Каталог Рефератов - Разработка предложения по защите информации от несанкционированного доступа в сетях ЭВМ объединения ВВС и ПВО

	Информационно-образоательный портал
	Рефераты, курсовые, дипломы, научные работы,



МЕНЮ\|

поиск

Разработка предложения по защите информации от несанкционированного доступа в сетях ЭВМ объединения ВВС и ПВО

ри построении ЛВС военных организаций необходимо использовать специальные электронные ключи, дающие возможность контроля жестких дисков и сетевых плат рабочих станций, входящих в состав сети. Данные ключи вставляются в свободный COM или LPT. При помощи специальной программы с установочной дискеты в соответствие с ключом генерируется специальный код, который присваивается конкретной сетевой карте и жесткому диску данного компьютера и записывается в загрузочный сектор жесткого диска.

При загрузке системы вначале запрашивается пароль электронного ключа, и только потом управление загрузкой передается BIOS и ОС (кроме этого в BIOS можно тоже поставить пароль на загрузку системы, что в совокупности с ключом и ОС дает трехуровневую систему авторизации). Применение таких ключей предотвращает возможность подмены жесткого диска и сетевой платы конкретного компьютера с целью НСД, т.к генерируемый программой код является уникальным для ключа, платы и диска каждого компьютера и не дает загрузится системе в случае подмены диска, платы или ключа. Так аппаратными средствами достигается наиболее эффективная защита.

Но установкой только дополнительных плат защита не ограничивается. Ведь их можно так же легко удалить, имея физический доступ к компьютеру. А сделать это можно, только сняв предварительно крышку корпуса с системного блока компьютера. Противодействовать таким действиям можно используя опечатывание корпуса или реализацию объектовой защиты - пропускной режим.

Применение организационных мероприятий существенно повышает защищенность объекта, но важнее защитить аппаратуру от несанкционированного вскрытия с целью удаления. Необходимо использовать метод защиты, основанный на использовании датчиков несанкционированного вскрытия корпусов защищаемых компьютеров в качестве дополнительного средства защиты системы. Вся сеть должна состоять из датчиков вскрытия аппаратуры, цепи сбора сигналов и рабочего места центрального контроля (сервера безопасности). В качестве датчиков можно использовать контактные датчики, фиксирующие открывание корпусов системных блоков.

Известно, что при использовании витой пары для прокладки вычислительной сети (например, в стандарте 10 BASE-T) используются четыре из восьми линий связи для обмена информацией. Еще четыре провода остаются свободными и их надо использованы для построения системы контроля вскрытия аппаратуры.

Идея рассматриваемого механизма защиты состоит в следующем. К концентратору подключается дополнительное устройство, подающее напряжение в контур, замыкаемый через выключатель контура, который помещается в защищаемом компьютере. В случае снятии крышки компьютера (либо выдергивании витой пары канала связи из розетки компьютера) размыкается контур и устройство отключает компьютер от ресурсов ЛВС. Использование незадействованных в передаче данных проводов также не создает помехи передачи данных, что не уменьшает производительности сети в целом. Пример такой сети представлен на рисунке.

Рис.2. Схема контроля вскрытия аппаратуры

Кроме всего необходимо при построении сети по возможности использовать маршрутизаторы, мосты, коммутаторы и концентраторы. Особенно если ЛВС состоит из отдельных сегментов, или необходимо организовать выход во внешнюю сеть. Все в зависимости от размеров и требований к степени защищенности сети.

Использование этих устройств дает возможность элементарной защиты передаваемой информации: блокировки некоторых портов без применения межсетевого экран, осуществления фильтрации трафика по различным условиям, в том числе и задаваемым пользователем, изолирования трафика одного сегмента сети от другого и т.п. Все эти устройства снижают коэффициент загрузки сегментов сети но и уменьшают возможности несанкционированного доступа благодаря исключению возможности прослушивания пакетов данных.

Примером такой защиты сети может служить наиболее простой способ защиты в разделяемых средах, заложенный в концентратор. Нарушителю для прослушивания сети достаточно подключить свой компьютер к свободному разъему концентратора или вместо какого-либо другого компьютера. Для защиты от таких действий концентратор имеет возможность назначения разрешенных MAC-адресов конкретным своим портам. При попытке злоумышленника с незнакомым MAC-адресом подключить свой компьютер к концентратору производится фильтрация кадров, отключение порта и фиксация факта нарушения прав доступа. Т.о. этот способ может служить "ещё одним кирпичиком в крепкой стене безопасности ЛВС".

Таким образом, перед решением задач обеспечения безопасности в сети необходимо разобраться в вопросе защиты информации. Для защиты с помощью дополнительного ПО очень важно прежде проанализировать возможные программные и аппаратные способы НСД и в соответствие с ними выработать предложение по защите теми или иными программными средствами. Кроме программных средств необходимо не забывать и аппаратные. Использование тех и других средств вместе повышает степень защищенности ЛВС.

2. Анализ возможностей различных операционных систем по защите и разграничению доступа к информации и выбор наиболее защищенной

2.1 Анализ руководящих документов в области защиты информации
Таким образом для создания полной системы защиты информации от НСД в сети необходимо точно и четко составить план защиты, предусмотреть все мелочи. Но для того, чтобы план и построенная на его основе система защиты отвечали требованиям к построению защиты, их надо строить на основе общепринятых документов.

Основным документом при построении защиты является ГОСТР 50922-96 (защита информации). Установленные в стандарте термины расположены в систематизированном порядке и отражают систему понятий в данной области знания. Для каждого понятия установлен один стандартизованный термин.

Определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в данном стандарте.

Данный стандарт устанавливает основные термины и определения понятий в области защиты информации. Термины, установленные этим стандартом, обязательны для применения во всех видах документации и литературы по защите информации, входящих в сферу работ по стандартизации и (или) использующих результаты этих работ.

Существует и другой ГОСТ. (ГОСТ Р Сертификация средств защиты)

Основными направлениями защиты которого являются:

защита информации от технических средств разведки;

защита информации от несанкционированного доступа к информации и/или ее носителю;

защита информации от различных видов воздействий на информацию и/или ее носитель.

Мероприятия по защите АС обеспечивают предупреждение возникновения факторов, воздействующих на информацию и/или ее носители, и блокирования каналов утечки информации и несанкционированного доступа к информации и ее носителям, соответствуют современному состоянию развития науки и техники и экономически оправданными.

Основными направлениями и видами работ по обеспечению ЗИ при создании АС в защищенном исполнении являются:

категорирование (класс защищенности) АС в зависимости от важности защищаемой информации, обрабатываемой в АС;

обоснование требований по ЗИ в АС;

разработка и осуществление мероприятий по ЗИ в АС;

обоснование требований к проведению различных видов испытаний на соответствие требованиям по ЗИ;

разработка документации по ЗИ в АС для всего жизненного цикла;

проведение экспертизы различных видов документации АС с точки зрения и реализуемости требований по ЗИ;

проведение сертификации средств защиты информации и компонентов АС на соответствие требованиям стандартов и/или иных нормативных документов по ЗИ;

проведение аттестации АС в защищенном исполнении;

контроль эффективности защиты информации на всех стадиях создания АС.

К основным стандартам и нормативным техническим документам в области защиты информации от НСД относится комплект руководящих документов Гостехкомиссии России (1992 г), которые в соответствии с Законом "О стандартизации" можно отнести к отраслевым стандартам, в том числе "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ", "Автоматизированные системы. Защита от НДС к информации. Классификация АС и требования по защите информации", "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ".

Кроме того есть типовая методика испытания безопасности информации. Настоящая методика определяет условия, порядок и объем проведения испытаний объектов информатики в соответствии с требованиями "Положения по аттестации объектов информатики по требованиям безопасности информации".

Существует, например, и положение о сертификации средств защиты информации. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации.

2.2 Разработка требований к сетевым ОС
Исходя из анализа руководящих документов, а также различных методов НСД к информации в ЛВС, для построения защищенной компьютерной сети объединения и предотвращения НСД к информации в ЛВС необходимо чтобы ОС соответствовали следующим требованиям:

Сертификация для использования в определенных условиях (например, в военных учреждениях);

Возможность идентификации, аутентификации и авторизации пользователя при входе в систему (при регистрации);

Возможность создания учетных записей пользователей, рабочих групп с разными правами доступа и наделения конкретных пользователей определенными привилегиями;

Криптографическое закрытие данных, хранимых на локальных машинах и передаваемых по каналам передачи данных;

Защита от несанкционированных воздействий разного ПО и драйверов устройств, установленных на локальных компьютерах и других компьютерах сети, а так же возможность контроля целостности программного и информационного обеспечения (создание баз данных с первоначальной информацией о создаваемых, изменяемых файлах, установленном ПО и т.д.);

Защита от злоумышленных действий пользователей;

Возможность учета, регистрации, отображения и документирования фактов атак;

Возможность блокирования процесса, устройства, пользователя, совершающего НСД;

Возможность стирания остаточной информации из оперативной памяти и жесткого диска;

Возможность ограничения числа попыток входа в систему;

Одновременная реализация мандатной и дискреционной моделей доступа к информации;

Выполнение эргономических требований.

Требования с 1 по 8 являются основными, выполнение которых является обязательным при выборе защищенной ОС, а с 9 по 12 дополнительными (вспомогательными), выполнение которых желательно, но не обязательно.

Таким образом анализ ОС необходимо проводить исходя из вышеперечисленных требований.

2.3 Анализ сетевых ОС

2.3.1 Windows
ОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ:

Требование-1. Данная ОС не сертифицирована для использования в военных организациях, но довольно часто используется при построении ЛВС (а именно используется Windows NT);

Требование-2. Операционные системы этого семейства имеют богатый набор средств защиты, основными из этих средств и методов обеспечения безопасности являются физическая защита и администрирование учетных записей. ОС поддерживают идентификацию, аутентификацию и авторизацию пользователя, разграничение прав доступа к ресурсам, в основе которого лежит реализация дискреционной модели доступа (отдельно к объектам файловой системы, к устройствам, к реестру ОС, к принтерам и др.). Однако для лучшей защиты компьютера необходимо использовать встроенные в BIOS возможности идентификации пользователя;

Требование-3. ОС семейства Windows обладают широкими возможностями по созданию и изменению учетных записей пользователей и групп с разными правами. Значительную роль в обеспечении безопасности информации играет поддержка файловой системы NTFS, которая обеспечивает защиту файлов и каталогов при локальном доступе. При использовании NTFS управление доступом к файлам и каталогам возлагается не на администратора, а на владельца ресурса и контролируется системой безопасности. Однако ряд объектов доступа (в частности, устройства, реестр ОС и т.д.) не являются объектами файловой системы и к ним нельзя применить возможности файловой системы NTFS [15].

Требование-4,5. ОС семейства Windows обладает развитыми средствами шифрования данных с открытым ключом. Кроме того, в Windows широко применяется шифрование при использовании цифровой подписи и сертификатов, которые позволяют пользователю убедиться в подлинности программного обеспечения и драйверов. Однако ОС семейства Windows не обладают в полном объеме возможностью контроля целостности файловой системы. Встроенные механизмы системы позволяют контролировать только собственные системные файлы, не обеспечивая контроль целостности файлов пользователя. Они не решают важнейшую задачу - контроль целостности программ (приложений) перед их запуском, контроль файлов данных пользователя и др.

В ОС семейства Windows так же невозможно в общем случае обеспечить замкнутость (или целостность) программной среды (т.е. реализацию механизма, обеспечивающего возможность пользователям запускать только санкционированные программы). Причиной является невозможность задания списка разрешенных к запуску процессов с предоставлением возможности пользователям запускать процессы только из этого списка и невозможность разрешения запуска пользователями программ только из заданных каталогов при невозможности модернизации этих каталогов. Некорректность данного подхода связана с отсутствием возможности установки атрибута "исполнение" на устройства ввода (дисковод или CD-ROM). Что может привести к НСД.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9

© 2003-2013
Рефераты бесплатно, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент.