Системы защиты информации

Размещено на http://www.allbest.ru/

Введение

1. Анализ объекта защиты

1.1 Пространственная модель объекта защиты

Пространственная модель объекта - это модели пространственных зон с указанным месторасположением источников защищаемой информации. План помещения представлен на графическом рисунке 1.1. На плане указаны двери, окна, расположение рабочих мест, персональных компьютеров, локальная сеть, батареи отопления, шкаф. На плане этажа показаны расположение контрольно-пропускных пунктов, способ подхода к объекту места подведения кабелей, способных передавать защищаемую информацию. Информация по описанию объекта защиты структурирована в таблицу:

Таблица №1.1 - Описание объекта

Рисунок 1.1 - План помещения

Таким образом, объект защиты обладает развитой сетью инженерных коммуникаций и технических средств охраны, что с одной стороны затрудняет физическое проникновение злоумышленника, с другой - дает возможность для реализации высокотехнологичных способов съема информации, требующих значительных денежных вложений.

1.2 Моделирование угроз безопасности информации

- моделирование способов физического проникновения злоумышленника к источникам информации;

- моделирование технических каналов утечки информации.

При моделировании угроз безопасности информации следует учесть то, что злоумышленник представляет собой противника, тщательно готовящего операцию проникновения и хищения информации. Он изучает обстановку вокруг территории организации, механические преграды, средства охраны и телевизионного наблюдения, места наружного освещения, а также сотрудников (с целью добывания от них информации о способах и средствах защиты). Злоумышленник имеет в распоряжении современные технические средства для проникновения и преодоления механических преград. Также необходимо исходить из положения, что злоумышленник хорошо осведомлен о состоянии технических средств защиты информации, хорошо представляет типовые варианты их применения, слабые места и «мертвые зоны» диаграмм направленности активных средств охраны.

1.3 Описание среды передачи данных

Неэкранированная витая пара (Unshielded Twisted Pair, UTP), как правило, используется в офисных локальных сетях, расположенных в одном здании. Скорость передачи данных в такой среде варьируется от 10 Мбит/с до 1 Гбит/с и определяется толщиной провода и расстоянием между обменивающимися сторонами. В локальных сетях используется два типа неэкранированных витых пар: витая пара категории 3 и витая пара категории 5. Первая относится к голосовым линиям связи и характерна для офисов. Как правило, в офисах прокладывают две независимые витые пары, из которых одна используется для телефонной связи, а другая - для дополнительных телефонных соединений и локальной сети. В частности, в широко распространенной технологии Ethernet 10 Мбит/с применяют неэкранированную витую пару категории 3. Витая пара категории 5 имеет большее число витков на дюйм, а также снабжена тефлоновой изоляцией, что позволяет обеспечить более высокие скорости передачи данных. В последние годы получила распространение технология Ethernet 100 Мбит/с, в которой используется витая пара категории 5. В новых офисных компьютерных сетях, как правило, также прокладывается неэкранированная витая пара категории 5.

Как было сказано ранее, витая пара активно используется для резидентного доступа в Интернет. С ее помощью реализуется коммутируемый модемный доступ на скоростях до 56 Кбит/с, а также DSL-доступ, позволяющий резидентным абонентам достичь скорости 100 Мбит/с.

1.4 Каналы утечки конфиденциальной информации

Модель нарушителя, которая используется в этой курсовой, предполагает, что в качестве потенциальных злоумышленников могут выступать сотрудники компании, которые для выполнения своих функциональных обязанностей имеют легальный доступ к конфиденциальной информации. Целью такого рода нарушителей является передача информации за пределы АС с целью её последующего несанкционированного использования - продажи, опубликования её в открытом доступе и т.д. В этом случае можно выделить, следующие возможные каналы утечки конфиденциальной информации изображены на Рисунке 1.2.

Рисунок 1.2 - Каналы утечки информации

- несанкционированное копирование конфиденциальной информации на внешние носители и вынос её за пределы контролируемой территории предприятия. Примерами таких носителей являются флоппи-диски, компакт-диски CD-ROM, Flash-диски и др.;

- вывод на печать конфиденциальной информации и вынос распечатанных документов за пределы контролируемой территории. Необходимо отметить, что в данном случае могут использоваться как локальные принтеры, которые непосредственно подключены к компьютеру злоумышленника, так и удалённые, взаимодействие с которыми осуществляется по сети;

- несанкционированная передача конфиденциальной информации по сети на внешние серверы, расположенные вне контролируемой территории предприятия. Так, например, злоумышленник может передать конфиденциальную информацию на внешние почтовые или файловые серверы сети Интернет, а затем загрузить её оттуда, находясь в дома или в любом другом месте. Для передачи информации нарушитель может использовать протоколы SMTP, HTTP, FTP или любой другой протокол в зависимости от настроек фильтрации исходящих пакетов данных, применяемых в АС. При этом с целью маскирования своих действий нарушитель может предварительно зашифровать отправляемую информацию, или передать её под видом стандартных графических или видео-файлов при помощи методов стеганографии;

- хищение носителей, содержащих конфиденциальную информацию: жёстких дисков, flash дисков, компакт-дисков CD-ROM и др.

1.5 Комплексные меры по защите информации

Когда мы реализуем целый комплекс мер по защите информации, мы как бы выстраиваем сплошную стену, охраняющую нашу территорию от вторжения врагов. Если хотя бы один участок стены окажется с брешью или недостаточно высок, вся остальная конструкция лишается смысла. Так и с защитой информации - устойчивость всей системы защиты равна устойчивости её слабейшего звена. Отсюда делаются следующие выводы:

- ЗИ может осуществляться лишь в комплексе; отдельные меры не будут иметь смысла;

- стойкость защиты во всех звеньях должна быть примерно одинакова; усиливать отдельные элементы комплекса при наличии более слабых элементов - бессмысленно;

- при преодолении ЗИ усилия прикладываются именно к слабейшему звену.

Рассмотрим, какие есть «звенья» в системе защиты, и какое из них слабейшее. Надёжность защиты можно классифицировать по следующим группам:

- количество вариантов ключа (определяет устойчивость к прямому перебору);

- качество алгоритма (устойчивость к косвенным методам дешифровки);

- наличие у противника априорной информации (то же);

- надёжность хранения или канала передачи секретного ключа;

- надёжность допущенных сотрудников;

- надёжность хранения незашифрованной информации.

Здесь будет уместно привести один экзотический случай из практики промышленного шпионажа двадцатилетней давности. Охотники до чужих секретов ухитрились снять секретную информацию буквально с воздуха. Они установили прослушивание помещения, где обрабатывались секретные документы. В те времена пользовались литерными печатающими устройствами. «Треск» работы таких принтеров достаточно легко удалось расшифровать и получить, таким образом, доступ ко всем распечатываемым документам.

Как правило, человек является наименее надёжным звеном в системе ЗИ. Из всех известных удачных попыток преступлений в сфере компьютерной информации подавляющее большинство было совершено при помощи сообщников в учреждении, которое подвергалось атаке.

- поиск и выведение из строя устройств, для скрытого съёма вашей информации;

- выявление и задержание лиц, устанавливающих такие устройства или совершающих иные незаконные действия по доступу к вашей информации;

- выявление возможных каналов утечки или несанкционированного доступа к вашей информации и направление по таким каналам дезинформации;

- создание ложных потоков информации с целью маскировки истинных потоков и отвлечения сил противника на их дешифровку;

- демонстрации противнику возможностей вашей защиты (не обязательно истинных) для создания у него впечатления бесперспективности преодолеть вашу защиту;

- контрразведывательные мероприятия с целью получить сведения о том, как именно противник получает доступ к вашей информации и соответствующего противодействия.

1.6 Организационная защита

В частности, необходимо всеми доступными методами обеспечивать лояльность персонала, проводить специализированное обучение и разъяснения на тему «Наиболее распространенные заблуждения, предубеждения и ошибки, приводящие к искажению, уничтожению и утечке информации». Очень важным, с моей точки зрения, является составление грамотной политики безопасности и ознакомление с ней под подпись всех сотрудников.

В этой части я написал политику безопасности в соответствии с особенностями данного помещения.

Общим принципом политики сетевой безопасности в Организации является запрет всех видов доступа и всех действий, которые не разрешены явно данной политикой. Другими словами, если нет специального разрешения на проведение конкретных действий или использование конкретных сетевых ресурсов, то такие действия или такое использование запрещены, а лица, их осуществляющие подлежат наказаниям, описанным позднее в этой политике.

Эта политика состоит из двух основных частей - политики для работы в отдельной сети и политики для работы в межсетевой среде. Межсетевая среда (интернет) - это термин, применяемый при описании ситуации, когда более чем одна сеть соединены между собой и две или более сетей могут обмениваться данными между собой. Примерами межсетевой среды является Интернет, а также корпоративная сеть, и эта политика будет использовать такую нотацию при ссылке на них. Эта политика применима в равной степени ко всему интернет, но некоторые ее компоненты специально описаны для среды интернет. Рассмотрение ситуации работы в сети и межсетевой среде в дальнейшем разбивается на две под проблемы - периметр безопасности и внутренняя безопасность. Для сети, которая не присоединена к интернету, периметр безопасности не нужен, иначе, для того чтобы защитить соединение с интернетом, нужно реализовать элементы политик периметра безопасности. Политика внутренней безопасности одинаково применима как к сетям, так и к интернету, политика же периметра безопасности применима только к интернету.

Сетевые ресурсы организации существуют лишь для того, чтобы поддерживать деятельность организации. В некоторых случаях тяжело провести черту между интересами организации (служебными интересами) и другими интересами. Система конференций и электронной почты Интернета являются примерами смешения интересов организации и личных интересов сотрудников по использованию этих ресурсов. Организация понимает, что попытки использования ограничений типа «только в интересах организации» в этих случаях бессмысленны. Поэтому необходимо дать рекомендации, а не строгие требования в отношении информационных ресурсов, которые служат для решения не только задач, стоящих перед организацией. Начальники отделов имеют право принять решение о допустимости использования сетевых ресурсов сотрудниками для решения задач, отличных от чисто служебных, в том случае, если при этом повышается эффективность работы данного сотрудника. С другой стороны, начальники отделов должны препятствовать некорректному использованию сетевых ресурсов, как для личных целей, так и для целей отдыха и развлечения сотрудников, но могут допустить такое использование ресурсов, там, где оно морально или повышает эффективность работы. Сетевые администраторы имеют право и должны сообщать об инцидентах, связанных с подозреваемым или доказанным использованием сетевых ресурсов не по назначению, начальнику отдела, сотрудники которого были участниками инцидента, и сообщать о нарушениях данной политики своему начальнику отдела.

Доступ к информационным ценностям Организации не будет осуществлен, если не будет необходимости знать эту информацию. Это значит, что очень критическая информация должна быть защищена и раздроблена на части таким образом, чтобы она была неизвестна основной массе сотрудников. Персональная информация, например, требуется руководителям групп, но им не нужна полная информация о людях, то есть о сотрудниках, работа с которыми не входит в их круг обязанностей.

Одним из основных показателей значимости сетевых ресурсов является быстрый и точный обмен данными, а также уничтожение избыточных и устаревших данных. В этом вопросе организация поддерживает и поощряет совместное использование и обмен информацией между подразделениями Организации там, где этот обмен не входит в противоречие с принципом «знать только то, что тебе нужно для работы». Не должно происходить импорта и экспорта информационных ценностей между узлами сети без явного разрешения на это, в соответствии с вышеупомянутым принципом. Причина выделения отдельного пункта состоит в необходимости подчеркнуть, что неконтролируемый обмен данными является причиной появления источников порчи информации и их распространения (вирусов и т.д.). Например, как следствие, запрещено вносить данные, полученные вне сетевой инфраструктуры организации, без тщательной проверки на отсутствие источников ее порчи. Из изложенного выше должно быть ясно, что все, что явно не разрешено - запрещено, так как область обмена данными создает риск целостности данных.

Доступ к любой информационной ценности Организации не должен осуществляться без соответствующей аутентификации, кроме случаев, описанных в этом разделе. Руководители подразделений могут принять решение предоставить публичный доступ к некоторой информации Организации для ее рекламы и продвижения на рынке. Сети могут иметь службы общего доступа, аналогичные тем, что имеются в BBS. Эти службы не требуют аутентификации или имеют слабую аутентификацию. Если такая служба делается доступной для пользователей сети, которые не являются постоянными сотрудниками организации или работающими в ней по контракту, или как-то иначе подпадающими под юрисдикцию организации, то они должна получать к ней доступ не из сети, а из интернета с применением соответствующих мер защиты периметра безопасности. Другими словами, если информация раскрывается вне Организации, то это не может делаться через сеть, а должно осуществляться через интернет с использованием соответствующих средств защиты, например требования аутентификации для получения доступа к частным информационным ценностям.

Невозможно адекватно защитить информационные ценности организации без знания каждой точки риска и выработки, соответствующих мер защиты. Для целей этой политики периметр определяется как совокупность всех точек соединения с ближайшими соседями в интернете. Всемирный Интернет приводит к существованию ряда уникальных ситуаций, которые требуется рассмотреть отдельно. Точка риска была определена как точка соединения, а из этого следует, что риск существует только в месте самого соединения. Это - самое неприятное следствие. Точки риска возникают в каждой точке соединения с сетью или узлом, не входящим в состав ЛВС.

Привилегии доступа точки риска могут быть повышены соответствующей фильтрацией или аутентификацией. Фильтрация включает запрет взаимодействия с узлами, имеющими более низкий уровень привилегий, чем тот, что у интернета с другой стороны точки риска. Аутентификация должна использоваться в тех случаях, когда сущность или пользователь могут располагаться на узле с меньшими привилегиями, чем те, которые имеются у узла, на котором находится информация, к которой должен иметься доступ по принципу «знать то, что нужно для работы».

В отличие от сети, где обмен происходит только между узлами сети, интернет позволяет совместно использовать и обмениваться информацией с других узлами сети. Должно уделяться достаточное внимание тому, какие данные импортируются из или экспортируются в интернет различных уровней привилегий. Данные, которые предназначены для замены или обновления данных, находящихся на узлах, доступных любым пользователям интернета, могут экспортироваться из интернета с большими привилегиями в интернет без ограничений на доступ к общедоступной информации.

Допустимо экспортировать данные из интернета с низким уровнем привилегий в сеть с высоким уровнем привилегий, если известно, что данные не представляют риска компрометации или искажения для интернета-получателя. Примером таких допустимых передач может быть импорт пользователем технической статьи или текста программы для внутреннего использования. Вообще, исходный (то есть читаемый человеком) материал может импортироваться из интернета с низкими привилегиями без тщательного просмотра, если данный материал служит интересам организации. Но этого нельзя сказать про импорт исполняемых файлов или двоичных данных. Двоичные данные или программы не могут быть импортированы из сети с низкими привилегиями без тщательной проверки, для оценки риска разрушения или компрометации информационных ценностей внутри сети с более высокими привилегиями и из сети с низкими привилегиями без тщательной проверки для оценки риска разрушения или компрометации информационных ценностей внутри интернета с более высокими привилегиями. Нельзя записывать в интернете какие-либо данные или программы на носители информации и импортировать в сеть Корпорации без тщательного анализа компетентными ответственными лицами.

Допустимо экспортировать данные из сети с высокими привилегиями в интернет с низкими привилегиями, если уровень привилегий сети назначения выше или равен уровню привилегий, требуемому для доступа к данным. Нельзя записывать в сети организации какие-либо данные или программы на носители информации и экспортировать их в интернет без тщательного анализа компетентными ответственными лицами.

Этот вопрос упоминается несколько раз при описании политики, так как он играет большую роль в каждой области, в которой он упоминается. Аутентификация в точке риска между интернетом и сетью - это первый шаг по управлению доступом к информационным ценностям с другой стороны точки риска. Если уровень привилегий обоих сторон одинаков, то можно реализовать обычные механизмы аутентификации. Примерами не столь сильных технологий является использование r-команд Unixа, с помощью которых два узла доверяют друг другу с помощью взаимной верификации на основе идентификатора пользователя и узла; традиционные идентификатор пользователя и пароль тоже не очень сильная технология, так как она уязвима к компрометации неосторожным пользователем. Более сильные технологии включают процессы, которые менее уязвимы к компрометации. Это могут быть одноразовые пароли, которые никогда не используются снова. Одноразовые пароли могут генерироваться программой и печататься на листах бумаги или они могут генерироваться смарт-картами на основе текущего времени и даты, случайных чисел, или других методов, приводящих к получению уникального пароля. Усиленная аутентификация может быть реализована с помощью технологии запрос-ответ. В этом случае аутентифицирующийся сущности дается случайное число-запрос, которое она должна зашифровать и отослать зашифрованный результат.

Для интернетов, которые соединяются с сетью организации через точки риска, требующие усиленной аутентификации, организация требует наличия безопасного сервера аутентификации для протоколирования верификации попыток аутентификации и их результатов. Сервер аутентификации должен размещаться в интернете, к которому не должно быть доступа с других сетей с целями, отличными от обработки событий, связанных с аутентификацией. Допускается вход в этот интернет транзакций аутентификации, ответов на запросы службы имен, и результатов синхронизации времени для поддержки технологий аутентификации на основе времени. Выходить из этого интернета через единственную точку риска могут только ответы на транзакции аутентификации, запросы к службе имен и запросы к службе времени. Для этого интернета может также допускаться передача сообщений службы протоколирования событий, связанных с безопасностью, если администратор безопасности сочтет нужным хранить протоколы событий на сервере аутентификации. Сервер аутентификации может быть физически защищен путем помещения его в закрытую комнату, доступ в которую разрешен только администратору безопасности.

2. Аппаратные методы защиты информации

Рисунок 2.1 - Астра-712/4 прибор приёмно-контрольный на 4 шлейфа

- контроль состояния 4 шлейфов сигнализации (ШС) с включенными охранными или пожарными извещателями;

- управление средствами оповещения;

- выдача тревожных извещений на ПЦН через релейные выходы;

- обмен информации по линии расширения с релейными модулями;

- обеспечение питающим напряжением активных извещателей и других устройств.

Особенности защита цепей:

- ШС;

- питания;

- АКБ;

- «спящий» режим;

- выдача извещения о тревоге на ПЦН при полном отключении основного и резервного электропитания;

- место под АКБ 7 А/ч;

- комплектуется считывателем Touch memory и кнопкой с фиксацией.

Основные данные постановка на охрану/снятие с охраны осуществляется:

- с использованием ключей Touch memory (ТМ) или устройств, генерирующих код формата ТМ, (РПУ Астра-Р исполнение ТМ, РПУ Астра-РИ-М). Количество регистрируемых идентификаторов ТМ - 28. Регистрация идентификаторов ТМ с помощью кнопки ТМ или с ПК;

- с использованием переключателя или кнопки с фиксированными состояниями «замкнут/разомкнут» (КН);

- обеспечивается работа ШС по типам «охранный « или «пожарный».

Технические данные питание приборов Астра-712/1(/2/4/8) от:

- сети переменного тока частотой, Гц 50;

- напряжением, В187ч242;

- АКБ напряжением, В12ч14.

Параметры ШС:

- напряжение на клеммах ШС в дежурном режиме, В от 9 до 14;

- ток короткого замыкания по ШС, мА не более 20±0,3.

Время интегрирования ШС, мс, не более:

- охранный70±10;

- пожарный 300±30;

Сопротивление ШС, кОм, в состоянии:

- «норма» от 3 до 5;

- «нарушение» охранныйот 0 до 3 или более 5;

- «нарушение» пожарныйот 1,5 до 3 или от 5 до 12;

- «неисправность» пожарныйот 0 до 1,5 или более 12.

В ШС могут быть включены:

- - извещатели и приёмно-контрольные приборы, имеющие выход типа сухой контакт (релейный) и работающие на замыкание или размыкание;

- пожарные извещатели, питающиеся по шлейфу напряжением не менее 9. В и максимальным остаточным напряжением на сработавшем извещателе не более 6 В;

- контроль ШС типа «охранный» производится по сопротивлению в жестких границах состояний ШС «норма», «нарушение». Распознавание состояния ШС «неисправность» не производится;

- контроль ШС типа «пожарный» производится по сопротивлению в жестких границах состояний ШС «норма», «нарушение», «неисправность», «внимание»;

- силовой выход для обеспечения питанием устройств оповещения, устройств оконечных РСПИ и других потребителей большого тока непосредственно от АКБ.

Установка основных режимов работы осуществляется с помощью перемычек на плате прибора и предусматривает выбор:

- режима настройки (перемычки или ПК);

- отключение линии расширения;

- способа постановки на охрану (ТМ или КН);

- режима работы в линии расширения (ведущий - ведомый);

- включение режима автоперевзятия;

- выбор режимов работы ШС («охранный» - «пожарный»);

- времени задержки на вход / выход.

Наиболее полная реализация возможностей ППКОП осуществляется программированием с ПК:

- выбор набора необходимых функций (ПО Flasher);

- определение режимов работы выбранного набора функций (ПО Pconf712);

- подключение к ПК обеспечивается модулем сопряжения Астра-982;

- приборы не предназначены для использования в составе систем автоматического управления пожаротушением.

Индикация и выходы:

- двухцветная индикация состояния каждого ШС;

- двухцветная индикация состояния цепей питания;

- выход на световой оповещатель;

- выход на звуковой оповещатель;

- программируемые релейные выходы;

- выход для питания извещателей;

- дополнительный выход от АКБ;

- выход управления «Взят / Снят» с двумя фиксированными состояниями замкнут/разомкнут;

- вход / выход линии расширения.

До 36 видов извещений в зависимости от установленных режимов работы приборов.

Аврора-ДТН ИП 212/101-78-А1 Извещатель комбинированный (дымовой + тепловой) изображён на рисунке 2.1.

Выбранный извещатель обладает радиусом обнаружения 3,5 м.

Понадобится два извещателя, чтобы надёжно защитить покрываемую площадь 5 Ч 7.

Предназначен: Для обнаружения дыма и/или повышения температуры в охраняемом помещении и передачи сигнала о пожаре приемно-контрольному прибору.

- высокая надежность и чувствительность;

- удобство обслуживания и монтажа;

- передовые технологии: специально разработанный микропроцессор (ASIC).

Извещатель пожарный тепловой максимальный.

Рисунок 2.2 - Извещатель пожарный тепловой максимальный RT-A2

Краткое описание - Извещатель пожарный тепловой макс., 2-х провод., t-сраб.54...70°C (А2), U-шс.9...30В, I-потр.100 мкА, IP10, 85 Ч 33 мм.

Назначение изделия - Извещатели пожарные тепловые максимальные

предназначены для контроля температуры окружающей среды в закрытых помещениях различных зданий и сооружений.

Особенности:

- улучшенные схемные решения;- высокая устойчивость к ложным срабатываниям;

- несъемные восстанавливаемые;

- двухрежимные с дистанционным возвратом в исходное состояние;

- оптическая индикация режима «Пожар» двумя индикаторами;

- без индикации дежурного режима;- малые токи потребления;

- совместимость с разными ППКП;

- широкий диапазон напряжения питания.

Рисунок 2.3 - Извещатель пожарный ручной ИПР

Краткое описание: питание 9 - 30 В, 35 мкА, с рычагом, tраб.-50...+ 60°С, 150 Ч 45 Ч 120.

Назначение изделия - Извещатель пожарный ручной ИПР предназначен для ручной подачи тревожного сигнала о пожаре на приемно-контрольные приборы систем пожарной сигнализации вжилых и производственных зданиях и сооружениях и в помещениях АЭС.

Особенности

- индикация наличия дежурного режима в шлейфе (кратковременные проблески оптического индикатора); - индикация подтверждения приема сигнала «Пожар» прибором (прерывистое свечение оптического индикатора).

Извещатель охранный точечный магнитоконтактный.

Рисунок №2.4 - Извещатель охранный точечный магнитоконтактный

Краткое описание: накладной, 58 Ч 11 Ч 11 мм.

Назначение изделия: предназначен для блокировки дверных и оконных проемов, других строительных, конструктивных элементов зданий и сооружений на открывание или смещение, организаций устройств типа «ловушка» на любых объектах и выдачи сигнала «Тревога» путем размыкания контактов геркона на приемно-контрольный прибор или пульт централизованного наблюдения.

Особенности: накладной, предназначен для поверхностного монтажа на деревянные конструкции.

Рисунок №2.5 - Извещатель охранный поверхностный звуковой

Краткое описание: акустический извещатель разбития стекла, зона обнаружения до 10 м.

Назначение изделия: извещатель DG-50 - это акустический извещатель разбития стекла, предназначенный для обнаружения звука разбиваемого оконного стекла.

Особенности: регулировка чувствительности по дальности от 3 м до 10 м, для тестирования используется AFT-100.

Рисунок 2.6 - Извещатель охранный радиоволновый объемный Аргус-3

Краткое описание: дальность 7,5 м, t: -30…+ 50С, 90o.

Назначение изделия: предназначен для обнаружения проникновения в охраняемое помещение и формирования тревожного извещения путем размыкания контактов исполнительного реле.

Особенности: извещатель работает совместно с пультами централизованного наблюдения или приборами приемно-контрольными, реагирующими на размыкание выходных контактов извещателя.

Комплектация Шуруп 1 - 4 Ч 20 (2 шт.)

Дополнительная информация

- высокая достоверность обнаружения;

- отсутствие ложных срабатываний в помещениях с интенсивной вентиляцией;

- две частотные литеры;

- эксплуатация нескольких извещателей в одном помещении (даже при совпадении частотных литер);

- регулировка дальности действия;

- несколько вариантов крепления максимально облегчают монтаж.

Прибор формирует извещения с помощью светодиодного индикатора:

- о текущем состоянии извещателя;

- о наличии помех.

Рисунок №2.7 - Объект защиты с применением охранно-пожарных средств защиты.

2.2 Программно-аппаратный комплекс «Соболь»

Программно-аппаратный комплекс «Соболь» - средство защиты компьютера от несанкционированного доступа, обеспечивающее доверенную загрузку.

«Соболь» может применяться для защиты автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

ПАК «Соболь» версия 3.0.1 сертифицирован ФСБ РФ (сертификат № СФ/027-1450 действителен до 31.12.2014).

ПАК «Соболь» версия 3.0.7 сертифицирован ФСТЭК России (сертификат № 1967 действителен до 07.12.2015).

Наличие данных сертификатов позволяет использовать «Соболь» для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Б включительно.

Рисунок 2.8 - ПАК «Соболь»

- для защиты информации в ИСПДн и защиты от НСД;

- возможность использования для защиты информации, содержащей сведения, составляющие государственную тайну;

- получение последовательностей с физического датчика случайных чисел.

Используются персональные электронные идентификаторы: iButton, eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карты eToken PRO. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного идентификатора.

Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти:

- факт входа пользователя и имя пользователя;

- предъявление незарегистрированного идентификатора;

- ввод неправильного пароля;

- превышение числа попыток входа в систему;

- дата и время регистрации событий НСД.

Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса «Соболь».

Электронный замок «Соболь» содержит датчик случайных чисел, соответствующий требованиям ФСБ России.

Поддерживаются 32 и 64-разрядные операционные системы Windows 2000/XP/Vista/7/8/8.1 и Windows Server 2003/2008/2012/2012 R2, а также ОС Trustverse Linux XP Desktop 2008 Secure Edition, MCBC 3.0, Mandriva 2008/ROSA 2011, RHEL 4.1/6, Debian 5.0/6, CentOS 6.2, АльтЛинукс СПТ 6, Astra Linux Special Edition «Смоленск» 1.3,VMware vSphere ESXi 5.1 Update 1/5.1 Update 2/5.5 Ч 64.

ПАК «Соболь» позволяет контролировать неизменность системного реестра Windows, что существенно повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы.

ПАК «Соболь» позволяет контролировать неизменность конфигурации компьютера - PCI-устройств, ACPI, SMBIOS и оперативной памяти.

Электронный замок «Соболь» обеспечивает запрет загрузки операционной системы со съемных носителей (USB, FDD, DVD/CD-ROM, LPT, SCSI-порты и др.).

Инициализация ПАК «Соболь» осуществляется программным способом, без вскрытия системного блока и удаления джампера на плате.

Поддерживаемые операционные системы: