Размещено на http://www.allbest.ru/

Федеральное агентство морского и речного транспорта

Федеральное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет водных коммуникаций" (ФГОУ ВПО "СПГУВК")

Факультет Информационных технологий

Кафедра КОИБ

Курсовая работа

по дисциплине "Комплексное обеспечение информационной безопасности автоматизированных систем"

на тему: "Обеспечение информационной безопасности информационных систем различного класса и назначения"

Санкт-Петербург

2012



Содержание

• Введение
• 1. Термины и определения
• 2. Исходные данные
• 3. Класс автоматизированной системы
• 3. 1 Определение класса автоматизированной системы
• 3.2 Требования к классу защищенности 3А
• 4. Выбор средств защиты информации
• 5. Secret Net 7
• 6. Настройка подсистемы управления доступом СЗИ НСД
• 6.1 Присвоение идентификатора
• 6.2 Настройка режимов использования идентификаторов
• 6.3 Управление ключами для усиленной аутентификации
• 6. 4 Аппаратная идентификация
• 6.5 Настройка использования устройств и принтеров
• 6.6 Настройка прав доступа к устройствам
• 6.7 Настройка прав пользователей для печати на принтерах
• 6.8 Настройка регистрации событий и аудита операций с устройствами
• Заключение
• Список использованных источников



Введение

Информация, которая состоит из секретных данных и которой был присвоен гриф "государственная тайна", всегда уделялось повышенное внимание, ведь если она станет широко известной, это создаст угрозу безопасности той или иной страны.

Однако, говоря о секретных данных, следует учитывать и человеческий фактор, поскольку с секретными сведениями работают граждане, и в число их трудовых обязанностей входит как раз сохранение таких секретных данных. На данной категории работников лежит ответственность за сохранение и нераспространение такой секретной информации, которая составляет государственную тайну. А работодатель, сотрудниками которого является данная категория граждан, допущенная к секретным сведениям, обязан организовать процесс рабочей деятельности своих сотрудников (оформить допуск, организовать и взять на себя обязательства по контролю над доступом к сведениям, входящим в содержание государственной тайны, и пр.).

Законодательство обязывает работодателя оформлять допуск своим сотрудникам, допущенным к сведениям, имеющим государственный гриф секретности, если такие сотрудники в силу необходимости при проведении работ (в любой временной срок и в любой сфере), будут вынуждены использовать данные, которые составляют государственную тайну.

Определение государственной тайны дают нормы действующего законодательства РФ (Закон РФ от 21.07.1993 г. № 5485-1 "О государственной тайне"): информация, которой присвоен гриф государственной секретности, составляет сведения, охраняемые и защищаемые самим государством в различных сферах своей жизнедеятельности (военной, внешнеполитической, экономической и пр.) Причем распространение таких сведений нанесет масштабный урон национальной безопасности на уровне самого государства.

Данные, которые составляют государственную тайну, относятся к государственной безопасности целой страны, а не одной компании, организации, или физического лица. Таким образом, если не соблюдать секретность в отношении такой информации, то разглашение секретных данных нанесет урон национальной безопасности всего государства.

Целью данной работы является: изучение, и выбор средств защиты для ИС оперирующей секретными сведениями, в которой работает 1человек, с выходом в публичную сеть, и необходимостью обратить внимание на усиление защиты от кражи печатных документов.

Для достижения поставленной цели необходимо выполнить следующие задачи:

1) - дать определение С.

2) - определить класс защищенности АС.

3) - рассмотреть выбор средств защиты ИС.

4) - изучить выбранное СЗИ от НСД.

5) - проиллюстрировать настройку и применение, выбранного СЗИ от НСД.



1. Термины и определения

В настоящей работе используются следующие основные понятия:

· С- гостайна, гриф - секретно.

· Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

· Носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;

· Система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;

· Допуск к государственной тайне - процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций - на проведение работ с использованием таких сведений;

· Доступ к сведениям, составляющим государственную тайну, - санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;

· Гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;

· Средства защиты информации(СЗИ) - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

· Перечень сведений, составляющих государственную тайну, - совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.

· ИС - информационная система.

· ЛВС - локальная вычислительная сеть.

· АС - автоматизированная система.

· РД - руководящий документ.

· СЗИ НСД - система защиты информации от несанкционированного доступа.

· OC - операционная система.



2. Исходные данные

Таблица 1

№ Варианта	Характеристика пользователей	Характеристика информации	Кол-во лиц обрабатываемых в ИСПДн	Выход в публичную сеть	Усилить защиту от угрозы
1.	1 пользователь	С		Есть	Кражи печатных документов



3. Класс автоматизированной системы

3.1 Определение класса автоматизированной системы

В соответствии с нормативным документом ФСТЭК России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" от 30 марта 1992 г. данная АС относится ко третьей группе и имеет класс защищенности 3А.

Таблица 2. Подсистемы и требования

Подсистемы и требования	Классы
	3Б	3А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему	+	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ	-	-
к программам	-	-
к томам, каталогам, файлам, записям, полям записей	-	-
1.2. Управление потоками информации
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему(ы) (узел сети)	+	+
выдачи печатных (графических) выходных документов	-	+
запуска (завершения) программ и процессов (заданий, задач)	-	-
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи	-	-
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	-	-
изменения полномочий субъектов доступа	-	-
создаваемых защищаемых объектов доступа	-	-
2.2. Учет носителей информации	+	+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей	-	+
2.4. Сигнализация попыток нарушения защиты	-	-
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации	-	-
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах	-	-
3.3. Использование аттестованных (сертифицированных) криптографических средств	-	-
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации	+	+
4.2. Физическая охрана средств вычислительной техники и носителей информации	+	+
4.3. Наличие администратора (службы) защиты информации в АС	-	-
4.4. Периодическое тестирование СЗИ НСД	+	+
4.5. Наличие средств восстановления СЗИ НСД	+	+
4.6. Использование сертифицированных средств защиты	-	+

3.2 Требования к классу защищенности 3А

Подсистема управления доступом:

должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Подсистема регистрации и учета:

должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: - дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; - результат попытки входа: успешная или неуспешная (при НСД); - должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). В параметрах регистрации указываются: - дата и время выдачи (обращения к подсистеме вывода); - краткое содержание документа (наименование, вид, код, шифр) и уровень его конфиденциальности; - спецификация устройства выдачи [логическое имя (номер) внешнего устройства]; - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку); - должно проводиться несколько видов учета (дублирующих) с регистрацией выдачи (приема) носителей информации; - должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

Подсистема обеспечения целостности: должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При этом: - целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ; - целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ; - должны осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС; - должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД; - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности; - должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД



4. Выбор средств защиты информации

В соответствии с законом Российской Федерации "О государственной тайне" органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей. В зависимости от объема работ с использованием сведений, составляющих государственную тайну, руководителями органов государственной власти, предприятий, учреждений и организаций создаются структурные подразделения по защите государственной тайны, функции которых определяются указанными руководителями в соответствии с нормативными документами, утверждаемыми Правительством Российской Федерации, и с учетом специфики проводимых ими работ.

Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации.

Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений.

Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".

К сведениям особой важности следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в одной или нескольких из перечисленных областей.

К совершенно секретным сведениям следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб

интересам министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей.

К секретным сведениям следует относить все иные сведения из числа сведений, составляющих государственную тайну. Ущербом безопасности Российской Федерации в этом случае считается ущерб, нанесенный интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной или оперативно-розыскной области деятельности.

Порядок определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения сведений, составляющих государственную тайну, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации.

Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Защита государственной тайны, то есть сведений, которые отнесены к этой категории секретной информации, при обработке данной информации в автоматизированных системах организаций, должна производиться с помощью специальных сертифицированных программных и аппаратных средств защиты информации, а также с помощью специальных организационных мер.

Все организации, в автоматизированных системах которых обрабатывается и хранится информация, относящаяся к сведениям, составляющим государственную тайну, при выборе технических средств защиты государственной тайны, должны помимо технических характеристик средств защиты, руководствоваться наличием у технических средств защиты государственной тайны сертификатов ФСТЭК России и ФСБ России.

Технические средства защиты, регламентирующие допуск к государственной тайне иными словами называются средства защиты информации (в том числе государственной тайны) от несанкционированного доступа (НСД).

В соответствие с требованиями ФСТЭК России для защиты государственной тайны обязательно должны применяться средства защиты класса межсетевого экранирования, иными словами - программные и аппаратные межсетевые экраны.

Ниже представлены решения для автоматизированных систем, обрабатывающих сведения, составляющие государственную тайну под грифом "секретно".

Класс СЗИ	Продукт
Средства защиты информации от несанкционированного доступа	СЗИ Secret Net
	Электронный замок "Соболь"
	vGate-S R2
Межсетевые экраны	АПКШ "Континент"
	TrustAccess

По требованиям ФСБ для защиты от разглашения государственной тайны обязательно должны применяться сертифицированные средства криптографической защиты и средства доверенной загрузки.

Класс СЗИ	Продукт
СКЗИ	M-506A-XP
АПМДЗ	Электронный замок "Соболь"



5. Secret Net 7

автоматизированный информация идентификатор аутентификация

Защита входа в систему

Усиленная идентификация и аутентификация пользователей

· В Secret Net 7 реализован механизм парольной аутентификации пользователей средствами СЗИ. Таким образом, использование электронных идентификаторов для усиленной аутентификации не является обязательным.

· Идентификация и аутентификация пользователя совместно с ОС Windows с помощью программно-аппаратных средств. В качестве устройств для ввода в нее идентификационных признаков могут быть использованы следующие устройства:

§ iButton;

§ eToken Pro, eToken PRO Java (USB, смарт-карты);

§ Rutoken.

· Усиленная аутентификация пользователей с использованием аппаратной поддержки ПАК "Соболь" и Secret Net Card.

Защита от загрузки с внешних носителей

Встроенный в СЗИ программный механизм защиты информации на локальных дисках компьютера предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера (например, загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере). Компонент лицензируется отдельно и подключается при необходимости.

Совместно с Secret Net могут быть использованы средства аппаратной поддержки, обеспечивающие защиту компьютера от несанкционированной загрузки с внешних носителей:

· программно-аппаратный комплекс "Соболь" (версии 2.1 и 3.0);

· Secret Net Card.

С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съмных носителей. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определенного времени после включения питания на плату не было передано управление, она блокирует работу всей системы.

Защита терминальных сессий

Появилась возможность использования либо усиленной аутентификации пользователя с удаленного терминала, либо с использованием собственной аутентификации СЗИ (по логину/паролю, без использования персональных идентификаторов).

Разграничение доступа

Управление доступом пользователей к конфиденциальным данным

Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один из трех уровней конфиденциальности: "Не конфиденциально", "Конфиденциально", "Строго конфиденциально", а каждому пользователю - уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.

Разграничение доступа к устройствам

Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить либо разрешить пользователям работу с любыми портами/устройствами. Разграничивается доступ к следующим портам/устройствам:

· последовательные и параллельные порты;

· сменные, логические и оптические диски;

· USB-порты.

Поддерживается контроль подключения устройств на шинах USB, PCMCIA, IEEE1394 по типу и серийному номеру, права доступа на эти устройства задаются не только для отдельных пользователей, но и для групп пользователей. Также существует возможность запретить использование сетевых интерфейсов -- Ethernet, 1394 FireWire, Bluetooth, IrDA, Wi-Fi.

Разграничение доступа пользователей к принтерам

Контроль печати с возможностью теневого копирования, универсальной настраиваемой маркировки документов и назначения прав доступа и параметров принтеров. Т.е. при печати проверяются права на принтер, соответствие категории принтера категории печатаемого документа и делается теневая копия документа (опционально).

Доверенная информационная среда

Замкнутая программная среда

Для каждого пользователя компьютера формируется определенный перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, "червей" и шпионского ПО, а также использование ПК в качестве игровой приставки.

Контроль целостности

Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнaружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:

· регистрация события в журнале Secret Net;

· блокировка компьютера;

· восстановление поврежденной/модифицированной информации;

· отклонение или принятие изменений.

Контроль аппаратной конфигурации компьютера

Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирование на эти изменения. Предусмотрено два вида реакций:

· регистрация события в журнале Secret Net;

· блокировка компьютера.

Настройка производится:

· для модели, класса или группы устройств;

· индивидуально для каждого устройства.

Гарантированное затирание данных

Позволяет избежать утечек конфиденциальной информации при краже или утилизации оборудования. Осуществляется посредством многократной записи случайной информации на место удаляемого файла.

Функциональный контроль

Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС (т.е. к моменту начала работы пользователя) все ключевые компоненты Secret Net загружены и функционируют.

Защита информации в процессе хранения

Контроль печати конфиденциальной информации

Печать осуществляется под контролем системы защиты. При разрешенном выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Регистрация событий вывода документов на печать фиксируется в журнале Secret Net.

Теневое копирование информации

Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации. Теневое копирование поддерживается для устройств следующих видов:

· подключаемые сменные диски;

· дисководы гибких дисков;

· дисководы оптических дисков с функцией записи;

· принтеры.

Регистрация событий

Система Secret Net 7 регистрирует все события, происходящие на компьютере: включение/выключение компьютера, вход/выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.

Удобство управления и настроек

Импорт и экспорт параметров

В Secret Net 7 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.

Формирование отчетов

В Secret Net предусмотрено получение различных отчетов о состоянии системы. Отчеты могут содержать сведения: об установленном на компьютерах программном обеспечении; настройках защитных механизмов и перечне защищаемых ресурсов; пользователях системы и настройках их параметров; установленных в системе комплексах "Соболь" и пользователях, имеющих к ним доступ; идентификаторах пользователей и режимах их использования; событиях, зафиксированных в журналах.



6. Настройка подсистемы управления доступом СЗИ НСД

После установки системы защиты, прежде всего, целесообразно произвести ее настройку. Под настройкой системы защиты понимается установка значений параметров системы защиты, удовлетворяющих требованиям безопасности. Рассмотрим некоторые основные настройки.

6.1 Присвоение идентификатора

Процедура присвоения идентификатора пользователю выполняется с помощью программы-мастера. При присвоении можно настроить режимы использования персонального идентификатора.

Для присвоения идентификатора пользователю:

1. Загрузите оснастку для управления параметрами пользователей, вызовите окно настройки свойств пользователя и перейдите к диалогу "Secret Net 7"

2. Нажмите кнопку "Добавить".

На экране появится стартовый диалог мастера присвоения идентификаторов.



3. Установите отметки в соответствии с выполняемыми операциями и нажмите кнопку "Далее >". На экране появится диалог мастера, отображающий ход выполнения операций.

4. Если выбрана операция "Записать пароль в идентификатор", "Разрешить вход в ПАК "Соболь" или "Записать в идентификатор закрытый ключ пользователя", выполните действия по запросу программы:

-При появлении диалога "Ввод пароля" введите пароль пользователя.

- При появлении диалога "Предъявите идентификатор" предъявите идентификатор пользователя, содержащий его закрытый ключ.

Успешно выполненные операции имеют статус "Выполнено". Если при выполнении операции произошла ошибка, в диалоге будет приведено соответствующее сообщение об этом.

5. После успешного выполнения всех операций нажмите кнопку

"Далее >". На экране появится диалог "Предъявите идентификатор".

6. Предъявите идентификатор для присвоения пользователю и записи данных. Не нарушайте контакт идентификатора со считывателем до завершения всех операций.

После успешного завершения всех предусмотренных операций статус каждой из них должен иметь значение "Выполнено".

7. Чтобы присвоить пользователю еще один идентификатор с такими же параметрами, нажмите кнопку "Повторить...".

8. Для завершения работы нажмите кнопку "Готово".

6.2 Настройка режимов использования идентификаторов

При необходимости можно изменить действующие режимы использования идентификаторов (кроме сменных носителей), присвоенных пользователю.

Процедура настройки режимов выполняется с помощью программы-мастера.

Для настройки режимов идентификаторов пользователя:

1. Загрузите оснастку для управления параметрами пользователей, вызовите окно настройки свойств пользователя и перейдите к диалогу "Secret Net 7"

2. Нажмите кнопку "Параметры".

На экране появится стартовый диалог мастера настройки режимов.

Диалог содержит список идентификаторов, присвоенных пользователю.

Для каждого идентификатора в списке указаны включенные режимы и доступные для выполнения операции. Например, если для идентификатора включен режим хранения пароля, то доступной операцией будет "Отключить режим хранения пароля".

3. Установите отметки в соответствии с выполняемыми операциями и нажмите кнопку "Далее >".

4. Если выбрана операция "Записать пароль в идентификатор" или "Разрешить вход в ПАК "Соболь", на экране появится диалог "Ввод пароля". Введите пароль пользователя и нажмите кнопку "OK".

После успешного ввода пароля в диалоге справа от названия операции появится запись "Выполнено".

5. Нажмите кнопку "Далее >".

Если была выбрана любая операция, кроме операции "Включить режим хранения пароля", на экране появится диалог "Предъявите идентификатор".

В диалоге отображаются наименования идентификаторов, для которых были выбраны операции, и статус их обработки: "Не обработан".

6. Предъявите все идентификаторы, указанные в списке.

После успешного предъявления идентификатора его статус изменится на"Обработан". Если предъявление идентификатора выполнено с ошибкой, в столбце статуса обработки появится сообщение об ошибке. После предъявления всех идентификаторов кнопка "Отмена" будет заменена кнопкой "Закрыть".

7. Нажмите кнопку "Закрыть".

На экране появится диалог с результатами выполнения операций. Если операции выполнены с ошибками, в диалоге будет приведено их описание.



После успешного завершения всех предусмотренных операций статус каждой из них должен иметь значение "Выполнено".

8. Для завершения работы нажмите кнопку "Готово".

6.3 Управление ключами для усиленной аутентификации

При включенном режиме усиленной аутентификации пользователь при входе в систему должен предъявить носитель, содержащий ключевую информацию.

Ключевая информация пользователя может храниться в персональных идентификаторах или сменных носителях, присвоенных пользователю.

Генерация и выдача ключей

Генерация ключевой информации может выполняться средствами Secret Net либо при присвоении пользователю персонального идентификатора, либо, когда идентификатор уже присвоен пользователю, отдельной процедурой выдачи ключей.

Для выдачи ключей:

1. Загрузите оснастку для управления параметрами пользователей, вызовите окно настройки свойств пользователя и перейдите к диалогу "Secret Net 7".

2. В панели выбора режима выберите режим "Криптоключ".



В этом режиме отображаются сведения о ключах пользователя.

3. Нажмите кнопку "Выдать" (если у пользователя уже есть ключи, эта кнопка называется "Сменить").

Если пользователь уже имеет ключи, на экране появится диалог, предлагающий выбрать один из двух вариантов смены ключей -- с сохранением старого ключа пользователя или без его сохранения.

4. Выберите нужный вариант и нажмите кнопку "Далее >".

Если был выбран вариант с сохранением старого ключа, на экране появится диалог, отображающий ход выполнения операции чтения ключа, и приглашение предъявить идентификатор.

5. Предъявите идентификатор, содержащий старый закрытый ключ данного пользователя. После успешного выполнения операции в диалоге справа от названия операции появится запись "Выполнено". Если при выполнении операции была допущена ошибка, в диалоге будет приведено сообщение об ошибке.

6. Устраните ошибку, если она есть, нажав кнопку "Повторить" и повторно выполнив операцию. Нажмите кнопку "Далее >".

На экране появится диалог, отображающий ход выполнения операций, и приглашение предъявить идентификаторы.

7. Предъявите все идентификаторы, указанные в списке.

При успешном предъявлении идентификатора его статус изменится на "Обработан". Если предъявление идентификатора выполнено с ошибкой, в столбце статуса обработки появится сообщение об ошибке. После предъявления всех идентификаторов кнопка "Отмена" будет заменена кнопкой "Закрыть".

8. Нажмите кнопку "Закрыть".

На экране появится диалог с результатами выполнения операций. Если операции выполнены с ошибками, в диалоге будет приведено их описание.

9. Устраните ошибки, если они есть, нажав кнопку "< Назад" и повторно выполнив операцию, после чего нажмите кнопку "Готово".

6.4 Аппаратная идентификация

В Secret Net поддерживается применение электронных СИА на базе:

· идентификаторов iButton;

· USB-ключей eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF;

· контактных смарт-карт eToken PRO, eToken PRO (Java).

СИА на базе iButton

Идентификаторы iButton представляют собой микросхему (чип), вмонтированную в герметичный корпус из нержавеющей стали. Корпус

iButton отдаленно напоминает батарейку для наручных часов и имеет диаметр 17,35 мм при высоте 5,89 мм (корпус F5). Корпус защищает микросхему от различных внешних воздействий и обеспечивает высокую живучесть прибора в условиях агрессивных сред, пыли, влаги, внешних электромагнитных полей, ударов и пр.



В структуре iButton можно выделить следующие основные части: постоянное запоминающее устройство ROM, энергонезависимое (nonvolatile -- NV) оперативное запоминающее устройство NV RAM, сверхоперативное запоминающее устройство (scratchpad memory -- SM), часы реального времени (для DS1994), а также элемент питания -- встроенную литиевую батарейку.

В ROM хранится 64- разрядный код, состоящий из 48-разрядного уникального серийного номера (идентификационного признака), 8- разрядного кода типа идентификатора и 8- разрядной контрольной суммы. Память SM является буферной и выполняет функции блокнотной памяти. Память NV RAM идентификаторов DS1992--DS1996 является открытой.

Обмен информацией, хранящейся в идентификаторе, с компьютером происходит в соответствии с протоколом 1-Wire с помощью разнообразных считывающих устройств (PCI- адаптеров, адаптеров последовательного и параллельного портов). Информация записывается в идентификатор и считывается из него путем прикосновения корпуса iButton к считывающему устройству. Время контакта -- не менее 5 мс, гарантированное количество контактов составляет несколько миллионов. Интерфейс 1-Wire обеспечивает обмен информацией со скоростью 16 Кбит/с или 142 Кбит/с (ускоренный режим).

Достоинствами СИА на базе идентификаторов iButton являются:

· долговечность (время хранения информации в памяти идентификатора составляет не менее 10 лет);

· высокая степень механической и электромагнитной защищенности;

· малые размеры, удобство хранения;

· относительно невысокая стоимость.

СИА на базе USB-ключей

Средства идентификации и аутентификации на базе USB- ключей предназначаются для работы непосредственно с USB-портом компьютера и не требуют аппаратного считывающего устройства. Подключение к USB- порту осуществляется непосредственно или с помощью соединительного кабеля.

Идентификаторы конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами. Каждый USB-ключ имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер.

В состав USB-ключей могут входить:

· процессор -- управление и обработка данных;

· криптографический процессор -- реализация алгоритмов ГОСТ 28147- 89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобразований;

· USB-контроллер -- обеспечение интерфейса с USB-портом компьютера;

· RAM -- хранение изменяемых данных;

· многократно программируемая постоянная память EEPROM -- хранение ключей шифрования, паролей, сертификатов и других важных данных;

· ROM -- хранение команд и констант.

На российском рынке компьютерной безопасности наибольшей популярностью пользуются следующие USB-ключи:

· eToken -- разработка компании "Аладдин Р.Д.";

· iKey -- разработка компании SafeNet;

· Rutoken -- совместная разработка российских компаний "Актив" и "АНКАД".

В Secret Net поддерживается работа СИА на базе USB-ключей eToken PRO, eToken PRO (Java), iKey2032, Rutoken, Rutoken RF.

В USB-ключе eToken PRO закрытая информация хранится в защищенной памяти емкостью 32/64 КБ. Каждый идентификатор имеет уникальный серийный 32-разрядный номер. В eToken PRO аппаратно реализованы криптографические алгоритмы RSA с ключами длиной 1024 бит и 2048 бит, DES/56, 3DES/168, SHA-1, MAC, iMAC. USB- ключ eToken PRO (Java) является представителем нового поколения идентификаторов, использующих ПО Java. Емкость его памяти составляет 72 КБ.

USB-ключ eToken PRO

Емкость памяти USB-ключа iKey 2032 составляет 32 КБ. Разрядность серийного номера равна 64. Помимо отмеченных выше криптографических алгоритмов в iKey 2032 также реализованы MD5, RC2, RC4, RC5.

Главным отличием USB- ключей Rutoken от зарубежных аналогов является реализация российского алгоритма шифрования ГОСТ 29147-89. В Rutoken RF встроена радиочастотная метка, позволяющая дополнительно реализовать бесконтактный способ считывания идентификационных признаков.

Достоинствами СИА на базе USB-ключей являются:

· малые размеры, удобство хранения идентификатора;

· отсутствие аппаратного считывателя;

· простота подсоединения идентификатора к USB-порту.

К недостаткам USB-ключей можно отнести их относительно высокую стоимость.

6.5 Настройка использования устройств и принтеров

В журнале Secret Net можно настроить регистрацию названия документа, кто и когда его печатал, название принтера, процесс. Для конфиденциального документа (в режиме контроля печати конфиденциальных документов) - дополнительно регистрируется имя файла, его категория конфиденциальности, число копий и число страниц. Содержимое документа в журнале не сохраняется.

Избирательное разграничение доступа к устройствам и принтерам

При настройке разграничения доступа пользователей к устройствам и принтерам выполняются действия:

1. Настройка прав доступа пользователей к устройствам и принтерам.

2. Настройка регистрации событий и аудита операций с устройствами.

6.6 Настройка прав доступа к устройствам

Права доступа пользователей могут устанавливаться для отдельных устройств или для классов. Для настройки прав доступа к устройствам:

1. Вызовите оснастку для управления параметрами объектов групповой политики и перейдите к разделу "Параметры безопасности | Параметры Secret Net" .

2. Выберите папку "Устройства".

В правой части окна оснастки появится список устройств.

3. Выберите в списке объект (класс или устройство), вызовите контекстное меню и выберите команду "Свойства".

На экране появится диалог для настройки параметров объекта.

4. Перейдите к группе параметров "Настройки".

5. Удалите отметку из поля "Наследовать настройки контроля от родительского объекта".

После этого станут доступны параметры контроля устройства.

6. Отметьте режим контроля "Устройство постоянно подключено к компьютеру" или "Подключение устройства разрешено" и нажмите кнопку "Разрешения". На экране появится диалог ОС Windows "Разрешения...".

Следует иметь в виду, что возможность вызова диалога "Разрешения..." предусмотрена только для тех устройств, для которых допускается настройка разрешений и запретов: порты, диски, носители данных (для системного диска управление разрешениями запрещено).

7. При необходимости отредактируйте список учетных записей в верхней части диалога.

8. Для изменения параметров доступа выберите в списке нужную учетную запись и затем расставьте разрешения и запреты на выполнение операций.

При этом учитывайте принцип наследования параметров от родительских объектов дочерними: явно заданные параметры перекрывают унаследованные от родительских объектов.

Для настройки особых разрешений нажмите кнопку "Дополнительно" и настройте параметры в открывшемся диалоговом окне.



6.7 Настройка прав пользователей для печати на принтерах

Права пользователей для печати документов могут устанавливаться для конкретных принтеров или для элемента "Настройки по умолчанию".

Для настройки прав пользователей для печати:

1. Вызовите оснастку для управления параметрами объектов групповой политики и перейдите к разделу "Параметры безопасности | Параметры Secret Net" .

2. Выберите папку "Принтеры".

В правой части окна оснастки появится список принтеров.

3. Выберите в списке нужный элемент, вызовите контекстное меню и выберите команду "Свойства".

На экране появится диалог для настройки параметров.



4. Нажмите кнопку "Разрешения". На экране появится диалог ОС Windows "Разрешения...".

5. При необходимости отредактируйте список учетных записей в верхней части диалога.

6. Для изменения параметров доступа выберите в списке нужную учетную запись и затем отметьте разрешение или запрет на выполнение печати.

6.8 Настройка регистрации событий и аудита операций с устройствами. Изменение перечня регистрируемых событий

Для отслеживания произошедших событий, связанных с работой механизма разграничения доступа к устройствам, необходимо выполнить настройку регистрации событий. Для этого следует указать, какие события категории "Разграничение доступа к устройствам" должны регистрироваться в журнале Secret Net.

Настройка аудита успехов и отказов

Настройка аудита выполнения операций с устройствами может выполняться для классов и конкретных устройств.

Для настройки аудита:

1. Вызовите оснастку для управления параметрами объектов групповой политики и перейдите к разделу "Параметры безопасности | Параметры Secret Net" .

2. Выберите папку "Устройства".

В правой части окна оснастки появится список устройств.

3. Выберите в списке объект (класс или устройство), вызовите контекстное меню и выберите команду "Свойства".

На экране появится диалог для настройки параметров объекта.

4. Перейдите к группе параметров "Настройки" и нажмите кнопку "Разрешения".

На экране появится диалог ОС Windows "Разрешения...".

5. Нажмите кнопку "Дополнительно".

На экране появится диалоговое окно настройки дополнительных параметров.

6. Перейдите к диалогу "Аудит" и настройте параметры аудита ОС Windows.



Заключение

Одним из самых актуальных на текущий момент вопросом в области защиты информации в России является защита секретных данных в соответствии с российским законодательством и актуальными угрозами безопасности.

В данной работе для ИС из 1 человека определен класс защищенности АС, приведена разработка требований по защите секретных данных.

Следовательно, исходя из класса защищенности присвоенному информации, составляющую гостайну можно использовать следующие средства защиты:

· СЗИ Secret Net

· Электронный замок "Соболь"

· vGate-S R2

· АПКШ "Континент"

· TrustAccess

В данной работе подробно рассмотрены и проиллюстрированы основные моменты по настройке и применению СЗИ от НСД "Secret Net 7.0".

Данное решение является качественным, т.к. все выбранные в данной работе средства защиты имеют необходимые сертификаты ФСБ и ФСТЭК России и образуют в совокупности комплексную систему защиты секретных данных, обеспечивающую соблюдение всех требований законодательства.



Список использованных источников

1. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Решение председателя Гостехкомиссии России от 30 марта 1992 г.

2. Руководство администратора. Настройка механизмов защиты - "Secret Net 7.0".

http://www.securitycode.ru/products/secret_net/documentation/

3. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г.

Размещено на Allbest.ru

...