Защита кабельной системы сети.
Часто, даже защитив серверы, забывают, что в защите нуждаются и всевозможные провода – кабельная система сети. Причем, нередко приходится опасаться не злоумышленников, а самых обыкновенных уборщиц, которые заслуженно считаются самыми страшными врагами локальных сетей. Лучший вариант защиты кабеля – это короба, но, в принципе, подойдет любой другой способ, позволяющий скрыть и надежно закрепить провода. Впрочем, не стоит упускать из вида и возможность подключения к ним извне для перехвата информации или создания помех, например, посредством разряда тока. Хотя, надо признать, что этот вариант мало распространен и замечен лишь при нарушениях работы крупных фирм – в этих случаях игра с законом стоит свеч. Рассматриваемая фирма является ведущей в своей области, и хотя серьезных конкурентов у предприятия нет, и случаев попыток перехвата информации посредством наводок замечено не было, не стоит этим пренебрегать.
Система охранно-пожарной сигнализации
Охранно-пожарная сигнализация – получение, обработка, передача и представление в заданном виде потребителям при помощи технических средств информации о пожаре или проникновении злоумышленника на охраняемый объект.
Система охранно-пожарной и тревожной сигнализации представляет собой совокупность совместно действующих технических средств обнаружения пожара и попытки проникновения нарушителя на охраняемый объект, сбора и предоставления в заданном виде информации о проникновении (попытке проникновения), а также выдачи сигналов тревоги в дежурную часть органов внутренних дел при разбойном нападении на объект в период его работы.
Уровень безопасности в основном зависит от времени реагирования технических средств охраны (ТСО) на возникающую угрозу. И чем раньше обнаружится возникающая угроза объекту, тем эффективнее ее можно пресечь. Этого можно достичь благодаря правильному выбору и использованию ТСО, а также их оптимальному размещению в охраняемых зонах.
В хранилище данных организации установлена современная система охранно-пожарной сигнализации (ОПС) с автоматическим тушением, соответствующая всем требованиям стандартов, поэтому выбор ОПС рассматриваться не будет.
Программно - аппаратные средства защиты ПД в ИСПДн
Обзор рынка программно - аппаратных средств защиты от НСД
Одним из направлений защиты информации является защита от НСД ресурсов ПК и рабочих станций. При выборе средств защиты необходимо обратить внимание на наличие сертификатов ФСТЭК.
Как правило, средства защиты ПК реализуют:
- контроль целостности информации;
- контроль и разграничение доступа;
- наличие подсистемы аудита;
- возможность шифрования трафика сети;
- дополнительная идентификация пользователей;
- затирание остатков информации в системе.
СЗИ «Страж NT (версия 2.5)»
СЗИ Страж NT предназначена для комплексной и многофункциональной защиты информационных ресурсов от НСД при работе в многопользовательских автоматизированных системах на базе персональных ЭВМ. СЗИ Страж NT версии 2.5 функционирует на компьютерах под управлением операционных систем фирмы Microsoft Windows NT 4.0, Windows 2000, Windows XP, Windows 2003 и устанавливается как на автономных рабочих местах, так и на рабочих станциях и файл-серверах локальной вычислительной сети, а также на кластерных системах.
СЗИ Страж NT представляет собой программный комплекс, включающий в себя следующие компоненты:
- ядро системы защиты;
- устройства для идентификации пользователей;
- программу установки, настройки и снятия СЗИ;
- программу управления СЗИ;
- программу тестирования СЗИ;
- программу настройки маркировки документов;
- программу просмотра журнала печати документов;
- монитор системы защиты информации.
Ядро системы защиты встраивается в ядро операционной системы Windows NT, существенно расширяя и усиливая механизмы защиты ОС. Реализованная в ядре защиты концепция единого диспетчера доступа к защищаемым ресурсам и носителям информации, независимо от типов носителей и файловых систем. К функциям, реализованным в ядре системы защиты, относятся следующие:
- идентификация и аутентификация пользователей при входе в систему по идентификатору и паролю;
- блокировка клавиатуры на время загрузки операционной системы (за исключением администратора безопасности);
- управление запуском всех системных компонентов, включая драйверы, службы и прикладные программы пользователей;
- создание замкнутой программной среды для пользователей;
- перехват всех запросов к ресурсам системы и реализация единого диспетчера доступа;
- дискреционный контроль доступа к ресурсам системы на основе списков управления доступом;
- полнофункциональный мандатный контроль доступа на основе меток конфиденциальности пользователей, защищаемых ресурсов и прикладных программ;
- контроль потоков защищаемой информации;
- блокировка компьютера при изъятии идентификатора (только для USB-идентификаторов);
- автоматическое затирание защищаемых файлов при их удалении;
- затирание файла подкачки страниц при завершении работы;
- контроль целостности постоянных информационных массивов и программного обеспечения;
- регистрация обращений к защищаемым ресурсам;
- регистрация событий входа в систему;
- регистрация выдачи документов на печать;
- автоматическая маркировка документов, выдаваемых на печать;
- защита папки обмена;
- защита ввода-вывода на отчуждаемые носители;
- обеспечение интерфейса с пользователем и программами управления и настройки СЗИ.
В СЗИ Страж NT предусмотрена возможность работы пользователей (в том числе и администратора безопасности) на различных компьютерах с использованием единого идентификатора и пароля для входа. В качестве устройств идентификации пользователя в данной версии могут применяться стандартная 3,5” дискета, устройства iButton (таблетка), USB-ключи eToken R2, eToken Pro, Guardant ID. Устройства идентификации пользователей поставляются по заявке заказчика в комплекте с программным обеспечением СЗИ Страж NT, либо могут приобретаться заказчиком отдельно у производителей и продавцов устройств идентификации.
СЗИ «Страж NT» (версия 2.5) для Windows NT 4.0, 2000, XP, 2003 Server сертифицирована по 3 классу защищенности для СВТ и 2-му уровню контроля отсутствия НДВ.
Аккорд-АМДЗ
СЗИ Аккорд-АМДЗ (аппаратный модуль доверенной загрузки) представляет собой программно-аппаратный комплекс, предназначенный для обеспечения защиты информации от НСД. Он представляет из себя PCI плату (контроллер), подключаемый к компьютеру и комплект устанавливаемого ПО. Данная плата абсолютно независима от ОС, имеет встроенную энергонезависимую ПЗУ, в которой хранится вся необходимая для функционирования информация. Аккорд-АМДЗ имеет возможность обеспечивать идентификацию и аутентификацию (в том числе и при помощи ключей TouchMemory), контроль целостности конфигурации компьютера, журнализацию событий.Комплекс начинает работу сразу после выполнения штатного BIOS компьютера – до загрузки операционной системы, и обеспечивает доверенную загрузку ОС, поддерживающих следующие файловые системы: FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX
Аккорд NT/2000 v. 3.0.
СЗИ НСД "Аккорд-NT/2000" v.3.0 является программной надстройкой над аппаратным модулем и предназначен для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам. Комплекс работает на всей ветви операционных систем (ОС) Microsoft NT +, на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003, и ПО Citrix Metaframe XP, работающем на этих ОС. Комплекс обеспечивает для пользователя "прозрачный" режим работы, при котором он, как правило, не замечает внедренной системы защиты.
Поддерживаемая ОС:
Windows NT, Windows 2000, ХР, 2003, MS Vista
Подсистемы:
- Подсистема управления:
Обеспечивает идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам (дискреционный и мандатный способы), настройка учетной записи пользователей (изменение имени и пароля, задание временных ограничений работы), механизм временной блокировки компьютера, управление потоками информации.
- Подсистема контроля целостности:
В СВТ должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части КСЗ. Программы КСЗ должны выполняться в отдельной части оперативной памяти.
- Подсистема регистрации:
- использование идентификационного и аутентификационного механизма;
- запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);
- создание и уничтожение объекта;
- действия по изменению ПРД.
Комплекс Аккорд входит в состав средств криптографической защиты информации "Верба", "АПДС", "АПДС-В", "АПДС-С".
Аккорд-NT/2000 3.0 соответствует требованиям руководящих документов ФСТЭК по 3 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1В включительно.
КСЗИ «ПАНЦИРЬ-С»
Комплексная система защиты информации «Панцирь-С» предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе сети, а так же для защиты системных ресурсов.
КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС и расширением их функциональных возможностей. КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве). КСЗИ также может использоваться для эффективного противодействия вирусным атакам и вредоносным программам. Система реализована программно, содержит в своем составе клиентскую и серверную части (для реализации АРМа администратора безопасности в составе сети).
Основные механизмы защиты КСЗИ реализованы в виде системных драйверов. Все возможности защиты, предоставляемые КСЗИ, реализованы собственными средствами (не использованы встроенные механизмы ОС).
Основные механизмы защиты, реализованные в КСЗИ «Панцирь-С»:
- Механизм мандатного разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам на жестком диске и на внешних накопителях, позволяющий реализовать управление информационными потоками на основе меток конфиденциальности;
- Механизмы дискреционного разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др., позволяющие реализовать ролевую модель доступа к ресурсам;
- Механизм разделения между пользователями файловых объектов, не разделяемых ОС и приложениями, позволяющий корректно реализовать управление информационными потоками на основе меток конфиденциальности и ролевую модель доступа к ресурсам;
- Механизм включения в разграничительную политику субъекта "процесс", как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты, противодействующий атакам на расширение привилегий, атакам на использование вредоносного кода и ошибок в приложениях;
- Механизм управления подключением (монтированием) устройств с учетом их серийных номеров, позволяющий сформировать объект защиты;
- Механизм обеспечения замкнутости программной среды, позволяющий локализовать среду исполнения для пользователей, в частности противодействующий запуску любых вредоносных программ, в том числе, запускаемых инсайдером (санкционированным пользователем);
- Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ;
- Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);
- Механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль сервисов олицетворения);
- Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию (в том числе и собственно пользователем, ее обрабатывающим - инсайдером), даже при наличии у похитителя ключа шифрования.
Сертификат ФСТЭК России. КСЗИ «ПАНЦИРЬ-С» ДЛЯ ОС WINDOWS 2000/XP/2003 сертифицированная по 4 классу СВТ и 3 уровню контроля НДВ, собственными средствами реализует все технические требования, регламентируемые для АС класса защищенности 1В.
Dallas Lock 7.0
Система Dallas Lock 7.0 представляет собой программное средство защиты от НСД к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов. Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа в среде ОС WINDOWS 2000, XP.
Dallas Lock 7.0 обеспечивает многоуровневую защиту локальных ресурсов компьютера:
- защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через терминальный и сетевой вход;
- разграничение полномочий пользователей по доступу к ресурсам файловой системы;
- защита данных путем преобразования диска (кодирования);
- разграничение доступа при сетевом взаимодействии;
- сетевое администрирование, включая удаленную настройку и просмотр журналов.
СЗИ Dallas Lock 7.0. включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
В электронных журналах фиксируются действия пользователей по работе на компьютере, в том числе в отдельном журнале фиксируются обращения пользователей к локальному и сетевым принтерам. В журнале входов фиксируются все события по входу на защищенный компьютер, в том числе все попытки несанкционированного входа: (попытка входа незарегистрированного пользователя, неправильный ввод пароля, попытка входа в неразрешенное время и др.).
Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход СЗИ, предусмотрены модули для кодирования в «прозрачном» режиме. Данные могут кодироваться с использованием нескольких алгоритмов - по выбору пользователя. Информация кодируется при записи и раскодируется при чтении с носителя. При работе процесс кодирования незаметен для пользователя.
Модули контроля целостности объектов компьютера обеспечивают:
- контроль целостности BIOS;
- контроль целостности Boot сектора;
- контроль целостности CMOS-памяти компьютера;
- контроль целостности MBR;
- контроль целостности файлов и папок при загрузке компьютера;
- контроль целостности файлов при доступе;
- блокировку загрузки компьютера при выявлении изменений;
- блокировку запуска программ при выявлении изменений.
Система позволяет осуществлять удаленное администрирование.
Сертификат соответствия ФСТЭК № 896 удостоверяет, что система защиты информации от несанкционированного доступа Dallas Lock 7.0 является программным средством защиты информации от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением операционных систем семейства MS WINDOWS 2000, WINDOWS XP и соответствует требованиям руководящих документов ФСТЭК России по 3-му уровню контроля отсутствия недекларированных возможностей и 4-му классу защищенности от НСД.
СЗИ «Security Studio»
Система Security Studio предназначена для защиты информации, составляющей коммерческую тайну, и персональных данных.
Достоинства системы Security Studio:
- Соответствие требованиям регулирующих документов
СЗИ Security Studio помогает соответствовать требованиям российских и международных законодательных актов и регулирующих документов по защите конфиденциальной информации, коммерческой тайны и персональных данных.
- Наличие инструментов централизованного управления, мониторинга и аудита
Централизованной управление и мониторинг в режиме реального времени позволяют оперативно выявлять любые инциденты безопасности, возникающие при работе пользователей информационной системы.
- Комплексность решения
Имеющийся набор функций позволяет использовать только Security Studio, вместо нескольких решений от разных производителей.
- Модульная система
Организации различного размера могут построить систему необходимого им уровня защищенности и управляемости, за счет возможности лицензирования подходящих модулей.
Ключевые возможности СЗИ Security Studio:
- Простота внедрения в информационные системы любой сложности;
- Идентификация и аутентификация пользователей, в том числе с использованием электронных идентификаторов eToken;
- Гибкое разграничение прав пользователей, основанное на неиерархических метках конфиденциальности (до 50 меток);
- Всесторонний контроль обращения пользователей с защищаемой информацией;
- Разграничение прав доступа пользователей к любому внутреннему и внешнему устройству;
- Аудит действий пользователей, включая администраторов;
- Контроль целостности среды обработки данных:
- контроль аппаратной конфигурации компьютеров;
- контроль настроек операционной системы и критичных приложений серверов, рабочих станций;
- контроль настроек оборудования Cisco.
- Гарантированное затирание содержимого файлов при их удалении;
- Централизованное управление всеми компонентами системы и мониторинг в режиме реального времени при защите локальных и распределенных сетей.
Для упрощения защиты локальных и распределенных информационных систем централизованное управление Security Studio полностью интегрировано в стандартные средства управления ОС Windows.
Сертификат соответствия ФСТЭК подтверждает соответствие средства защиты информации Security Studio требованиям руководящих документов ФСТЭК России по 4-му уровню контроля на отсутствие недекларированных возможностей и 5-му классу защищенности по СВТ.
Secret Net 5.0-С(сетевой вариант)
СЗИ Secret Net предназначена для обеспечения безопасности информации в локальных сетях, компьютеры в которых могут находиться под управлением различных ОС. Поддерживаемые ОС: Windows NT, Windows 9x, MP-RAS.
Данная СЗИ состоит из трех основных частей:
1. Серверная часть (сервер безопасности) обеспечивает хранение данных, необходимых для работы защитных механизмов системы Secret Net, в центральной базе данных (ЦБД) системы защиты и обслуживает запросы, поступающие от подсистемы управления и клиентов сервера безопасности. Одной из основных функций сервера безопасности является согласование содержимого ЦБД и локальных баз данных (ЛБД) клиентов и агентов.
2. Подсистема управления включает в свой состав программы, позволяющие управлять (в том числе и оперативно) защитными механизмами клиентов сервера безопасности, установленных на рабочих станциях и серверах сети, а также получать и корректировать различную информацию, хранящуюся в ЦБД системы защиты.
3. Клиентская часть обеспечивают необходимую защиту локальных ресурсов рабочей станции или сервера, а также взаимодействие с сервером безопасности, ведение ЛБД. В качестве ЛБД системы защиты могут использоваться как собственные структуры данных системы Secret Net (например, для MS-DOS или Windows 95/98), так и существующие в некоторых операционных системах встроенные базы данных защиты (SAM для Windows NT, Bindery или NDS для Novell Netware).
Подсистемы сервера безопасности:
Ядро сервера безопасности; осуществляет аутентификацию клиентов и программ подсистемы управления. В результате аутентификации для каждого соединения генерируется сеансовый ключ. Дальнейший обмен данными между сервером безопасности и взаимодействующими с ним прикладными программами осуществляется в защищенном виде.
Универсальный интерфейс с СУБД;
Система управления базами данных (СУБД); обеспечивает управление данными, хранящимися в ЦБД системы защиты.
Планировщик задач; обеспечивает периодический запуск различных внешних подсистем сервера, имеющих непосредственный доступ к ЦБД системы защиты, например подсистему анализа защищенности.
Криптографическая подсистема; основу этой подсистемы составляет так называемое криптографическое ядро, включающее менеджер алгоритмов и модули, реализующие различные криптографические алгоритмы (ГОСТ 28147-89, ГОСТ Р34.10, ГОСТ Р34.11).
Коммуникационная подсистема; обеспечивает защищенный обмен данными по протоколам TCP/IP и IPX между сервером безопасности и другими компонентами системы Secret Net, например, с клиентами на рабочих станциях и серверах сети. Весь обмен данными производится в защищенном виде. Передаваемые данные подвергаются сначала имитозащите, потом сжатию, а затем криптографической защите.
Подсистема управления.
Подсистема управления обеспечивает:
• отображение состояния защищаемых рабочих станций и серверов сети;
• оперативное управление защитой рабочих станций и серверов сети;
• ведение ЦБД системы защиты (управление пользователями, настройками компьютеров и т.д.);
• получение справок и отчетов из ЦБД системы защиты.
Клиентская часть.
Аналогичная автономному варианту Secret Net, за тем лишь исключением, что здесь имеются средства взаимодействия с подсистемой управления и серверной частью.
Данная СЗИ является реализацией технологии управления информационной безопасностью “Беркут”, которая предлагает один из возможных путей решения проблемы эффективного управления безопасностью информации в крупной компании.
Среди ее достоинств можно реальную возможность устранения конфликта интересов, т.к. предлагаемая технология распределяет обязанности и ответственность между подразделениями компании таким образом, чтобы устранить существующий конфликт интересов и, в то же время, обеспечить согласованное и взаимосвязанное управление безопасностью ИС компании. Предполагается также некоторое повышение оперативности управления, снижение требований к квалификации администраторов безопасности, в связи с тем, что на администраторов безопасности возлагаются, в основном контрольные и согласующие функции. Учитывается и возможность построения комплексных систем безопасности.
Сертификат соответствия ФСТЭК. Система Secret Net 5.0 - С (сетевой вариант вариант) сертифицирована на соответствие 4-му классу защищенности для СВТ и прошла проверку на отсутствие недекларированных возможностей по 3-му уровню контроля. Может использоваться для защиты информации в ИСПДн до 1 класса включительно.
СЗИ "Блокпост-2000/XP"
Предназначена для защиты от несанкционированного доступа ресурсов рабочей станции в локальной сети, функционирующей под управлением операционных систем MS Windows 2000/XP.
СЗИ "Блокпост - 2000/ XP" v.1.0 дополняет стандартные защитные механизмы операционных систем MS Windows 2000 и Microsoft Windows XP функциями, обеспечивающими:
- идентификацию и аутентификацию пользователей при входе в систему, возможно с поддержкой iButton, если они установлены на ПК;
- дискреционное и мандатное управление доступом пользователей к информационным ресурсам ПК;
- оперативный контроль за работой пользователей ПК путем регистрации событий, связанных с безопасностью информационной системы, с помощью средств просмотра и представления зарегистрированной информации;
- контроль целостности программ, используемых пользователями и ОС;
- возможность создания для любого пользователя замкнутой программной среды (списка разрешенных для запуска программ);
- контроль запуска процессов (создание списка запрещенных для запуска программ);
- простоту управления объектами с помощью механизма шаблонов настроек;
- контроль сетевых подключений с помощью встроенного персонального экрана.
Система защиты информации "Блокпост - 2000/XP" v.1.0 имеет сертификаты ФСТЭК России по 4 классу для СВТ, 3 уровню исследования на НДВ и может использоваться для защиты информации от несанкционированного доступа в АС по классу 1В включительно.
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|