Конструкторская часть. 
Проектирование системы безопасности автоматизированных систем обработки информации

ИССЛЕДОВАНИЕ РЫНКА И ВЫБОР ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗИ ОТ НСД

Выявив основные направления по снижению рисков ИБ, можно провести анализ рынка предлагаемых продуктов. Все приведенные программные и программно-аппаратные комплексы защиты от НСД являются продуктами, получившие сертификат на соответствие определенному классу защищенности. Основным критерием отбора было наличие у продукта следующих характеристик:

• · контроль целостности информации;
• · контроль и разграничение доступа;
• · наличие подсистемы аудита;
• · возможность шифрования трафика сети;
• · дополнительная идентификация пользователей;
• · затирание остатков информации в системе.
• 1. Программно-аппаратные комплексы «Аккорд» (разработчик ОКБ «САПР»).

Программно-аппаратные комплексы «Аккорд» позволяют реализовать ЗИ от НСД с применением персональных идентификаторов пользователей, выполненных на базе устройств памяти Touch Memory (TM-идентификаторов) как для автономных ПЭВМ, так и для ПЭВМ, объединенных в ЛВС. Комплексы «Аккорд» базируются на аппаратном контролере, обеспечивающем работу с Touch Memory и ПО, с помощью которого обеспечивается настройка и интерфейс в ОС.

Программно-аппаратный комплекс…

При загрузке компьютера осуществляется идентификация и аутентификация пользователя, выполняется проверка целостности контролируемых объектов средствами механизма контроля целостности. В том случае, если имя пользователя и его пароль указаны верно, разрешенное время работы совпадает с фактическим и целостность контролируемых объектов не нарушена, загрузка компьютера продолжается. В противном случае загрузка компьютера прерывается.

В процессе работы пользователя с ресурсами компьютера драйвер защиты контролирует доступ пользователя к ресурсам. Если пользователь превышает свои права доступа к ресурсу, его действия ограничиваются способом, заданным параметрами работы системы защиты. Также, средствами механизма регистрации событий осуществляется регистрация в соответствующих журналах всех событий, связанных с безопасностью системы и работой пользователя на компьютере.

В качестве средства идентификации пользователей используются персональные электронные идентификаторы Touch Memory или Proximity.

Система ЗИ «Dallas Lock 7.0» представляет собой программное средство защиты ПЭВМ, подключенного к ЛВС, от НСД в среде ОС Windows 2000/ХР.

Программный комплекс обеспечивает:

• · разграничение полномочий пользователей при работе на компьютере;
• · опознавание пользователей посредством индивидуальных паролей;
• · запрос пароля при входе на ПЭВМ инициируется до загрузки ОС. Загрузка ОС с жесткого диска осуществляется только после ввода личного пароля;
• · число зарегистрированных пользователей на каждом защищенном компьютере ограничивается размером свободного дискового пространства, (максимум — 8192). Один пользователь может быть зарегистрирован на нескольких ПЭВМ с разными полномочиями, что в пределах ОИ вполне может иметь место.
• · возможна блокировка клавиатуры на время загрузки компьютера. Ограничение круга доступных объектов (дисков, папок и файлов) компьютера под любой файловой системой (FAT16, FAT32, NTFS4, NTFS5);
• · реализовано два принципа контроля доступа: мандатный и дискреционный. Ограничение доступа пользователей к компьютеру можно организовать по дате — назначить пользователю дату начала и окончания работы на защищенном компьютере;
• · интегрированы функции очистки остаточной информации, гарантирующие предотвращение восстановления удаленных данных;
• · хорошо развита система аудита действий пользователей в электронных журналах, в том числе обращений пользователей к локальному и сетевым принтерам и попыток несанкционированного входа.
• · обеспечение контроля целостности объектов компьютера.

Класс защищенности системы ЗИ от НСД — 4 в соответствии с РД Гостехкомиссии РФ «Средства ВТ. ЗИ от НСД к информации. Показатели защищенности от НСД к информации».

Класс защищенности для АС — 1 Г в соответствии с РД Гостехкомиссии «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ».

3. Программно-аппаратные комплексы «Secret Net» (разработчик НИП «Информзащита»).

Система ЗИ «Secret Net 4.0» предназначена для ЗИ в ЛВС, построенных на основе ОС Windows 9x/2000/NT и Novell Netware. Она позволяет организовать эффективную ЗИ, циркулирующей в информационной АС ОИ.

Система ЗИ не подменяет собой защитные механизмы ОС, а дополняет их в части защиты рабочих станций и серверов сети, позволяя тем самым повысить защищенность всей АС обработки информации в целом. Иными словами, система ЗИ является специализированным программно-техническим продуктом, дополняющим ОС функциями защиты от НСД к различным ресурсам рабочих станций и серверов сети, который позволяет централизованно управлять этой защитой в рамках информационной АС ОИ.

Система ЗИ представляет собой реализацию новой технологии управления ИБ и позволяет:

• · решать различные задачи по обеспечению ИБ (сбор оперативных данных, контроль доступа в помещения и т. д.) в рамках единой системы управления безопасностью ОИ;
• · реально объединить в единую систему различные средства обеспечения БИ — СКЗИ, средства анализа защищенности и оповещения о сетевых атаках, средства защиты от НСД;
• · оперативно получать актуальную информацию о реальном состоянии защищенности информационной системы и оценивать ее соответствие требованиям, существующим в ОИ;
• · значительно упростить управление доступом сотрудников ОИ к ресурсам информационной системы за счет унификации номенклатуры управляемых объектов и прав доступа.

Дополнительно к стандартным механизмам защиты, реализованным в ОС Windows 9x/2000/NT и Novell Netware система защиты обеспечивает:

• · полномочное (мандатное) управление доступом пользователей к данным. Дополнительно к избирательному (дискреционному) управлению доступом, возможно также разграничение доступа к файлам (на локальных и удаленных дисках) в соответствии со степенью конфиденциальности содержащихся в них сведений и уровнем допуска пользователя;
• · возможность подключения и использования СКЗИ, передаваемых по сети, и данных, хранимых в файлах на внешних носителях (жесткие и гибкие магнитные диски и т. д.). Обмен данными между всеми или отдельными рабочими станциями сети может осуществляться в криптографическом защищенном виде;
• · централизованное оперативное управление доступом пользователей к совместно используемым ресурсам, как в одноранговой, так и в доменной сети;
• · оперативный контроль работы пользователей сети, оповещение администратора безопасности о событиях НСД, централизованный сбор и анализ содержимого журналов регистрации;
• · контроль целостности программ, используемых ОС и пользователем.

Класс защищенности системы ЗИ от НСД — 3 в соответствии с РД Гостехкомиссии РФ «Средства ВТ. ЗИ от НСД к информации. Показатели защищенности от НСД к информации».

Класс защищенности для АС — 1 В в соответствии с РД Гостехкомиссии «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ».

Сетевая карта стандарта PCI с установленным Secret Net ROM BIOS обеспечивает идентификацию и аутентификацию пользователей по имени и паролю, вводимых с клавиатуры или по электронным TM-идентификаторам и защиту компьютера от загрузки нештатной ОС с гибких дисков. Дополнительно плата одновременно может использоваться как стандартная сетевая карта Ethernet 10/100. Система сертифицирована на применение в ПЭВМ с классом защиты до 1Б.

Электронный замок «Соболь-PCI» предназначен для защиты ресурсов компьютера от НСД. Электронный замок сертифицирован ФАПСИ РФ, имеет сертификаты № СФ/022−0306 от 10.02.2000 г. и № СФ/527−0553 от 01.07.2002 г. и позволяет защищать информацию, составляющую конфиденциальную или государственную тайну.

Кроме того, «Соболь-PCI» сертифицирован по требованиям РД Гостехкомиссии РФ «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ», имеет сертификат № 457 от 14.05.2001 г. и может использоваться при разработке системы ЗИ для АС с классом защищенности до 1 В включительно.

Действие электронного замка «Соболь-PCI» состоит в проверке персонального идентификатора и пароля пользователя при попытке входа в систему. В случае попытки входа в систему не зарегистрированного пользователя электронный замок «Соболь-PCI» регистрирует попытку НСД и осуществляется аппаратная блокировка до трех устройств.

Электронный замок «Соболь-PCI» обладает следующими возможностями:

• · идентификация и аутентификация пользователей;
• · регистрация попыток доступа к ПЭВМ;
• · запрет загрузки ОС со съемных носителей;
• · контроль целостности программной среды.

Возможности по идентификации и аутентификации пользователей, а также регистрация попыток доступа к ПЭВМ не зависят от типа использующейся ОС.

Для настройки электронного замка «Соболь» администратор имеет возможность:

• · определять минимальную длину пароля пользователя;
• · определять предельное число неудачных входов пользователя;
• · добавлять и удалять пользователей;
• · блокировать работу пользователя на компьютере;
• · создавать резервные копии персональных идентификаторов.

Преимущества:

• · наличие датчика случайных чисел, соответствующий требованиям ФАПСИ;
• · простота установки, настройки и администрирования;
• · современная элементная база, обеспечивающая высокую надежность и долговечность;
• · возможность установки в любой IBM-совместимый персональный компьютер, имеющий свободный разъем стандарта PCI.
• 4. Программно-аппаратные комплексы «Страж NT» (разработчик «Лаборатория испытаний средств и систем информатизации»).

Система ЗИ от НСД «Страж NT 2.0» предназначена для комплексной и многофункциональной защиты информационных ресурсов от НСД при работе в многопользовательских АС на базе ПЭВМ. Система ЗИ от НСД «Страж NТ 2.0» функционирует в среде ОС Windows NT 4.0/2000/XP и устанавливается как на АРМ, так и на рабочих станциях и файл-серверах ЛВС.

Основные функциональные возможности системы ЗИ от НСД «Страж NT 2.0»:

• · вход в систему пользователей только при предъявлении ими специального TM-идентификатора и ввода пароля;
• · избирательное разграничение доступа пользователей к защищаемым ресурсам (дискам, каталогам, файлам и др.);
• · разграничение доступа пользователей к информации различных уровней конфиденциальности в соответствии с имеющимися у них допусками;
• · возможность изменения наименований меток конфиденциальности;
• · управление запуском и поддержка мандатного принципа контроля доступа для DOS-приложений и консольных приложений Win32;
• · управление и настройка механизмов защиты как локально, так и удаленно;
• · упрощенная схема настройки программных средств для работы с защищаемыми ресурсами;
• · регистрация событий безопасности, ведение дополнительных журналов аудита;
• · создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешенных приложений;
• · контроль целостности защищаемых ресурсов, обеспечивающий защиту от несанкционированного внесения изменений в программную среду АС;
• · гарантированная очистка содержимого защищаемых файлов на локальных жестких дисках после их удаления;
• · возможность запуска хранителя экрана, блокировка рабочей станции при удалении USB-ключа или при предъявлении TM-идентификатора;
• · создание и удаление пользователей, добавление и удаление их из группы;
• · наличие средств тестирования работоспособности системы ЗИ;
• · возможность применения шаблонов настроек программных средств.

Преимущества системы ЗИ от НСД «Страж NT 2.0»:

• · простота и понятность процессов установки и настройки системы;
• · независимость от типа файловой системы;
• · полная прозрачность для пользователя, недоступные пользователю ресурсы становятся невидимыми;
• · возможность одновременной работы с документами разных уровней конфиденциальности;
• · гибкая настройка сложных программных комплексов;
• · многоуровневый контроль целостности и автоматическое восстановление системы защиты при сбоях;
• · автоматическая очистка содержимого защищаемых файлов при удалении;
• · отсутствие аппаратной составляющей, что исключает необходимость проведения специальных исследований и проверок после установки средств защиты на ПЭВМ, а также дает возможность применения на ноутбуках.

Класс защищенности системы ЗИ от НСД — 3 в соответствии с РД Гостехкомиссии РФ «Средства ВТ. ЗИ от НСД к информации. Показатели защищенности от НСД к информации».

Класс защищенности для АС — 1Б в соответствии с РД Гостехкомиссии «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ».

АС ОИ должна обеспечивать ЗИ от НСД по классу «1Г» в соответствии с РД Гостехкомиссии РФ «РД. АС. Защита от НСД к информации. Классификация АС и требования по ЗИ».

После исследования программно-аппаратных комплексов ЗИ от НСД решено было выбрать комплекс «Secret Net 4.0» совместно с сетевой картой стандарта PCI с установленным Secret Net ROM BIOS. Данный комплекс устанавливается на ПЭВМ, обрабатывающие конфиденциальную информацию. Система «Secret Net 4.0» соответствует 3 классу защищенности системы ЗИ от НСД в соответствии с РД Гостехкомиссии РФ «Средства ВТ. ЗИ от НСД к информации. Показатели защищенности от НСД к информации» и классу 1Б в соответствии с РД Гостехкомиссии «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ».