5. Технический проект (Разработка профиля защиты информации в государственной информационной системе), страница 6
Описание файла
Файл "5. Технический проект" внутри архива находится в следующих папках: Разработка профиля защиты информации в государственной информационной системе, Приложения. Документ из архива "Разработка профиля защиты информации в государственной информационной системе", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "5. Технический проект"
Текст 6 страницы из документа "5. Технический проект"
Подсистема контроля носителей информации обеспечивает контроль использования интерфейсов ввода/вывода средств вычислительной техники, подключения внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации.
-
СДЗ Dallas Lock
Средство доверенной загрузки (СДЗ) Dallas Lock – решение уровня платы расширения, предназначенное для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), а также для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно.
СДЗ Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям к СДЗ по второму классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и второму уровню контроля отсутствия НДВ.
В ГИС «МИРС 49» СДЗ Dallas Lock обеспечивает:
-
идентификацию и аутентификацию пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
-
двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;
-
автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;
-
контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
-
блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;
-
блокировку пользователя при выявлении попыток обхода СДЗ;
-
автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;
-
реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;
-
недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;
-
контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;
выполнение перезагрузки ПК при выявлении попыток обхода СДЗ.
-
XSpider 7.8.24
XSpider – сертифицированное средство защиты информации, это уникальный продукт, представляющий собой универсальную систему для работы с уязвимостями на разных уровнях - от системного до прикладного. XSpider включает мощный и глубокий анализатор защищенности веб-серверов и веб-приложений.
Функциональные возможности и особенности XSpider:
-
эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH);
-
полная идентификация сервисов на случайных портах;
-
проверка на уязвимости серверов со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты;
-
проверка слабости парольной защиты;
-
оптимизированный подбор паролей практически во всех сервисах, требующих аутентификации;
-
глубокий анализ контента веб-сайтов;
-
анализатор структуры HTTP-серверов;
-
проведение проверок на нестандартные DOS-атаки;
-
минимальная вероятность ложных срабатываний;
-
ежедневное добавление новых уязвимостей и проверок.
-
Kaspersky Endpoint Security 10 для Windows
Программное изделие «Kaspersky Endpoint Security 10 для Windows» является средством антивирусной защиты и предназначено для защиты от вредоносных компьютерных программ, в том числе в системах обработки данных и государственных информационных системах органов государственной власти Российской Федерации.
Реализованные в программном изделии функции безопасности:
-
аудит безопасности:
а) возможность генерировать записи аудита для событий, потенциально подвергаемых аудиту;
б) возможность ассоциации каждого события аудита с идентификатором субъекта, его инициировавшего;
в) возможность читать информацию из записей аудита;
г) ограничение доступа к чтению записей аудита;
д) поиск, сортировка и упорядочение данных аудита;
управление безопасностью:
а) возможность уполномоченным пользователям (ролям) управлять данными (административными данными), используемыми функциями безопасности САВЗ;
б) возможность уполномоченным пользователям (ролям) управлять режимом выполнения функций безопасности САВЗ;
в) поддержка определенных ролей для САВЗ и их ассоциации с конкретными администраторами безопасности и пользователями ИС.
-
проверки объектов заражения:
а) возможность выполнять проверки с целью обнаружения зараженных ВКПВ объектов в файловых областях носителей информации, в оперативной памяти, в системных областях носителей информации, в файлах, в том числе исполняемых, упакованных различными средствами архивации;
б) возможность выполнения проверок с целью обнаружения зараженных ВКПВ объектов в режиме реального времени в файлах, полученных по каналам передачи данных.
-
методы проверок объектов заражения:
а) возможность выполнять проверки с целью обнаружения зараженных ВКПВ объектов сигнатурными и эвристическими методами;
б) возможность выполнять проверки с целью обнаружения зараженных BKПB объектов по команде и(или) в режиме динамического обнаружения в процессе выполнения операций доступа к объектам;
в) возможность выполнять проверки с целью обнаружения зараженных BKПB объектов путем запуска с необходимыми параметрами функционирования своего кода внешней программой;
-
обработка объектов, подвергшихся воздействию:
а) возможность удаления (если удаление технически возможно) кода вредоносных компьютерных программ (вирусов) из оперативной памяти, удаления файлов, в которых обнаружены ВКПВ, а также файлов, подозрительных на наличие ВКПВ, возможность перемещения и изолирования зараженных объектов;
-
блокирование:
а) возможность блокирования доступа к зараженным файлам, в том числе полученным по каналам передачи данных, активных ВКПВ, АРМ или сервера, на которых обнаружены зараженные файлы;
-
сигнализация:
а) возможность отображения сигнала тревоги на АРМ пользователя или АРМ администратора безопасности, в том числе до подтверждения его получения или до завершения сеанса;
-
восстановление объектов:
а) возможность восстановления функциональных свойств зараженных объектов;
-
обновление базы данных ВКПВ:
а) возможность получения и установки обновлений БД ВКПВ без применения средств автоматизации; в автоматизированном режиме с сетевого ресурса.
-
VipNet Administrator 3.2
VipNet Administrator 3.2 – это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя VipNet NCC (центр управления сетью, ЦУС) – программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью VipNet.
В ГИС «МИРС 49» данное средство защиты информации используется для:
-
формирования топологии защищенной сети, путем регистрации сетевых узлов, пользователей и связей между ними;
-
определения политики безопасности на каждом узле и формирования списка разрешенных приложений, которые должны выполняться на каждом узле (шифрование трафика, ЭП и т. д.);
-
автоматической рассылки всем узлам информации об изменениях в топологии сети – новых узлах, пользователях, связях, также ключей шифрования, сертификатов, CRL;
-
проведения автоматического централизованного обновления ПО ViPNet на узлах защищенной сети, включая программно-аппаратные комплексы ViPNet Coordinator HW.
-
VipNet Coordinator HW
Поскольку ГИС «МИРС 49» разделена на сегменты, то МЭ приобретается для каждого сегмента. Для главного сегмента это будет VipNet Coordinator HW1000, а в удаленные сегменты будут установлены VipNet Coordinator HW50
VipNet Coordinator HW – это криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус». Продукт соответствует требованиям руководящих документов по классу КС3 для шифровальных (криптографических) средств. В данный момент ведутся работы по сертификации продукта на соответствие требованиям к МЭ А4 класса. Предыдущий сертификат истек 26.05.2017.
В ГИС «МИРС 49» данное средство защиты информации используется для:
-
организации защищенной VPN-сети для передачи информации между элементами сегментов через сети международного информационного обмена (между элементами, находящимися в общежитии и учебном корпусе);
-
защиты логической границы локальной сети с помощью межсетевого экранирования от внешних угроз безопасности информации;
-
фильтрации входящего и исходящего трафика;
-
шифрования трафика, передаваемого по открытым каналам связи.
-
Построение СЗИ в информационной системе
-
Схема построения СЗИ
Построение СЗИ в УОДМС заключается в применении сертифицированных средств защиты информации и обеспечении организационно-режимных мероприятий по защите информации.
СЗИ включает следующие функциональные компоненты:
-
сетевая компонента;
-
серверная компонента;
-
компонента администратора.
Общая схема построения системы защиты персональных данных в ГИС УОДМС приведена в приложении В.
Сводная таблица с перечнем АРМ, устанавливаемых средств защиты и параметров настройки приведена в приложении Д.
-
Сетевая компонента
Сетевая компонента представляет собой АРМ пользователей, подключенных к локальной сети и сетям общего пользования, включая пользователей, работающих согласно своим должностным обязанностям.
СЗИ обеспечивает защиту конфиденциальной информации следующими техническими средствами защиты:
-
использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);
-
использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;
-
идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;
-
использование средств криптографической защиты Crypto Pro CSP 3.6 (АРМ 406.1 и 406.2);
-
использование ПК VipNet Client 3.2 (КС2) (только на АРМ Администратора);
-
использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.
Параметры настройки представлены в разделе 7.2.1.
-
Серверная компонента
Серверная компонента включает сервера, использующиеся для обработки и передачи защищаемой информации.
СЗИ обеспечивает защиту информации, обрабатываемой на серверах, следующими техническими средствами защиты:
-
использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);
-
использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;
-
идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;
-
установка сервера безопасности Dallas Lock на сервере сегмента г. Магадан;
-
установка VipNet Coordinator HW1000 в г.Магадан и VipNet Coordinator HW50 в удаленных сегментах;
-
установка средства анализа защищенности XSpider 7.8.24 на сервере сегментов, кроме сегмента г. Магадан;
-
использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.
Параметры настройки представлены в разделе 7.2.1.
-
Компонента администратора
Компонента администратора представляет собой АРМ администратора, с которого осуществляется управление средствами защиты, управление ЛВС и сервером безопасности Dallas Lock.
СЗИ обеспечивает защиту АРМ администратора следующими техническими средствами защиты:
-
использование средства защиты от несанкционированного доступа и средства контроля съемных носителей (Dallas Lock 8.0-K);
-
использование программно- аппаратного средства доверенной загрузки СДЗ Dallas Lock;
-
идентификация и аутентификация пользователя производится с помощью электронного идентификатора, входящего в комплект поставки СДЗ Dallas Lock;
-
использование средства анализа защищенности (XSpider 7.8.24);
-
использование средства антивирусной защиты «Kaspersky Endpoint Protection 10». На момент разработки проекта данное средство уже установлено и настроено.
-
Режимы функционирования
В СЗИ реализованы следующие режимы функционирования:
-
режим установки и конфигурирования;
-
режим отладки;
-
рабочий режим.
-
Режим установки и конфигурирования
Режим установки и конфигурирования предназначен для первичной настройки СЗИ и выполняется на этапе пуско-наладочных работ. В этом режиме происходит настройка СЗИ путем создания правил, редактирования и применения политик, шаблонов. Режим установки и конфигурирования подразумевает работы по установке и начальной настройке установленного программного обеспечения.
-
Установка и настройка СрЗИ от несанкционированного доступа
Установка и настройка Dallas Lock 8.0-K осуществляется в соответствии с эксплуатационной документацией.
Установка производится на все АРМ пользователей ГИС Управления, на которых обрабатываются данные, доступ к которым необходимо ограничить исходя из актуальности угроз информационной безопасности и согласно требованиям, предъявляемым к СЗИ.