50342 (Анализ и реинжиниринг системы информационной безопасности на предприятии ГУ Банка России), страница 2

2016-07-30СтудИзба

Описание файла

Документ из архива "Анализ и реинжиниринг системы информационной безопасности на предприятии ГУ Банка России", который расположен в категории "". Всё это находится в предмете "информатика" из 1 семестр, которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "курсовые/домашние работы", в предмете "информатика, программирование" в общих файлах.

Онлайн просмотр документа "50342"

Текст 2 страницы из документа "50342"

В связи с тем, что различные типы СЗИ от НСД используют отличающиеся механизмы реализации сервисов защиты и разные способы администрирования этих сервисов, в настоящем разделе приводятся лишь общие рекомендации по использованию важнейших сервисов защиты, которые предоставляются всеми из указанных выше типов СЗИ от НСД. Конкретные требования к настройке применяемых на объектах автоматизации типов СЗИ от НСД должны разрабатываться подразделениями технической защиты информации региональных УБиЗИ.

В минимальной конфигурации СЗИ от НСД должны обеспечивать:

  • аутентификацию пользователя и предоставление доступа к ресурсам компьютера только по предъявлению его личного идентификатора (Touch-memory или Smart-card), с дополнительным вводом пароля;

  • контроль целостности операционной системы до ее загрузки;

  • разграничение доступа к каталогам и файлам, обеспечивающее защиту от подмены или модификации системного программного обеспечения, программного обеспечения средств криптографической защиты информации, а также иного критичного программного обеспечения, локально установленного на данной вычислительной установке;

  • создание изолированной программной среды для каждого пользователя (обеспечивающей запуск только определенного администратором информационной безопасности набора программ или процессов).

Дополнительно, СЗИ от НСД могут быть использованы в следующих целях:

  • для контроля целостности важнейших системных и прикладных файлов программ и данных, размещаемых локально (например, ПО и ключевых справочников средств подписи и т.п.);

  • для дополнительной независимой регистрации попыток входов в систему и попыток доступа к важнейшим объектам локальной файловой системы.

Установка и настройка СЗИ от НСД на рабочих станциях и Intel- серверах подсистем РАБИС-НП выполняется администраторами информационной безопасности объектов автоматизации в соответствии с эксплуатационной документацией на СЗИ от НСД и требованиями, разработанными подразделением технической защиты информации. Рекомендуется установку и настройку СЗИ от НСД выполнять на завершающем этапе настройки программного обеспечения подсистемы.

В перечень файлов, целостность которых контролируется СЗИ от НСД, рекомендуется включать исполняемые, библиотечные и конфигурационные файлы средств подписи, файлы справочника сертификатов открытых ключей подписи, а также конфигурационные файлы прикладного ПО РАБИС-НП, размещаемые локально на рабочей станции.

Рекомендуется включать конфигурационные файлы средств подписи и прикладного ПО, а также файлы справочника сертификатов открытых ключей подписи, в перечень файлов, попытки доступа к которым по записи регистрируются в журнале СЗИ от НСД.

Для предварительного конфигурирования СЗИ от НСД с целью создания замкнутой программной среды на рабочих станциях и Intel- серверах подсистем РАБИС-НП, могут быть использованы перечни исполняемых модулей прикладного (ПК «РКЦ РАБИС-НП») и системного ПО, приведенные в Приложении 1. В этом приложении приведены отдельные перечни модулей, исполняемых на серверных установках подсистем РАБИС-НП и исполняемых на рабочих станциях пользователей. Однако следует учитывать, что приведенные перечни не могут претендовать на актуальность и исчерпываемость, поскольку они определялись в конкретных условиях определенной аппаратной и системной конфигурации и конкретных версий прикладного и системного программного обеспечения. Кроме того, порядок взаимодействия компонентов операционных систем Windows, а также, остального применяемого системного ПО в значительной степени недокументирован и может изменяться с выходом новых версий или после применения сервисных пакетов. В связи с этим, настройка замкнутой программной среды на рабочих станциях и серверах подсистем РАБИС-НП в отношении системных исполняемых модулей может быть рекомендована только при применении СЗИ от НСД, предоставляющих возможность предварительного тестирования функционального программного обеспечения в режиме т.н. «мягкого разграничения доступа». Включение рабочего режима разграничения доступа по отношению к системным компонентам ПО может допускаться только после тщательного анализа журналов СЗИ от НСД, полученных по результатам полнофункционального тестирования защищаемой установки в режиме «мягкого разграничения доступа». Предварительное тестирование в режиме «мягкого разграничения доступа» СЗИ от НСД должно также выполняться после любого изменения аппаратной или системной конфигурации защищаемой установки.

  1. ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ РАБИС-НП В ПРОЦЕССЕ СОПРОВОЖДЕНИЯ

    1. Обеспечение целостности дистрибутивов и пакетов модификации ТПК «РАБИС-НП»

Обеспечение целостности дистрибутивов и пакетов модификации (ПМ) ТПК «РАБИС-НП» является сферой ответственности разработчика программного обеспечения.

Процедуры, применяемые в системе сопровождения ТПК «РАБИС-НП» для формирования файлов дистрибутивов и ПМ, обеспечивают формирование электронных цифровых подписей этих файлов с использованием личных ключей подписи сотрудников ООО «МЕБИУС-КОМ», ответственных за их тестирование перед тиражированием в регионы. В свою очередь, процедуры, с помощью которых на объектах сопровождения ТПК «РАБИС-НП» осуществляется применение ПМ, выполняют контроль целостности дистрибутивов и ПМ проверкой их цифровых подписей. При этом, по подписям всегда можно персонально идентифицировать сотрудника ООО «МЕБИУС-КОМ» выпустившего конкретный ПМ (как правило, это сотрудник отдела тестирования и сопровождения, выполнявший тестирование данного ПМ).

Для обеспечения возможности контроля целостности и идентификации версий исполняемых модулей ПК РКЦ «РАБИС-НП», модифицируемых в процессе сопровождения средствами xdelta.exe (“дельтами” исполняемых модулей), в master- файле каждого пакета модификации указываются контрольные значения хэш- функции для каждого модифицируемого этим пакетом файла (контрольные значения приводятся для файлов, которые должны быть получены в результате применения данного ПМ) исполняемой системы. Сам master- файл также подписывается сотрудником ООО «МЕБИУС-КОМ», выпускающим данный ПМ. Аналогичным образом, с дистрибутивом версии программного обеспечения ПК РКЦ РАБИС-НП поставляется подписанный файл с контрольными значениями хэш-функции для всех файлов исполняемой системы этой версии. Программы, выполняющие установку и сопровождение ПК РКЦ «РАБИС-НП», обеспечивают контроль целостности получаемых в результате инсталляции или модификации файлов исполняемой системы по контрольным значениям хэш-функции. Администраторы программного обеспечения и информационной безопасности подсистем УБР со своих АРМ могут получить версию и текущее значение хэш- функции любого файла исполняемой системы, и сравнить их с контрольными значениями дистрибутива или пакетов модификации.

Для непосредственной работы с цифровыми подписями файлов используется специально разработанное программное обеспечение, состоящее из программ формирования цифровой подписи (fixint), проверки цифровой подписи (tstint), и программы – менеджера ключевой системы idmng.exe. Программы реализованы на основе российских стандартов криптоалгоритмов на хэш-функцию (ГОСТ Р 34.11-94), цифровую подпись (ГОСТ Р 34.10-94) и шифрование (ГОСТ 28147-89). Ключевая система этих средств ЭЦП специально разработана для использования в системе сопровождения ТПК «РАБИС-НП» и позволяет предельно упростить процедуры распределения ключей проверки ЭЦП за счет использования сертификатов. Цифровая подпись файла формируется в виде отдельного файла, в котором к подписи присоединяются и все сертификаты публичного ключа автора подписи.

Программы fixint и tstint предназначены для работы непосредственно в среде сопровождаемого программного обеспечения и, соответственно, реализуются в виде отдельных исполнимых модулей для каждой из поддерживаемых системно-технических платформ ПК ЦОИ «РАБИС-НП». Менеджер ключевой системы – программа idmng.exe предназначена для создания и сопровождения файлов ключевой системы ЭЦП в среде операционных систем Windows 9x/NT/2000/XP/2003. Сформированные этой программой файлы ключевой системы могут использоваться для любой поддерживаемой системно-технической платформы без всяких дополнительных преобразований.

Формат командной строки для вызова программы fixint:

FIXINT <имя ID-файла подписывающего пользователя> []

ID- файл – это файл, в котором хранится личный ключ подписи пользователя, защищенный паролем.

Парольный файл – это файл определенного формата, в котором спрятан (замаскирован) пароль защиты ID-файла пользователя. Парольный файл может быть создан программой IDMNG.EXE.

Если четвертый параметр отсутствует, программа запрашивает пароль защиты ID-файла интерактивно.

Возвращаемые программой FIXINT коды ошибок

0=OK – успешное завершение подписи файла;

1=MEMALLOCERROR – ошибка выделения памяти;

2=IDNOTACCESSIBLE – ошибка открытия ID-файла;

3=IDREADERROR – ошибка чтения ID-файла;

8=STATUSFAULT – некорректный статус класса - ошибка приложения;

9=IDSTRUCTWRONG – некорректная структура ID-файла;

11=IDINTEGRWRONG – нарушена целостность ID-файла;

13=IDPASSWRONG – неверный пароль доступа к ID-файлу;

23=DATAFILEREADERROR – ошибка чтения файла данных;

24=ZERODATALENGTH – файл данных имеет нулевую длину;

26=DATAFILEOPENERROR – ошибка открытия файла данных;

64=SIGNFILEOPENERROR – ошибка открытия файла подписи;

65=SIGNFILEWRITEERROR – ошибка записи файла подписи;

67=PASSWFILEOPENERROR – ошибка открытия файла пароля;

68=PASSWFILEREADERROR – ошибка чтения файла пароля;

69=COMSTRINGWRONGFORMAT – неверный формат командной строки;

77=SIGNINGERROR – ошибка выполнения процедуры подписывания;

80=IDPARMSNOTSUPPORTED – неподдерживаемые криптографические параметры ID-файла;

81=IDINITERROR – ошибка инициализации ID-структуры;

106=PASSWMASKINTEGRWRONG – нарушена целостность парольного файла;

108=PASSWFILESTRUCTWRONG – некорректная структура парольного файла.

Формат командной строки для вызова программы tstint

TSTINT

Возвращаемые программой TSTINT коды ошибок:

0=OK – успешное (положительное) завершение проверки подписи файла;

1=MEMALLOCERROR – ошибка выделения памяти;

8=STATUSFAULT – некорректный статус класса - ошибка приложения;

23=DATAFILEREADERROR – ошибка чтения файла данных;

24=ZERODATALENGTH – файл данных имеет нулевую длину;

26=DATAFILEOPENERROR – ошибка открытия файла данных;

55=PKISINBLACKLOG – автор подписи присутствует в «черном списке» отозванных сертификатов;

64=SIGNFILEOPENERROR – ошибка открытия файла подписи;

67=SIGNFILEREADERROR – ошибка чтения файла подписи;

69=COMSTRINGWRONGFORMAT – неверный формат командной строки;

70=SIGNFILESTRUCTWRONG – некорректная структура файла подписи;

71=WRONGSIGN – нарушена целостность подписи;

72=WRONGDATAORSIGN – нарушена целостность данных или подписи;

78=TESTINGSIGNERROR – ошибка выполнения процедуры проверки подписи;

82=SIGNFILEOUTCERT – файл подписи не имеет сертификатов;

83=NOSIGNS – подпись отсутствует;

84=SUSPICIOUSTIMESTAMP – подозрительные дата и время подписи;

91=SIGNSTRUCTWRONG – некорректная структура подписи;

92=SIGNCRSTYPEWRONG – неподдерживаемые криптографические параметры подписи;

95=VALIDCERTNOTFOUND – не найдено ни одного действительного сертификата в файле подписи.

Программное обеспечение применяемых в системе сопровождения ПО средств контроля целостности (программы fixint, tstint, idmng.exe, файл базы доверенных сертификатов mebius.acb с самоподписанным сертификатом главного сертификатора ООО «МЕБИУС-КОМ», и файл «черного списка» - базы отозванных сертификатов mebius.blb) включено в состав тиражируемых инструментальных средств сопровождения.

В соответствии с требованиями нормативных документов Банка России, при передаче разработчиком дистрибутивов и ПМ на объекты сопровождения по телекоммуникационной системе РЕМАРТ, они подвергаются дополнительной защите с помощью специального архиватора электронных документов САЭД. С этой целью у разработчика ПО на рабочем месте оператора РЕМАРТ оборудован абонентский пункт специального абонента САЭД; для взаимодействия разработчика ПО с объектами сопровождения ПО используются два персональных идентификатора абонентов (ПИА): MEBIUSCB («МЕБИУС-КОМ» - разработчик ПО для ЦБ РФ) и CBMEBIUS (ЦБ РФ - получатель ПО от «МЕБИУС-КОМ»), предоставляемых ЦБ РФ. ПИА MEBIUSCB предоставлен только «МЕБИУС-КОМ», а ПИА CBMEBIUS предоставляется всем первичным объектам сопровождения ТПК «РАБИС-НП».

Сопровождение программного обеспечения ПК ЦОИ «РАБИС-НП» (для ОС UNIX), осуществляется по одноуровневой схеме, охватывающей первичные объекты сопровождения (региональные центры информатизации территориальных управлений Банка России). Сопровождение программного обеспечения ПК РКЦ «РАБИС-НП» (для ОС Windows) осуществляется по двухуровневой схеме, охватывающей как первичные объекты сопровождения, так и вторичные объекты сопровождения (РКЦ, ГРКЦ, ТУ). Разработчик ТПК «РАБИС-НП» обеспечивает целостность дистрибутивов и ПМ, используемых первичными объектами сопровождения. Настоятельно рекомендуется использование тех же средств обеспечения целостности дистрибутивов и ПМ (включенных в технологический инструментарий сопровождения ТПК) и на втором уровне системы сопровождения.

    1. Защита подсистем сопровождения ТПК «РАБИС-НП»

Защита технологических и тестовых подсистем сопровождения ТПК «РАБИС-НП» должна обеспечиваться в первую очередь с помощью организационно-технических мер, направленных на максимальное ограничение доступа к этим подсистемам. Вычислительные средства этих подсистем должны размещаться в отдельных сегментах локальной сети, защищаемых с помощью межсетевых экранов, и использоваться исключительно по своему прямому назначению. Работа с этими подсистемами должна производиться ограниченным кругом сотрудников службы информатизации, непосредственно отвечающих за сопровождение программного обеспечения. Разработчики программного обеспечения или пользователи рабочих подсистем РАБИС-НП не должны иметь доступа к технологическим и тестовым подсистемам сопровождения ТПК «РАБИС-НП». Пользователи технологических и тестовых подсистем сопровождения и разработчики программного обеспечения не должны иметь доступа к рабочим подсистемам РАБИС-НП.

  1. ПРИКЛАДНЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ПОДСИСТЕМАХ УБР, ТУ, ОИТУ РАБИС-НП

    1. Порядок администрирования АРМ и пользователей

Создание АРМ и «заведение» пользователей в подсистемах УБР, ТУ и ОИТУ КЦОИ РАБИС-НП требует согласованных действий администраторов различных уровней (операционной системы сервера УБР, СЗИ НСД, транспортной станции УТП, прикладного программного комплекса, ключевой системы средств ЭЦП/КА и т.д.).

АРМ администратора ПО, АРМ администратора информационной безопасности и АРМ оператора ЛТС являются системными: присутствуют в каждой подсистеме сразу после её инсталляции, и не могут быть из неё удалены. Для выполнения первоначальной настройки подсистемы после установки ПО, а также регистрации персональных учетных записей реальных администраторов ПО и администраторов информационной безопасности подсистемы – в подсистеме предусмотрены две системных учетных записи: «xpress» – администратора ПО, и «security» – администратора информационной безопасности. Эти учетные записи подсистемы также не могут быть удалены, однако их использование должно ограничиваться первоначальной настройкой комплекса и нештатными ситуациями, в которых «вход» или работа с использованием персональных пользовательских учетных записей оказываются невозможными.

АРМ оператора сервера доступа также является системным для подсистемы ОИТУ КЦОИ. Установка сервера доступа подсистемы ОИТУ является сервером этой подсистемы. Работа на АРМ оператора сервера доступа выполняется с консоли установки сервера доступа.

Остальные АРМ подсистем УБР, ТУ и ОИТУ КЦОИ конфигурируются администраторами ПО подсистемы из имеющихся в составе ПК РКЦ РАБИС-НП программ («задач», функций). Администраторы ПО выполняют также настройку параметров подсистемы и применение пакетов модификации программного обеспечения ПК РКЦ на сервере подсистемы.

Регистрация пользователей подсистем выполняется администраторами информационной безопасности. Регистрируемый пользователь закрепляется за одним из предварительно сконфигурированных в подсистеме АРМ и ему назначается набор прикладных ролей (категорий), в соответствии с выполняемыми обязанностями по штатному расписанию учреждения.

Свежие статьи
Популярно сейчас
А знаете ли Вы, что из года в год задания практически не меняются? Математика, преподаваемая в учебных заведениях, никак не менялась минимум 30 лет. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
5076
Авторов
на СтудИзбе
455
Средний доход
с одного платного файла
Обучение Подробнее