Защита кабельной системы сети.

Часто, даже защитив серверы, забывают, что в защите нуждаются и всевозможные провода – кабельная система сети. Причем, нередко приходится опасаться не злоумышленников, а самых обыкновенных уборщиц, которые заслуженно считаются самыми страшными врагами локальных сетей. Лучший вариант защиты кабеля – это короба, но, в принципе, подойдет любой другой способ, позволяющий скрыть и надежно закрепить провода. Впрочем, не стоит упускать из вида и возможность подключения к ним извне для перехвата информации или создания помех, например, посредством разряда тока. Хотя, надо признать, что этот вариант мало распространен и замечен лишь при нарушениях работы крупных фирм – в этих случаях игра с законом стоит свеч. Рассматриваемая фирма является ведущей в своей области, и хотя серьезных конкурентов у предприятия нет, и случаев попыток перехвата информации посредством наводок замечено не было, не стоит этим пренебрегать.

Система охранно-пожарной сигнализации

Охранно-пожарная сигнализация – получение, обработка, передача и представление в заданном виде потребителям при помощи технических средств информации о пожаре или проникновении злоумышленника на охраняемый объект.

Система охранно-пожарной и тревожной сигнализации представляет собой совокупность совместно действующих технических средств обнаружения пожара и попытки проникновения нарушителя на охраняемый объект, сбора и предоставления в заданном виде информации о проникновении (попытке проникновения), а также выдачи сигналов тревоги в дежурную часть органов внутренних дел при разбойном нападении на объект в период его работы.

Уровень безопасности в основном зависит от времени реагирования технических средств охраны (ТСО) на возникающую угрозу. И чем раньше обнаружится возникающая угроза объекту, тем эффективнее ее можно пресечь. Этого можно достичь благодаря правильному выбору и использованию ТСО, а также их оптимальному размещению в охраняемых зонах.

В хранилище данных организации установлена современная система охранно-пожарной сигнализации (ОПС) с автоматическим тушением, соответствующая всем требованиям стандартов, поэтому выбор ОПС рассматриваться не будет.

Программно - аппаратные средства защиты ПД в ИСПДн

Обзор рынка программно - аппаратных средств защиты от НСД

Одним из направлений защиты информации является защита от НСД ресурсов ПК и рабочих станций. При выборе средств защиты необходимо обратить внимание на наличие сертификатов ФСТЭК.

Как правило, средства защиты ПК реализуют:

- контроль целостности информации;

- контроль и разграничение доступа;

- наличие подсистемы аудита;

- возможность шифрования трафика сети;

- дополнительная идентификация пользователей;

- затирание остатков информации в системе.

СЗИ «Страж NT (версия 2.5)»

СЗИ Страж NT предназначена для комплексной и многофункциональной защиты информационных ресурсов от НСД при работе в многопользовательских автоматизированных системах на базе персональных ЭВМ. СЗИ Страж NT версии 2.5 функционирует на компьютерах под управлением операционных систем фирмы Microsoft Windows NT 4.0, Windows 2000, Windows XP, Windows 2003 и устанавливается как на автономных рабочих местах, так и на рабочих станциях и файл-серверах локальной вычислительной сети, а также на кластерных системах.

СЗИ Страж NT представляет собой программный комплекс, включающий в себя следующие компоненты:

- ядро системы защиты;

- устройства для идентификации пользователей;

- программу установки, настройки и снятия СЗИ;

- программу управления СЗИ;

- программу тестирования СЗИ;

- программу настройки маркировки документов;

- программу просмотра журнала печати документов;

- монитор системы защиты информации.

Ядро системы защиты встраивается в ядро операционной системы Windows NT, существенно расширяя и усиливая механизмы защиты ОС. Реализованная в ядре защиты концепция единого диспетчера доступа к защищаемым ресурсам и носителям информации, независимо от типов носителей и файловых систем. К функциям, реализованным в ядре системы защиты, относятся следующие:

- идентификация и аутентификация пользователей при входе в систему по идентификатору и паролю;

- блокировка клавиатуры на время загрузки операционной системы (за исключением администратора безопасности);

- управление запуском всех системных компонентов, включая драйверы, службы и прикладные программы пользователей;

- создание замкнутой программной среды для пользователей;

- перехват всех запросов к ресурсам системы и реализация единого диспетчера доступа;

- дискреционный контроль доступа к ресурсам системы на основе списков управления доступом;

- полнофункциональный мандатный контроль доступа на основе меток конфиденциальности пользователей, защищаемых ресурсов и прикладных программ;

- контроль потоков защищаемой информации;

- блокировка компьютера при изъятии идентификатора (только для USB-идентификаторов);

- автоматическое затирание защищаемых файлов при их удалении;

- затирание файла подкачки страниц при завершении работы;

- контроль целостности постоянных информационных массивов и программного обеспечения;

- регистрация обращений к защищаемым ресурсам;

- регистрация событий входа в систему;

- регистрация выдачи документов на печать;

- автоматическая маркировка документов, выдаваемых на печать;

- защита папки обмена;

- защита ввода-вывода на отчуждаемые носители;

- обеспечение интерфейса с пользователем и программами управления и настройки СЗИ.

В СЗИ Страж NT предусмотрена возможность работы пользователей (в том числе и администратора безопасности) на различных компьютерах с использованием единого идентификатора и пароля для входа. В качестве устройств идентификации пользователя в данной версии могут применяться стандартная 3,5” дискета, устройства iButton (таблетка), USB-ключи eToken R2, eToken Pro, Guardant ID. Устройства идентификации пользователей поставляются по заявке заказчика в комплекте с программным обеспечением СЗИ Страж NT, либо могут приобретаться заказчиком отдельно у производителей и продавцов устройств идентификации.

СЗИ «Страж NT» (версия 2.5) для Windows NT 4.0, 2000, XP, 2003 Server сертифицирована по 3 классу защищенности для СВТ и 2-му уровню контроля отсутствия НДВ.

Аккорд-АМДЗ

СЗИ Аккорд-АМДЗ (аппаратный модуль доверенной загрузки) представляет собой программно-аппаратный комплекс, предназначенный для обеспечения защиты информации от НСД. Он представляет из себя PCI плату (контроллер), подключаемый к компьютеру и комплект устанавливаемого ПО. Данная плата абсолютно независима от ОС, имеет встроенную энергонезависимую ПЗУ, в которой хранится вся необходимая для функционирования информация. Аккорд-АМДЗ имеет возможность обеспечивать идентификацию и аутентификацию (в том числе и при помощи ключей TouchMemory), контроль целостности конфигурации компьютера, журнализацию событий.Комплекс начинает работу сразу после выполнения штатного BIOS компьютера – до загрузки операционной системы, и обеспечивает доверенную загрузку ОС, поддерживающих следующие файловые системы: FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX

Аккорд NT/2000 v. 3.0.

СЗИ НСД "Аккорд-NT/2000" v.3.0 является программной надстройкой над аппаратным модулем и предназначен для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам. Комплекс работает на всей ветви операционных систем (ОС) Microsoft NT +, на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003, и ПО Citrix Metaframe XP, работающем на этих ОС. Комплекс обеспечивает для пользователя "прозрачный" режим работы, при котором он, как правило, не замечает внедренной системы защиты.

Поддерживаемая ОС:

Windows NT, Windows 2000, ХР, 2003, MS Vista

Подсистемы:

- Подсистема управления:

Обеспечивает идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам (дискреционный и мандатный способы), настройка учетной записи пользователей (изменение имени и пароля, задание временных ограничений работы), механизм временной блокировки компьютера, управление потоками информации.

- Подсистема контроля целостности:

В СВТ должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части КСЗ. Программы КСЗ должны выполняться в отдельной части оперативной памяти.

- Подсистема регистрации:

- использование идентификационного и аутентификационного механизма;

- запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);

- создание и уничтожение объекта;

- действия по изменению ПРД.

Комплекс Аккорд входит в состав средств криптографической защиты информации "Верба", "АПДС", "АПДС-В", "АПДС-С".

Аккорд-NT/2000 3.0 соответствует требованиям руководящих документов ФСТЭК по 3 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1В включительно.

КСЗИ «ПАНЦИРЬ-С»

Комплексная система защиты информации «Панцирь-С» предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе сети, а так же для защиты системных ресурсов.

КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС и расширением их функциональных возможностей. КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве). КСЗИ также может использоваться для эффективного противодействия вирусным атакам и вредоносным программам. Система реализована программно, содержит в своем составе клиентскую и серверную части (для реализации АРМа администратора безопасности в составе сети).

Основные механизмы защиты КСЗИ реализованы в виде системных драйверов. Все возможности защиты, предоставляемые КСЗИ, реализованы собственными средствами (не использованы встроенные механизмы ОС).

Основные механизмы защиты, реализованные в КСЗИ «Панцирь-С»:

- Механизм мандатного разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам на жестком диске и на внешних накопителях, позволяющий реализовать управление информационными потоками на основе меток конфиденциальности;

- Механизмы дискреционного разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др., позволяющие реализовать ролевую модель доступа к ресурсам;

- Механизм разделения между пользователями файловых объектов, не разделяемых ОС и приложениями, позволяющий корректно реализовать управление информационными потоками на основе меток конфиденциальности и ролевую модель доступа к ресурсам;

- Механизм включения в разграничительную политику субъекта "процесс", как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты, противодействующий атакам на расширение привилегий, атакам на использование вредоносного кода и ошибок в приложениях;

- Механизм управления подключением (монтированием) устройств с учетом их серийных номеров, позволяющий сформировать объект защиты;

- Механизм обеспечения замкнутости программной среды, позволяющий локализовать среду исполнения для пользователей, в частности противодействующий запуску любых вредоносных программ, в том числе, запускаемых инсайдером (санкционированным пользователем);

- Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ;

- Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);

- Механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль сервисов олицетворения);

- Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию (в том числе и собственно пользователем, ее обрабатывающим - инсайдером), даже при наличии у похитителя ключа шифрования.

Сертификат ФСТЭК России. КСЗИ «ПАНЦИРЬ-С» ДЛЯ ОС WINDOWS 2000/XP/2003 сертифицированная по 4 классу СВТ и 3 уровню контроля НДВ, собственными средствами реализует все технические требования, регламентируемые для АС класса защищенности 1В.

Dallas Lock 7.0

Система Dallas Lock 7.0 представляет собой программное средство защиты от НСД к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов. Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа в среде ОС WINDOWS 2000, XP.

Dallas Lock 7.0 обеспечивает многоуровневую защиту локальных ресурсов компьютера:

- защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через терминальный и сетевой вход;

- разграничение полномочий пользователей по доступу к ресурсам файловой системы;

- защита данных путем преобразования диска (кодирования);

- разграничение доступа при сетевом взаимодействии;

- сетевое администрирование, включая удаленную настройку и просмотр журналов.

СЗИ Dallas Lock 7.0. включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.

В электронных журналах фиксируются действия пользователей по работе на компьютере, в том числе в отдельном журнале фиксируются обращения пользователей к локальному и сетевым принтерам. В журнале входов фиксируются все события по входу на защищенный компьютер, в том числе все попытки несанкционированного входа: (попытка входа незарегистрированного пользователя, неправильный ввод пароля, попытка входа в неразрешенное время и др.).

Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход СЗИ, предусмотрены модули для кодирования в «прозрачном» режиме. Данные могут кодироваться с использованием нескольких алгоритмов - по выбору пользователя. Информация кодируется при записи и раскодируется при чтении с носителя. При работе процесс кодирования незаметен для пользователя.

Модули контроля целостности объектов компьютера обеспечивают:

- контроль целостности BIOS;

- контроль целостности Boot сектора;

- контроль целостности CMOS-памяти компьютера;

- контроль целостности MBR;

- контроль целостности файлов и папок при загрузке компьютера;

- контроль целостности файлов при доступе;

- блокировку загрузки компьютера при выявлении изменений;

- блокировку запуска программ при выявлении изменений.

Система позволяет осуществлять удаленное администрирование.

Сертификат соответствия ФСТЭК № 896 удостоверяет, что система защиты информации от несанкционированного доступа Dallas Lock 7.0 является программным средством защиты информации от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением операционных систем семейства MS WINDOWS 2000, WINDOWS XP и соответствует требованиям руководящих документов ФСТЭК России по 3-му уровню контроля отсутствия недекларированных возможностей и 4-му классу защищенности от НСД.

СЗИ «Security Studio»

Система Security Studio предназначена для защиты информации, составляющей коммерческую тайну, и персональных данных.

Достоинства системы Security Studio:

- Соответствие требованиям регулирующих документов

СЗИ Security Studio помогает соответствовать требованиям российских и международных законодательных актов и регулирующих документов по защите конфиденциальной информации, коммерческой тайны и персональных данных.

- Наличие инструментов централизованного управления, мониторинга и аудита

Централизованной управление и мониторинг в режиме реального времени позволяют оперативно выявлять любые инциденты безопасности, возникающие при работе пользователей информационной системы.

- Комплексность решения

Имеющийся набор функций позволяет использовать только Security Studio, вместо нескольких решений от разных производителей.

- Модульная система

Организации различного размера могут построить систему необходимого им уровня защищенности и управляемости, за счет возможности лицензирования подходящих модулей.

Ключевые возможности СЗИ Security Studio:

- Простота внедрения в информационные системы любой сложности;

- Идентификация и аутентификация пользователей, в том числе с использованием электронных идентификаторов eToken;

- Гибкое разграничение прав пользователей, основанное на неиерархических метках конфиденциальности (до 50 меток);

- Всесторонний контроль обращения пользователей с защищаемой информацией;

- Разграничение прав доступа пользователей к любому внутреннему и внешнему устройству;

- Аудит действий пользователей, включая администраторов;

- Контроль целостности среды обработки данных:

- контроль аппаратной конфигурации компьютеров;

- контроль настроек операционной системы и критичных приложений серверов, рабочих станций;

- контроль настроек оборудования Cisco.

- Гарантированное затирание содержимого файлов при их удалении;

- Централизованное управление всеми компонентами системы и мониторинг в режиме реального времени при защите локальных и распределенных сетей.

Для упрощения защиты локальных и распределенных информационных систем централизованное управление Security Studio полностью интегрировано в стандартные средства управления ОС Windows.

Сертификат соответствия ФСТЭК подтверждает соответствие средства защиты информации Security Studio требованиям руководящих документов ФСТЭК России по 4-му уровню контроля на отсутствие недекларированных возможностей и 5-му классу защищенности по СВТ.

Secret Net 5.0-С(сетевой вариант)

СЗИ Secret Net предназначена для обеспечения безопасности информации в локальных сетях, компьютеры в которых могут находиться под управлением различных ОС. Поддерживаемые ОС: Windows NT, Windows 9x, MP-RAS.

Данная СЗИ состоит из трех основных частей:

1. Серверная часть (сервер безопасности) обеспечивает хранение данных, необходимых для работы защитных механизмов системы Secret Net, в центральной базе данных (ЦБД) системы защиты и обслуживает запросы, поступающие от подсистемы управления и клиентов сервера безопасности. Одной из основных функций сервера безопасности является согласование содержимого ЦБД и локальных баз данных (ЛБД) клиентов и агентов.

2. Подсистема управления включает в свой состав программы, позволяющие управлять (в том числе и оперативно) защитными механизмами клиентов сервера безопасности, установленных на рабочих станциях и серверах сети, а также получать и корректировать различную информацию, хранящуюся в ЦБД системы защиты.

3. Клиентская часть обеспечивают необходимую защиту локальных ресурсов рабочей станции или сервера, а также взаимодействие с сервером безопасности, ведение ЛБД. В качестве ЛБД системы защиты могут использоваться как собственные структуры данных системы Secret Net (например, для MS-DOS или Windows 95/98), так и существующие в некоторых операционных системах встроенные базы данных защиты (SAM для Windows NT, Bindery или NDS для Novell Netware).

Подсистемы сервера безопасности:

Ядро сервера безопасности; осуществляет аутентификацию клиентов и программ подсистемы управления. В результате аутентификации для каждого соединения генерируется сеансовый ключ. Дальнейший обмен данными между сервером безопасности и взаимодействующими с ним прикладными программами осуществляется в защищенном виде.

Универсальный интерфейс с СУБД;

Система управления базами данных (СУБД); обеспечивает управление данными, хранящимися в ЦБД системы защиты.

Планировщик задач; обеспечивает периодический запуск различных внешних подсистем сервера, имеющих непосредственный доступ к ЦБД системы защиты, например подсистему анализа защищенности.

Криптографическая подсистема; основу этой подсистемы составляет так называемое криптографическое ядро, включающее менеджер алгоритмов и модули, реализующие различные криптографические алгоритмы (ГОСТ 28147-89, ГОСТ Р34.10, ГОСТ Р34.11).

Коммуникационная подсистема; обеспечивает защищенный обмен данными по протоколам TCP/IP и IPX между сервером безопасности и другими компонентами системы Secret Net, например, с клиентами на рабочих станциях и серверах сети. Весь обмен данными производится в защищенном виде. Передаваемые данные подвергаются сначала имитозащите, потом сжатию, а затем криптографической защите.

Подсистема управления.

Подсистема управления обеспечивает:

• отображение состояния защищаемых рабочих станций и серверов сети;

• оперативное управление защитой рабочих станций и серверов сети;

• ведение ЦБД системы защиты (управление пользователями, настройками компьютеров и т.д.);

• получение справок и отчетов из ЦБД системы защиты.

Клиентская часть.

Аналогичная автономному варианту Secret Net, за тем лишь исключением, что здесь имеются средства взаимодействия с подсистемой управления и серверной частью.

Данная СЗИ является реализацией технологии управления информационной безопасностью “Беркут”, которая предлагает один из возможных путей решения проблемы эффективного управления безопасностью информации в крупной компании.

Среди ее достоинств можно реальную возможность устранения конфликта интересов, т.к. предлагаемая технология распределяет обязанности и ответственность между подразделениями компании таким образом, чтобы устранить существующий конфликт интересов и, в то же время, обеспечить согласованное и взаимосвязанное управление безопасностью ИС компании. Предполагается также некоторое повышение оперативности управления, снижение требований к квалификации администраторов безопасности, в связи с тем, что на администраторов безопасности возлагаются, в основном контрольные и согласующие функции. Учитывается и возможность построения комплексных систем безопасности.

Сертификат соответствия ФСТЭК. Система Secret Net 5.0 - С (сетевой вариант вариант) сертифицирована на соответствие 4-му классу защищенности для СВТ и прошла проверку на отсутствие недекларированных возможностей по 3-му уровню контроля. Может использоваться для защиты информации в ИСПДн до 1 класса включительно.

СЗИ "Блокпост-2000/XP"

Предназначена для защиты от несанкционированного доступа ресурсов рабочей станции в локальной сети, функционирующей под управлением операционных систем MS Windows 2000/XP.

СЗИ "Блокпост - 2000/ XP" v.1.0 дополняет стандартные защитные механизмы операционных систем MS Windows 2000 и Microsoft Windows XP функциями, обеспечивающими:

- идентификацию и аутентификацию пользователей при входе в систему, возможно с поддержкой iButton, если они установлены на ПК;

- дискреционное и мандатное управление доступом пользователей к информационным ресурсам ПК;

- оперативный контроль за работой пользователей ПК путем регистрации событий, связанных с безопасностью информационной системы, с помощью средств просмотра и представления зарегистрированной информации;

- контроль целостности программ, используемых пользователями и ОС;

- возможность создания для любого пользователя замкнутой программной среды (списка разрешенных для запуска программ);

- контроль запуска процессов (создание списка запрещенных для запуска программ);

- простоту управления объектами с помощью механизма шаблонов настроек;

- контроль сетевых подключений с помощью встроенного персонального экрана.

Система защиты информации "Блокпост - 2000/XP" v.1.0 имеет сертификаты ФСТЭК России по 4 классу для СВТ, 3 уровню исследования на НДВ и может использоваться для защиты информации от несанкционированного доступа в АС по классу 1В включительно.

Не нашли, что искали? Воспользуйтесь поиском по сайту: