Практическое применение методов и средств сетевой безопасности

Программно-технические средства в сетях

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Все средства защиты информации от несанкционированного доступа можно подразделять на следующие группы:

- Технические (аппаратные) средства и системы независящие от объекта защиты, т.е. помещения, места расположения, рабочей станции и т.д.

- Программно-аппаратные средства и системы, выполненные как отдельное устройство функционирующие совместно с объектом защиты в определенной последовательности в соответствии с выполнением программного алгоритма

- Программные средства или системы (программы работы с BIOS, программные файерволы, антивирусные средства и т.д.) установленные на рабочей станции и функционирующие в соответствии с выполнением собственных алгоритмов

Системы защиты информации при администрировании можно разделить следующим образом:

- Разграничение доступа к объекту защиты выполняется с применением идентификации (ввод имени пользователя, использования ключа доступа - дискеты, eToken-ключи, другие внешние аппаратных устройств);

- Аутентификация пользователя при доступе к защищаемой информации;

- Аудит доступа, ведение списка пользователей, блокирование доступа;

- Контроль целостности как папок и файлов, так и секторов и дисков;

- Аудит контроля целостности;

- Запрет и аудит загрузки с внешних или съемных носителей;

- Средство безопасной аутентификации eToken;

- Система защиты электронный замок «Соболь»;

- Система защиты информации «Страж NT»;

- Система защиты информации «SecretNet»;

- Система защиты информации «Электронный замок «eLock»;

- Система защиты информации «DallasLock»;

Средство безопасной аутентификации eToken. Для государственных и коммерческих организаций сохранение конфиденциальной информации является одной из приоритетных задач. Организация эффективного и защищенного доступа к информационным ресурсам является сложной задачей. Одним из решений является возможность получения доступа с помощью специализированных токенов (ключей). Однако, оптимальный выбор представляет собой проблему.

Для определения наиболее эффективного средства аутентификации рационально использовать метод анализа иерархий.

Метод анализа иерархий (МАИ) является методологической основой для решения задач выбора альтернатив посредством их многокритериального рейтингования. Зарубежные ученые использую МАИ в своих исследованиях.

Изучив рынок средств аутентификации, для анализа и последующего внедрения одного из данных средств были выбраны следующие: eToken PRO, iButton (DS1961S), ruToken, eToken PASS и eToken PRO Anywhere.

Приведем некоторые характеристики устройств, взятые с официальных сайтов.

- eToken PRO. Ключи eToken PRO являются персональным средством аутентификации и хранения данных. Рассматриваемые устройства аппаратно поддерживают работу с цифровыми сертификатами и электронно-цифровой подписью. Возможности eToken PRO: двухфакторная аутентификация пользователей; поддержка Java-апплетов; возможность централизованного управления. Цена от 947 р.

- iButton (DS1961S). iButton - это микросхема, вставленная в защищенный металлический корпус. Форма устройства в виде монеты позволяет простое использование оператором. Представленной электронный ключ используется для аутентификации пользователя, доступа в охраняемую зону. Возможности iButton(DS1961S): цифровая идентификация; обеспечение компактности хранения информации; передача информации при контакте. Цена - 130 р.

- ruToken. Данный идентификатор является компактным устройством в виде USB-брелка, который используется для авторизации пользователя, защиты электронной переписки, удаленного доступа к ресурсам, безопасного и надежного хранения данных. Возможности ruToken: ограниченное количество попыток ввода PIN-кода; интеграция в smartcard-ориентированное программное обеспечение; три уровня (гость, пользователь, администратор) доступа к токену. Цена - 770 р.

- eToken PASS. Идентификатор позволяет добавить поддержку аутентификации по одноразовым паролям в различные приложения. Возможности: не требуется установка дополнительного программного обеспечения; не требуется установка драйверов; функционирование с мобильных устройств; одноразовый односеансовый пароль. Цена - 850 р.

- eTokenPROAnywhere является электронным USB-ключом, позволяющий безопасно обращаться к Web-ресурсам. Возможности: открытие браузера и перенаправление пользователя только на заданные веб-сайты (адреса хранятся в защищённой памяти ключа); аутентификация пользователя; обеспечение защиты передаваемых по сети данных; защита от фишинга. Цена - 1032 р.

Рассмотрим применение метода анализа иерархии для решения поставленной задачи. Вначале требуется построение иерархической структуры: цель, критерии, альтернативы (таблица1).

Таблица 1 – Иерархическая структура

Далее требуется провести сравнения альтернатив по каждому из трех показателей.

Рисунок 3. Сравнение выбранных идентификаторов
относительно критерия «Цена»

Рисунок 4. Сравнение выбранных идентификаторов относительно критерия «Возможности»

Рисунок 5. Сравнение выбранных идентификаторов относительно критерия «Применяемость»

Рисунок 6. Результат сравнения идентификаторов по выбранным критериям

Таким образом, мы определили, что оптимальным средством аутентификации является идентификатор eToken PRO Anywhere, его значение глобального приоритета максимально – 0,3679.

Система защиты электронный замок «Соболь».
Аппаратно-программный модуль доверенной загрузки «Соболь» позволяет защитить компьютеры от несанкционированного доступа и создавать замкнутую программную среду для работы пользователей. «Соболь» поможет предотвратить несанкционированную загрузку операционной системы как с внутренних носителей информации, так и съёмных, а механизм контроля целостности позволит отслеживать любые несанкционированные изменения в программной а аппаратной среде компьютера и запрещать работу на нём при их наличии.

Аппаратно-программный модуль может эффективно использоваться на предприятиях любого масштаба. Модуль применяется, когда необходимо предотвратить несанкционированный доступ к ресурсам защищаемого компьютера, разграничить доступ к информации и предотвратить несанкционированную её утечку при попытке обхода средств защиты.

Какие задачи решает:

- идентификация и аутентификация пользователей;

- контроль целостности аппаратной и программной среды компьютера;

- защита от несанкционированной загрузки ОС со съемных носителей;

- регистрация попыток доступа к компьютеру и иных событий безопасности;

- блокировка компьютера при попытке несанкционированного доступа или нарушении целостности программных или аппаратных компонентов;

- присутствует функция контроля работоспособности компонентов комплекса.

Внедрив «Соболь», заказчик сможет разграничить доступ пользователей к информации и компьютерам, предотвратить несанкционированную загрузку операционной системы со съемных носителей и последующую утечку информации, а механизм контроля целостности позволит контролировать неизменность программно-аппаратной среды компьютера.

Технические особенности

Электронный замок «Соболь» реализуется аппаратно-программным путём: он состоит из платы и программного обеспечения. «Соболь» может применяться для защиты как автономных компьютеров, так и компьютеров и серверов, входящих в состав локальной вычислительной сети предприятия.

Программно-аппаратный модуль «Соболь» перехватывает момент загрузки операционной системы и продолжает её загрузку только после того, как пользователь предъявит свой идентификатор и будет проведена проверка целостности системы.

Контроль целостности имеет 2 режима функционирования:

- жесткий – запрет загрузки ОС и доступа к устройствам при нарушении целостности, регистрация факта нарушения целостности в журнале;

- мягкий – разрешение загрузки операционной системы и фиксация факта нарушения целостности в журнале.

Защита от несанкционированной загрузки операционной системы со съемных носителей реализуется путём блокировки доступа к устройствам чтения внешних носителей и USB-устройствам до момента загрузки штатной ОС, установленной на защищаемом компьютере. Доступ к устройствам восстанавливается при успешной загрузке штатной операционной системы, установленной на защищаемом компьютере.

Аппаратный датчик случайных чисел, входящий в состав модуля доверенной загрузки «Соболь» может применяться в СКЗИ для генерации надёжных ключей шифрования. Аппаратная часть комплекса исполняется в виде плат различных стандартов, начиная отPCIи заканчиваяMINI-PCI-E. Электронный замок совместим с 64-битными версиями ОСWindows.

Электронный замок «Соболь» можно применять как автономное средство защиты, так и средство защиты, функционирующее в режиме совместного использования с другими решениями компании «Код безопасности».

При использовании «Соболя» совместно с другими решениями, часть функций управления «Соболем» передаётся на то средство защиты информации, совместно с которым он функционирует.

Основными этапами внедрения комплекса являются: установка программного обеспечения и платы, инициализация комплекса и его настройка. В результате внедрения заказчик получает дополнительный контроль над доступом сотрудников к ресурсам компьютеров и исключение несанкционированной загрузки операционной системы (как штатной, так и загружаемой со съемных носителей).

Система защиты информации Страж NT

Система защиты информации «Страж NT» (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа в многопользовательских автоматизированных системах на базе персональных ЭВМ. СЗИ «Страж NT» (версия 3.0) может применяться как на автономных рабочих местах, так и на рабочих станциях и серверах в составе локальной вычислительной сети. Отсутствие аппаратной составляющей позволяет применять СЗИ на компьютерах недесктопного исполнения (ноутбуки, сервера, промышленные компьютеры).

В СЗИ «Страж NT» (версия 3.0) реализованы следующие подсистемы и защитные механизмы:

- Строгая двухфакторная аутентификация до загрузки операционной системы с использованием аппаратных идентификаторов.

- Дискреционный и мандатный принципы разграничения доступа пользователей к ресурсам системы.

- Замкнутая программная среда для пользователей.

- Регистрация событий, в том числе и действий администратора.

- Маркировка печатных документов, независимо от приложения, выдающего их на печать.

- Гарантированное стирание освобождаемой оперативной памяти и удаляемых ресурсов системы.

- Контроль целостности критических ресурсов системы и компонентов системы защиты.

- Управление пользователями.

- Управление носителями информации.

- Преобразование информации на отчуждаемых носителях.

- Управление устройствами.

- Тестирование механизмов системы защиты.

«Страж NT» (версия 3.0) имеет сертификат ФСТЭК России, который позволяет использовать ее при создании автоматизированных систем до класса защищенности 1Б включительно и для защиты информации в ИСПДн до 1 класса включительно.

Обновленный 64-х разрядный релиз СЗИ «Страж NT» прошел летом 2012 года инспекционный контроль ФСТЭК России, подтвердивший соответствие СЗИ выданному ранее сертификату №2145. В обновленном релизе СЗИ «Страж NT» добавлена поддержка 64-х разрядных операционных систем MicrosoftWindows XP, WindowsServer 2003, WindowsVista, WindowsServer 2008, Windows 7 и WindowsServer 2008 R2.

Программно-аппаратная система защиты информации SecretNet

SecretNet является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

- №98-ФЗ ("О коммерческой тайне")

- №152-ФЗ ("О персональных данных")

- №5485-1-ФЗ ("О государственной тайне")

- СТО БР (Стандарт Банка России)

Сертификаты ФСТЭКРоссии позволяют использовать СЗИ от НСД SecretNet для защиты:

- конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно;

- информационных систем персональных данных до класса К1 включительно.

Расширен список операционных систем, добавлена поддержка 64-битных платформ.

Упрощен аудит безопасности за счет реализации возможности групповых операций с журналами. В программе управления отображаются зарегистрированные журналы от нескольких компьютеров по различным критериям событий безопасности.

Улучшена информативность программы оперативного управления ("Монитор") – реализована возможность отображения состояния защитных подсистем на клиентских рабочих станциях.

Добавлена поддержка персональных идентификаторов Rutoken, USB-ключи eToken PRO (Java), смарт-карты eToken PRO (Java), смарт-карты eToken PRO.

Исключено шифрование данных.

Возможности SecretNet 6:

- Аутентификация пользователей.

- Обеспечение разграничения доступа к защищаемой информации и устройствам.

- Доверенная информационная среда.

- Контроль каналов распространения конфиденциальной информации.

- Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.

- Централизованное управление политиками безопасности, позволяет оперативно реагировать на события НСД.

- Оперативный мониторинг и аудит безопасности.

- Масштабируемая система защиты, возможность применения SecretNet (сетевой вариант) в организации с большим количеством филиалов.

Варианты развертывания SecretNet 6:

Автономный режим – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.

Сетевой режим (с централизованным управлением) – предназначен для развертывания в доменной сети c ActiveDirectory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант SecretNetможет быть успешно развернут в сложной доменной сети (domaintree/forest).

Программное СЗИ «Электронный замок «eLock» предназначено для защиты ресурсов персонального компьютера от НСД при загрузке.
В СЗИ «eLock» реализованы следующие функции защиты:

- идентификация и аутентификация пользователя до загрузки операционной системы (ОС);

- проверка ключевой идентификационной информации, хранящейся на внешних носителях (модификации Floppy и USB);

- остановка загрузки ОС при неуспешной идентификации и/или аутентификации;

- блокировка компьютера после трех неуспешных попыток аутентификации;

- регистрация событий в журнале учета (тип, имя пользователя, дата и время возникновения события);

- контроль целостности исполняемых модулей СЗИ «eLock 3.0.5002.0» и блокировка загрузки компьютера в случае ее нарушения;

- поддержка полномочий привилегированных (супервизора, администратора) и обычных (до восьми) пользователей;

- изменение PIN-кода доступа к USB- ключам и PIN-кодов USB- ключей;

- реализация загрузки только с устройства жесткого диска и блокировка клавиатуры при загрузке ОС.

Подсистема регистрации предназначена для регистрации входов в СЗИ «eLock», регистрации идентификации и аутентификации пользователей, регистрации изменения личного пароля администратора и пользователя, регистрации случаев блокировки компьютера, регистрации действий администратора по редактированию списка пользователей и регистрации очистки журнала.
При установке «eLock» записывается в постоянно запоминающее устройство персонального компьютера, где располагается его базовая система ввода-вывода (BIOS). Данной СЗИ от НСД состоит из модуля реализации функций защиты и интерфейса СЗИ «eLock», и модуля реализующего работу с флэш-памятью ПЭВМ (неверная установка СЗИ может повредить базовую систему ввода-вывода, что приведет к потере работоспособности ПЭВМ).

Система защиты информации «DallasLock»

Система защиты информации от несанкционированного доступа(СЗИ от НСД)DallasLock представляет собой программный комплекс для обеспечения безопасности хранения и обработки данных в ОС семейства Windows.

СЗИ от НСДDallasLock предназначается для:

- разграничения доступа к информационным ресурсам и подключаемым устройствам;

- аудита действий пользователей, санкционированных и без соответствующих прав;

- централизованного управления механизмами безопасности;

- приведения АС, ГИС и обработки ПДн в соответствие требованиям законодательства по защите информации.

Версии СЗИ от НСД Dallas Lock представляют собой линейку сертифицированных решений для использования при создании комплексной системы защиты в автоматизированных системах до класса 1Б включительно и в информационных системах персональных данных до 1-го уровня включительно.

СЗИ от НСД Dallas Lock является полностью программным средством с возможностью подключения аппаратных идентификаторов, что обеспечивает ей реализацию двухфакторной аутентификации, присущей системам с повышенной сложностью. В то же время аппаратная идентификация обязательной не является.

Возможна установка актуальных версий на персональных компьютерах, портативных и мобильных компьютерах(ноутбуках и планшетных ПК), серверах(файловых, контроллерах домена и терминального доступа), также поддерживает виртуальные среды (Приложение В).

Преимущества:

- Настройка параметров безопасности собственными механизмами, полностью независимыми от ОС.

- Быстрое внедрение и эффективное управление многоуровневой системой защиты для распределенных конфигураций информационных сетей.

- Совместимость с другими технологиями и продуктами по защите информации(антивирусами, межсетевыми экранами, VPN, криптопровайдерами, IDS/IPS) и прикладным ПО.

- Широкий набор дополнительного функционала(помимо базовых требований РД).

- Оптимальная совокупная стоимость владения — от первичного приобретения до внедрения и сопровождения.

Возможности:

Архитектура СЗИ от НСД Dallas Lock включает в себя основные и дополнительные подсистемы, в том числе с уникальным функционалом.

- Аутентификация и разграничение доступа.

- Двухфакторная авторизация по паролю заданной сложности и аппаратному идентификатору.

- Дискреционный и мандатный принципы разграничения прав пользователей на доступ к глобальным, локальным и сетевым ресурсам файловой системы и подключаемым устройствам. Организация замкнутой программной среды и дополнительные механизмы ее настройки.

- Регистрация и учет действий пользователей.

- Настройка аудита и ведение журналов регистрации событий.

- Возможность фильтрации записей, экспорт и архивирование.

- Добавление штампа на распечатываемые документы.

- Контроль целостности.

- Обеспечение контроля целостности файловой системы, программно-аппаратной среды и реестра.

- Блокировка загрузки компьютера при выявлении изменений.

- Очистка остаточной информации.

- Объединение и управление защищенными компьютерами с помощью модуля«Сервер безопасности».

- Объединение нескольких Серверов безопасности в единый Лес безопасности с помощью модуля «Менеджер серверов безопасности».

- Дополнительные подсистемы и механизмы.

- Механизм преобразования данных в файл-контейнер.

- Механизм прозрачного преобразования жесткого диска.

- Модуль доверенной загрузки ПК уровня загрузочной записи.

- Задание списка расширений файлов, работа с которыми будет блокирована.

- Использование собственной графической оболочки для организации рабочего стола с ярлыками только необходимых программ.

- Подсистема самодиагностики функционала с формированием отчета.

- Удаленное администрирование и др.

Межсетевой экран (другие названия брандмауэр, фаервол) - это комплекс аппаратных и программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.(защитный барьер между компьютером и сетью, к которой он подключен).

Порт это идентифицируемый определенным номером системный ресурс, выделяемый приложению, которое выполняется на некотором сетевом хосте (компьютер или другое сетевое устройство), для связи с приложениями, которые выполняются на других сетевых хостах (в том числе c другими приложениями на этом же хосте). Есть много тысяч таких портов и у каждого есть свой уникальный номер.

Наиболее часто используемыми портами во всемирной сети являются:

1. 80 — порт для загрузки web-страниц;

2. 110 — используется по умолчанию для загрузки электронной почты;

3. 25 — используется по умолчанию для отправки электронной почты.

Суть брандмауэра в том, чтобы закрыть порты, которые не используются. В противном случае через них злоумышленник или вредоносная программа (вирус, троян) могут проникнуть в ПК.

Рисунок 7. Расположение сетевого экрана (Firewall) в сети.

Дата добавления: 2015-08-31; Просмотров: 3639; Нарушение авторских прав?; Мы поможем в написании вашей работы!