49223

Разработка системы программно-аппаратной защиты автоматизированной системы предприятия от несанкционированного доступа

Курсовая

Информатика, кибернетика и программирование

В данном курсовом проекте рассматривается разработка системы программно-аппаратной защиты автоматизированной системы учреждения администрации края. Это обязанность службы информационной безопасности, которая и рассмотрена в данной курсовой работе

Русский

2014-01-12

750 KB

156 чел.

РЕФЕРАТ

Курсовая работа: 32 с., 5 рис., 5 табл., 8 источников.

ЗАЩИТА ИНФОРМАЦИИ (ЗИ), СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ (СЗИ), ЛОКАЛЬНАЯ ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ (ЛВС), АВТОМАТИЗИРОВАННАЯ СИСТЕМА (АС),  НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД), УЯЗВИМОСТИ, ПОДСИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НСД, ПОЛНОМОЧИЯ ПОЛЬЗОВАТЕЛЕЙ, ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ, АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ, ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ.

НАЗВАНИЕ КУРСОВОЙ РАБОТЫ: «Разработка системы программно-аппаратной защиты автоматизированной системы предприятия от несанкционированного доступа».

ЦЕЛЬ КУРСОВОЙ РАБОТЫ: Обеспечить защиту информации от несанкционированного доступа в автоматизированной системе организации, предприятия или учреждения с помощью программно-аппаратных средств защиты.

       Результатом выполнения курсовой работы явилась разработанная система программно-аппаратной защиты автоматизированной системы предприятия от несанкционированного доступа.

СОДЕРЖАНИЕ

Введение….…………………………………………………………………5

Часть 1. Разработка проекта подсистемы защиты информации от      НСД ……………………………………………...........................................6

1.1 Исходные данные индивидуального задания ………………………..….6

1.2 Определение перечня защищаемых ресурсов и их критичности ...……7

1.3 Описание реализации информационных сервисов…………………….10

1.4 Определение собственной программно- аппаратной организации     информационной системы………………………………………………………11

1.5 Определение класса защищенности АС ………………………………..12

1.6 Классификация ИСПДн …………………………………………………13

1.7 Формирование требований к защищённости АС ………….…………..14

1.6 Модель угроз ………………………………………………………..……16

1.7 Выбор механизмов и средств защиты информации от НСД………….20

Часть 2. Формулирование политики безопасности  подразделений и информационных служб………………..…...….25

2.1 Матрица доступа…………..………………………………..……………25

2.2Результаты исследования защищенности информационных ресурсов.24

Отчёт по результатам тестирования………………………………………...29

     Заключение…………… ……………………………………………………..31

Список используемой литературы…………………..…………………........32


Введение

В настоящее время все большее распространение, как в производстве, так и в документообороте предприятий, находит компьютерная техника, все шире становится перечень охватываемых ею задач. Постоянно растет объем и сложность обрабатываемой информации, требуются все новые виды ее представления.

Вот только некоторые из преимуществ, которые дает использование вычислительной техники при работе организации:

  •  Возможность оперативного контроля над достоверностью информации;
  •  Уменьшение числа возможных ошибок при генерировании производных данных;
  •  Возможность бъыстрого доступа к любым данным;
  •  Возможность быстрого формирования отчетов;
  •  Экономия трудозатрат и затрат времени на обработку информации.

Все эти преимущества в данный момент оценены многими организациями, поэтому сегодня наблюдается процесс бурного развития специализированных информационных систем, а, следовательно, защита АС становится все актуальнее.

В данном курсовом проекте рассматривается разработка системы программно-аппаратной защиты  автоматизированной системы учреждения администрации края. Это обязанность службы информационной безопасности, которая и рассмотрена в данной курсовой работе.


Часть 1.
 Разработка проекта подсистемы защиты информации от НСД

1.1 Исходные данные индивидуального задания

Необходимо разработать проект системы защиты информации от НСД для АС предприятие муниципального подчинения, создаваемой в виде локально-вычислительной сети, компоненты которой внесены в пределы контролируемой зоны.

Все носители имеют одинаковый уровень конфиденциальности.

Все пользователи имеют одинаковый допуск ко всем тематическим разделам информационной базы.

Управление разграничением доступа к ресурсам системы осуществляется с применением программных средств защиты от несанкционированного доступа.

В данной АС реализованы следующие информационные сервисы:

-доступ в АС высшего звена;

-электронная почта;

-вывод документов на печать;

-доступ в БД;

- электронный документооборот;

- обмен файлами;


1.2
Определение перечня защищаемых ресурсов и их критичности

Перед началом осуществления плана по защите данных в АС, представленной в виде ЛВС, следует выделить информационные ресурсы, нуждающиеся в защите и оценить важность защищаемой информации.

Чтобы определить информацию, подлежащую защите в предприятия муниципального подчинения, необходимо обратиться к следующим нормативным документам:

  1.  ФЗ № 149 от  27.07.2006 «Об информации, информационных технологиях и защите информации»;
  2.  ФЗ № 98 от 29.07.2004 «О коммерческой тайне»;
  3.  ФЗ № 152 от 27.07.2006 «О персональных данных»;
  4.  Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями на 23 сентября 2005 г.).

Данные нормативные документы позволяют выделить следующие виды информации предприятия муниципального подчинения, подлежащей защите:

  1.  Общедоступная информация -
    •  открытая информация об организационно-штатной структуре, распорядительные документы (устав, различные положения и т.д.;

2) Персональные данные -

  •  данные руководителей организации и её сотрудников (сведения о судимости, состояние здоровья, опыт работы, профессиональные знания, навыки и умения, деловые связи, вероисповедание, домашний адрес, паспортные данные, семейное положение);

3) Служебная тайна;

4) Коммерческая тайна;

В настоящее время наиболее критичными данными, с точки зрения защиты информации, являются персональные данные. Критичность выделенных данных обусловлена тем, что их разглашение может привести к значительным негативным последствиям для субъектов персональных данных, а также влечет за собой наложение больших штрафов на организацию, методы административного, а иногда и уголовного воздействия.

Приведём подробный перечень защищаемых ресурсов в информационных системах указанного предприятия муниципального подчинения с указанием категорий допуска и допущенных лиц.

Количество пользователей АС:  4 начальника отделов, 2 заместитель, 4 специалистов в каждом отделе.

№ п/п

Защищаемый ресурс

К ресурсу допущены

Полное наименование

Условное обозначение

Категория доступа

1

Рабочее место главного бухгалтера

РМБ1

комерческая тайна

Главный бухгалтер

2

Рабочее место заместителя главного бухгалтера

РМБ2

комерческая тайна

Главный бухгалтер, заместитель главного бухгалтера

3

Рабочее место заместителя главного бухгалтера

РМБ3

комерческая тайна

Главный бухгалтер, заместитель главного бухгалтера

4

Рабочее место бухгалтера

РМБ4-РМБ7

Служебная тайна

Все сотрудники бухгалтерии

5

Рабочее место начальника отдела кадров

РМК1

персональные данные

Начальник отдела кадров

6

Рабочее место заместителя начальника отдела кадров

РМК2

персональные данные

Начальник отдела кадров, заместитель начальника кадров

7

Рабочее место заместителя начальника отдела кадров

РМК3

персональные данные

Начальник отдела кадров, заместитель начальника кадров

8

Рабочее место специалиста отдела кадров

РМК4- РМК7

персональные данные

Все сотрудники отдела кадров

9

Рабочее место начальника юридического отдела

РМЮ1

персональные данные, служебную тайну, комерческую тайну

Начальник юридического отдела

10

Рабочее место заместителя начальника юридического отдела

РМЮ2

персональные данные, служебную тайну, комерческую тайну

Начальник юридического отдела, заместитель начальника юридического отдела

11

Рабочее место заместителя начальника юридического отдела

РМЮ3

персональные данные, служебную тайну, комерческую тайну

Начальник юридического отдела, заместитель начальника юридического отдела

12

Рабочее место специалистов юридического отдела

РМЮ4-РМЮ7

Общедоступная информация

Все сотрудники юридического отдела

12

Рабочее место начальника маркетингового отдела

РММ1

Служебная тайн, комерческая тайна

Начальник маркетингового отдела

13

Рабочее место заместителя начальника маркетингового отдела

РММ2

Служебная тайн, комерческая тайна

Начальник маркетингового отдела, заместитель начальника маркетингового отдела

14

Рабочее место заместителя начальника маркетингового отдела

РММ3

Служебная тайн, комерческая тайна

Начальник маркетингового отдела, заместитель начальника маркетингового отдела

15

Рабочее место сотрудников маркетингового отдела

РММ4-7

Общедоступная информация

Все сотрудники маркетингового отдела

Таблица 1 – Перечень защищаемых ресурсов

1.3 Описание реализации информационных сервисов

    1.Обмен файлами. Реализуется встроенными средствами операционной системы Windows посредством ЛВС. Сетевые папки пользователей хранятся на сервере.

          2. Доступ в АС высшего звена

Реализуется по каналу связи с использованием сервера ЛВС и сетевого экрана.

3. Электронная почта

Реализуется с помощью установленного почтового сервера и почтовой прикладной программой Outlook Express.

4. Вывод документов на печать

Реализуется посредством установки принтеров у начальников отделов и общих принтеров в отделах.

5. Доступ в базы данных

Реализуется с помощью установленного сервера баз данных.

    6. Электронный документооборот реализован с помощью программного комплекса VipNet

1.4 Определение особенностей программно- аппаратной организации информационной системы

Необходимо обеспечивать комплексную защиту всех информационных служб и коммуникационных каналов между ними. Чтобы определить необходимые механизмы безопасности, нужно разработать программно-аппаратную реализацию всех серверов, рабочих мест, каналов связи информационной системы, а также других коммуникационных систем, особенно связанных с элементами информационной системы. Для наглядности составим принципиальную схему программно-аппаратной реализации системы.

Рисунок1-Принципиальная схема программно-аппаратной реализации системы.


1.5 Определение класса защищенности АС

Для того чтобы сформировать набор требований по безопасности, которым должна отвечать АС, необходимо определить ее класс защищенности. Класс защищенности согласно руководящему документу Гостехкомиссии «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации» определяется на основании:

  •  перечня защищаемых ресурсов АС и их уровней конфиденциальности;
  •  перечня лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
  •  матрицы доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
  •  режимов обработки данных в АС.

Определение класса защищенности АС  позволяет сформировать набор требований по безопасности, которые предъявляются к этому классу систем. Эти требования изложены в РД ФСТЭК «Средства вычислительной техники. Защита от НСД. Показатели защищенности от несанкционированного доступа к информации».  Кроме того, на основе класса защищаемой АС  выбираются средства вычислительной техники (СВТ), которые должны иметь соответствующий класс защищенности СВТ. Также необходимо обратить внимание  на то, что в АС обрабатываются персональные данные, следовательно, необходимо определить и класс ИСПДн.


1.6 Классификация ИСПДн

Согласно порядку проведения классификации информационных систем персональных данных, введенному Приказом ФСТЭК России, ФСБ России, Мининформсвязи России N 55/86/20, нам необходимо установить для ИСПДн следующее:

  1.  Определить категорию обрабатываемых персональных данных;
  2.  Определить объем персональных данных, обрабатываемых в информационной системе.

Категория ПДн – 2-я (персональные данные позволяют идентифицировать субъекта персональных).

Объем обрабатываемых ПДн - более 100 000 субъектов.

На основании этого можно сделать вывод, что ИСПДн относиться к классу К2 и требует дополнительной защиты.

Требования к 2 классу ИСПДн:

           -идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов

           -регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного остановка.

     -обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды.


1.7 Формирование требований к защищённости АС

Подсистема управления доступом:

должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Подсистема регистрации и учета:

должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

В параметрах регистрации указываются:

- дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

- результат попытки входа: успешная или неуспешная (при НСД);

- должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).

Подсистема обеспечения целостности:

должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.

При этом:

- целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;

- целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;

- должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

- должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;

- должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление, и контроль работоспособности.


1.8 Модель угроз

Согласно документам ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработки в информационных системах персональных данных» от 15 февраля 2008г. и «Методика определения актуальных угроз безопасности персональных данных при их обработки в информационных системах персональных данных» определим модель угроз для АС и обрабатываемой в ней информации, включая ПДн.

Для определения актуальности угроз необходимо определить исходную степень защищенности ИСПДн.

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению: 

Распределённая ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;

 

 

+

Городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);

 

 

+

корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;

 

+

 

локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;

 

+

 

локальная ИСПДн, развернутая в пределах одного здания.

+

 

 

2. По наличию соединения с сетями общего пользования:

ИСПДн, имеющая многоточечный выход в сеть общего пользования;

 

 

+

ИСПДн, имеющая одноточечный выход в сеть общего пользования;

 

+

 

ИСПДн, физически отделенная от сети общего пользования.

+

 

 

3. По встроенным (легальным) операциям с записями баз персональных данных:

чтение, поиск;

+

 

 

запись, удаление, сортировка;

 

+

 

модификация, передача.

 

 

+

4. По разграничению доступа к персональным данным:

ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн;

 

+

 

ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;

 

 

+

ИСПДн с открытым доступом.

 

 

+

5. По наличию соединений с другими базами ПДн иных ИСПДн: 

интегрированная ИСПДн (организация использует несколько баз ПДнИСПДн, при этом организация не является владельцем всех используемых баз ПДн);

 

 

+

ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной ИСПДн.

+

 

 

6. По уровню (обезличивания) ПДн: 

ИСПДн в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);

+

 

 

ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;

 

+

 

ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн).

 

 

+

7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:

ИСПДн, предоставляющая всю БД с ПДн;

 

 

+

ИСПДн, предоставляющая часть ПДн;

 

+

 

ИСПДн, не предоставляющие никакой информации.

+

 

 

Процент правильных ответов

57,2%

14,3%

28.5%

ИСПДн имеет высокий (0) уровень исходной защищенности

57,2%(70%)

5

ИСПДн имеет средний (5) уровень исходной защищенности

71.5%(70%)

ИСПДн имеет низкую (10) степень исходной защищенности

Иначе

Таблица 2 – Определение исходной степени защищенности ИСПДн

Далее в таблице представлены актуальные угрозы.

По документу ФСТЭК России:
"БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ"

Вводим для расчёта

Актуальность угрозы

Промежуточные расчёты

Опасность

(ущерб)

Вероятность

Y2

Y = (Y1+Y2)/20

Возм. реал.угрозы

Угрозы утечки информации по техническим каналам

 

 

 

угрозы утечки видовой информации

5

2

1

0,35

Средняя

Просмотр (регистрация) ПДн непосредственно в служебных помещениях [с экранов дисплеев и других средств отображения графической, видео- и буквенно-цифровой информации]

5

2

1

0,35

Средняя

Просмотр (регистрация) ПДн на расстоянии прямой видимости из-за пределов служебных помещений с использованием оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации.

5

0

1

0,25

Средняя

Просмотр (регистрация) ПДн с помощью специальных электронных устройств съема, внедренных в служебных помещениях (видеозакладки) или скрытно используемых физическими лицами при посещении ими служебных помещений.

5

0

1

0,25

Средняя

Угрозы НСД к персональным данным

 

 

 

 

 

Разглашение паролей BIOS или дополнительных аппаратных средств аутентификации, например, записывание в доступном для нарушителя месте (на бумаге, клавиатуре и т.п.)

5

5

1

0,5

Средняя

Угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей тнформации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.)

5

5

1

0,5

Средняя

Предоставление пользователям прав доступа (в том числе по видам доступа) к ПДн и другим ресурсам ИСПДнсверх необходимого для работы

2

10

1

0,75

Высокая

Неумышленная (случайная) отправка ПДн по ошибочным адресам электронной почты

5

2

1

0,35

Средняя

Преднамеренное копирование доступных ПДн на неучтённые (в том числе отчуждаемые) носители в том числе печать неучтённых копий документов с ПДн на принтерах

5

2

1

0,35

Средняя

Неумышленное (случайное) добавление (фальсификация) ПДн

5

2

1

0,35

Средняя

Неумышленное (случайное) уничтожение доступных ПДн (записей, файлов, форматирование диска)

 2

10 

 1

0,25

Высокая

Преднамеренное уничтожение доступных ПДн (записей, файлов, форматирование диска)

10

2

1

0,35

Средняя

Оставление без присмотра незаблокированных рабочих станций

2

10

1

0,75

Высокая

Подкючение к ИСПДн стороннего оборудования (компьютеров, дисков и иных устройств, в том числе имеющих выход в беспроводные сети связи)

5

5

 1

0,5

Средняя

Использование оборудования, оставленного без присмотра, незаблокированных рабочих станций, использование чужих имён и паролей

5

2

1

0,35

Средняя

угрозы внедрения вредоносных программ

5

10

1

0,75

Высокая

Угрозы удаленного доступа

 

 

 

 

 

угрозы "анализа сетевого трафика" с перехватом информации, передаваемой по локальной сети, а также во внешние сети и принимаемой из внешних сетей

5

5

1

0,5

Средняя

Использование возможностей удаленного управления системой.
Использование скрытых компонентов ("троянских" программ) либо штатных средств управления и администрирования компьютерных сетей

5

2

1

0,35

Средняя

Применение методов социальной инженерии (мошенничество, обман, фишинг)

5

5

1

0,5

Средняя

(IP-spoofing)
Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа

5

2

1

0,35

Средняя

установка вредоносной программы для перехвата пароля

5

2

1

0,35

Средняя

угрозы, реализуемые при обслуживании технических и программных средств ИСПДн и средств защиты

 

 

 

 

 

Ошибки при обслуживании серверного оборудования и проведении операций по обслуживанию прикладных систем, либо при проведении установочных работ

5

2

1

0,35

Средняя

Физическое копирование носителей с ПДн

5

2

1

0,35

Средняя

Хищение, утрата резервных копий носителей ПДн

5

2

1

0,35

Средняя

Нарушение порядка резервного копирования ПДн

5

2

1

0,35

Средняя

Доступ к информации ИСПДн, выходящей за пределы контролируемой зоны вследствие списания (утилизации) носителей информации, содержащих ПДн

5

2

1

0,35

Средняя

игнорирование организационных ограничений (установленных правил) при работе с ресурсами АСЗИ, включая средства защиты информации:

5

20

1

1,25

Очень высокая

нарушение правил хранения информации ограниченного доступа, используемой при эксплуатации средств защиты информации(в частности, ключевой, парольной и аутентифицирующей информации);

5

20

1

1,25

Очень высокая

несообщение о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа.

5

10

1

0,75

Высокая

Таблица 3 – Модель актуальных угроз для ИСПДн


1.9 Выбор механизмов и средств защиты информации от НСД

В процессе проектирования аппаратно-программного комплекса защиты информации (АПКЗИ) решается задача создания оптимальных для защищаемой автоматизированной информационной системы (АИС) механизмов защиты, средств управления ими и механизмов общей организации работы АПКЗИ, предназначенных для обеспечения эффективного взаимодействия и координации работы всех компонентов защиты.

На выбор общей структуры АПКЗИ наибольшее влияние оказывают следующие факторы:

  •  требования по защищенности;
  •  общая структура защищаемой АИС;
  •  перечень угроз;
  •  модель нарушителя.

Основу любой СЗИ составляет совокупность некоторых механизмов защиты информации, которые можно выделить на основе различных критериев. Обычно выделяют следующие механизмы (или службы безопасности):

  •  идентификацию и аутентификацию;
  •  управление доступом;
  •  протоколирование и аудит;
  •  криптографию;
  •  экранирование.

Выбор способа реализации механизмов защиты информации и решения задач защиты заключается в выборе типа средств, которые планируется использовать для решения каждого из механизмов:

  •  организационные;
  •  инженерно-технические (физические);
  •  программно-технические;
  •  криптографические.

Задачей распределения механизмов защиты по компонентам является построение экономичной и эффективной системы защиты информации.

В качестве подсистемы защиты от НСД принято решение использовать СЗИ НСД SecretNet 6 (автономный) в сочетании с eToken PRO для надежной идентификации и аутентификации пользователей и ПО eToken PKI Client 5.1 для работы с eToken.

В качестве криптошлюза для шифрования трафика в данной АС было принято решение использовать VipNet Custom 3.0. Так же данное средство поддерживает инфраструктуру открытых ключей(PKI) для обеспечения юридически значимого ЭД(ФСТЭК России №1549 на соответствие оценочному уровню доверия ОУД 4+, требованиям к межсетевым экранам по 3 классу защищенности, 3 уровню контроля НДВ и возможность использования для создания автоматизированных систем до класса 1В включительно).

В качестве подсистемы антивирусной защиты принято решение использовать на серверах Антивирус Касперского 6.0 для Windows Servers, на рабочих станциях – Антивирус Касперского 6.0 для Windows Workstations. На сервере контроллере домена стоит сервер обновлений баз данных Антивируса Касперского и утилита Kaspersky Administration Kit, позволяющая централизованно управлять антивирусной защитой серверах и рабочих станций.

В качестве средств межсетевого экранирования предполагается поставить пограничных сервер, на котором необходимо поднять Microsoft ISA Server, на рабочих станциях – персональные программные межсетевые экраны (файерволы) Security Studio Endpoint Protection 6 (SSEP 6).

Подсистема резервного копирования: необходимо поставить сервер резервного копирования.

Требование

Средство защиты

 

Secret Net 6.0

ISA

SSEP 6

Антивирус Касперского 6.0

VipNet Custom

Резервирование

Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:

а) управление доступом:

- идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов;

+

б) регистрация и учет:

- регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова.

В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;

+

- учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);

+

в) обеспечение целостности:

- обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

+

- периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;

Организационные меры

- наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.

+

+

антивирусная защита

+

шифрование трафика, выходящего за пределы КЗ

+

Безопасное межсетевое взаимодействие для информационных систем 2 класса при их подключении к сетям международного информационного обмена достигается путем применения средств межсетевого экранирования, которые обеспечивают:

- фильтрацию на сетевом уровне независимо для каждого сетевого пакета (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

+

+

- фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

+

+

- фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;

+

- фильтрацию с учетом любых значимых полей сетевых пакетов; регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);

+

- идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;

+

+

- регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

+

+

- регистрацию запуска программ и процессов (заданий, задач); контроль целостности своей программной и информационной части; восстановление свойств межсетевого экрана после сбоев и отказов оборудования;

+

+

- регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

+

+

Таблица 4 – Соответствие СЗИ требованиям по безопасности

Где:1-SecretNet

     2-VipNetCustom 3.0

     3-ISA(Средство межсетевого экранирования для серверов)

     4-SSEP 6(Межсетевой экран)

5-Антивирус Касперского 6.0

Рисунок 2 – Схема защищённой сети
Часть 2. Формулирование политики безопасности   подразделений  и информационных служб

  1.  Матрица доступа

На основе разработанной политики безопасности составим дискреционною  модель разграничения доступа, которая будет являться базой формирования правил разграничения доступа и выбора конкретных средств защиты информации.

п.п.

Должностные лица, допущенные к защищаемым ресурсам ОВТ

АРМ должностного лица

Защищаемый ресурс

Наименование ресурса

Разрешенные виды доступа

1.

2

3

4

5

  1.  

Главный бухгалтер

РМБ 1

  •  Папка «Документы начальника бухгалтерии»
  •  Папка «Документы зам. начальник бухгалтерии»
  •  Папка «Бухгалтерия»
  •  Папки подчиненных
  •  Папка «Общие документы»
  •  RWDX
  •  RWX
  •  RWDX
  •  RWDX
  •  RWDX
  1.  

Заместитель главного бухгалтера

РМБ 2-3

  •  Папка «Документы зам.начальника бухгалтерии»
  •  Папка «Бухгалтерии»
  •  Папки подчиненных
  •  Папка «Общие документы»
  •  RWDX
  •  RWDX
  •  RWX
  •  RWDX
  1.  

Бухгалтер

РМБ 4

  •  Папка «Бухгалтерия»
  •  Папка «Бухгалтер_1»
  •  Папка «Общие документы»
  •  RWDX
  •  RWDX
  •  RWDX
  1.  

Бухгалтер

РМБ 5

  •  Папка «Бухгалтерия»
  •  Папка «Бухгалтер_2»
  •  Папка «Общие документы»
  •  RWDX
  •  RWDX
  •  RWDX
  1.  

Бухгалтер

РМБ 6

  •  Папка «Бухгалтерия»
  •  Папка «Бухгалтер_3»
  •  Папка «Общие документы»
  •  RWDX
  •  RWDX
  •  RWDX
  1.  

Бухгалтер

РМБ 7

  •  Папка «Бухгалтерия»
  •  Папка «Бухгалтер_4»
  •  Папка «Общие документы»
  •  RWDX
  •  RWDX
  •  RWDX
  1.  

Начальник отдела кадров

РМК 1

  •  Папка «Документы начальника отдела кадров»
  •  Папка «Документы заместителя начальника отдела кадров»
  •  Папка «Документы отдела кадров»
  •  Папки подчиненных
  •  Папка «Общие документы»
  •  RWDX
  •  RWX
  •  RWDX
  •  RWX
  •  RWDX
  1.  

Заместитель начальника отдела кадров

РМК 2-3

  •  Папка «Документы заместителя начальника отдела кадров»
  •  Папка «Документы отдела кадров»
  •  Папки подчиненных
  •  Папка «Общие документы»
  •  RWDX
  •  RWX
  •  RWX
  •  RWDX
  1.  

Специалист отдела кадров

РМК 4

  •  Папка «Документы отдела кадров»
  •  Папка «Документы К1»
  •  Папка «Общие документы»
  •  RWDX
  •  RWX
  •  RWDX
  1.  

Специалист отдела кадров

РМК 5

  •  Папка «Документы отдела кадров»
  •  Папка «Документы К2»
  •  Папка «Общие документы»
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Специалист отдела кадров

РМК 6

  •  Папка «Документы отдела кадров»
  •  Папка «Документы К3»
  •  Папка «Общие документы»
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Специалист отдела кадров

РМК 7

  •  Папка «Документы отдела кадров»
  •  Папка «Документы К4»
  •  Папка «Общие документы»
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Начальник юридического отдела

РМЮ 1

  •  Папка «Документы начальника юридического отдела»
  •  Папка «Документы заместителя начальника юридического отдела»
  •  Папка «Документы юридического отдела»
  •  Папки подчиненных
  •  Папка «Общие документы»
  •  RWDX
  •  RWX
  •  RWDX
  •  RWX
  •  RWDX
  1.  

Заместитель начальника юридического отдела

РМЮ 2-3

  •  Папка «Документы заместителя начальника юридического отдела»
  •  Папка «Документы юридического отдела»
  •  Папки подчиненных
  •  Папка «Общие документы»
  •  RWDX
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Специалист юридического отдела

РМЮ 4

  •  Папка «Документы юридического отдела»
  •  Папка «Документы Ю1»
  •  Папка «Общие документы»
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Специалист юридического отдела

РМЮ 5

  •  Папка «Документы юридического отдела»
  •  Папка «Документы Ю2»
  •  Папка «Общие документы»
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Специалист юридического отдела

РМЮ 6

  •  Папка «Документы юридического отдела»
  •  Папка «Документы Ю3»
  •  Папка «Общие документы»
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Специалист юридического отдела

РМЮ 7

  •  Папка «Документы юридического отдела»
  •  Папка «Документы Ю4»
  •  Папка «Общие документы»
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Начальник отдела маркетинга

РММ1

  •  папка «Документы начальника отдела маркетинга»
  •  Папка «Документы заместителя начальника отдела маркетинга»
  •  Папка «Документы отдела маркетинга
  •  Папки подчиненных
  •  Папка «Общие документы»
  •  RWDX
  •  RWX
  •  RWDX
  •  RWX
  •  RWDX
  1.  

Заместитель начальника отдела маркетинга

РММ2-3

  •  Папка «Документы заместителя начальника отдела маркетинга»
  •  Папка «Документы отдела маркетинга»
  •  Папки подчиненных
  •  Папка «Общие документы
  •  RWDX
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Специалист отдела маркетинга

РММ 4

  •  Папка «Документы отдела маркетинга»
  •  Папка «Документы М4»
  •  Папка «Общие документы
  •  RWDX
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Специалист отдела маркетинга

РММ 5

  •  Папка «Документы отдела маркетинга»
  •  Папка «Документы М5»
  •  Папка «Общие документы
  •  RWDX
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Специалист отдела маркетинга

РММ 6

  •  Папка «Документы отдела маркетинга»
  •  Папка «Документы М6»
  •  Папка «Общие документы
  •  RWDX
  •  RWX
  •  RWDX
  •  RWDX
  1.  

Специалист отдела маркетинга

РММ 7

  •  Папка «Документы отдела маркетинга»
  •  Папка «Документы М7»
  •  Папка «Общие документы
  •  RWDX
  •  RWX
  •  RWDX
  •  RWDX

Таблица 5 – Матрица доступа


2.2 Результаты исследования защищенности информационных ресурсов

На данном этапе необходимо произвести следующие действия:

– с помощью анализатора уязвимостей «Ревизор 2 XP» сравнить данные, полученные сканированием структуры объектов доступа с данными, указанными в описании модели разграничения доступа пользователей;

– запланировать тестирование, выбрав необходимые параметры тестирования;

– проверить установленные в системе разграничения доступа полномочий пользователей по доступу к объектам на соответствие установленным правам доступа;

– проверить реальное предоставление пользователям системой защиты информации полномочий по доступу к объектам в соответствии с установленной моделью разграничения доступа.

Возьмём отдел бухгалтерии.

Рисунок 3 – разграничение прав доступа для бухгалтера_1

Рисунок 4 – разграничение прав доступа для бухгалтера_2

Рисунок 5 – разграничение прав доступа для заместителя главного бухгалтера

Далее представлены отчеты по результатам сравнения.

Отчет по результатам тестирования

Рисунок 6 – отчёт по результатам тестирования для первого бухгалтера

Пользователь: Бухгалтер_1

Время проведения тестирования: 10.05.2012 22:45:50

Невыполненные запреты

Чтение  (Отсутствуют)

Запись  (Отсутствуют)

Удаление  (Отсутствуют)

Создание  (Отсутствуют)

Исполнение (Отсутствуют)

Невыполненные разрешения

Чтение  (Отсутствуют)

Запись  (Отсутствуют)

Удаление  (Отсутствуют)

Создание  (Отсутствуют)

Исполнение (Отсутствуют)

Отчет по результатам тестирования

Пользователь: Бухгалтер_2

Время проведения тестирования: 10.05.2012 22:57:13

Невыполненные запреты

Чтение  (Отсутствуют)

Запись  (Отсутствуют)

Удаление  (Отсутствуют)

Создание  (Отсутствуют)

Исполнение (Отсутствуют)

Невыполненные разрешения

Чтение  (Отсутствуют)

Запись  (Отсутствуют)

Удаление  (Отсутствуют)

Создание  (Отсутствуют)

Исполнение (Отсутствуют)

Отчет по результатам тестирования

Пользователь: Заместитель главного бухгалтера

Время проведения тестирования: 10.05.2012 23:09:49

Невыполненные запреты

Чтение  (Отсутствуют)

Запись  (Отсутствуют)

Удаление  (Отсутствуют)

Создание  (Отсутствуют)

Исполнение (Отсутствуют)

Невыполненные разрешения

Чтение  (Отсутствуют)

Запись  (Отсутствуют)

Удаление  (Отсутствуют)

Создание  (Отсутствуют)

Исполнение (Отсутствуют)

Таким образом, имеется полное соответствие модели правил разграничения доступа (ПРД) с реализованными ПРД.


Заключение

В результате выполнения курсового проекта был разработан проект системы защиты информации от несанкционированного доступа для автоматизированной системы учреждения администрации края, созданной в виде локально - вычислительной сети, соединённых каналами передачи данных общедоступного пользования, ЭВМ которой находятся в пределах контролируемой зоны.

Все зарегистрированные пользователи имеют одинаковые полномочия по уровню допуска к АС, но различные уровни доступа к разделам информационной базы данных.

Управление разграничением доступом к ресурсам системы осуществляется на основе механизмов сетевой операционной системы.

Курсовое проектирование  закрепило, углубило и обобщило знания, полученных  в процессе изучения лекционного курса по дисциплине    "Программно – аппаратная защита информации", а также умений и навыков, полученных при выполнении практических и лабораторных работ, и применению этих знаний, умений и навыков к решению конкретных инженерных задач, развитию навыков работы со специальной литературой и навыков инженерного проектирования.


Список используемой литературы

  1.  Хализев В. Н.  Программно-аппаратная защита информации. Методические указания, Краснодар, М:.КубГТУ, 2008 г;
  2.  Девянин П.Н. «Модели безопасности компьютерных систем» М.: Цифровая Академия – 2008 г.
  3.  Безбогов А. А., Яковлев А. В., Шамкин В. Н. «Методы и средства защиты компьютерной информации» М.: Тамбов ТГТУ – 2006 г.
  4.  Малюк А.А. «Информационная безопасность: концептуальные и методологические основы защиты информации» М.:  Вега 2008 г.
  5.  Биячуев Т. А. «Безопасность корпоративных сетей», М.:  ИТМО, 2007 г.;
  6.  Завгородний В. И. «Комплексная защита информации в компьютерных системах», М.:  Логос, 2007 г.;

Список использованных электронных ресурсов:

  1.  ФСТЭК России – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. [Электронный ресурс]. Последнее обращение [10.05.2012 – 15:47] – Режим доступа:  http://www.fstec.ru/_razd/_isp0o.htm
  2.  ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. [Электронный ресурс]. Последнее обращение [10.05.2012 – 16:20] – Режим доступа:  http://www.fstec.ru/_razd/_isp0o.htm


 

А также другие работы, которые могут Вас заинтересовать

65766. Філософія Стародавнього Китаю (філософські погляди Лао-Цзи, школа «Фацзя». Філософія Конфуція) 40 KB
  Загальновідомим є те, що Конфуцій не звертав уваги на вивчення та розробку загальнотеоретичних проблем, він не створив філософської системи крайнього спрямування. Всю свою увагу він зосередив на питаннях етики, бо цього вимагали історичні умови того часу, соціальний інтерес.
65768. Основные функции маркетинга 18.62 KB
  В исследовании маркетинга выделяют три возможных подхода: институциональнораспределительный функциональный и концептуально-управленческий.Функции маркетинга выделяются в зависимости от видов маркетинговой деятельности: исследование рынка сбытовая функция...
65769. Чрезвычайные ситуации техногенного характера и защита населения от их последствий 28.62 KB
  В зависимости от масштаба чрезвычайные происшествия ЧП делятся на аварии при которых наблюдаются разрушения технических систем сооружений транспортных средств но нет человеческих жертв и катастрофы при которых наблюдается не только разрушение материальных ценностей но и гибель людей.
65770. Славяне и тюрки. Присоединение к России среднего и нижнего Поволжья и Приуралья 35 KB
  Тюрки вторая по численности народность России после славян. в России проживало 11 млн. Однако по официальным источникам мусульмане чью основную массу составляют тюрки составляют 20 населения России.
65771. Фазы национального движения и национальный вопрос в программах и деятельности политических партий Украины и Белоруссии 19.61 KB
  В ходе третьей фазы обретала жизнь завершенная социальная структура и движение подразделялось на консервативно-клерикальное либеральное и демократическое крылья каждое из которых имело свою собственную программу Либеральные и консервативные партии...
65773. Современная концепция маркетинга 69.59 KB
  В настоящее время в теории маркетинга выделяют 5 концептуальных подходов к его организации. Концепция чистого маркетинга может быть кратко охарактеризована девизом Производить то что продается а не продавать то что производится.