Добавлен: 07.12.2023
Просмотров: 39
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Изм. Лист № докум.
Подпись Дата
Лист
РТК.О.09.02.02 02 КС-16/9 ПЗ
18 том числе интеграция разнородных подсистем обеспечения ИБ путем создания еди- ной интегрированной системы);
централизованное управление и мониторинг, что снижает трудозатраты на эксплуатацию СОИБ;
учет и эффективная интеграция с существующими процессами управле- ния информационными технологиями.
2.2 Управление доступом к информации
Средства управления доступом позволяют специфицировать и контролиро- вать действия, которые субъекты (пользователи, процессы) могут выполнять над объ- ектами (информацией и другими компьютерными ресурсами).
Речь идет о логическом управлении доступом, который реализуется программ- ными средствами. Логическое управление доступом - это основной механизм мно- гопользовательских систем, призванный обеспечить конфиденциальность и целост- ность объектов и их доступность путем запрещения обслуживания неавторизованных пользователей.
Парольная аутентификация сегодня не способна обеспечить необходимый уровень ИТ-безопасности, о чем свидетельствуют регулярные сообщения об утечках корпоративной информации. Слабые пароли и связанные с ними проблемы продол- жают оставаться главными уязвимостями.
Для решения этих проблем используются технологии строгой аутентификации и единого входа. На российском рынке к числу таких систем относится комплекс ре- шений Indeed ID, разработанный компанией `Индид`. Данный комплекс предлагает решения Indeed Enterprise Authentication и Indeed Enterprise Single Sign-On для аутен- тификации и управления доступом.
Задачи строгой и усиленной аутентификации реализует продукт Indeed
Enterprise Authentication которая интегрируется с выбранной системой СКУД для ре- кламного агентства «DELTAPLAN».
Позволяя заменить парольный доступ на строгую аутентификацию, Indeed
Enterprise Authentication освобождает сотрудников от необходимости запоминать и
Изм. Лист № докум.
Подпись Дата
Лист
РТК.О.09.02.02 02 КС-16/9 ПЗ
19 хранить пароли в секрете, выполнять их регулярную смену согласно парольным по- литикам безопасности, а также избавляет пользователей от необходимости ручного ввода паролей с клавиатуры.
Вместо ввода пароля в окне аутентификации необходимо просто приложить смарт-карту.
Indeed Enterprise Authentication предоставляет следующие возможности:
доступ к ресурсам домена Microsoft Active Directory с использованием технологии строгой аутентификации;
хранение паролей пользователей и их автоматическая смена согласно установленным политикам безопасности;
опциональная генерация случайных паролей;
возможность комбинировать все поддерживаемые технологии аутенти- фикации в рамках одной ИТ-инфраструктуры;
доступ к ресурсам домена из внутренней сети и к службам, доступным из внешней сети (почта, веб-приложения);
доступ по кэшированному (сохраненному) аутентификатору в случае от- сутствия связи с сервером Indeed;
автоматическая блокировка рабочей станции (например, при извлечении устройства аутентификации или использовании экранной заставки);
самостоятельная регистрация аутентификаторов и управление ими для пользователей;
автоматическая идентификация пользователя по аутентификатору без необходимости ввода логина;
автоматическая подстановка пароля в скрытом виде в нужное поле при нажатии комбинации `горячих клавиш`;
работа на терминальных серверах Microsoft и Citrix;
журналирование событий системы Indeed Enterprise Authentication и аудит действий администраторов и пользователей;
построение отчетов о событиях системы;
интеграция с системами контроля и управления физическим доступом;
Изм. Лист № докум.
Подпись Дата
Лист
РТК.О.09.02.02 02 КС-16/9 ПЗ
20
интеграция с системами управления ключевыми носителями (Card
Management System, CMS);
интеграция с системами управления жизненным циклом и правами учет- ных записей пользователей (Identity Management, IDM).
2.3 Защита информации программными средствами
Для эффективной защиты информации, обрабатываемой, хранящейся и цир- кулирующей в локальной сети предприятия используются следующие программные средства:
Межсетевой экран (Kerio Control);
Антивирусная программа (ESET NOD32);
Proxy server (Cool Proxy);
Сервис защиты от DDoS-атак (Cost of a DDoS attack от Akamai);
Резервное копирование.
В качестве межсетевого экрана на предприятия используетсяKerioСontrol, который устанавливается на серверах под управлением Windows. KerioСontrol- надежный и стабильно работающий межсетевой экран. После его установки и квали- фицированной настройки информация находится под надежной защитой, а сотруд- ники заниматься работой, не отвлекаясь на посторонние ресурсы. Он осуществляет контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.
Для защиты компьютерной сети от различных вирусов на предприятии ис- пользуются Антивирус ESET NOD32, он защищает компьютер от вирусов и шпион- ских программ за счёт применения интеллектуальных технологий ESET. Функция расширенного сканирования памяти помогает заблокировать зашифрованные вредо- носные программы, сложные для обнаружения.
CoolProxy - это прокси-приложение, предназначенное для доступа к ресурсам
Интернет из сети через соединение с помощью модема или сети. В программе осу- ществляется кэширование ранее просмотренных страниц, и дает возможность про- сматривать эти страницы в offline режиме. Приложение CoolProxy дает возможность ограничить рекламу и непроверенные сайты.
Изм. Лист № докум.
Подпись Дата
Лист
РТК.О.09.02.02 02 КС-16/9 ПЗ
21
Резервное копирование - процесс создания копии данных на носителе (внеш- нем жестком диске, CD/DVD-диске, флэшке, в облачном хранилище и т. д.), предна- значенном для восстановления данных в оригинальном или новом месте их располо- жения в случае их повреждения или разрушения.
2.4 Физическая защита информации
К физическим средствам относятся механические, электромеханические, элек- тронные, электронно-оптические устройства для воспрещения несанкционирован- ного доступа (входа, выхода), проноса (выноса) средств и материалов, и других воз- можных видов преступных действий.
Эти средства применяются для решения следующих задач:
охрана территории предприятия и наблюдение за ней;
охрана здания, внутренних помещений и контроль за ними;
охрана оборудования, продукции, финансов и информации.
Количество сотрудников в организации - 64 человек из этого можно сделать ряд выводов: система защиты не должна быть громоздкой, должна быть эффективной в рамках средней организации, окупаться в небольшие сроки 3-5 лет. С целью упро- щения охраны объекта, в помещениях установлено видеонаблюдение, у охранников при себе нет табельного оружия, а в случае ЧС используются силы группы быстрого реагирования, ценные объекты застрахованы.
2.5 Разработка системы контроля и управления доступом
Разработка СКУД на предприятии начинается с грамотной оценки всех пара- метров:
Требования, предъявляемые к системе безопасности;
Особенности помещения – масштабы предприятия, поток посетителей, количество штатных сотрудников, наличие пожарных выходов и другие детали;
Уровень секретности отдельно взятых помещений – ограниченный до- пуск может потребоваться на склад с ценным товаром, в кабинет руководителя или в серверную;
Наличие охраны – повлияет на комплект оборудования системы контроля и управления доступом на предприятии и количество зон контроля.
Изм. Лист № докум.
Подпись Дата
Лист
РТК.О.09.02.02 02 КС-16/9 ПЗ
22
Для рекламного агентства «DELTAPLAN» была выбрана Профессиональная система контроля и управления доступом ParsecNET. Она использована как СКУД и система безопасности.
Офис размещен на одном из этажей бизнес-центра, и занимает правое крыло.
В данном крыле 13 отдельных кабинетов, 8 из которых будут оборудованы СКУД.
Задачи:
1. Учет рабочего времени сотрудников;
2. Фото-фиксация входящих в отдельные кабинеты с использованием IP-ка- мер;
3. Получение отчетов о перемещении и местонахождении в течение рабочего дня сотрудников;
4. Исключение возможности клонирования карт доступа.
Особенности объекта
Двухсторонних точек прохода – 4 шт.;
Работа офиса по расписанию (9:00 – 18:00, суббота и воскресение - вы- ходные);
Независимая работа от СКУД бизнес-центра.
Типовые решения:
Система будет реализоваться на базе программного обеспечения
ParsecNET Office.
8 рабочих кабинетов будут оборудоваться СКУД. Каждая точка прохода управляется контроллерами NC-8000. В качестве считывателей будет использоваться
PNR-P19, работающие с картами Mifare Classic 1K и 4K (с поддержкой защищенного режима).
Для фотофиксации входящих в отдельные кабинеты устанавливаются IP- камеры, которые делают снимки по событиям с сохранением данных в базу.
Система включает сервер, к которому подключается оборудование, а также рабочая станция оператора:
Состав системы:
Сервер, к которому подключается оборудование.
Изм. Лист № докум.
Подпись Дата
Лист
РТК.О.09.02.02 02 КС-16/9 ПЗ
23
Рабочее место администратора системы (оборудовано на сервере си- стемы).
Рабочая станция бухгалтерии с функциями ведения учета рабочего вре- мени и управления персоналом.
Рабочая станция руководителя с возможностью анализа трудовой дисци- плины.
Рабочая станция секретаря с возможностью программирования и занесе- ния карт в БД.
Перечень оборудования:
ПО:
PNOffice-08 – версия программного обеспечения, поддерживающая ра- боту до 8 точек прохода;
PNOffice-AR - Модуль учета рабочего времени с генератором отчетов;
PNOffice-WS – Дополнительная рабочая станция (2 шт.).
PNSoft-VI - Модуль интеграции с системами видеонаблюдения
Оборудование:
Контроллер – NC-8000 (8 шт.);
Контроллер – NC-1000 – IP (4 шт);
Электромагнитный замок (дверь) – (8 шт.);
Считыватели – PNR-P19 (8 шт.);
Считыватели (для программирования и занесения карт в БД) – PR-P08 (1 шт.);
Смарт-карта Mifare – (80шт.).
В системе ParsecNET Office будут использоваться контроллеры доступа, рабо- тающие по протоколу Ethernet.
При использовании IP-контроллеров конечная структура системы контроля и управления доступом определяется топологией локальной сети организации.
Преимущества:
Быстрая скорость передачи данных.
Недостатки:
Изм. Лист № докум.
Подпись Дата
Лист
РТК.О.09.02.02 02 КС-16/9 ПЗ
24
Небольшая протяженность линии (до 100 м).
Рисунок. 2.5.1 Топология СКУД
Система контроля и управления доступом на предприятие автоматически вы- полняет работу сразу нескольких отделов.
Объекты, подлежащие оснащению системой контроля и управления доступа:
1.
Бухгалтерия;
2.
Информационно вычислительный отдел;
3.
Серверная;
4.
Кабинет Директора;
5.
Кабинет Зам. Директора;
6.
Пост Охраны;
7.
Отдел творческих разработок;
8.
Отдел по работе с клиентами.
Сотрудники предприятия проходят пост охраны, поднося постоянный пропуск к считывателю карт на турникете. Факт идентификации личности записывается (ре- гистрируется время идентификации и Ф.И.О. сотрудника).
1.
Бухгалтерия:
Количество пользователей: 4 постоянных.
Рубеж исполнен в виде стальной двери с двумя замками. Первый замок откры- вается соответствующей картой доступа. Второй замок механический, открывается
Изм. Лист № докум.
Подпись Дата
Лист
РТК.О.09.02.02 02 КС-16/9 ПЗ
25 ключом. Ключ имеется у бухгалтера, главного бухгалтера, руководителя предприя- тия. Доступ в бухгалтерию имеют только бухгалтера, главный бухгалтер и руководи- тель предприятия. Их постоянный пропуск запрограммирован соответственным об- разом, чтобы они могли получить доступ к кабинету бухгалтерии.
2.
ИВО:
Количество пользователей: 7 постоянных.
Рубеж исполнен в виде стальной двери с двумя замками. Первый замок откры- вается соответствующей картой доступа. Второй замок механический, открывается ключом. Ключ имеется у семи работников этого отдела.
3.
Серверная:
Количество пользователей: 4 постоянных.
Рубеж исполнен в виде стальной двери с двумя замками. Первый замок откры- вается соответствующей картой доступа. Второй замок механический, открывается ключом. Ключ имеется у начальника отдела безопасности, главного администратора, руководителя предприятия. Доступ в серверную имеет начальник ИВО, инженеры – электронщики и руководитель предприятия.
4.
Кабинет директора
Рубеж исполнен в виде обычной офисной двери. Первый замок открывается соответствующей картой доступа. Второй замок механический, открывается ключом.
Ключ имеется у начальника.
5.
Кабинет Зам. Директора
Рубеж исполнен в виде обычной офисной двери. Первый замок открывается соответствующей картой доступа. Второй замок механический, открывается ключом.
Ключ имеется у зам. начальника.
6.
Пост охраны:
Количество пользователей: 60 постоянных и посетители.
Исполнено в виде турникета, со считывателем карт. Протоколируется пропуск посетителей через проходную. Присутствует система видеонаблюдения. Турникет и считыватель карт подключены через шлейф к сетевому контроллеру доступа устрой- ства.
Изм. Лист № докум.
Подпись Дата
Лист
РТК.О.09.02.02 02 КС-16/9 ПЗ
26 7.
Отдел творческих разработок
Рубеж исполнен в виде обычной офисной двери. Первый замок открывается соответствующей картой доступа. Второй замок механический, открывается ключом.
Ключ имеется у работников этого отдела.
8.
Отдел по работе с клиентами
Рубеж исполнен в виде обычной офисной двери. Первый замок открывается соответствующей картой доступа. Второй замок механический, открывается ключом.
Ключ имеется у работников этого отдела.
2.6 Разработка подсистемы видеонаблюдения
Профессиональная система контроля и управления доступом ParsecNET будет использована интеграция с видеоподсистемой программного комплекса «Интеллект»
ITV. Совместное использование СКУД с системой видеонаблюдения позволяет настроить их взаимодействие и получать информацию из нескольких источников для комплексного анализа различных ситуаций. Один из примеров такого взаимодей- ствия — включение записи с видеокамеры по событию предоставления доступа, что позволяет фиксировать на видео людей и автотранспорт, прошедших через точку про- хода.
Другой пример взаимодействия — удаленная фотоидентификация. При счи- тывании карты доступа на экран монитора выводится фотография владельца карты из базы данных и видео с камеры, установленной на проходной. Сравнивая их, сотруд- ник охраны принимает решение о предоставлении доступа.
Интеграция видеоподсистемы платформы «Интеллект» в СКУД ParsecNET позволяет реализовать в системе следующий функционал: просмотр «живого» видео с камер системы видеонаблюдения (без возможности самостоятельно создавать «рас- кладки» камер в окне видеонаблюдения).
привязка камеры к точке прохода или охранной области;
просмотр связанных с событиями от точек прохода и охранных областей видеозаписей;
ручное управление записью через монитор событий системы;
управление записью с камер видеонаблюдения по событиям системы;
Изм. Лист № докум.
Подпись Дата
Лист
РТК.О.09.02.02 02 КС-16/9 ПЗ
27
управление записью с камер видеонаблюдения с использованием мене- джера заданий;
ретроспективный анализ событий с просмотром не только данных о со- бытии, но и связанных с событиями видеозаписей;
распознавание автомобильных номеров;
включение и выключение режима охраны в видеоподсистеме (детектор движения или активности).
Мощная, функциональная подсистема видеонаблюдения платформы «Интел- лект» обладает всеми преимуществами распределенной архитектуры:
неограниченное количество видеосерверов и камер видеонаблюдения;
удаленный мониторинг и администрирование;
возможность установки любого количества рабочих мест, как локальных, так и удаленных.
Подсистема видеонаблюдения в составе комплекса «Интеллект» имеет мощ- ные сетевые возможности:
видеоархивы любых видеосерверов могут переноситься в режиме реаль- ного времени или по расписанию на выделенные серверы-архиваторы для долговре- менного хранения;
каждый клиент может иметь доступ как к архиву видеосервера, так и к архивам выделенных серверов-архиваторов;
видеопотоки могут распределяться в системе с помощью модуля «Ви- деошлюз», т. е. каждый следующий клиент, получающий видеопоток от конкретного сервера, не будет увеличивать нагрузку на канал связи с этим сервером;
клиент может получить видеопоток от сервера, находящегося в другом сегменте сети, посредством «Видеошлюза».
Видеоподсистема «Интеллекта» будет использовать стандарт распространен- ного алгоритма видеокомпрессии — MJPEG, MPEG-4 и H.264.
На предприятии будет присутствовать комбинированная система видеонаблю- дения. Внутри помещения применяются цветные камеры, для уличного наблюдения применяются черно-белые камеры, с встроенным инфракрасным прожектором.