лекция №3 (Лекции по дисциплине)
Описание файла
Файл "лекция №3" внутри архива находится в следующих папках: Лекции по дисциплине, СЗИ. Документ из архива "Лекции по дисциплине", который расположен в категории "". Всё это находится в предмете "методы и средства защиты информации" из 9 семестр (1 семестр магистратуры), которые можно найти в файловом архиве РТУ МИРЭА. Не смотря на прямую связь этого архива с РТУ МИРЭА, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "методы и средства защиты информации" в общих файлах.
Онлайн просмотр документа "лекция №3"
Текст из документа "лекция №3"
Федеральное агентство по образованию
Государственное образовательное учреждение
высшего профессионального образования
«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»
Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»
УТВЕРЖДАЮ
Ректор МГУПИ
_____________Михайлов Б.М.
«___» ______________ 200__г.
Для студентов <номер> курса факультета ИТ
специальности 230100
<уч.степень, уч.звание, фамилия, инициалы автора>
ЛЕКЦИЯ № <3>
по дисциплине <шифр> <Защита Информации>
ТЕМА <Методика Построения Защищенных КС, Организационные меры>
Обсуждена на заседании кафедры
(предметно-методической секции)
«___» _______________ 200__г.
Протокол № _____
МГУПИ — 200_ г.
Тема лекции: <Методика Построения Защищенных КС, Организационные меры >
Учебные и воспитательные цели:
1. ??
2. ??
3. ??
Время: 2 часа (90 мин.)
Литература (основная и дополнительная):
1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.
2. . Нанс Б. Компьютерные сети. – М.: Бином, 1995
Учебно-материальное обеспечение:
1. Рис. 18. Организационный уровень СЗИ
2 Рис. 19.Аппаратный уровень СЗИ
3. Рис. 20. Системный уровень СЗИ
4. Рис. 21. Прикладной уровень СЗИ
ПЛАН ЛЕКЦИИ:
Введение – до 5 мин.
Основная часть (учебные вопросы) – до 80 мин.
1-й учебный вопрос Разработка системы программно-технических мер защиты КС - ? мин
2-й учебный вопрос Характеристика организационных мер и средств защиты КС - ? мин
3-й учебный вопрос Администрирование КС - ? мин
4-й учебный вопрос Документирование мероприятий по ЗИ - ? мин
Заключение – до 5 мин.
ТЕКСТ ЛЕКЦИИ
Введение – до 5 мин.
Система организационных и физических мер защиты КС соответствует организационному уровню (1) СЗИ. В процессе ее разработки выполняется (см.рис.18):
По направлению А:
-классификация и распределение прав пользователей (выделение групп пользователей, планирование политики доступа, разработка масок прав);
-разработка технологий контроля работы пользователей (разработка системы разграничения доступа, технологий аудита системных журналов и т.п.);
-разработка системы режимно-охранных мер (принятие правил регистрации носителей, выбор способов ограничения доступа в помещения, подготовка регламентирующей документации для пользователей и т.п.).
По направлению Б:
-выбор методов и средств администрирования КС (осуществления контроля целостности ПО и БД, профилактического обслуживания сетевых файловых систем и баз данных, резервного копирования информации и т.п.);
-разработка регламентов технического обслуживания КС;
-выбор средств и регламента использования антивирусной защиты.
Рис. 18. Организационный уровень СЗИ
Требования к комплексу средств физической защиты носят достаточно общий характер, в целом не зависящий от характера объектов защиты. Меры физической защиты представляют собой действия, которые предпринимаются для защиты от стихийных бедствий, нарушения условий эксплуатации, аварий и преднамеренных воздействий. Объектами физической защиты могут быть: здания, компьютерные помещения, компьютеры, вспомогательное оборудование, носители информации и каналы ее передачи. Эффективность физической защиты оценивается временем проникновения, т.е. временем, необходимым злоумышленнику для преодоления средств физической защиты. При оценке физической безопасности любого объекта, в том числе компьютера, обычно используют метод концентрических окружностей, позволяющий установить как может преступник получить доступ к объекту и попасть на место преступления. Начинают с окружности внешнего периметра, проходящей по краю автомобильной стоянки или даже ниже по улице, затем - по внешней стене здания, и постепенно приближаются к нужной точке.
Приведем некоторые рекомендации, которые следует учитывать при проектировании средств физической защиты компьютерных объектов:
- охраняемые элементы компьютерной системы следует располагать в помещениях органа ГМУ, расположение и состояние которых обеспечивает наибольшую безопасность;
-критически важное компьютерное оборудование следует размещать как можно более компактно;
-охраняемые компьютерные помещения необходимо оборудовать техническими средствами ограничения доступа, мониторинга, сигнализации и пожаротушения;
-коммуникационные узлы, распределительные щиты электропитания должны размещаться в контролируемых и запираемых помещениях.
1-й учебный вопрос Разработка системы программно-технических мер защиты КС - ? мин
Система программно-технических мер защиты КС соответствует аппаратному (2), системному (3) и прикладному (4) уровням СЗИ. В процессе ее разработки выполняются следующие группы действий (мероприятий).
На аппаратном уровне (защита ТС обработки информации и технические средства защиты) (см. рис. 19) осуществляется:
Рис. 19.Аппаратный уровень СЗИ
По направлению А:
-разработка технологий обработки информации с использованием специализированных серверов с ограниченным набором функций и информационных ресурсов (серверы баз данных, серверы приложений, серверы доступа, web-серверы, почтовые серверы, файл-серверы и т.д.);
-планирование минимизации числа устройств копирования данных на внешние носители (флоппи-дисководов, сменных винчестеров, CD-RW, магнитооптики, принтеров и т.д.) в пользовательских компьютерах);
-разработка схем применения ТС разграничения доступа к элементам КС (смарт-карты, биометрические датчики и т.п.);
-проектирование сетевой инфраструктуры с использованием специализированных устройств разделения доступа и трафика (маршрутизаторы, брандмауэры);
-планирование использования активных и пассивных средств защиты от побочных электромагнитных излучений (ПЭМИН) (заземление, экранирование, генераторы шума).
По направлению Б:
-проектирование системы бесперебойного электропитания;
-планирование установки дублирующих элементов и датчиков рабочих параметров в ключевых и наиболее уязвимых ТС (магнитные диски, источники питания в серверах, датчики температуры и т.д.);
-проектирование физических средств защиты каналов связи (стальные трубы, специальные кабели, короба и т.п.).
На системном уровне (средства защиты сетевых операционных систем и СУБД, администраторские надстройки над ними) (см. рис. 20) осуществляется:
По направлению А:
-планирование политики аутентификации пользователей;
-разработка способов применения штатных средств разделения доступа к информационным ресурсам;
-выбор средств управления ЛВС и надстроек над штатными средствами защиты.
-проектирование технологии работы с базами данных без физического доступа к файлам и без регистрации на сервере БД ("клиент-сервер");
-планирование использования штатных средств СУБД для разделения доступа пользователей к функциям, таблицам, столбцам и т.д.;
-планирование использования шифрации записей в БД и паролей, передаваемых по сети.
Рис. 20. Системный уровень СЗИ
По направлению Б:
-настройка механизмов восстановления удаленных файлов, защиты файлов от удаления, защиты ядра ОС от разрушения;
-планирование разделения прав воздействия пользователей на БД (владелец, администратор, пользователь…);
-настройка механизмов блокировки/отката транзакций и восстановления данных (протоколирование запросов, средства архивации данных);
-планирование регламента использования инструментария тестирования БД и исправления нарушений структуры данных;
-организация технологии информирования администратора КС о возникающих в процессе работы ОС и СУБД ошибках.
Следует отметить, что используемые в КС государственных органов и организаций системные и защитные программные средства должны иметь сертификаты Гостехкомиссии или ФСБ.
На прикладном уровне (инструментальное ПО приложений, пользовательские интерфейсы, индивидуальное защитное ПО) (см. рис. 21) осуществляется:
Рис. 21. Прикладной уровень СЗИ
По направлению А:
-проектирование надежной и защищенной подсистемы аутентификации пользователей;
-проектирование механизма контроля полномочий пользователей по агрегации информации (при сборке отчетов и т.п.);
-разработка гибкой многоуровневой системы задания ограничений на доступ к конкретным электронным документам (как единицам хранения информации в КС);
-планирование и разработка разделения полномочий доступа к ветвям и объектам интерфейса и их реквизитам.
По направлению Б:
-разработка программ тестирования баз данных (БД) на отсутствие записей-дублей, на логическую непротиворечивость, на отсутствие ошибок и т.д.;
-разработка средств дублирующего протоколирования воздействий пользователей на БД;
-разработка (выбор) средств авторизации вводимых в БД данных, подготавливаемых электронных документов, отправляемых сообщений (фиксация даты, адреса и пользователя);
-планирование ограничений прав пользователей на удаление и коррекцию данных в условиях многопользовательского доступа к КС;
-разработка средств автоматизированной идентификации и контроля корректности вводимых данных.
2-й учебный вопрос Характеристика организационных мер и средств защиты КС - ? мин
Как было показано, организационный уровень СЗИ КС включает в себя проведение организационных мероприятий, технологических операций, регламентов применения определенных методов и средств и является составной частью системы защиты всего объекта информатизации. Достижение высокого уровня защищенности КС невозможно без применения комплекса организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей КС, должно регламентировать правила автоматизированной обработки информации (включая и правила ее защиты), устанавливать меру ответственности за нарушение этих правил и контролировать их выполнение.
организационные (административные) меры - это меры, регламентирующие процессы функционирования КС, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.
Система организационных и организационно-технических защитных включает в себя:
-разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
-мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (проводимые по необходимости);
-многократно проводимые мероприятия (периодические или стохастические).
Организационные средства - средства, с помощью которых реализуются организационные меры, и не относящиеся к программным или техническим видам. К ним можно отнести:
-нормативно-правовую базу государства;