лекция№13 (Лекции по дисциплине)

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»

Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»

УТВЕРЖДАЮ

Ректор МГУПИ

_____________Михайлов Б.М.

«___» ______________ 200__г.

Для студентов <номер> курса факультета ИТ

специальности 230100

<уч.степень, уч.звание, фамилия, инициалы автора>

ЛЕКЦИЯ № <13>

по дисциплине <шифр> <Защита Информации>

ТЕМА <Специализированные Программные Средства для Защиты Информации в Локальных Сетях>

Обсуждена на заседании кафедры

(предметно-методической секции)

«___» _______________ 200__г.

Протокол № _____

МГУПИ — 200_ г.

Тема лекции: < Специализированные Программные Средства для Защиты Информации в Локальных Сетях >

Учебные и воспитательные цели:

1. ??

2. ??

3. ??

Время: 2 часа (90 мин.)

Литература (основная и дополнительная):

1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.

2. . Грир Т. Сети интранет. – М.: Русская редакция, 2000

Учебно-материальное обеспечение:

1. Рис. 44. Структура комплекса Secret Net

2. Таблица 13. Роли пользователей Secret Net

3. Рис. 45. Интерфейс Secret Net

4. Рис. 46. Механизм избирательного управления доступом

5. Таблица 14. Журналы регистрации Secret Net

6. Рис. 47. Раздел “Система” интерфейса Webmin

7. Рис. 48. Раздел “Службы” интерфейса Webmin

8. Рис. 49. Раздел “Сеть” интерфейса Webmin

ПЛАН ЛЕКЦИИ:

Введение – до 5 мин.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Программные компоненты сетевых СЗИ - ? мин

2-й учебный вопрос Программный компонент комплекса "Secret Net" - ? мин

3-й учебный вопрос Средство управления сетями WEBMIN - ? мин

Заключение – до 5 мин.

ТЕКСТ ЛЕКЦИИ

Введение – до 5 мин.

Локальные сети с точки зрения информационной безопасности характеризуются ограниченностью в пространстве (как правило, в пределах контролируемой зоны внутри одного здания), отсутствием прямых соединений с другими ЛС, единой транспортной средой (кабель, протоколы, интерфейсы).

Специализированные программные СЗИ для локальных сетей являются, как правило, надстройками над сетевыми ОС и обеспечивают более удобное управление их подсистемами безопасности (ПСБ), усиливают их штатные средства безопасности и (или) добавляют некоторые дополнительные функции безопасности. Специализированные программные средства для защиты информации в локальных сетях выполняют в основном следующие задачи:

-аутентификацию пользователей;

-защиту от несанкционированного чтения/копирования;

-защиту от несанкционированных действий, изменяющих состояние КС (модификации, удаления, запуска программ);

-централизованное управление ПСБ ОС.

В данной лекции будут рассмотрены в основном отечественные разработки для защиты локальных сетей, что связано с их доминированием на рынке и наличием соответствующих сертификатов. Первоначально продукты рассматриваемого класса СЗИ строились для ОС фирмы NOWELL, однако, с повсеместным распространением сетей на основе Windows NT/2000 произошла постепенная переориентация фирм-производителей, и сейчас в их последних версиях упоминания о NOWELL почти нет. А производители, оставшиеся на старой платформе, фактически были вытеснены с рынка. Это отностися, например, к компании “Атоминформ” - производителю комплекса "Снег-ЛВС", предназначавшегося для защиты от НСД локальных вычислительных сетей NetWare (до версии 4.1). Основой “СНЕГ-ЛВС” являлся комбинированный комплекс средств защиты, включающий защищенную версию ОС MS DOS ("Снег") и дополнительные сетевые средства обеспечения безопасности ("Снег-ЛВС"), устанавливавшиеся на все рабочие станции и файл-серверы ЛВС. "Снег" обеспечивал разделение ресурсов каждой рабочей станции (дисков, каталогов, файлов) между несколькими пользопатслями от полного изолирования до общего использования, функции управления безопасностью ЛВС выполняюлись с рабочей станции администратора.

Дополнительно будет рассмотрено средство управления безопасностью сетей на основе ОС LINUX - WEBMIN.

1-й учебный вопрос Программные компоненты сетевых СЗИ - ? мин

Программный комплекс “Рубеж” (версия 1.4)

ПК “Рубеж” предназначен для использования на автономных ПЭВМ, функционирующих под управлением Windows NT, а также в вычислительных сетях с сетевой операционной системой Windows NT server 4.0 и содержит:

1. -Подсистему управления доступом.

2. -Подсистему регистрации и учета (аудит).

3. -Подсистему обеспечения целостности.

-Подсистему изоляции программной среды, предоставляемой каждому отдельному пользователю.

1. -Подсистему удаленного централизованного управления настройками системы защиты.

Комплекс обеспечивает:

-защиту от НСД к ПЭВМ;

-идентификацию и усиленную аутентификацию пользователей;

- контроль целостности программ и данных, их защиту от несанкционированных модификаций;

-создание индивидуальной для каждого пользователя изолированной рабочей программной среды;

-запрет запуска неразрешенных программ;

-разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;

-разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа, управление потоками информации;

-автоматическое ведение протокола регистрируемых событий;

-удаленное централизованное управление настройками системы защиты.

Механизмы аутентификации входа в ОС Windows NT и доступа к объектам ее файловой системы основаны на применении персональных ТМ-идентификаторов пользователей (устройств “touch memory”).

Объектами защиты, построенной на базе комплекса, являются:

-каталоги с файлами данных;

-исполняемые файлы и динамические библиотеки Windows NT.

Множество прав доступа пользователей к объектам защиты состоит из двух элементов:

-доступ разрешен - возможно открытие каталога с файлами данных или исполнение файла;

-доступ запрещен - использовать файл невозможно никаким образом.

Разграничение доступа пользователей к массивам данных осуществляется на уровне каталогов, доступ к которым может быть разрешен избирательно с помощью матрицы доступа (дискреционный контроль доступа), а также с помощью меток конфиденциальности, присваиваемых директориям, и уровням допуска, присваиваемых пользователям или процессам (мандатный контроль доступа). Механизм мандатного контроля доступа обеспечивает также управление потоками информации.

Контроль целостности критичных данных и используемого ПО производится до загрузки ОС (статический контроль на основе программного кода в аппаратной части комплекса), а для программных модулей - перед их исполнением (динамический контроль с помощью ТМ-идентификаторов). Создание изолированной программной среды базируется как на статическом и динамическом контроле целостности объектов ОС, а также на механизме контроля запуска только разрешенных задач. Защита объектов выполняется по принципу “белых списков” для пользователей и осуществляется двумя путями:

- для файлов данных путем формирования прав доступа к содержащим их каталогам;

- для исполняемых файлов и динамических библиотек путем фиксации их целостности на основе вычисления хеш-функций, зависящих от ключей доступа пользователей.

Для установки системы защиты на сложные программные комплексы (например, microsoft office), вызывающие большое число различных исполняемых модулей (дочерних процессов), необходимо составление исчерпывающих списков запускаемых задач. Для решения данной проблемы используются входящие в состав системы средства автоматизированного набора статистики запускаемых задач.

В комплекс входят также:

-подсистема аудита, осуществляюжая регистрацию попыток НСД;

-подсистема удаленного централизованного управления, позволяющая изменять настройки системы защиты с консоли Администратора системы.

Комплекс прошел испытания на соответствие требованиям РД Гостехкомиссии РФ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Имеется сертификат Гостехкомиссии РФ (№ 282 от 30.11.99г.) о соответствии классу защищенности 1В.

Комплекс защиты от НСД к информации и ресурсам вычислительных сетей АккордСеть-NDS

Комплекс АккордСеть-NDS обеспечивает защиту сетевых ресурсов в гетерогенных вычислительных сетях с операционными системами: Nowell Netware (версии 4.11- 5); Windows NT Server 4.0; UNIX (HP-UX, Sun Solaris); Linux (Red Hat).

Комплекс АккордСеть-NDS использует и усиливает защитные функции, предоставляемые службами каталогов novell directory services (NDS). Выбор NDS в качестве основы защиты обусловлен тем, что это решение позволяет объединить функции управления и защиты сетевых ресурсов для нескольких сетевых платформ. Сервер безопасности комплекса функционирует в среде netware5. Защита устанавливается не на все компьютеры сети, а только на те серверы и рабочие станции, защита которых необходима с точки зрения политики безопасности.

Для усиления защитных функций NDS комплекс АккордСеть-NDS содержит следующие подсистемы:

-Электронный замок при входе пользователя в рабочую станцию, в сеть, в консоль Серверов.

-Усиленные (по сравнению с NDS) программно-аппаратные процедуры идентификации и аутентификации пользователей с использованием труднокопируемых идентификаторов-паролей на базе устройств touch memory. 

-Программно-аппаратную процедуру подтверждения целостности среды рабочих станций и Серверов сети из гарантированно проверенного кода.

-Создание и поддержание изолированной программной среды на рабочих станциях и Серверах сети.

-Систему запрета запуска программ с несанкционированных носителей.

Управление мандатным доступом к сетевым ресурсам.

Защищаемые сетевые ресурсы (пользователи, тома, принтеры и т.д.) размещаются в разделах деревьев NDS. После этого защита указанных сетевых ресурсов реализуется как защита указанных разделов NDS. Как правило, эти разделы содержат пользователей одного функционального подразделения. Далее, в каждом функциональном подразделении управление системой защиты осуществляет специально назначенный администратор безопасности. Для администраторов в комплексе АккордСеть-NDS предусмотрено рабочее место “Консоль администратора”. Защита Серверов баз данных (oracle, informix, sql server ) осуществляется подсистемой, устанавливаемой на Сервере безопасности комплекса. При этом, доступ пользователей к Серверам баз данных разрешается только после прохождения ими процедур усиленной аутентификации в NDS.

После установки комплекса АккордСеть-NDS пользователи гетерогенной сети входят в сеть и получают доступ к назначенным им сетевым ресурсам (включая базы данных unix-серверов и NT-серверов) через вызов процедур усиленной идентификации и аутентификации в NDS. Попытки несанкционированного доступа (НСД) к сетевым ресурсам вызывают разрыв сетевого соединения и блокирование рабочей станции, с которой эта попытка НСД осуществлялась. Сообщение о попытке НСД в режиме реального времени поступает на консоль администратора безопасности и фиксируется в сетевом журнале NDS. Доступ к сетевому журналу NDS имеет только специально назначенный аудитор.

Управление системой защиты производится с одной или нескольких консолей администратора и включает следующие действия:

-управление разграничением доступа пользователей к сетевым ресурсам;

-получение в режиме реального времени сообщений о всех событиях НСД к сетевым ресурсам;

-просмотр журнала событий НСД;

-управление системами защиты рабочих станций сети; 

-ревизия ПО рабочих станций сети.

Каждый защищаемый Сервер сети, каждая консоль администратора и каждая защищаемая рабочая станция снабжается программно-аппаратным комплексом типа Аккорд, защищающим их локальные ресурсы. Комплекс “АккордСеть-NDS” имеет сертификат Гостехкомиссии РФ (№ 262 от 19.08.99г.) на соответствие требованиям РД Гостехкомиссии РФ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" для 4 класса защищенности и "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" для класса защищенности 1В.

2-й учебный вопрос Программный компонент комплекса "Secret Net" - ? мин

Система защиты информации Secret Net является программно-аппаратным комплексом, и предназначена для решения следующих задач: