Создание модели программно-аппаратной защиты информации в ЗАГСе

 

Оглавление

Введение

. Характеристика предметной области

.1 Определение перечня защищаемой информации

.2 Определение пользователей и их прав доступа к информации с учетом их должностных полномочий

.3 Распределение программного обеспечения на ПК, входящих в состав защищаемой АС

.4 Классификация АС. Создание модели угроз

. Развертывание ЛВС и установка СЗИ

.1 Настройка ЛВС. Создание пользователей

.2 Настройка антивирусных средств

.3 Настройка средств межсетевого экранирования

.4 Настройка средств ПАЗИ

. Администрирование пользователей средствами ПАЗИ

.1 Настройка доступа пользователей к информационным объектам

.2 Настройка аудита действий пользователей

.3 Работа с журналами аудита системы

.4 Контроль каталогов с помощью программы ФИКС-2

Заключение

Список использованных источников

Введение

Информация является результатом отображения и обработки в человеческом сознании многообразия окружающего мира, представляет собой сведения об окружающих человека предметах, явлениях природы, деятельности других людей.

Когда используется термин данные, то речь идет об информации, предоставленной в формализованном виде, пригодном для автоматической обработки при возможном участии человека. Данные, которыми обменивается человек через машину с другим человеком или с машиной, является объектом защиты [1]. Однако защите подлежат не всякие данные, которые имеют цену.

Под защитой информации в настоящее время понимается область науки и техники, которая включает совокупность средств, методов и способов человеческой деятельности, направленных на обеспечение защиты всех видов информации в организациях и предприятиях различных направлений деятельности и различных форм собственности [2].

Целью данной работы является описание и построение наиболее полной модели программно-аппаратной защиты информации.

Курсовая работа включает в себя 3 части:

характеристика предметной области;

развертывание ЛВС и установка СЗИ;

администрирование пользователей средствами ПАЗИ.

Данная работа преследует целью научить нас всесторонне и комплексно анализировать объект защиты с целью выявления наиболее опасных каналов утечки информации и тем самым предупредить возможные потери.

Курсовая работа выполнена на 25 листах, содержит 9 таблиц и 8 рисунков.

1. Характеристика предметной области

.1 Определение перечня защищаемой информации

Объектом программно-аппаратной защиты в данной курсовой работе являются компьютеры в ЗАГСе, находящимся по адресу город Белгород, улица Садовая 100/21.

ЗАГС, органы записи актов гражданского состояния - в России <#"justify">Ресурсы, подлежащие защите представлены в таблице 1.

Таблица 1. - Защищаемые ресурсы

№ п/пМесто нахождения источника информацииИсточник информацииГриф конфиденциальности1СерверСетевая папка «User1»ДСПСетевая папка «User2»ДСПСетевая папка «User3»ДСП2ПК1Локальная папка «User1»ДСПЛокальная папка «User2»ДСП3ПК2Локальная папка «User2»ДСПЛокальная папка «User3»ДСПБаза ДанныхДСП

1.2 Определение пользователей и их прав доступа к информации с учетом их должностных полномочий

Для обеспечения безопасности следует определиться с кругом лиц, работающих с конфиденциальными ресурсами и разграничить им доступ. Анализ функциональных обязанностей работников организации нужен при определении прав доступа к файловым информационным ресурсам и базам данных, необходимых для реализации их прав. Подобный анализ позволяет выделить группы пользователей, что может заметно повысить качество администрирования доступа к информации, он представлен в таблице 2.

Таблица 2. - Доступ к использованию информационных ресурсов

Информационный ресурсAdminUser1User2User3Сетевая папка «User1»+ЧзЗЗСетевая папка «User2»+ЧЧз-Сетевая папка «User3»+Ч-ЧзЛокальная папка «User1»+Чз--Локальная папка «User2»+ЧЧз-Локальная папка «User2»+-ЧзЧЛокальная папка «User3»+-ЧЧзБаза Данных+-ЧзЧз

1.3 Распределение программного обеспечения на ПК, входящих в состав защищаемой АС

Автоматизированная система (АС) - это организованная совокупность средств, методов и мероприятий, используемых для регулярной обработки информации для решения задачи. Если автоматизируемый процесс связан в основном с обработкой информации, то такая система называется автоматизированной информационной системой <#"justify">Для обеспечения конфиденциальности информации на автоматизированных рабочих местах используется ряд программных средств, таких как межсетевой экран, антивирусная программа, программное обеспечение для защиты от несанкционированного доступа.

Антивирусная программа - программа <#"justify">Таблица 3. - Распределение программного обеспечения

СерверАС1АС2Dallas Lock 7.7 +++VipNet Client+++Dr Web+++

1.4 Классификация АС. Создание модели угроз

С учетом проведенного ранее анализа по доступу пользователей к информационным ресурсам защищаемой автоматизированной системы разрабатывается модель угроз.

Моделирование угроз безопасности информации предусматривает анализ способов ее хищения, изменения и уничтожения с целью оценки наносимого этими способами ущерба [9].

Моделирование угроз включает:

-моделирование способов физического проникновения злоумышленника к источникам информации;

-моделирование технических каналов утечки информации.

Для создания модели угрозы физического проникновения, достаточно близкой к реальной, необходимо «перевоплотиться» в вероятного злоумышленника, т. е. Попытаться мысленно проиграть с позиции злоумышленника варианты проникновения к источнику информации. Чем больше при этом будет учтено факторов, влияющих на эффективность проникновения, тем выше адекватность модели. В условиях отсутствия информации о злоумышленнике, его квалификации, технической оснащенности во избежание грубых ошибок лучше переоценить угрозу, чем ее недооценить, хотя такой подход и может привести к увеличению затрат на защиту.

При моделировании действий квалифицированного злоумышленника необходимо также исходить из предположения, что он хорошо представляет современное состояние защиты информации, типовые варианты применения программно-аппаратных средств защиты и их слабые места.

Согласно УК РФ Неправомерный доступ к компьютерной информации подлежит гражданско-правовой или административной ответственности, вплоть до уголовной ответственности при нанесении крупного ущерба.

Компьютерные правонарушения квалифицируются как преступные деяния при наличии умысла и существенного материального ущерба, нанесенным гражданам, организациям или государству [10]. Информационная безопасность - это защищенность жизненно важных информационных ресурсов и систем от внешних и внутренних посягательств и угроз для граждан, организаций и государственных органов. Для граждан информационная безопасность выражается в защищенности их персональных компьютеров, их личной информации в информационных системах и сетях ЭВМ, а также результатов их интеллектуальной деятельности. В Конституции России закреплены права граждан на свободу слова, тайну переписки и свободу распространения информации, а также право запроса информации от государственных и общественных организаций. Для организаций - защищенность от внешних посягательств служебной информации, корпоративных информационных систем и сети ЭВМ, а также принадлежащей им интеллектуальной собственности.

Защита информации в ЭВМ может быть создана на техническом, организационном и правовом уровне подобно защите материальных ценностей, принадлежащих граждан и организациям [11].

На техническом уровне защита информации в ЭВМ организуется, прежде всего, ограничением доступа третьим лицам. Наипростейшее решение - аутентификация пользователей путем их регистрации и введение паролей.

Так как в ЗАГСе используются многопользовательские автоматизированные системы, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации автоматизированной системы, то данные автоматизированные системы относятся к классу защищённости 1Г.

Для обеспечения должного уровня защищённости автоматизированной системы, к ней предъявляются следующие требования:

Подсистема управления доступом

1)Должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов.

)Должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам.

)Должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.

)Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Подсистема регистрации и учета

1)Должна осуществляться регистрация входа субъектов доступа в систему, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: дата и время входа субъекта доступа в систему или загрузки системы результат попытки входа; идентификатор субъекта, предъявленный при попытке доступа; код или пароль, предъявленный при неуспешной попытке.

)Должна осуществляться регистрация выдачи печатных документов на "твердую" копию. В параметрах регистрации указываются: дата и время выдачи; спецификация устройства выдачи; краткое содержание и уровень конфиденциальности документа; идентификатор субъекта доступа, запросившего документ.

)Должна осуществляться регистрация запуска программ и процессов, предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются: дата и время запуска; имя программы; идентификатор субъекта доступа, запросившего программу; результат запуска.

)Должна осуществляться регистрация попыток доступа программных средств к защищаемым файлам. В параметрах регистрации указываются: дата и время попытки доступа к защищаемому файлу с указанием ее результата; идентификатор субъекта доступа; спецификация защищаемого файла.

)Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям связи, внешним устройствам ЭВМ, программам, файлам, записям. В параметрах регистрации указываются: дата и время попытки доступа к защищаемому объекту с указанием ее результата; идентификатор субъекта доступа; спецификация защищаемого объекта.

)Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал; учет защищаемых носителей должен проводиться в журнале с регистрацией их выдачи.

)Должна осуществляться очистка освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных.

Подсистема обеспечения целостности

1)Должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом: целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ; целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и хранения защищаемой информации.

).Должна осуществляться физическая охрана СВТ, предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации;

)Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;

)Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление, и контроль работоспособности.

Злоумышленник может попытаться получить доступ к защищаемой информации с помощью сетевых атак, вредоносного ПО, в том числе и вирусов, так же возможно физическое проникновение злоумышленника к АРМ и попытки подобрать пароль. Для обеспечения защиты используются различные средства защиты информации.

2. Развертывание ЛВС и установка СЗИ

.1 Настройка ЛВС. Создание пользователей

Установка средств защиты информации

Локальная вычислительная сеть - компьютерная сеть <#"justify">1)Windows server 2003

2)Windows XP (service pack 2)

3)Windows XP (service pack 2)

Все компьютеры объединены в рабочую группу ЗАГС. Более подробные данные по настройке сети представлены в таблице 4.

Таблица 4. - Сетевые характеристики АРМ

АРМIP-адресмаска подсетиКонтроллер доменаMAC ADDRESS 1Server192.168.116.1255.255.255.0 192.168.116.100-00-00-00-0B-30ПК1192.168.116.2255.255.255.0 192.168.116.100-00-00-00-0B-31ПК2192.168.116.3255.255.255.0 192.168.116.100-00-00-00-0B-32

На каждой машине выполняется идентификация и аутентификация пользователей.

Идентификация - присвоение субъектам и объектам идентификатора и сравнение идентификатора с перечнем присвоенных идентификаторов.

Аутентификация - проверка принадлежности субъекту доступа, предъявленного им идентификатора <#"justify">Иными словами идентификация проверяет наличие введённого пользователем логина в базе данных всех логинов, а аутентификация сопоставляет введённый пароль с логином, подтверждённым на шаге идентификации. Перечень созданных логинов и паролей пользователей представлен в таблице 5.

Таблица 5. - Учётные записи пользователей

АРМПользовательЛогин ПарольServerАдминистраторAdminPassword1ПК1АдминистраторAdminPassword1Пользователь 1User1Password1Пользователь 2User2Password1ПК2АдминистраторAdminPassword1Пользователь 2User2Password1Пользователь 3User3Password1

2.2 Настройка антивирусных средств

информация утечка данные защита

Dr. Web - это семейство антивирусов, предназначенных для защиты от почтовых и сетевых червей, руткитов <#"68" src="doc_zip1.jpg" />

Рис. 1. - Планировщик заданий Windows

Также при выявлении вредоносного программного обеспечение происходит отправка уведомления на сервер Serv. Ведётся подробная статистика по выявленным угрозам (Рис. 2.).

Рис. 2. - Статистика SplDer Guard

2.3 Настройка средств межсетевого экранирования

В данной курсовой работе межсетевым экраном выбран VIP Net personal firewall. Данный межсетевой экран наиболее соответствует поставленной задаче. Межсетевой экран работает в фоновом режиме и настроен на пропуск всех IP-адресов, кроме адресов, занесённых в чёрный список.

Одним из условий данной курсовой работы стояло заблокировать на ПК2 IP-адрес ПК1, чьим IP-адресом является 192.168.116.2. Для этого необходимо зайти в VIP Net от имени администратора, создать локальный фильтр на запрет всех входящих соединений от IP-адреса ПК. Результат настройки представлен на рисунке (рис. 3.)

Рис. 3. - Блокированные IP-пакеты

.4 Настройка средств ПАЗИ

Доступ пользователей к информационным локальным и сетевым ресурсам, принтерам, дисководам, устройствам чтения и записи CD-DVD, USB необходимо разграничить в соответствии с определёнными ранее правами. Для более эффективной защиты информации от внешних и внутренних угроз используется Dallas Lock 7.7, который необходимо настроить в соответствие для класса защищённости автоматизированной системы 1Г. Параметры настройки показаны в виде экранных форм настройки, управляющие политикой паролей (рис. 4.), аудитом системы (рис. 5.), очисткой остаточной информации (рис. 6.).

Рис. 4. - Управляющие политики паролей

Рис. 5. - Аудит системы

Рис. 6. - Очистка остаточной информации

3. Администрирование пользователей средствами ПАЗИ

.1 Настройка доступа пользователей к информационным объектам

Системный администратор - сотрудник, должностные обязанности которого подразумевают обеспечение штатной работы парка компьютерной техники <#"89" src="doc_zip7.jpg" />

Рис. 7. - Настройка портов

Рис. 8. - Политика Аудита

3.2 Настройка аудита действий пользователей

Аудит - процедура независимой оценки деятельности организации, системы, процесса, проекта или продукта.

В соответствие с правами доступа, определёнными в таблице 2, следует выдать реальные права на локальные и сетевые папки пользователей.

Права на доступ представлены в таблицах 6, 7, 8.

Таблица 6. - Папки сетевые на сервере

№ п/пПапки пользователейАдминUser1User2User31User1+Чззз2User2+чЧз-3User3+ч-Чз

Таблица 7. - Папки и БД локальные ПК 1

№ п/пПапки (БД) пользователейАдминUser1User22User1+Чз-3User2+ччз

Таблица 8. - Папки и БД локальные ПК 2

№ п/пПапки (БД) пользователейАдминUser2User32User2+Чзч3User3+ччзБДчзчз

3.3 Работа с журналами аудита системы

Журнал аудита - это специальный журнал, который содержит записи о входах и выходах из операционной системы и других, связанных с безопасностью событиях.

Политика аудита позволяет администраторам правильно настроить ОС <#"justify">1.Журнал входов

.Журнал доступа к ресурсам

.Журнал управления политиками безопасности

.Журнал печати

.Журнал управления учётными записями

.Журнал из файла

Пример журнала представлен в таблице 9.

Таблица 9. - Журнал управления учётными записями

ВремяПользовательИмяРезультатОперация16:17:46AdminUser2OKСоздать пользователя16:17:25AdminUser1OKСоздать пользователя22:34:57user3Доступ запрещен!Получить параметры пользователя22:25:03user3Доступ запрещен!Получить параметры пользователя22:15:23Adminuser3OKИзменить параметры пользователя22:09:28Adminuser3OKИзменить параметры пользователя22:03:09Adminuser3OKСоздать пользователя20:39:01user1Доступ запрещен!Получить параметры пользователя20:39:01user1Доступ запрещен!Получить параметры пользователя20:39:01user1Доступ запрещен!Получить параметры пользователя19:56:23Adminuser1OKИзменить параметры пользователя19:54:32Adminuser2OKИзменить параметры пользователя19:54:17Adminuser1OKИзменить параметры пользователя19:21:49Adminuser1OKСменить пароль пользователя19:03:32Adminuser1Unexpected error (60000274h) Изменить параметры пользователя19:02:40Adminuser2OKСоздать пользователя19:02:11AdminUser2OKУдалить пользователя19:02:03AdminUser2OKСоздать пользователя18:59:03Adminuser1OKСоздать пользователя

3.4 Контроль каталогов с помощью программы ФИКС-2

Программа ФИКС 2.0.1 разработана в инструментальной среде разработки программ Delphi и функционирует под управлением операционных систем Windows XP/NT/2000, Windows 95/98/ME, поддерживающих 32-разрядные приложения.

В ФИКС 2.0.1 реализована возможность работы с файлами и записями (ключами) реестра локального компьютера, а также с доступными сетевыми файлами. Поддерживаются длинные имена файлов и имена, содержащие символы кириллицы.

Отчеты по результатам работы программы ФИКС 2.0.1 формируются в текстовом, html- и csv-форматах.

Программа фиксации и контроля исходного состояния программного комплекса (ФИКС 2.0.1) предназначена для выполнения следующих функций:

-фиксации исходного состояния файлов программного комплекса;

-контроля исходного состояния программного комплекса;

-фиксации и контроля каталогов;

-контроля различий в заданных файлах;

-контроля целостности файлов программного комплекса.

В сформированном отчёте отображаются в соответствующих полях файлы, которые были изменены, удалены, дублированы или добавлены.

Заключение

В рамках данной курсовой работы было проведено моделирование объекта защиты и угроз безопасности информации. Построена модель сети ЗАГСа, настроена защита, классифицированы и выявлены наиболее опасные и реальные пути организации несанкционированной утечки информации.

Система соответствует требованиям по защите персональных данных и содержит механизмы, препятствующие разглашению персональных данных даже после получения контроля над компьютером. Данный подход соответствует современным тенденциям информационной безопасности и обеспечивает максимальное удобство работы в сочетании с высокой безопасностью.

В целом, работа над курсовой работой позволила систематизировать и структурировать ранее полученные знания в области программно-аппаратной защиты информации и полностью убедила и доказала необходимость комплексного подхода при реализации систем безопасности и систем защиты информации в частности.

Список использованных источников

1. Конституция Российской Федерации.
2. Закон Российской Федерации «О безопасности» от 05.03.92// Ведомости съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации. - 1992. - №15. - стр. 769.
3. Закон Российской Федерации «Об информации, информатизации и защите информации» от 25.01.95// Собрание законодательства Российской Федерации. - 1995. - №8. - стр. 609.
4. Гражданский кодекс Российской Федерации от 22.12.95// Собрание законодательства Российской Федерации. 1996. - №5. - стр. 410.
5. Указ Президента Российской Федерации от 06.03.97 №188 - «Об утверждении перечня сведений конфиденциального характера»// Собрание законодательства Российской Федерации. - 1997. - №10. - стр. 4775.
6. Концепция национальной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 10.01.2000 №24// Собрание законодательства Российской Федерации. - 2000. - №2. - стр. 170.
7. Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 09.09.2000.
8. Гринберг А.С., Горбачев Н.Н. Защита информационных ресурсов государственного предприятия. - М: Юнити, 2003. - 327 с.
9. Петраков А.В. Основы практической защиты информации. - М.: Радио и связь, 2001. - 358 с.
10. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации. - К.: Юниор, 2003. - 499 с.
11. ГОСТ Р50922-96. Защита информации. Основные термины и определения.

Оглавление Введение . Характеристика предметной области .1 Определение перечня защищаемой информации .2 Определение пользователей и их прав дост

Больше работ по теме: