50167 (Информационная безопасность), страница 2
Описание файла
Документ из архива "Информационная безопасность", который расположен в категории "". Всё это находится в предмете "информатика" из , которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "остальное", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "50167"
Текст 2 страницы из документа "50167"
Класс ИСПДн лаборатории ИУ-8 определен равным К3.
Подробное описание ИСПДн кафедры ИУ-8 приведено в документе Отчет о предпроектном обследовании (шифр – 001234567.000.001.ОПО.01.1-1).
3. ОСНОВНЫЕ ТЕХНИЧЕСКИЕ РЕШЕНИЯ
Технические решения по оснащению СЗПДн ИСПДн лаборатории ИУ-8 разработаны с учетом требований Технического задания на создание СЗПДн (шифр – 001234567.000.001.ТЗ.01.1-1), а также требования нормативных документов по защите ПДн.
СЗПДн ИСПДн лаборатории ИУ-8 проектируется как многоуровневая система с централизованным управлением. При проектировании СЗПДн ИСПДн лаборатории ИУ-8 учитываются возможности дальнейшего масштабирования систем, а также максимального использования существующих инженерных сетей и систем.
3.1 Общие требования к проектируемым СЗПДн ИСПДн лаборатории ИУ-8
СЗПДн ИСПДн лаборатории ИУ-8 должна:
-
обеспечивать защиту ПДн, которые обрабатываются, передаются и хранятся на всех уровнях ИСПДн, от несанкционированного доступа (далее - НСД);
-
обеспечивать защиту речевой информации, обсуждаемой в рамках обработки информации пользователями ИСПДн на своих рабочих местах;
-
не вызывать существенного снижения производительности аппаратно-программного обеспечения ИСПДн при обработке информации;
-
обеспечивать высокую надёжность и средства восстановления как компонент системы защиты информации, так и самой информации;
-
соответствовать современному уровню развития вычислительной техники и технологий автоматизированной обработки информации;
-
удовлетворять требованиям законодательства и нормативных документов Российской Федерации в области защиты ПДн.
3.2 Решения по структуре СЗПДн ИСПДн лаборатории ИУ-8
Проектируемая СЗПДн ИСПДн лаборатории ИУ-8 состоит из подсистем, перечень и назначение которых приведены в таблице 3.3.1.
Таблица 3.2.1 – Подсистемы СЗПДн ИСПДн лаборатории ИУ-8
№ п/п | Наименование подсистемы | Назначение подсистемы |
1 | Подсистема управления доступом |
|
2 | Подсистема регистрации и учета |
|
3 | Подсистема обеспечения целостности |
|
3 | Подсистема антивирусной защиты |
|
4 | Подсистема межсетевого экранирования |
|
5 | Подсистема защиты информации от утечек по побочным каналам | - защита речевой информации от утечек по акустическому каналу |
6 | Подсистема резервного копирования | - резервное копирование и восстановление информации |
7 | Подсистема обеспечения отказоустойчивости | - обеспечение бесперебойной работы всех элементов ИСПДн; - обеспечение безотказной работы внешних дисковых систем. |
Оснащение СЗПДн ИСПДн лаборатории ИУ-8 предусматривается на основе типовых решений с использованием средств защиты информации как отечественного, так и зарубежного производства, применяемых при построении систем защиты информации различного назначения.
Предусмотренные настоящими техническими решениями средства защиты информации интегрируются в существующую ИСПДн лаборатории ИУ-8. В целях обеспечения удобства внедрения отдельных компонентов проектируемых СЗПДн предусматривается объединение средств защиты информации в отдельные комплексы.
В целях обеспечения централизованного администрирования различных компонент ИСПДн лаборатории ИУ-8, а также средств защиты информации, входящих в состав разрабатываемой СЗПДн ИСПДн лаборатории ИУ-8, настоящими техническими решениями предусматривается организация домена Active Directory. В состав создаваемого домена предусматривается включить АРМ пользователей и серверы, входящие в ИСПДн лаборатории ИУ-8.
3.3 Описание подсистем средств защиты информации
3.3.1 Подсистема управления доступом
Для защиты ПДн, хранящихся на файловых серверах ИСПДн лаборатории ИУ-8, от НСД предназначена подсистема управления доступом. В состав подсистемы управления доступом входят:
-
служба каталогов Active Directory (далее - AD);
-
групповые политики AD.
Оба этих компонента полностью интегрированы в операционные системы (далее - ОС) семейства Windows, поэтому нет необходимости установки дополнительного программного обеспечения (далее - ПО), необходимо будет только произвести дополнительную настройку сервера, который впоследствии будет выполнять роль контроллера домена..
Подсистема регистрации и учета
Подсистема регистрации и учета выполняет следующие функции:
-
регистрация и учет действий пользователей ИСПДн и процессов;
-
регистрация действий администратора СЗПДн;
-
регистрация и учет событий информационной безопасности.
В качестве подсистемы регистрации и учета используется встроенный в ОС семейства Windows модуль ведения журналов событий, а также средство их отображения – Event Viewer.
3.3.2 Подсистема обеспечения целостности
СКД обеспечивает ограничение физического доступа в защищаемое помещение ИСПДн лаборатории ИУ-8, осуществляя идентификацию пользователей с использованием proximity-карт доступа. В качестве СКД используется система "Универсальный офис" компании Legos
3.3.3 Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для защиты АРМ пользователей и серверов ИСПДн от возможных вирусных заражений, а также сетевых атак.
В состав подсистемы антивирусной защиты входит программный комплекс Kaspersky Business Space Security.
3.3.4 Подсистема межсетевого экранирования
Подсистема межсетевого экранирования выполняет следующие функции:
-
фильтрация сетевого трафика на периметре ЛВС лаборатории ИУ-8;
-
защита ЛВС ИСПДн лаборатории ИУ-8 от НСД.
Компоненты подсистемы устанавливаются на периметре ЛВС лаборатории ИУ-8.
Компоненты подсистемы межсетевого экранирования обеспечивают фильтрацию всего входящего и исходящего из ЛВС лаборатории ИУ-8 сетевого трафика и блокируют сетевой трафик, неразрешенный настройками безопасности.
В состав подсистемы межсетевого экранирования входит ПО Microsoft Internet Security and Acceleration (далее - ISA) Server 2006.
3.3.5 Подсистема защиты информации от утечек по побочным каналам
Подсистема защиты информации от утечек по побочным каналам предназначена для защиты выделенных помещений от утечки акустической информации по вибрационному и акустическому каналам. Компоненты подсистемы монтируются в защищаемом помещении, а также по его периметру в элементах строительных конструкций помещения. На основе данных об акустической обстановке внутри защищаемого помещения формируется виброакустическая помеха, предотвращающая съем информации по акустическому и вибрационному каналам.
В состав подсистемы защиты информации от утечек по побочным каналам входят:
-
адаптивный генератор виброакустической помехи "Кедр";
-
излучатели малой мощности "ПКИ-1".
3.3.6 Подсистема резервного копирования
Подсистема резервного копирования предназначена для резервного копирования как серверов хранения (создание слепков жестких дисков), так и непосредственно самих файлов, содержащих ПДн (резервное копирование и восстановление файлов). Компоненты подсистемы устанавливаются на АРМ пользователей и серверы ИСПДн.
В состав подсистемы резервного копирования входит программный комплекс Acronis True Image Echo Enterprise Server.
3.3.7 Подсистема обеспечения отказоустойчивости
Подсистема обеспечения надежности должна обеспечивать бесперебойную работу серверов хранения ПДн, серверов резервного копирования и АРМ пользователей ИСПДн.
Работа подсистемы реализуется с помощью следующих компонентов:
-
массив RAID 5 дисков серверов хранения ПДн и серверов резервного копирования на основе программной реализации RAID-контроллера, либо внешнего RAID-контроллера – Adaptec ASR-2805;
-
источники бесперебойного питания (далее - ИБП) серверов хранения ПДн и серверов резервного копирования – UPS 3000VA Ippon Smart Winner 3000;
-
ИБП АРМ пользователей ИСПДн – UPS 600VA PowerCom BNT 600A.
3.3.8 Описание средств защиты информации
Применяемые в СЗПДн ИСПДн лаборатории ИУ-8 средства защиты информации представлены в таблице 3.4.1.
3.4 Описание средств защиты информации
Таблица 3.4.1 – Применяемые средства защиты информации
№ п/п | Наименование средства защиты информации | Условное обозначение средства защиты информации |
1 | Средство защиты информации от НСД | cлужба каталогов AD |
групповые политики AD | ||
2 | Средство регистрации и учета | ПО Event Viewer |
3 | Средство антивирусной защиты серверов и рабочих станций | система антивирусной защиты Kaspersky Business Space Security |
4 | Межсетевой экран | ПО ISA Server 2006 |
5 | Средство защиты информации от утечек по побочным каналам | адаптивный генератор виброакустической помехи "Кедр" |
6 | Система контроля доступа | Система "Универсальный офис" Legos |
7 | Средство резервного копирования | Система резервного копирования Acronis True Image Echo Enterprise Server |
8 | Средство обеспечения отказоустойчивости | RAID-массив 5 на базе программной реализации RAID-контроллера, либо RAID-контроллера Adaptec ASR-3405 |
ИБП UPS 3000VA Ippon Smart Winner 3000 | ||
ИБП UPS 600VA PowerCom BNT 600A |
3.4.1 Службы каталогов Active Directory
Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:
-
единая регистрация в сети - пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам и службам (службы сетевой инфраструктуры, службы файлов и печати, серверы приложений и баз данных и т. д.);
-
безопасность информации - средства аутентификации и управления доступом к ресурсам, встроенные в службу AD, обеспечивают централизованную защиту сети;
-
централизованное управление - администраторы могут централизованно управлять всеми корпоративными ресурсами;
-
администрирование с использованием групповых политик - при загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик и применяются ко всем учетным записям пользователей и компьютеров, расположенных в сайтах, доменах или организационных подразделениях;
-
интеграция с Domain Name System (далее - DNS) - функционирование служб каталогов полностью зависит от работы службы DNS. В свою очередь серверы DNS могут хранить информацию о зонах в базе данных (далее – БД) AD;
-
расширяемость каталога - администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам;
-
масштабируемость - служба AD может охватывать как один домен, так и множество доменов, объединенных в дерево доменов, а из нескольких деревьев доменов может быть построен лес;
-
репликация информации - в службе AD используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать БД AD на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки;
-
гибкость запросов к каталогу - БД AD может использоваться для быстрого поиска любого объекта AD, используя его свойства (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.);
-
стандартные интерфейсы программирования - для разработчиков программного обеспечения служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API).
В AD может быть создан широкий круг различных объектов. Объект представляет собой уникальную сущность внутри каталога и обычно обладает многими атрибутами, которые помогают описывать и распознавать его. Учетная запись пользователя является примером объекта. Этот тип объекта может иметь множество атрибутов, таких как имя, фамилия, пароль, номер телефона, адрес и многие другие. Таким же образом общий принтер тоже может быть объектом в AD и его атрибутами являются его имя, местоположение и т.д. Атрибуты объекта не только помогают определить объект, но также позволяют искать объекты внутри каталога.
3.4.2 Групповые политики Active Directory
Механизм групповых политик позволяет автоматизировать данный процесс управления. С помощью групповых политик можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.
Каждый объект групповых политик (GPO, Group Policy Object) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container) хранящегося в БД AD, и шаблона групповых политик (GPT, Group Policy Template), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка %systemroot%\SYSVOL\sysvol\\Policies, и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.