рольставен — алюминий, 1−1,5 мм толщина. Рольставни перед входной дверью оснащены электрозамком с ключом, имеют электрический механизм управления. Входная дверь в организацию, входная дверь в клиентский отдел выполнены из алюминиевого профиля со стеклопакетами, оснащены врезными механическими замками. Дверь в секцию директора, главного бухгалтера и юриста — одностворчатая противопожарная металлическая EI260 C5 с магнитным и механическим замками. Остальные двери в организации деревянные со вставками из стекла, имеют механический врезной замок. Магнитный замок имеет максимальную механическую нагрузку на отрыв более 500 кг.
Окна в помещениях изготовлены из профиля ПВХ и оснащенные двойными стеклопакетами. Внутри помещения на всех окнах установлены вертикальные тканевые жалюзи.
Каждое помещение организации оборудовано подвесным потолком, на котором установлен дымовой оптико-электронный извещатель ИП 212−39 «АГАТ». В клиентском отделе установлено 2 извещателя противопожарной сигнализации, во всех остальных по одному. Во всех помещениях установлен пассивный датчик движения ИКАР-3. В кабинете директора установлен датчик разбития стекла BG2000. Шлейфы сигнализации от охранных и пожарных датчиков уходят на приемно-контрольный прибор Гранит-16, который соединен с оборудованием централизованного управления охранно-пожарной сигнализацией здания.
Розетки электропитания с напряжением 380/220 В подведены к щиткам однофазной сети, являющейся частью трехфазной сети.
В каждом помещении находится алюминиевый радиатор централизованного отопления. В клиентском отделе установлено 2 радиатора.
В кабинете директора и главного бухгалтера установлены сейфы Valberg ASK-25 (Карат-25). Сейфы предназначены для хранения ценных бумаг и документов.
1.2 Штат сотрудников Численность сотрудников организации составляет 38 человек, среди них:
Директор Главный бухгалтер Юрист
3 менеджера по работе с клиентами
8 сотрудников отдела аудита
8 сотрудников отдела тестирования разработок
8 сотрудников отдела разработок
8 сотрудников отдела консалтинга Работа офиса организации начинается в 10:00. Возможность открыть вход в клиентскую и техническую часть имеет только директор и главный бухгалтер. Ключи от клиентского отдела находится у менеджеров по работе с клиентами, от секции директора, главного бухгалтера и юриста — у директора и главного бухгалтера. Начальники отделов имеют ключи от своих отделов.
Уборкой помещений занимается клининговая компания. Уборка специалистом клининговой компании осуществляется только в присутствии персонала фирмы в конце каждого рабочего дня.
Охрану объекта и мониторинг противопожарной обстановки выполняет охранная компания.
2. Защита
2.1 Анализ угроз информационной безопасности объекта
Угроза | Источник угрозы | Реализация | Предпринимаемые в организации меры защиты | |
Естественные угрозы | ||||
Землетрясение | Природа | Естественное землетрясение | Резервирование необходимо важной информации на flash-носителях, CD/DVD-дисках | |
Наводнение | Природа | Природное наводнение | Резервирование необходимо важной информации на flash-носителях, CD/DVD-дисках | |
Ураган | Природа | Природный ураган | Резервирование необходимо важной информации на flash-носителях, CD/DVD-дисках | |
Техногенные угрозы | ||||
Отключение/перебои в электроснабжении | Сбои в работе электростанции | Отключение электропитания; кратковременное включение и выключение электропитания | Наличие ИБП | |
Антропогенные угрозы | ||||
Внутренние непреднамеренные | ||||
Неумышленный запуск вредоносных программ | Персонал организации | Запуск сотрудником вредоносного ПО | Наличие антивирусного ПО | |
Модификация, удаление или блокирование информации в результате неумышленных действий | Персонал организации | Непреднамеренные действия сотрудников | Резервирование необходимо важной информации на flash-носителях, CD/DVD-дисках | |
Аппаратный или программный сбой вследствие непреднамеренных действий | Персонал организации | Непреднамеренные действия сотрудников | Резервирование необходимо важной информации на flash-носителях, CD/DVD-дисках | |
Неумышленное разглашение информации ограниченного доступа в результате разговора с персоналом фирмы | Персонал организации | Ведение разговоров сотрудниками организации в присутствии посторонних лиц | Инструктаж сотрудников | |
Неумышленная утрата или порча документированной информации | Персонал организации | Халатное отношение персонала к своим обязанностям | Наличие ответственности в трудовом договоре; хранение важных документированной информации в сейфах | |
Некорректное уничтожение бумажных носителей информации | Персонал организации | Халатное отношение персонала к своим обязанностям; незнание о возможной потери информации | Инструктаж сотрудников | |
Внутренние преднамеренные | ||||
Хищение или копирование информации на бумажном или электронном носителе | Персонал организации | Злоумышленные действия персонала при работе с электронными или бумажными документами | Наличие ответственности в трудовом договоре; хранение важных документированной информации в сейфах | |
Несанкционированный доступ к серверам, ЛВС, рабочим станциям | Персонал организации | Злоумышленные действия персонала. | Антивирусное ПО; парольная защита | |
Прослушивание телефонных линий | Персонал организации | Злоумышленные действия персонала | Наличие ключей от серверной только у директора | |
Сговор со злоумышленником и помощь ему | Персонал организации | Злоумышленные действия персонала | Наличие ответственности в трудовом договоре | |
Использование программных и аппаратных закладок для хищения информации | Персонал организации | Злоумышленные действия персонала | Защитные меры не предусмотрены; | |
Фото и видеосъемка документов | Персонал организации | Злоумышленные действия персонала | Хранение важных документов в сейфах | |
Внешние угрозы | ||||
Физическое хищение или разрушение средств вычислительной техники | Злоумышленник | Проникновение в организацию; нарушение штатного режима функционирования СВТ | Сигнализация; резервирование необходимо важной информации на flash-носителях, CD/DVD-дисках хранение важных документов в сейфах; | |
Несанкционированный доступ к серверам, ЛВС, рабочим станциям | Злоумышленник | Атака на сервера организации, коммутационное оборудовании и рабочие станции | Антивирусное ПО; резервное копирование; внутренние механизмы защиты ОС, МСЭ. | |
Получение информации по акустическому и виброакустическому каналу утечки информации | Злоумышленник | Подслушивание; Использование направленных микрофонов; устройства звукозаписи; стетоскопы; | Двойные стеклопакеты на окнах; по виброакустическому каналу меры отсутствуют | |
Получение информации при помощи тех. средств оптической и оптико-электронной разведки | Злоумышленник | Использование биноклей, подзорных труб; лазерные микрофоны | Жалюзи на окнах; против оптико-электронных средств разведки защитные меры отсутствуют | |
Получение информации посредствам подключения к линиям связи | Злоумышленник | Подключение спец. аппаратуры или закладок к линиям связи | Шифрование трафика внутри сети. Телефонная линия не защищена. | |
Получение информации с помощью высокочастотного навязывания | Злоумышленник | Использование спец. аппаратуры | Использование цифровой АТС | |
Подкуп, сговор с персоналом (агентурные методы) | Злоумышленник | Сговор, подкуп сотрудника организации | Наличие ответственности в трудовом договоре | |
2.2 Описание используемых средств обработки информации В организации используются следующие технические средства обработки информации:
1)Кабинет директора:
ПК на базе процессора AMD X2 250, 1 Гб ОЗУ, 250Гб ПЗУ, DVD+RW, сетевая карта Ethernet 1Gbit, 21″ LCD монитор Proview, клавиатура, мышь.
ИБП Ippon Smart Power Pro 1000
МФУ Xerox Phaser 3100 MFP
Телефон Panasonic KX-TCA155
Шредер KOBRA +2 SS7
2)Кабинет главного бухгалтера:
2 ПК на базе процессора Intel Core 2 Duo, 2 Гб ОЗУ, 300Гб ПЗУ, DVD+RW, сетевая карта Ethernet 1Gbit, 21″ LCD монитор Acer, клавиатура, мышь.
ИБП Ippon Smart Power Pro 1000
Телефон Panasonic KX-T7340 (2 шт)
4)Клиентский отдел:
3 ПК на базе процессора Intel Core 2 Duo, 1 Гб ОЗУ, 150Гб ПЗУ, DVD+RW, сетевая карта Ethernet 1Gbit, 21″ LCD монитор Sony, клавиатура, мышь.
Телефон Panasonic KX-T7665 (3 шт., по одному на место) МФУ Xerox Phaser 3100MFP
5) Отдела аудита
8 ПК на базе процессора Intel Core i5, 4 Гб ОЗУ, 500Гб ПЗУ сетевая карта Ethernet 1Gbit, 21″ LCD монитор Sony, клавиатура, мышь.
Телефон Panasonic KX-T7665 (8 шт., по одному на место)
6) Отдел тестирования разработок
2 ПК на базе процессора AMD Phenom X3, 4 Гб ОЗУ, 500Гб ПЗУ сетевая карта Ethernet 1Gbit, 21″ LCD монитор Sony, клавиатура, мышь.
2 ПК на базе процессора Intel Core 2 Duo, 4 Гб ОЗУ, 500Гб ПЗУ сетевая карта Ethernet 1Gbit, 21″ LCD монитор Sony, клавиатура, мышь.
2 ПК Apple Mac mini (Intel Core 2 Duo, 2 Гб ОЗУ, 160Гб ПЗУ) сетевая карта Ethernet 1Gbit, 21″ LCD монитор Sony, клавиатура, мышь.
2 ПК на базе процессора Intel Core i7, 4 ГБ ОЗУ, 500 гб ПЗУ сетевая карта Ethernet 1Gbit, 21″ LCD монитор Sony, клавиатура, мышь.
7) Отдел консальтинга
8 ПК на базе процессора Intel Core 2 Duo, 2 Гб ОЗУ, 300Гб ПЗУ сетевая карта Ethernet 1Gbit, 21″ LCD монитор Sony, клавиатура, мышь.
8)Серверная:
Мини-АТС TDA Panasonic KX-TDA100 (KX-TDA100RU)
ИБП АPC Smart-UPS RT SURT10000XLI, 2шт.
1. Публичный сервер (web, email)
HP ProLiant DL360 G7 на базе Intel Xeon Processor с 4 ГБ ОЗУ и 300 ГБ ПЗУ 1 сетевая Ethernet 10Gbps.
К данному серверу подключены линии связи от провайдера.
2) Интранет сервер (dhcp/ldap/dns, fileserver)
HP Proliant DL585 G6 на базе AMD Opteron с 16 ГБ ОЗУ и 2 ТБ ПЗУ 1 сетевая Ethernet 10Gbps.
2.3 Защита локальной сети Для повышения пропускной способности сети используется физический канал связи — витая пара. Для соединения кабелей будут использоваться коммутаторы.
Разводка кабеля осуществляется так, чтобы с одной стороны линии подходили к каждому рабочему месту, с другой — будет протянут в серверную и подключен к коммутатору. На концах проводов, ведущих к коммутатору, с помощью специального инструмента, монтируется коннектор, устройство которого аналогично разъемам на модемных шнурах или в современных электронных телефонных аппаратах. С другой стороны каждого отрезка кабеля устанавливается специальная сетевая розетка с ответным контактным отверстием. Для всех ПК сети изготавливаются специальные небольшие отрезки кабеля, заканчивающиеся аналогичными пластмассовыми разъемами.
Рисунок 2 — Структура локальной сети В качестве шлюза используется АПКШ Континент (аппаратно-программный комплекс шифрования «Континент») — аппаратно-программный комплекс, позволяющий обеспечить защиту информационных сетей организации от вторжения со стороны сетей передачи данных (Интернет), конфиденциальность при передаче информации по открытым каналам связи (VPN), организовать безопасный доступ пользователей VPN к ресурсам сетей общего пользования, а также защищенное взаимодействие сетей различных организаций.
Рисунок 3 — АПКШ «Континент»
безопасность информационный локальный сеть В АПКШ «Континент» применяется современная ключевая схема, реализующая шифрование каждого пакета на уникальном ключе. Это обеспечивает высокую степень защиты данных от расшифровки в случае их перехвата. Шифрование данных производится в соответствии с ГОСТ 28 147–89 в режиме гаммирования с обратной связью. Защита данных от искажения осуществляется по ГОСТ 28 147–89 в режиме имитовставки. Применение оптимизированной реализации ГОСТ 28 147–89 обеспечивает комплексу высокую пропускную способность. Управление криптографическими ключами ведется централизованно из ЦУС. Помимо обеспечения шифрования данных АПКШ «Континент» выступает в качестве брандмауэра, фильтруя принимаемые и передаваемые пакеты по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т. д.). Это позволяет защитить внутренние сегменты сети от проникновения из сетей общего пользования.
Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется криптошлюзом «Континент» при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами. Использование технологии NAT позволяет не только сэкономить IP-адреса, но и предотвратить обращение снаружи к хостам находящимся во внутренней сети, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются. С помощью АПКШ «Континент» локальная сеть организации разделяется на:
· Внутреннюю сеть (intranet), состоящей из рабочих станций, принтеров, интранет-сервисов и других ресурсов.
· Демилитаризованной зоны (DMZ), где расположены публичные сервера, используемые для организации почтового сервера и web-сайта.
Наиболее подверженным угрозам НСД извне будет являться узел сети, на котором расположены службы, доступные из Интернета. Создание локальной сети с использованием технологии DMZ позволяет обеспечить защиту информационного периметра таким образом, что публичные сервера компании находятся в особом сегменте сети (который и называется DMZ), которые ограничены в доступе к основным сегментам внутренней сети с помощью межсетевого экрана, политика безопасности которого должна придерживаться следующих правил:
· блокировать входящие соединения из внешней сети, направленные во внутреннюю.
· блокировать исходящие соединения из DMZ во внутреннюю сеть.
· блокировать входящие соединения из DMZ, направленные во внутреннюю сеть.
На публичном сервере (web, email) в качестве ОС установлен Linux ветки ядра 2.6 с патчем grsecurity, обеспечивающих дополнительный уровень защиты сервера обеспечивающий:
· принудительный контроль доступа
· рандомизацию ключевых локальных и сетевых информативных данных
· ограничения /proc и chroot () jail, контроль сетевых сокетов
· контроль возможностей, и добавочные функции аудита.
Основным компонентом поставляемым в составе grsecurity является PaX, который, среди прочих других возможностей, отмечает области данных в памяти. Например, стек отмечается как неисполняемый, и область кода программы, как не имеющая возможности записи в неё. Целью этой защиты является защита памяти от записи, что предотвращает множество уязвимостей в безопасности, таких как переполнение буфера. PaX-ом также обеспечивается рандомизацию расположения в адресном пространстве (address space layout randomization, ASLR), которая размещает важные адреса памяти в случайном порядке и таким образом не позволяет атакующему заранее полагаться на знание этих адресов.
Эксплуатация брешей в WEB-приложениях способствует несанкционированному хищению данных, раскрытие тайны которых может подорвать репутационную сторону компании или конкретной персоны, разгласить персональные данные, снизить финансовые активы. Согласно статистике компании «Positive Technologies» в 66% процентах случаев динамика действий злоумышленника помимо кражи, модификации или удаления информации в современном мире сводится к организации опорной точки для распространения вредоносного кода с скомпроментированного ресурса с целью проведения масштабного заражения пользователей web-ресурса, имеющих уязвимое клиентское ПО, что может повлечь за собой также и НСД к внутренней сети организации несмотря на организацию локальной сети с использованием технологии DMZ. Создание ПО для web-сайта следует доверить высококвалифицированным специалистам, руководствующихся при разработке общепринятыми методологиями создания безопасных web-приложений (OSSTM, ISAF) и аналитическими сведениями (OWASP Top 10, WASC Threat Classification, SANS Top 20), а также собственными методиками. В целях повышения уровня безопасности web-ресурса используется бесплатный модуль файрвола web-приложений «mod_security» (WAF) к web-серверу Apache, осуществляющий фильтрацию трафика на уровне web-сервера в режиме активного проиводействия сетевым атакам. Данное не только позволяет гибко настрайвать правила фильтрации трафика, но и защищает web-сервисы гораздо лучше обычных межсетевых экранов и множества альтернативных средств обнаружения вторжений (IDS).
Использование управляемых сетевых коммутаторов Multilink ML2400 во внутренней сети позволяет разграничить доступ между пользователями в ее сегментах, а также осуществлять мониторинг и управлять в целом, а также и в частности, всем активным оборудованием ЛВС. Несмотря на невысокую цену данный коммутатор имеет отличное качество и надежный сервис. ML2400 поддерживает до 8 гигабитных, 16 оптических портов типа ST/SC и до 32 портов стандарта RJ45. Multilink ML2400 отвечает всем требованиям стандарта Ethernet IEEE, имеет корпус со степенью защиты IP40 и может эксплуатироваться в условиях повышенной коррозионной опасности для электроники. В отличие от аналогов, этот коммутатор Ethernet отличается самой высокой плотностью портов — до 32 на одно шасси, обеспечивает скорость восстановления трафика в кольцевых сетях менее чем за 5 мс, поддерживает протокол Modbus для работы с системами SCADA и управление многоадресным трафиком и QoS.
ML 2400 разработан специально для создания сетей Ethernet в самых суровых условиях эксплуатации, например, на промышленных объектах, электроподстанциях, автомагистралях и т. д. В отличие от многих аналогов, этот коммутатор Ethernet сохраняет работоспособность в диапазоне температур от — 40 до + 85 °C без использования вентиляторов, обеспечивает защиту электроники от агрессивных химических сред, коррозии и других внешних факторов. При этом коммутатор ML2400 протестирован и сертифицирован на соответствие экологическим стандартам IEC61850−3, IEEE 1613 Class2, NEBS уровень 3 и IP40, и имеет пожизненную гарантию производителя.
Для контроля качества передачи и управления приоритетом потоков данных ML2400 поддерживает технологию QoS (Quality of Service), которая обеспечивает необходимую пропускную способность Ethernet канала, и регулирует время задержки и приоритет, определяемый по порту, тегам или типу. Благодаря такому решению, коммутатор Ethernet позволяет оптимизировать сетевые ресурсы системы и использовать каналы более эффективно. Это особенно важно для распределенных промышленных сетей Ethernet, по которым передаются различные типы данных, начиная от сетевых приложений, заканчивая видеопотоками.
Предотвратить несанкционированный доступ к информации и изменению настроек коммутатора позволяют различные средства защиты. Multilink ML 2400 ведет постоянную проверку сетевого трафика и разрешенных MAC-адресов, поэтому в случае несанкционированного подключения какого-либо устройства к одному из портов, коммутатор Ethernet выдаст отказ в соединении с ним. Список разрешенных для подключения к Ethernet устройств может составляться системным администратором или же автоматически контролироваться самим ML2400. Кроме того, поддержка протокола SNMP версии 3 обеспечивает авторизацию пользователей и шифрование соединений для большей защищенности.
Внутренний сервер находится под управлением ОС Windows Server 2003 и клиентские системы находятся под управлением ОС Windows XP, в качестве комплексной защиты системы используется Kapersky Internet Security (KIS) 2010.
KIS 2010 представляет собой оптимальное решение для защиты компьютеров. В программном продукте есть все, чтобы обезопасить присутствие в интернете. В одном продукте интегрированы и радикально модернизированы функциональные возможности систем защиты, также применены новейшие технологические разработки «Лаборатории Касперского».
KIS 2010 представляет из себя комплексную защиту от всех типов электронных угроз: вредоносных программ, спам-рассылок, программ-руткитов, хакерских атак, фишинговых писем, навязчивых рекламных окон и т. д. А также:
интуитивно понятный интерфейс;
· персональный сетевой экран;
· минимальное влияние на работу ПК;
· интеллектуальная защита в режиме реального времени;
· режим безопасного запуска программ;
· предотвращение угроз, атак;
· проверка веб-страниц, файлов и сообщений;
· самозащита антивируса от попыток выключения со стороны вредоносного ПО;
· защита конфиденциальных данных;
· защита от кражи паролей, логинов и личных данных;
2.4 Задачи сотрудников Для обеспечения защиты информации должны быть разработаны и введены в действие инструкции для всех категории персонала, в которых должны найти отражение следующие задачи для каждой категории:
Руководители подразделений обязаны:
Постоянно держать в поле зрения вопросы безопасности.
Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.
Организовать обучение персонала мерам безопасности.
Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т. п.).
Обеспечить наличие сотрудника, отвечающего за безопасность конкретного персонального компьютера.
Администраторы локальной сети обязаны:
Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.
Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.
Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты.
Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.
Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.
Следить за новинками в области информационной безопасности, сообщать о них пользователям и руководству.
Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения.
Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.
Выполнять все изменения сетевой аппаратно-программной конфигурации.
Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.
Периодически производить проверку надежности защиты локальной сети.
Не допускать получения привилегий неавторизованными пользователями.
Администраторы сервисов обязаны:
1) Управлять правами доступа пользователей к обслуживаемым объектам.
2) Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов локальной сети о попытках нарушения защиты.
3) Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.
4) Ежедневно анализировать регистрационную информацию, относящуюся к сервису.
5) Регулярно контролировать сервис на предмет зловредного программного обеспечения.
6) Периодически производить проверку надежности защиты сервиса.
7) Не допускать получения привилегий неавторизованными пользователями.
Пользователи обязаны:
Знать и соблюдать законы, правила, принятые в организации, политику безопасности, процедуры безопасности.
Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.
Использовать механизм защиты файлов и должным образом задавать права доступа.
Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.
Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.
Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.
Всегда сообщать корректную идентификационную и аутентификационную информацию.
Обеспечивать резервное копирование информации с жесткого диска своего компьютера.
Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.
Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.
Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.
3. Физическая защита Безопасность компьютерной системы зависит от окружения, в котором она работает. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.
Существуют следующие направления физической защиты:
физическое управление доступом;
противопожарные меры;
защита поддерживающей инфраструктуры;
защита от перехвата данных;
защита мобильных систем.
Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, например те, где расположены серверы, коммуникационная аппаратура и т. п. Средства физического управления доступом известны давно — это охрана, двери с замками, перегородки, телекамеры, датчики движения и многое другое.
В качестве видеокамер наблюдения использются Grandeye Halocam, оснащеные объективом с углом обзора 172 градусов, 3-мегапиксельной матрицей и высокопроизводительным процессором Imtera. Схема работы камеры приведена на рисунке 5.
Рисунок 4 — Схема работы панорамной видеокамеры В серверной установлены web-камеры D-link DCS-3220G Securicam Network, приведенную на рисунке 6 и представляющую собой комплексную систему обеспечения безопасности, позволяющую удаленно наблюдать, слушать и вести диалог.
Рисунок 5 — Web-камера D-link DCS-3220G Securicam Network
Данная многофункциональная камера подключается к сети Ethernet или беспроводной сети здания или кампуса и к широкополосному соединению Интернет. Оснащенная высококачественным сенсором CCD, функцией цифрового увеличения, возможностью двусторонней передачи звука и дополнительными программным обеспечением для управления и одновременного просмотра изображения с нескольких камер, данная камера представляет собой комплексную систему видеонаблюдения с локального узла или удаленно из любой точки мира.
Рисунок 6 — Схема расположения камер В качестве противопожарной сигнализации и автоматических средства пожаротушения используется устройство шлейфовое управляющее УШУ-1, отвечающее за формирование сигналов управления пожарной автоматикой, дымоудаление, оповещение по событиям «Пожар», а также пожарные извещатели типа ИП 212−54.
К поддерживающей инфраструктуре можно отнести системы электро-, водои теплоснабжения, кондиционеры, средства коммуникаций. В принципе к ним применимы те же требования целостности и доступности, что и к информационным системам. Для обеспечения целостности нужно защищать оборудование от краж и повреждений.
Для защиты отдельных рабочих станций используется электронный замок «Соболь» — это аппаратно-программное средство защиты компьютера от несанкционированного доступа. Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
Электронный замок «Соболь» обладает следующими возможностями:
идентификация и аутентификация пользователей по электронным идентификаторам Touch Memory;
регистрация попыток доступа к ПЭВМ;
запрет загрузки ОС с внешних носителей (FDD, CD-ROM, ZIP, LPT, SCSI-порты) на аппаратном уровне;
контроль целостности программной среды до загрузки операционной системы.
«Соболь» прост в установке, настройке, администрировании, его использование не требует от пользователя высокой квалификации в области информационных технологий. Современная элементная база обеспечивает высокую надежность и долговечность. Программная часть комплекса, включая средства администрирования, список пользователей и журнал регистрации, размещены в энергонезависимой памяти контроллера. Возможности по идентификации и аутентификации пользователей, а также регистрация попыток доступа к ПЭВМ не зависят от установленной на компьютер операционной системы. Электронный замок «Соболь» позволяет осуществлять контроль состояния системных файлов и любых других важных файлов пользователей до загрузки операционной системы. Электронный замок «Соболь» содержит датчик случайных чисел, соответствующий требованиям ФАПСИ. При каждом включении компьютера производится тестирование правильности работы датчика случайных чисел.
Электронный замок «Соболь» сертифицирован Федеральным агентством правительственной связи и информации при Президенте Российской Федерации. Сертификаты ФАПСИ № СФ/122−0305 и № СФ/022−0306 от 10.02.2000 (на «Соболь»), и № СФ/527−0553 от 01.07.2002 (на «Соболь-PCI») позволяет применять данное средство для защиты информации, составляющей коммерческую или государственную тайну.
«Соболь» применяется в составе АПКШ «Континент» для идентификации и аутентификации администратора криптографического шлюза, генерации ключей шифрования и осуществления контроля целостности программного обеспечения комплекса.
4. Поддержание работоспособности Нечаянные ошибки системных администраторов и пользователей грозят повреждением аппаратуры, сбоем работоспособности программ и потере данных.
Недооценка факторов безопасности в повседневной работе — слабое место многих организаций. Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки.
Можно выделить следующие направления повседневной деятельности:
поддержка пользователей;
поддержка программного обеспечения;
конфигурационное управление;
резервное копирование;
управление носителями;
документирование;
регламентные работы.
Поддержка пользователей состоит, прежде всего, в консультировании и в оказании помощи при решении разного рода проблем. Очень важно в потоке вопросов уметь выявлять проблемы, связанные с информационной безопасностью.
Поддержка программного обеспечения — одно из важнейших средств обеспечения целостности информации. Прежде всего, необходимо контролировать, какое программное обеспечение выполняется на компьютерах. Если пользователи могут устанавливать программы по своему усмотрению, это чревато заражением вирусами, а также появлением утилит, действующих в обход защитных средств.
Второй аспект поддержки программного обеспечения — контроль за отсутствием неавторизованного изменения программ и прав доступа к ним. Сюда же можно отнести поддержание эталонных копий программных систем. Обычно контроль достигается комбинированием средств физического и логического управления доступом, а также использованием утилит проверки и поддержания целостности.
Конфигурационное управление позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию. Прежде всего, необходимо застраховаться от случайных или непродуманных модификаций. Далее, фиксация изменений позволит легко восстановить текущую версию после аварии. Технологию конфигурационного управления необходимо применять и к изменениям в аппаратуре.
Резервное копирование необходимо для восстановления программ и данных после аварий. Стримеры HP позволяют решить задачу резервного копирования. Даже для больших объемов данных найдутся подходящие стример и картриджи. Мы предлагаем только современное и высококачественное оборудование, отвечающее строжайшим требованиям безопасности и хранения. Стримеры HP Ultrium 448 SCSI int (DW016A) могут работать без остановки до 30 лет, и чрезвычайно низкая вероятность ошибки 10−17-ой степени позволяют надежно хранить данные. Резервные копии ежедневно записываются на стриммер, который в дальнейшем курьерами доставляется в банк и хранится в сейфе.
Управление носителями служит для обеспечения физической защиты и учета дискет, лент, печатных выдач и т. п. Управление носителями должно обеспечить конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды: жары, холода, влаги, магнетизма. Управление носителями должно охватывать весь жизненный цикл дискет и лент — от закупки до выведения из эксплуатации.
К управлению носителями можно отнести и контроль потоков данных, выдаваемых на печать. Необходимо сочетать различные механизмы информационной безопасности. Программные средства позволяют направить конфиденциальные данные на определенный принтер, но только меры физической защиты способны гарантировать отсутствие посторонних у этого принтера.
Документирование — неотъемлемая часть информационной безопасности. В виде документов оформляется почти все — от политики безопасности до журнала учета дискет.
Важно, чтобы документация была актуальной, отражала текущее, а не прошлое состояние дел, причем отражала в непротиворечивом виде.
Регламентные работы — очень серьезная угроза безопасности. Лицо, осуществляющее регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия совершаются. Здесь на первый план выходит степень доверия к тем, кто выполняет работы.
Заключение
Сделав анализ угроз ИБ организации, можно выделить ряд основных угроз:
Несанкционированный доступ к серверам, ЛВС, рабочим станциям;
Хищение или копирование информации на бумажном или электронном носителе;
Аппаратный или программный сбой вследствие непреднамеренных действий;
Физическое хищение или разрушение средств вычислительной техники;
Съем информации передаваемой внутри ЛВС;
Для противостояния этим угрозам сделано:
Cоздана система слежения внутри организации. Каждая рабочая станция снабжена электронным замком. Установлено шифрование трафика внутри сети, а также были установлены МСЭ. Построена система резервирования данных, установлено резервное питание.
Библиографические записи
1. В.Левин. Защита информации в информационно-вычислительных системах и сетях. — Программирование, 2005.
2. Л.Хофман. Современные методы защиты информации", — Москва, 2005.
3. В. Олифер, Н. Олифер. Компьютерные сети. Принципы, технологии, протоколы. Учебник для вузов, — Питер, С-Пб., 2007.
4. Э. Таненбаум. Компьютерные сети, — Питер, С-Пб., 2007.
5. Корнеев И. К. Защита информации в офисе: Учебник — М.: Изд-во «Проспект», 2008 — 336 с.
6. Мельников. Информационная безопасность и защита информации, — Academia, М., 2007.
7. П.Зегжда. Теория и практика. Обеспечение информационной безопасности. — Москва, 2002.
8. В.Галатенко. Информационная безопасность, Открытые системы, № 1, 1996.
9. В.Галатенко. Информационная безопасность, Открытые системы, № 2, 1996.
10. Шелупанов А. А. Технические средства и методы защиты информации: Учебник для вузов [Книга] - М.: ООО «Издательство Машиностроение», 2009 — 508 с.;