Построение компьютерных систем защиты информации (стр. 1 из 3)
Содержание
1. Теоретическое сведение об АС класса 1
2. Цель создания КСЗИ
3. Функциональный профиль
4. Модель угроз.Модель нарушителя
5. Настройка ОС и и средства разграничения доступа
Выводы
1. Теоретические сведения
АС 1 – это одномашинный многопользовательский комплекс, который не имеет подключения к локальной сети или сети интернет (один компьютер, который может иметь несколько пользователей без подключения к другим компьютерам или сети интернет).
Мы проводим работы по построению КСЗИ АС класса 1 для обработки информации 3-й (гриф ограничения доступа – "Секретно") и 4-й (гриф ограничения доступа – "Для служебного пользования") категорий секретности.
В случае построения КСЗИ АС 1 для обработки информации с грифом ограничения доступа "Секретно" возможны 2 варианта:
- с использованием компьютера в защищенном исполнении;
Комплектация:
Аппаратное обеспечение:
• компьютер в защищенном исполнении (применяется специальное оборудование, исключающее излучение от ПК)
Программное обеспечение:
• Windows XP;
• антивирус;
• средства разграничения доступа.
Выполняемые работы:
• разработка документации;
• покупка, монтаж и настройка оборудования и ПО (в том числе ПК в защищенном исполнении);
• обучение пользователей;
• сопровождение государственной экспертизы;
• выдача аттестата соответствия.
Компьютер в защищенном исполнении – это персональный компьютер (ПК) изготовленный из специальных компонентов, имеющих повышенные экранирующие свойства, которые исключают электро-магнитные излучения от ПК.
- с использованием обычного компьютера и комплекса защитных средств.
Комплектация:
Аппаратное обеспечение:
• обычный компьютер(не в защищенном исполнении);
• разделительный трансформатор;
• сетевой и помехоустойчивые фильтры;
• генератор шумовых сигналов.
Программное обеспечение:
• Windows XP;
• антивирус;
• средства разграничения доступа.
Выполняемые работы:
• разработка документации;
• покупка, монтаж и настройка защитных средств (аппаратных) и ПО;
• установка и подключение защитных средств;
• обучение пользователей;
• проведение обследования по побочным электро-магнитным излучениям (ПЭМИН);
• сопровождение государственной экспертизы;
• выдача аттестата соответствия
С помощью комплекса технических средств достигается снижение уровня побочных электромагнитных излучений от компьютера до уровня, установленного требованиями нормативных документов.
Согласно требованиям нормативных документов, АС для обработки информации с грифом ограничения доступа "Секретно" должна размещаться в режимно-секретном отделе (РСО).
РСО – это отдел, в котором создается, обрабатывается и хранится информация с ограниченным доступом, а именно информация, которая содержит государственную тайну (информация с грифом "Секретно").
КСЗИ АС класса 1 для обработки информации с грифом ограничения доступа выглядит следующим образом:
Комплектация:
Аппаратное обеспечение:
• обычный компьютер (не в защищенном исполнении).
Программное обеспечение:
• Windows XP;
• антивирус;
средства разграничения доступа.
Выполняемые работы:
• разработка документации;
• настройка Windows;
• установка и настройка антивируса и средства разграничения доступа;
• сопровождение государственной экспертизы;
• выдача аттестата соответствия.
2. Цель создания КСЗИ
Целью созданияКСЗИявляется выявление ипротиводействиеугрозам безопасности информации сограниченнымдоступом (ИсОД),которая обрабатывается ихранится в автоматизированнойинформационной системе класса 1 (одномашинный многопользовательский комплекс без выхода в какую либо сеть) во всехрежимахеефункционирования сцелью предупреждения нарушенияконфиденциальности, целостностии доступностиИсОД. КСЗИдолжна создаватьсяв соответствии с требованиямипозащите информации отНСДи технической защитыинформации ипредставляет собой комплекспрограммных итехнических средств иорганизационных мероприятий.
Назначение КСЗИ:
В автоматизированной информационной системе обрабатывается открытая и конфиденциальная информация.
КСЗИдолжна обеспечивать выполнениеследующихзадач:
· разграничениеи контроль доступапользователейАСсогласно ихполномочий доИсОД.
· регистрациюданныхо событиях, происходящих всистемеи имеющие отношение к безопасности информации;
· выявлениеуязвимостейв операционныхсистемах;
· защитаотатакнарушителейбезопасности;
· защитаотпроникновения ираспространения компьютерныхвирусов;• контрольза функционированиемКСЗИ.
Общие требования политики безопасности.
Для реализации части политики безопасности информации, возлагается на программные средства защиты и соответствует реальной модели угроз, КСЗИ должна иметь следующие функциональные возможности:
· обеспечение входа пользователя в систему и загрузки ОС при условии введения идентификатора и пароля;
· блокирование входа в систему после определенного количества неудачных попыток и после окончания срока действия пароля;
· регистрация действий пользователей по отношению к ресурсам системы;
· контроль за установкой программного обеспечения;
· разграничение доступа на уровне логических дисков, каталогов, файлов ОС;
· разграничение доступа и контроль за запуском программ и программных комплексов пользователями;
· разграничение доступа к объектам БД;
· блокировка сеанса работы пользователя с последующей его проверкой подлинности при отсутствии активности пользователя сверх установленного периода времени;
· антивирусную защиту;
· контроль целостности КСЗ.
3. Функциональный профиль
Цель введения классификации АС и стандартных функциональных профилей защищенности - облегчение задачи сопоставления требований к КСЗ вычислительной системы АС с характеристиками АС. Автоматизированная система представляет собой организационно-техническую систему, объединяющую ОС, физическую среду, персонал и обрабатываемую информацию. Требования к функциональному составу КCЗИ зависят от характеристик обрабатываемой информации, самой ОС, физической среды, персонала и организационной подсистемы. Требования к гарантий определяются прежде всего характером (важности) обрабатываемой информации и назначением АС. Стандартные функциональные профили строятся на основании существующих требований по защите определенной информации от определенных угроз и известных на сегодняшний день функциональных услуг, позволяющих противостоять данным угрозам и обеспечить выполнение требований, которые предъявляются.
Стандартный функциональный профиль защищенности представляет собой перечень минимально необходимых уровней услуг, которые должен реализовывать КСЗИ вычислительной системы АС, чтобы удовлетворять определенные требования по защищенности информации, обрабатываемой в данной АС.
Описание профилясостоит из трехчастей: буквенно-числовойидентификатор,знакаравенстваиперечняуровнейуслуг,взятого вскобки. Идентификаторвсвоюочередь включает: обозначениеклассаАС(1,2или 3),буквеннуючасть, характеризующийвидыугроз,откоторых обеспечиваетсязащита(К,и/илиЦ,и/илиД),номерпрофиляи необязательноебуквенноеобозначение версии.Всечастиидентификатораотделяютсядруг отдругаточкой.
1.КЦ.1 - функциональный профиль номер один, определяющий требования к АС класса 1, предназначенных для обработки информации, основным условием защиты является обеспечение конфиденциальности и целостности.
Основной задачей является установка и настройка защиты компьютера от несанкционированного съема информации и обеспечение основных свойств информации: конфиденциальности, доступности, целостности, наблюдаемости.
Исходя из этой цели мы организовываем нашу роботу. На данном компьютере мы установим базовое программное обеспечение:
1) Операционная система Microsoft Windows XP
2) Антивирус McAfee
3) Брандмауэр. В данной работе мы будем использовать встроенный брандмауэр в операционной системе, он удовлетворяет всем нашим требованиям.
После того как мы установили все необходимое программное обеспечение мы можем приступить к главном аспекте нашей защиты — разграничение доступа к информационным объектам на нашем компьютере. Для этого мы создадим четырех пользователей, для которых назначим разные уровни доступа к объектам, одни могу просматривать информацию, другие смогут не только просматривать но и модифицировать данные. И будет пользователь, который обладает всеми правами — администратор компьютера. Этот пользователь и назначает права доступа и подключения внешних устройств к АС для других пользователей.
4. Модель угроз. Модель нарушителя
Модель угроз для АС класса 1 – описание способов и средств осуществления существенных угроз для информационных ресурсов с указанием уровней предельно допустимых потерь, связанных с их возможными проявлениями в конкретных или предполагаемых условиях применения АС1.
Под угрозой понимается потенциально существующая возможность случайного или преднамеренного действия (бездействия), в результате которого могут быть нарушены основные свойства информации и систем ее обработки: доступность, целостность и конфиденциальность.
Табл. 1.
| Модели угроз | ||
| Угрозы | Источники возникновения | Методы и способы осуществления |
| Несанкционированный доступ к данным и ресурсам АС. | Используются слабости установленной системы разграничения доступа и процесса административного управления. | Выведение из строя различных видов систем безопасности и контроля доступа.использование уязвимостей общесистемного и прикладного ПО. |
| Устройства считывания данных с экрана компьютера. | Развитие технологий, незащищенность экрана от просмотра, планирования объекта. | Устройства считывания данных с экранов компьютеров. |
| Устройства считывания сигналов с клавиатуры. | Развитие технологий, несовершенное планирование. | Устройства считывания сигналов с клавиатуры. |
| Устройства, сканируют эл-маг излучения собственно компьютеров и кабелей, батарей, электрических проводов | Достаточно большое "поле" излучений | Устройства, сканируют эл-маг излучения |
Модель нарушителя