Автор: Пользователь скрыл имя, 25 Декабря 2011 в 22:52, курсовая работа
Цель работы:
1) разработать политику безопасности предприятия;
2) определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов
Иногда
различают диалоговый и запросный
режимы, тогда под запросным понимается
одноразовое обращение к
Режим реального масштаба времени. Означает способность вычислительной системы взаимодействовать с контролируемыми или управляемыми процессами в темпе протекания этих процессов. Время реакции ЭВМ должно удовлетворять темпу контролируемого процесса или требованиям пользователей и иметь минимальную задержку. Как правило, этот режим используется при децентрализованной и распределенной обработке данных.
Режим телеобработки дает возможность удаленному пользователю взаимодействовать с вычислительной системой.
Интерактивный режим предполагает возможность двустороннего взаимодействия пользователя с системой, т.е. у пользователя есть возможность воздействия на процесс обработки данных.
Режим разделения времени предполагает способность системы выделять свои ресурсы группе пользователей поочередно. Вычислительная система настолько быстро обслуживает каждого пользователя, что создается впечатление одновременной работы нескольких пользователей. Такая возможность достигается за счет соответствующего программного обеспечения.
Однопрограммный и многопрограммный режимы характеризуют возможность системы работать одновременно по одной или нескольким программам.
Регламентный режим характеризуется определенностью во времени отдельных задач пользователя. Например, получение результатных сводок по окончании месяца, расчет ведомостей начисления зарплаты к определенным датам и т.д. Сроки решения устанавливаются заранее по регламенту в противоположность к произвольным запросам.
Для автоматизированной системы предприятия "Монреаль" применяется диалоговый режим обработки данных, так как при обращении к системе, система выдает ответ на требуемый запрос и ждет дальнейших действий от пользователя.
Защита от НСД может осуществляться в разных составляющих информационной системы:
1)прикладное и системное ПО;
2)аппаратная
часть серверов и рабочих
3)коммуникационное
оборудование и каналы связи;
Для защиты информации на уровне прикладного и системного ПО используются:
1)системы
разграничения доступа к
2)системы
идентификации и
3)системы аудита и мониторинга;
4)системы
антивирусной защиты.
В коммуникационных системах используются следующие средства сетевой защиты информации:
1)межсетевые экраны (Firewall) — для блокировки атак из внешней среды (Cisco PIX Firewall, Symantec Enterprise FirewallTM, Contivity Secure Gateway и Alteon Switched Firewall от компании Nortel Networks). Они управляют прохождением сетевого трафика в соответствии с правилами (policies) безопасности. Как правило, межсетевые экраны устанавливаются на входе сети и разделяют внутренние (частные) и внешние (общего доступа) сети;
2)системы обнаружения вторжений (IDS - Intrusion Detection System) — для выявления попыток несанкционированного доступа как извне, так и внутри сети, защиты от атак типа “отказ в обслуживании” (Cisco Secure IDS, Intruder Alert и NetProwler от компании Symantec). Используя специальные механизмы, системы обнаружения вторжений способны предотвращать вредные действия, что позволяет значительно снизить время простоя в результате атаки и затраты на поддержку работоспособности сети;
3)средства создания виртуальных частных сетей (VPN - Virtual Private Network) — для организации защищенных каналов передачи данных через незащищенную среду (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator). Виртуальные частные сети обеспечивают прозрачное для пользователя соединение локальных сетей, сохраняя при этом конфиденциальность и целостность информации путем ее динамического шифрования;
4)средства
анализа защищенности - для анализа
защищенности корпоративной
Для защиты периметра информационной системы создаются:
1)системы
охранной и пожарной
2)системы цифрового видеонаблюдения;
3)системы
контроля и управления доступом
(СКУД).
Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:
1)использованием
экранированного кабеля и
2)установкой
на линиях связи
3)построение
экранированных помещений («
4)использование экранированного оборудования;
5)установка активных систем зашумления;
6)создание
контролируемых зон.
С
целью оценки состояния технической
защиты информации, которая обрабатывается
или циркулирует в
Классификация автоматизированных систем предприятия
Классы делятся на три группы:
Третья группа делится на 3А и 3Б. Классы соответствуют автоматизированным системам, в которых работает один пользователь, допущенный ко всей информации в автоматизированной системе, размещенный на носителях одного уровня конфиденциальности.
Вторая группа называется 2Б и 2А. Классы данной группы соответствуют автоматизированным системам, в которых пользователи имеют одинаковые права доступа ко всей информации в автоматизированной системе, обрабатываемой или хранимой на носителях различного уровня конфиденциальности.
Первая группа имеет классы 1Д, 1Г, 1В, 1Б, 1А. В соответствующих автоматизированных системах одновременно обрабатывается или хранится информация различных уровней конфиденциальности. Не все пользователи имеют доступ ко всей информации в автоматизированной системе.
Для каждого из классов фиксируется набор требований:
1) подсистема
управления доступом, в которую
должны входить такие
1.1
идентификация, проверка
1.2
управление потоками
2) подсистема регистрации и учета:
2.1
регистрация и учет входа/
2.2 выдачи печатных (графических документов);
2.3 запуск и завершение программ процессов;
2.4 регистрация и учет доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;
3) подсистема обеспечения целостности:
3.1
обеспечение целостности
3.2 физическая охрана средств СВТ и носителей информации;
3.3
наличие администратора (службы
защиты информации в
3.4
периодическое тестирование
3.5
наличие средств
3.6
использование
Проверка соответствия требованиям по защите информации от НСД для автоматизированных систем производится в рамках сертификационных или аттестационных испытаний.
Требования к классу защищенности 2А
Подсистема управления доступом:
должны
осуществляться идентификация и
проверка подлинности субъектов
доступа при входе в систему
по идентификатору (коду) и паролю условно-постоянного
действия длиной не менее шести буквенно-цифровых
символов;
- должна осуществляться идентификация
терминалов, ЭВМ, узлов сети ЭВМ, каналов
связи, внешних устройств ЭВМ по их логическим
адресам (номерам);
- должна осуществляться идентификация
программ, томов, каталогов, файлов, записей,
полей записей по именам;
- должно осуществляться управление потоками
информации с помощью меток конфиденциальности.
При этом уровень конфиденциальности
накопителей должен быть не ниже уровня
конфиденциальности записываемой на них
информации.
Подсистема регистрации и учета:
должна осуществляться
регистрация входа (выхода) субъектов
доступа в систему (из системы), либо регистрация
загрузки и инициализации операционной
системы и ее программного останова. Регистрация
выхода из системы или останова не проводится
в моменты аппаратурного отключения АС.
В параметрах регистрации указываются:
- дата и время входа (выхода) субъекта доступа
в систему (из системы) или загрузки (останова)
системы;
- результат попытки входа: успешная или
неуспешная (при НСД);
- идентификатор (код или фамилия) субъекта,
предъявленный при попытке доступа;
- должна осуществляться регистрация выдачи
печатных (графических) документов на
"твердую" копию. Выдача должна сопровождаться
автоматической маркировкой каждого листа
(страницы) документа порядковым номером
и учетными реквизитами АС с указанием
на последнем листе документа общего количества
листов (страниц). В параметрах регистрации
указываются:
- дата и время выдачи (обращения к подсистеме
вывода);
- спецификация устройства выдачи [логическое
имя (номер) внешнего устройства], краткое
содержание (наименование, вид, шифр, код)
и уровень конфиденциальности документа;
- идентификатор субъекта доступа, запросившего
документ;
- должна осуществляться регистрация запуска
(завершения) программ и процессов (заданий,
задач), предназначенных для обработки
защищаемых файлов. В параметрах регистрации
указываются:
- дата и время запуска;
- имя (идентификатор) программы (процесса,
задания);
- идентификатор субъекта доступа, запросившего
программу (процесс, задание);
- результат запуска (успешный, неуспешный
- несанкционированный);
- должна осуществляться регистрация попыток
доступа программных средств (программ,
процессов, задач, заданий) к защищаемым
файлам.
В параметрах регистрации
указываются:
- дата и время попытки доступа к защищаемому
файлу с указанием ее результата: успешная,
неуспешная - несанкционированная,
- идентификатор субъекта доступа;
- спецификация защищаемого файла;
- должна осуществляться регистрация попыток
доступа программных средств к следующим
дополнительным защищаемым объектам доступа:
терминалам, ЭВМ, узлам сети ЭВМ, линиям
(каналам) связи, внешним устройствам ЭВМ,
программам, томам, каталогам, файлам,
записям, полям записей.
В параметрах регистрации
указываются:
- дата и время попытки доступа к защищаемому
объекту с указанием ее результата: успешная,
неуспешная - несанкционированная;
- идентификатор субъекта доступа;
- спецификация защищаемого объекта [логическое
имя (номер)];
- должен осуществляться автоматический
учет создаваемых защищаемых файлов с
помощью их дополнительной маркировки,
используемой в подсистеме управления
доступом. Маркировка должна отражать
уровень конфиденциальности объекта;
- должен проводиться учет всех защищаемых
носителей информации с помощью их маркировки
и с занесением учетных данных в журнал
(учетную карточку);
- учет защищаемых носителей должен проводиться
в журнале (картотеке) с регистрацией их
выдачи (приема);
- должно проводиться несколько видов учета
(дублирующих) защищаемых носителей информации;
- должна осуществляться очистка (обнуление,
обезличивание) освобождаемых областей
оперативной памяти ЭВМ и внешних накопителей.
Очистка осуществляется двукратной произвольной
записью в освобождаемую область памяти,
ранее использованную для хранения защищаемых
данных (файлов).
Криптографическая подсистема:
должно
осуществляться шифрование всей конфиденциальной
информации, записываемой на совместно
используемые различными субъектами доступа
(разделяемые) носители данных, в каналах
связи, а также на съемные носители данных
(дискеты, микрокассеты и т.п.) долговременной
внешней памяти для хранения за пределами
сеансов работы санкционированных субъектов
доступа. При этом должны выполняться
автоматическое освобождение и очистка
областей внешней памяти, содержавших
ранее незашифрованную информацию;
- доступ субъектов к операциям шифрования
и криптографическим ключам должен дополнительно
контролироваться подсистемой управления
доступом;
- должны использоваться сертифицированные
средства криптографической защиты. Их
сертификацию проводят специальные сертификационные
центры или специализированные предприятия,
имеющие лицензию на проведение сертификации
криптографических средств защиты.