Файл: 1. Теоретические основы безопасности и защиты информации в компьютерных сетях.doc

Система защиты информации Страж NT

Система защиты информации "Страж NT" (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа в многопользовательских автоматизированных системах на базе персональных ЭВМ. СЗИ "Страж NT" (версия 3.0) может применяться как на автономных рабочих местах, так и на рабочих станциях и серверах в составе локальной вычислительной сети. Отсутствие аппаратной составляющей позволяет применять СЗИ на компьютерах недесктопного исполнения (ноутбуки, сервера, промышленные компьютеры).

В СЗИ "Страж NT" (версия 3.0) реализованы следующие подсистемы и защитные механизмы:

- Строгая двухфакторная аутентификация до загрузки операционной системы с использованием аппаратных идентификаторов.

- Дискреционный и мандатный принципы разграничения доступа пользователей к ресурсам системы.

- Замкнутая программная среда для пользователей.

- Регистрация событий, в том числе и действий администратора.

- Маркировка печатных документов, независимо от приложения, выдающего их на печать.

- Гарантированное стирание освобождаемой оперативной памяти и удаляемых ресурсов системы.

- Контроль целостности критических ресурсов системы и компонентов системы защиты.

- Управление пользователями.

- Управление носителями информации.

- Преобразование информации на отчуждаемых носителях.

- Управление устройствами.

- Тестирование механизмов системы защиты.

"Страж NT" (версия 3.0) имеет сертификат ФСТЭК России, который позволяет использовать ее при создании автоматизированных систем до класса защищенности 1Б включительно и для защиты информации в ИСПДн до 1 класса включительно.

Обновленный 64-х разрядный релиз СЗИ "Страж NT" прошел летом 2012 года инспекционный контроль ФСТЭК России, подтвердивший соответствие СЗИ выданному ранее сертификату №2145. В обновленном релизе СЗИ "Страж NT" добавлена поддержка 64-х разрядных операционных систем MicrosoftWindows XP, WindowsServer 2003, WindowsVista, WindowsServer 2008, Windows 7 и WindowsServer 2008 R2.

Программно-аппаратная система защиты информации SecretNetявляется сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

- №98-ФЗ ("О коммерческой тайне")

- №152-ФЗ ("О персональных данных")

- №5485-1-ФЗ ("О государственной тайне")

---

- СТО БР (Стандарт Банка России)

Сертификаты ФСТЭКРоссии позволяют использовать СЗИ от НСД SecretNet для защиты:

- конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно;

- информационных систем персональных данных до класса К1 включительно.

Расширен список операционных систем, добавлена поддержка 64-битных платформ.

Упрощен аудит безопасности за счет реализации возможности групповых операций с журналами. В программе управления отображаются зарегистрированные журналы от нескольких компьютеров по различным критериям событий безопасности.

Улучшена информативность программы оперативного управления ("Монитор") - реализована возможность отображения состояния защитных подсистем на клиентских рабочих станциях.

Добавлена поддержка персональных идентификаторов Rutoken, USB-ключи eToken PRO (Java), смарт-карты eToken PRO (Java), смарт-карты eToken PRO.

Исключено шифрование данных.

Возможности SecretNet 6:

- Аутентификация пользователей.

- Обеспечение разграничения доступа к защищаемой информации и устройствам.

- Доверенная информационная среда.

- Контроль каналов распространения конфиденциальной информации.

- Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.

- Централизованное управление политиками безопасности, позволяет оперативно реагировать на события НСД.

- Оперативный мониторинг и аудит безопасности.

- Масштабируемая система защиты, возможность применения SecretNet (сетевой вариант) в организации с большим количеством филиалов.

Варианты развертывания SecretNet 6:

Автономный режим - предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.

Сетевой режим (с централизованным управлением) - предназначен для развертывания в доменной сети c ActiveDirectory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант SecretNet может быть успешно развернут в сложной доменной сети (domaintree/forest).

Программное СЗИ "Электронный замок "eLock" предназначено для защиты ресурсов персонального компьютера от НСД при загрузке. В СЗИ "eLock" реализованы следующие функции защиты:

- идентификация и аутентификация пользователя до загрузки операционной системы (ОС);

- проверка ключевой идентификационной информации, хранящейся на внешних носителях (модификации Floppy и USB);

---

- остановка загрузки ОС при неуспешной идентификации и/или аутентификации;

- блокировка компьютера после трех неуспешных попыток аутентификации;

- регистрация событий в журнале учета (тип, имя пользователя, дата и время возникновения события);

- контроль целостности исполняемых модулей СЗИ "eLock 3.0.5002.0" и блокировка загрузки компьютера в случае ее нарушения;

- поддержка полномочий привилегированных (супервизора, администратора) и обычных (до восьми) пользователей;

- изменение PIN-кода доступа к USB- ключам и PIN-кодов USB- ключей;

- реализация загрузки только с устройства жесткого диска и блокировка клавиатуры при загрузке ОС.

Подсистема регистрации предназначена для регистрации входов в СЗИ "eLock", регистрации идентификации и аутентификации пользователей, регистрации изменения личного пароля администратора и пользователя, регистрации случаев блокировки компьютера, регистрации действий администратора по редактированию списка пользователей и регистрации очистки журнала. При установке "eLock" записывается в постоянно запоминающее устройство персонального компьютера, где располагается его базовая система ввода-вывода (BIOS). Данной СЗИ от НСД состоит из модуля реализации функций защиты и интерфейса СЗИ "eLock", и модуля реализующего работу с флэш-памятью ПЭВМ (неверная установка СЗИ может повредить базовую систему ввода-вывода, что приведет к потере работоспособности ПЭВМ).

Система защиты информации "DallasLock"

Система защиты информации от несанкционированного доступа(СЗИ от НСД)DallasLock представляет собой программный комплекс для обеспечения безопасности хранения и обработки данных в ОС семейства Windows.

СЗИ от НСДDallasLock предназначается для:

- разграничения доступа к информационным ресурсам и подключаемым устройствам;

- аудита действий пользователей, санкционированных и без соответствующих прав;

- централизованного управления механизмами безопасности;

- приведения АС, ГИС и обработки ПДн в соответствие требованиям законодательства по защите информации.

Версии СЗИ от НСД Dallas Lock представляют собой линейку сертифицированных решений для использования при создании комплексной системы защиты в автоматизированных системах до класса 1Б включительно и в информационных системах персональных данных до 1-го уровня включительно.

СЗИ от НСД Dallas Lock является полностью программным средством с возможностью подключения аппаратных идентификаторов, что обеспечивает ей реализацию двухфакторной аутентификации, присущей системам с повышенной сложностью. В то же время аппаратная идентификация обязательной не является.

---

Возможна установка актуальных версий на персональных компьютерах, портативных и мобильных компьютерах (ноутбуках и планшетных ПК), серверах (файловых, контроллерах домена и терминального доступа), также поддерживает виртуальные среды (Приложение В).

Преимущества:

- Настройка параметров безопасности собственными механизмами, полностью независимыми от ОС.

- Быстрое внедрение и эффективное управление многоуровневой системой защиты для распределенных конфигураций информационных сетей.

- Совместимость с другими технологиями и продуктами по защите информации (антивирусами, межсетевыми экранами, VPN, криптопровайдерами, IDS/IPS) и прикладным ПО.

- Широкий набор дополнительного функционала(помимо базовых требований РД).

- Оптимальная совокупная стоимость владения - от первичного приобретения до внедрения и сопровождения.

Возможности:

Архитектура СЗИ от НСД Dallas Lock включает в себя основные и дополнительные подсистемы, в том числе с уникальным функционалом.

- Аутентификация и разграничение доступа.

- Двухфакторная авторизация по паролю заданной сложности и аппаратному идентификатору.

- Дискреционный и мандатный принципы разграничения прав пользователей на доступ к глобальным, локальным и сетевым ресурсам файловой системы и подключаемым устройствам. Организация замкнутой программной среды и дополнительные механизмы ее настройки.

- Регистрация и учет действий пользователей.

- Настройка аудита и ведение журналов регистрации событий.

- Возможность фильтрации записей, экспорт и архивирование.

- Добавление штампа на распечатываемые документы.

- Контроль целостности.

- Обеспечение контроля целостности файловой системы, программно-аппаратной среды и реестра.

- Блокировка загрузки компьютера при выявлении изменений.

- Очистка остаточной информации.

- Объединение и управление защищенными компьютерами с помощью модуля"Сервер безопасности".

- Объединение нескольких Серверов безопасности в единый Лес безопасности с помощью модуля "Менеджер серверов безопасности".

- Дополнительные подсистемы и механизмы.

- Механизм преобразования данных в файл-контейнер.

- Механизм прозрачного преобразования жесткого диска.

- Модуль доверенной загрузки ПК уровня загрузочной записи.

- Задание списка расширений файлов, работа с которыми будет блокирована.

- Использование собственной графической оболочки для организации рабочего стола с ярлыками только необходимых программ.

---

- Подсистема самодиагностики функционала с формированием отчета.

- Удаленное администрирование и др.
.5 Практическое применение методов и средств сетевой безопасности
Межсетевой экран (другие названия брандмауэр, фаервол) - это комплекс аппаратных и программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами (защитный барьер между компьютером и сетью, к которой он подключен).

Порт - это идентифицируемый определенным номером системный ресурс, выделяемый приложению, которое выполняется на некотором сетевом хосте (компьютер или другое сетевое устройство), для связи с приложениями, которые выполняются на других сетевых хостах (в том числе c другими приложениями на этом же хосте). Есть много тысяч таких портов и у каждого есть свой уникальный номер.

Наиболее часто используемыми портами во всемирной сети являются:

1. 80 - порт для загрузки web-страниц;

2. 110 - используется по умолчанию для загрузки электронной почты;

. 25 - используется по умолчанию для отправки электронной почты.

Суть брандмауэра в том, чтобы закрыть порты, которые не используются. В противном случае через них злоумышленник или вредоносная программа (вирус, троян) могут проникнуть в ПК.


Рисунок 7. Расположение сетевого экрана (Firewall) в сети.

---