лекция №3 (Лекции по дисциплине)

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»

Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»

УТВЕРЖДАЮ

Ректор МГУПИ

_____________Михайлов Б.М.

«___» ______________ 200__г.

Для студентов <номер> курса факультета ИТ

специальности 230100

<уч.степень, уч.звание, фамилия, инициалы автора>

ЛЕКЦИЯ № <3>

по дисциплине <шифр> <Защита Информации>

ТЕМА <Методика Построения Защищенных КС, Организационные меры>

Обсуждена на заседании кафедры

(предметно-методической секции)

«___» _______________ 200__г.

Протокол № _____

МГУПИ — 200_ г.

Тема лекции: <Методика Построения Защищенных КС, Организационные меры >

Учебные и воспитательные цели:

1. ??

2. ??

3. ??

Время: 2 часа (90 мин.)

Литература (основная и дополнительная):

1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.

2. . Нанс Б. Компьютерные сети. – М.: Бином, 1995

Учебно-материальное обеспечение:

1. Рис. 18. Организационный уровень СЗИ

2 Рис. 19.Аппаратный уровень СЗИ

3. Рис. 20. Системный уровень СЗИ

4. Рис. 21. Прикладной уровень СЗИ

ПЛАН ЛЕКЦИИ:

Введение – до 5 мин.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Разработка системы программно-технических мер защиты КС - ? мин

2-й учебный вопрос Характеристика организационных мер и средств защиты КС - ? мин

3-й учебный вопрос Администрирование КС - ? мин

4-й учебный вопрос Документирование мероприятий по ЗИ - ? мин

Заключение – до 5 мин.

ТЕКСТ ЛЕКЦИИ

Введение – до 5 мин.

Система организационных и физических мер защиты КС соответствует организационному уровню (1) СЗИ. В процессе ее разработки выполняется (см.рис.18):

По направлению А:

-классификация и распределение прав пользователей (выделение групп пользователей, планирование политики доступа, разработка масок прав);

-разработка технологий контроля работы пользователей (разработка системы разграничения доступа, технологий аудита системных журналов и т.п.);

-разработка системы режимно-охранных мер (принятие правил регистрации носителей, выбор способов ограничения доступа в помещения, подготовка регламентирующей документации для пользователей и т.п.).

По направлению Б:

-выбор методов и средств администрирования КС (осуществления контроля целостности ПО и БД, профилактического обслуживания сетевых файловых систем и баз данных, резервного копирования информации и т.п.);

-разработка регламентов технического обслуживания КС;

-выбор средств и регламента использования антивирусной защиты.

Рис. 18. Организационный уровень СЗИ

Требования к комплексу средств физической защиты носят достаточно общий характер, в целом не зависящий от характера объектов защиты. Меры физической защиты представляют собой действия, которые предпринимаются для защиты от стихийных бедствий, нарушения условий эксплуатации, аварий и преднамеренных воздействий. Объектами физической защиты могут быть: здания, компьютерные помещения, компьютеры, вспомогательное оборудование, носители информации и каналы ее передачи. Эффективность физической защиты оценивается временем проникновения, т.е. временем, необходимым злоумышленнику для преодоления средств физической защиты. При оценке физической безопасности любого объекта, в том числе компьютера, обычно используют метод концентрических окружностей, позволяющий установить как может преступник получить доступ к объекту и попасть на место преступления. Начинают с окружности внешнего периметра, проходящей по краю автомобильной стоянки или даже ниже по улице, затем - по внешней стене здания, и постепенно приближаются к нужной точке.

Приведем некоторые рекомендации, которые следует учитывать при проектировании средств физической защиты компьютерных объектов:

- охраняемые элементы компьютерной системы следует располагать в помещениях органа ГМУ, расположение и состояние которых обеспечивает наибольшую безопасность;

-критически важное компьютерное оборудование следует размещать как можно более компактно;

-охраняемые компьютерные помещения необходимо оборудовать техническими средствами ограничения доступа, мониторинга, сигнализации и пожаротушения;

-коммуникационные узлы, распределительные щиты электропитания должны размещаться в контролируемых и запираемых помещениях.

1-й учебный вопрос Разработка системы программно-технических мер защиты КС - ? мин

Система программно-технических мер защиты КС соответствует аппаратному (2), системному (3) и прикладному (4) уровням СЗИ. В процессе ее разработки выполняются следующие группы действий (мероприятий).

На аппаратном уровне (защита ТС обработки информации и технические средства защиты) (см. рис. 19) осуществляется:

Рис. 19.Аппаратный уровень СЗИ

По направлению А:

-разработка технологий обработки информации с использованием специализированных серверов с ограниченным набором функций и информационных ресурсов (серверы баз данных, серверы приложений, серверы доступа, web-серверы, почтовые серверы, файл-серверы и т.д.);

-планирование минимизации числа устройств копирования данных на внешние носители (флоппи-дисководов, сменных винчестеров, CD-RW, магнитооптики, принтеров и т.д.) в пользовательских компьютерах);

-разработка схем применения ТС разграничения доступа к элементам КС (смарт-карты, биометрические датчики и т.п.);

-проектирование сетевой инфраструктуры с использованием специализированных устройств разделения доступа и трафика (маршрутизаторы, брандмауэры);

-планирование использования активных и пассивных средств защиты от побочных электромагнитных излучений (ПЭМИН) (заземление, экранирование, генераторы шума).

По направлению Б:

-проектирование системы бесперебойного электропитания;

-планирование установки дублирующих элементов и датчиков рабочих параметров в ключевых и наиболее уязвимых ТС (магнитные диски, источники питания в серверах, датчики температуры и т.д.);

-проектирование физических средств защиты каналов связи (стальные трубы, специальные кабели, короба и т.п.).

На системном уровне (средства защиты сетевых операционных систем и СУБД, администраторские надстройки над ними) (см. рис. 20) осуществляется:

По направлению А:

-планирование политики аутентификации пользователей;

-разработка способов применения штатных средств разделения доступа к информационным ресурсам;

-выбор средств управления ЛВС и надстроек над штатными средствами защиты.

-проектирование технологии работы с базами данных без физического доступа к файлам и без регистрации на сервере БД ("клиент-сервер");

-планирование использования штатных средств СУБД для разделения доступа пользователей к функциям, таблицам, столбцам и т.д.;

-планирование использования шифрации записей в БД и паролей, передаваемых по сети.

Рис. 20. Системный уровень СЗИ

По направлению Б:

-настройка механизмов восстановления удаленных файлов, защиты файлов от удаления, защиты ядра ОС от разрушения;

-планирование разделения прав воздействия пользователей на БД (владелец, администратор, пользователь…);

-настройка механизмов блокировки/отката транзакций и восстановления данных (протоколирование запросов, средства архивации данных);

-планирование регламента использования инструментария тестирования БД и исправления нарушений структуры данных;

-организация технологии информирования администратора КС о возникающих в процессе работы ОС и СУБД ошибках.

Следует отметить, что используемые в КС государственных органов и организаций системные и защитные программные средства должны иметь сертификаты Гостехкомиссии или ФСБ.

На прикладном уровне (инструментальное ПО приложений, пользовательские интерфейсы, индивидуальное защитное ПО) (см. рис. 21) осуществляется:

Рис. 21. Прикладной уровень СЗИ

По направлению А:

-проектирование надежной и защищенной подсистемы аутентификации пользователей;

-проектирование механизма контроля полномочий пользователей по агрегации информации (при сборке отчетов и т.п.);

-разработка гибкой многоуровневой системы задания ограничений на доступ к конкретным электронным документам (как единицам хранения информации в КС);

-планирование и разработка разделения полномочий доступа к ветвям и объектам интерфейса и их реквизитам.

По направлению Б:

-разработка программ тестирования баз данных (БД) на отсутствие записей-дублей, на логическую непротиворечивость, на отсутствие ошибок и т.д.;

-разработка средств дублирующего протоколирования воздействий пользователей на БД;

-разработка (выбор) средств авторизации вводимых в БД данных, подготавливаемых электронных документов, отправляемых сообщений (фиксация даты, адреса и пользователя);

-планирование ограничений прав пользователей на удаление и коррекцию данных в условиях многопользовательского доступа к КС;

-разработка средств автоматизированной идентификации и контроля корректности вводимых данных.

2-й учебный вопрос Характеристика организационных мер и средств защиты КС - ? мин

Как было показано, организационный уровень СЗИ КС включает в себя проведение организационных мероприятий, технологических операций, регламентов применения определенных методов и средств и является составной частью системы защиты всего объекта информатизации. Достижение высокого уровня защищенности КС невозможно без применения комплекса организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей КС, должно регламентировать правила автоматизированной обработки информации (включая и правила ее защиты), устанавливать меру ответственности за нарушение этих правил и контролировать их выполнение.

организационные (административные) меры - это меры, регламентирующие процессы функционирования КС, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Система организационных и организационно-технических защитных включает в себя:

-разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

-мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (проводимые по необходимости);

-многократно проводимые мероприятия (периодические или стохастические).

Организационные средства - средства, с помощью которых реализуются организационные меры, и не относящиеся к программным или техническим видам. К ним можно отнести:

-нормативно-правовую базу государства;