· Время действия (большинство действий целесообразно разрешать только в рабочее время);
· Внутренние ограничения сервиса (число пользователей согласно лицензии на программный продукт).
Если есть необходимость предоставить одинаковые права доступа некоторой группе сотрудников, лучше пользоваться не специализированными, а групповыми входами. В этом случае каждый пользователь входа имеет как бы отдельный «подвход» с собственным идентификатором и паролем, однако всем абонентам группового входа предоставляются равные права при работе с сетевой системой.
Каждый сотрудник ЗАО завода ЛИТ, допущенный к ЭВМ имеет свой личный идентификатор (логин) и пароль, который он использует для входа в систему обработки информации и доступа к данным, определенным его служебной деятельностью и функциональными обязанностями. Для повышения безопасности и защиты информации можно дополнительно разграничить доступ к данным в ЛВС по IP-адресам и MAC-адресам.
IP-адрес – сетевой адрес узла в компьютерной сети, построенной по протоколу IP, является уникальным адресом в как в локальной, так и в глобальной сети. MAC-адрес – это уникальный идентификатор, сопоставляемый с различными типами оборудования для компьютерных сетей.
Пользовательские входы и пароли – это первая линия обороны системы защиты. После того как пользователь получил доступ к сети, введя правильный идентификатор (логин) и пароль, он переходит ко второй линии, предлагаемой системой защиты: сеть определяет привилегии, которые имеет данный пользователь. Все пользователи сети были задуманы как равные сотрудники одной системы. Но некоторые из них имеют определенные дополнительные права (привилегии) – они отличают таких пользователей от остальных сотрудников.
Обычно права доступа распространяются на целые каталоги, хотя возможно установить и специальный доступ к некоторым отдельным файлам или группам файлов. При этом используется специализированное имя файла. В большинстве сетей права доступа устанавливаются на весь каталог целиком и распространяются на все подкаталоги. Конечно если только на какие-нибудь из подкаталогов, не наложены специальные права. Не обязательно, чтобы каждый пользователь имел доступ ко всем серверам. В целях безопасности системы лучше, если пользователю будет предоставлен доступ только к тем серверным компьютерам, которые нужны ему непосредственно для работы.
Во многих сетях администраторский вход открывается автоматически при установке системы. Идентификатор пользователя и пароль, используемые в этом входе, должны быть отражены в сетевой документации. Они одинаковы для любой системы данного типа. В целях безопасности и защиты информации от злоумышленников необходимо сменить пароль на таком входе, иначе любой пользователь, знающий стандартные идентификатор и пароль, устанавливаемые системой на администраторском входе, сможет работать в сети с неограниченными возможностями доступа к любым компонентам системы.
Рассмотренные способы защиты, предоставляются сетевым программным обеспечением. Но существует много других возможностей защитить сетевую информацию от постороннего вторжения. Вот несколько вариантов подобной защиты. Все компьютеры сети должны быть расположены в надежных и безопасных местах.
Если в сети установлен модем, позволяющий пользователю получать доступ к системе с удаленного компьютера, то посторонних вторжений можно ожидать и со стороны модема. В данном случае необходимо, чтобы каждый идентификатор пользователя был защищен паролем.
2.4 Политика безопасности ЗАО завода ЛИТ при его информатизации
2.4.1 Концепция безопасности ЛВС ЗАО завода ЛИТ
Рассмотрим локальную сеть, которой владеет ЗАО завод ЛИТ (Приложение 1), и ассоциированную с ней политику безопасности среднего уровня.
Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям разделять программы и данные, что увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более сильной защите.
На заводе должна быть разработана инструкция по обеспечению безопасности информации преследующая две главные цели:
· продемонстрировать сотрудникам важность защиты сетевой среды, описать их роль в обеспечении безопасности,
· распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как и самой сети.
В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть завода. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.
Целью ЗАО завода ЛИТ является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности.
Частными целями являются:
· Обеспечение уровня безопасности, соответствующего нормативным документам.
· Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности).
· Обеспечение безопасности в каждой функциональной области локальной сети.
· Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.
· Обеспечение анализа регистрационной информации.
· Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.
· Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.
· Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.
Перечисленные группы людей отвечают за реализацию сформулированных ранее целей.
· Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.
· Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
· Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.
· Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.
Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения со стороны персонала должны рассматриваться руководством для принятия мер вплоть до увольнения.
2.4.2 Обеспечение безопасности при групповой обработке информации в подразделениях и отделах ЗАО завода ЛИТ
Для обеспечения защиты информации в институте должны быть разработаны и введены в действие инструкции для всех категории персонала, в которых должны найти отражение следующие задачи для каждой категории:
Руководители подразделений обязаны:
· Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.
· Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.
· Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем.
· Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.).
· Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и имеющего достаточную квалификацию для выполнения этой роли.
Администраторы локальной сети обязаны:
· Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.
· Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.
· Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты.
· Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.
· Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.
· Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.
· Следить за новинками в области информационной безопасности, сообщать о них пользователям и руководству.
· Не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну.
· Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения.
· Оказывать помощь в обнаружении и ликвидации зловредного кода.
· Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.
· Выполнять все изменения сетевой аппаратно-программной конфигурации.
· Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.
· Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.
· Периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.
Администраторы сервисов обязаны:
· Управлять правами доступа пользователей к обслуживаемым объектам. Оперативно и эффективно реагировать на события, таящие угрозу.
· Информировать администраторов локальной сети о попытках нарушения защиты.