 |
Пример 2. Система защиты информации «Secret Net 4.0»
|
|
|
|
Система защиты информации Secret Net устанавливается на рабочем месте администратора безопасности и предоставляет ему следующие возможности:
· централизованное управление защитными механизмами клиентов Secret Net;
· контроль всех событий имеющих отношение к безопасности информационной системы;
· контроль действий сотрудников в ИС организации и оперативное реагирование на факты и попытки НСД;
· планирование запуска процедур копирования ЦБД;
· архивирования журналов регистрации.
Схема управления, реализованная в Secret Net, позволяет управлять информационной безопасностью в терминах реальной предметной области и в полной мере обеспечить жесткое разделение полномочий администратора сети и администратора безопасности.
Система защиты информации Secret Net выпускается в автономном и сетевом вариантах.
Автономный вариант – состоит только из клиентской части Secret Net и предназначен для обеспечения защиты автономных компьютеров или рабочих станций и серверов сети, содержащих важную информацию.
Сетевой вариант – состоит из клиентской части, подсистемы управления, сервера безопасности и позволяет реализовать защиту, как всех компьютеров сети, так и только тех рабочих станций и серверов, которые; хранят и обрабатывают важную информацию.
Безопасность рабочих станций и серверов сети обеспечивается с помощью всевозможных механизмов защиты:
· усиленная идентификация и аутентификация,
· полномочное и избирательное разграничение доступа,
· замкнутая программная среда,
· криптографическая защита данных,
· другие механизмы защиты.
Администратору безопасности предоставляется единое средство управления всеми защитными механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности.
|
|
|
Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журнале регистрации. О попытках свершения пользователями неправомерных действий администратор безопасности узнает немедленно.
Существуют средства генерации отчетов, предварительной обработки журналов регистрации, оперативного управления удаленными рабочими станциями.
Система Secret Net состоит из трех компонент:
– клиентская часть;
– сервер безопасности;
– подсистема управления.
Особенностью системы Secret Net является клиент-серверная архитектура, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.
Клиентская часть системы защиты устанавливается на компьютер, содержащий важную информацию, будь то рабочая станция в сети или какой-либо сервер (в том числе и сервер безопасности).Основное назначение клиента Secret Net – защита ресурсов компьютера от несанкционированного доступа и разграничение прав зарегистрированных пользователей. Регистрация событий, происходящих на рабочей станции или сервере сети, передача информации на сервер безопасности. Выполнение централизованных и децентрализованных управляющих воздействий администратора безопасности.
Клиенты Secret Net оснащаются средствами аппаратной поддержки (для идентификации пользователей по электронным идентификаторам и управления загрузкой с внешних носителей).
Сервер безопасности. Сервер безопасности устанавливается на выделенный компьютер и обеспечивает решение следующих задач:
– ведение центральной базы данных системы защиты, функционирующую под управлением СУБД Oracle 8.0 Personal Edition и содержащую информацию, необходимую для работы системы защиты;
|
|
|
– сбор информации о происходящих событиях со всех клиентов Secret Net в единый журнал регистрации и передача обработанной информации подсистеме управления;
– взаимодействие с подсистемой управления и передача управляющих команд администратора на клиентскую часть системы защиты.
Основными сферами применения системы Secret Net являются:
– защита информационных ресурсов;
– централизованное управление информационной безопасностью;
– контроль состояния информационной безопасности.
Система защиты информации Secret Net 4.0 сертифицирована Гостехкомиссией России по 3 классу защищенности. Это означает, что Secret Net 4.0 можно применять для защиты информации, содержащей сведения, составляющие государственную тайну.
Электронный замок «Соболь»/«Соболь-PCI» может применяться в составе системы защиты информации Secret Net для генерации ключей шифрования и электронно-цифровой подписи. Кроме того, при использовании электронного замка в составе Secret Net обеспечивается единое централизованное управление его возможностями. С помощью подсистемы управления Secret Net администратор безопасности имеет возможность управлять статусом персональных идентификаторов сотрудников: присваивать электронные идентификаторы, временно блокировать, делать их недействительными, что позволяет управлять доступом сотрудников к компьютерам автоматизированной системы организации.
Электронные замки «Соболь-PCI» и «Соболь» разработаны научно-инженерным предприятием «ИНФОРМЗАЩИТА» и предназначены для защиты ресурсов компьютера от несанкционированного доступа.
Электронные замки «Соболь» и «Соболь-PCI» сертифицированы Федеральным агентством правительственной связи и информации России. Сертификаты ФАПСИ № СФ/122-0305 и № СФ/022-0306 от 10.02.2000, а также и сертификат № СФ/527-0553 от 01.07.2002 позволяют применять данные средства для защиты информации, составляющую коммерческую или государственную тайну.
Электронный замок «Соболь»/Соболь-PCI» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
|
|
|
Система защиты электронный замок «Соболь»/«Соболь- PCI» обладает следующими возможностями:
– идентификация и аутентификация пользователей;
– регистрация попыток доступа к ПЭВМ;
– запрет загрузки ОС со съемных носителей.
Идентификация и аутентификация пользователей. Каждый пользователь компьютера регистрируется в системе электронный замок «Соболь»/«Соболь- PCI», установленной на данном компьютере. Регистрация пользователя осуществляется администратором и состоит в определении имени регистрируемого пользователя, присвоении ему персонального идентификатора и назначении пароля.
Действие электронного замка «Соболь»/«Соболь- PCI» состоит в проверке персонального идентификатора и пароля пользователя при попытке входа в систему. В случае попытки входа в систему не зарегистрированного пользователя электронный замок «Соболь» регистрирует попытку несанкционированного доступа (НСД) и осуществляется аппаратная блокировка.
Регистрация попыток доступа к ПЭВМ. Электронный замок «Соболь»/«Соболь-PCI» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Электронный замок фиксирует в системном журнале вход пользователей, попытки входа, попытки НСД и другие события, связанные с безопасностью системы. В системном журнале хранится следующая информация: дата и время события, имя пользователя и информация о типе события, например:
· факт входа пользователя;
· введение неправильного пароля;
· предъявление не зарегистрированного идентификатора пользователя;
· превышение числа попыток входа в систему.
Таким образом, электронный замок «Соболь» предоставляет информацию администратору о всех попытках доступа к ПЭВМ.
Контроль целостности программной среды и запрет загрузки со съемных носителей. Подсистема контроля целостности расширяет возможности электронного замка «Соболь»/«Соболь-PCI». Контроль целостности системных областей дисков и наиболее критичных файлов производится по алгоритму ГОСТ 28147-89. Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов.
|
|
|
Подсистема запрета загрузки с гибкого диска и CD ROM диска обеспечивает запрет загрузки операционной системы с этих съемных носителей для всех пользователей компьютера, кроме администратора. Администратор может разрешить отдельным пользователям компьютера выполнять загрузку операционной системы со съемных носителей.
Для настройки электронного замка «Соболь» администратор имеет возможность:
· определять минимальную длину пароля пользователя;
· определять предельное число неудачных входов пользователя;
· добавлять и удалять пользователей;
· блокировать работу пользователя на компьютере;
· создавать резервные копии персональных идентификаторов.
Возможности и преимущества электронного замка «Соболь»/ «Соболь- PCI»:
· самая низкая по сравнению с аналогичными продуктами цена – 190 долларов «Соболь» для стандарта ISA и 230 долларов «Соболь- PCI»;
· наличие датчика случайных чисел;
· простота установки, настройки и администрирования;
· современная элементная база, обеспечивающая высокую надежность и долговечность;
· возможность установки в любой IBM-совместимый персональный компьютер, имеющий свободный разъем стандарта ISA или PCI.
|
|
|
