Описание разработанной системы безопасности ас ои

Проанализировав состояние защищенности существующей АС, рекомендуется решение задачи совершенствования системы ЗИ с помощью внедрения следующих средств ЗИ в АС ОИ (рис. 3.8).

Внедрение средства управления обновлениями ПО АС, например Microsoft Software Update Services, которое позволяет уменьшить объем Internet-трафика ОИ в целом, поскольку становится возможной организация и контроль необходимых обновлений ПО АС ОИ с выделенного внутреннего сервера. При этом ОИ получает следующие преимущества:

• · уменьшаются расходы по оплате трафика;
• · увеличивается надежность функционирования ПО АС;
• · уменьшается время на техническую поддержку и сопровождение ПО АС;
• · повышается защищенность АС в целом в связи с уменьшением количества инцидентов, связанных с вирусами.

Для ЗИ от НСД решено было выбрать комплекс «Secret Net 4.0» совместно с сетевой картой стандарта PCI с установленным Secret Net ROM BIOS. Появление комплекса как средства контроля доступа обусловлено необходимостью регламентировать доступ множества пользователей к приложениям и информационным ресурсам ОИ, а также осуществлять аутентификацию пользователей и процессов.

В качестве СКЗИ решено было выбрать комплекс «Крипто-Про 2.0» как решение задачи защиты содержимого конфиденциальных документов от НСД и обеспечения проверки целостности и авторства электронного документа. Кроме этого СКЗИ используется АС в качестве модуля для системы подготовки и представления отчетности «Контур-Экстерн» и для средства организации виртуальных частных сетей «Континент-К».

В качестве средства для подготовки и представления отчетности решено было выбрать АС «Контур-Экстерн» как решение по передаче налоговой и бухгалтерской отчетности через Internet. Реализация всей работы пользователя через веб-интерфейс на сервере системы позволяет полностью избавиться от необходимости обновления клиентского ПО при изменениях в законодательстве, кардинально снижая, тем самым, себестоимость технической поддержки системы.

В качестве средства электронной почты решено было выбрать комплекс «Lotus Domino/Notes 6.0»:

• · Lotus Domino 6.0 — серверная часть;
• · Lotus Notes 6.0 — клиентская часть.

Интеграция с сервером Lotus Domino делает клиента обмена сообщениями и сотрудничества Notes одним из самых надежных среди доступных клиентов. Административные возможности комплекса «Lotus Domino/Notes 6.0», основанные на политиках, и централизованное управление настройками клиентов с сервера способствуют повышению продуктивности работы пользователей, работы с удобствами и сокращения затрат на администрирование.

Подключение к сети Internet осуществляется по выделенной коммутируемой линии посредством DSL-модема через маршрутизатор Cisco 1721. При работе в сети Internet используются следующие сервисы и службы:

• · HTTP;
• · FTP;
• · POP3/SMTP.

Остальные сервисы блокируются маршрутизатором. Фильтрация пакетов осуществляется маршрутизатором по IP-адресам. Таким образом, маршрутизатор выполняет функции межсетевого экрана. Маршрутизатор обеспечивает потребности ОИ в безопасном доступе к виртуальным частным сетям с шифрованием трафика и сети Internet. Кроме этого маршрутизатор Cisco 1721 оптимизирован для передачи голоса и факсимильных сообщений.

В качестве средства организации виртуальных частных сетей решено было выбрать аппаратно-программный комплекс «Континент-К»:

• · криптошлюз «Континент-К» с центром управления сетью;
• · сервер доступа;
• · абонентский пункт с программой управления сетью;

Аппаратно-программный комплекс «Континент-К» позволяет создавать виртуальные частные сети, обладающие большими возможностями в конфигурировании и управлении. При помощи комплекса реализуются функции передачи шифрованного трафика через сеть общего пользования, защиты ЛВС от проникновения извне, сокрытия внутренней структуры сети, работы по открытым каналам с внешними ресурсами, создания параллельных сетей в пределах одной VPN, защищенного управления удаленными маршрутизаторами. Эти возможности делают комплекс удобным и эффективным инструментом создания VPN.

В качестве комплекса антивирусных средств ЗИ решено было выбрать комплекс «Dr.Web»:

• · антивирус «Dr. Web» для защиты файловых серверов Novell Netware;
• · антивирус «Dr. Web» для рабочих станций Windows 95/98/ME/NT/2000/XP;
• · антивирус «Antigen» для Lotus Domino;
• · антивирус «Dr. Web» для Internet-шлюзов.

Разграничение прав доступа к информационным ресурсам реализуется штатными средствами ОС и СУБД с помощью политик групп пользователей в соответствии с «Матрицей прав доступа сотрудников ОИ к защищаемой информации» (Приложение 4). Разделение на группы производится согласно служебным обязанностям. На ОИ выделены следующие группы пользователей:

• · администрация;
• · бухгалтерия;
• · экономисты;
• · юридическая группа;
• · расчетная группа и сотрудники контрольно-ревизионного отдела;
• · служба безопасности;
• · программисты и сотрудники отдела информационных технологий;
• · сотрудники информационного пункта;
• · сотрудники отдела управления персоналом;
• · сотрудники маркетингового отдела и отдела услуг;
• · сотрудники участка сортировки и участка распространения;
• · группа эксплуатации;
• · прочие.

Рис. 3.8 Структурная схема системы безопасности АС ОИ

Оценим эффективность внедряемой системы защиты. Для этого проведем анализ информационных рисков системы безопасности АС ОИ (табл. 3.1).

Таблица 3.1.

Оценка информационных рисков системы безопасности АС ОИ.

Сравним информационные риски существующей АС ОИ и АС ОИ с внедренной системой безопасности (рис. 3.9). Целесообразность применения системы безопасности АС ОИ заключается в снижении информационных рисков в целом в 2 раза (рис. 3.10).

Рис. 3.9 Сравнительная диаграмма информационных рисков

Рис. 3.10 Сравнительная диаграмма информационных рисков в целом