лаб.1 (1085580)
Текст из файла
Московский Государственный Институт Радиотехники, Электроники и Автоматики(Технический Университет)Отчет по лабораторной работе №1по предмету: «Методы и средства защиты компьютерной информации»Вариант 31 («Защита компьютера бухгалтера от консольных атак»)Работу выполнил: студент группы ВССУ-8-05Овчинников М.Ю.шифр ВССУ051136Работу проверил: Карпов Д.А.Москва 2008 г.1.
Описание фирмыНебольшая фирма, занимающаяся разработкой программного обеспечения назаказ, арендует помещение на 7 этаже 10-этажного офисного здания. Охрана уздания имеется, но она не в состоянии обеспечить защиту компьютеров фирмы отконсольныхатак.Теоретически,любойчеловекможетбеспрепятственноразгуливать по этажам и делать все, что ему заблагорассудится, в любое время, еслиего не видит охранник и оставаться там как угодно долго.В фирме работают: директор (руководитель), секретарь, бухгалтер, сетевойадминистратор, программисты (не более 15 человек). Все сотрудники фирмы имеютличные компьютеры, объединенные в локальную сеть с выделенным сервером.Фирма располагается в нескольких смежных помещениях.
Отдельные входыиз коридора имеют приемная (с рабочим местом секретаря и выходом в комнатыдиректора), кабинет бухгалтера и отдел программистов (с выходом в серверную(переоборудованную из кладовки)).На момент разработки плана по улучшению безопасности фирма ужефункционировала, парк ПК и сервер были закуплены.Бухгалтерская база данных располагалась на компьютере бухгалтера. Прочиебухгалтерские документы хранятся как на компьютере бухгалтера, так и на сервере(с ограничением прав доступа). В кабинетах директора и бухгалтера имеютсянесгораемые сейфы для документов.
Ключи от сейфов каждый из них носит с собой.Запасные ключи лежат в банковской ячейке.На всех компьютерах, кроме сервера установлена ОС Windows XP.2. Модель угрозТребуется защитить компьютер бухгалтера от следующих видов угроз:- угрозы целостности и сохранности информации;- угрозы раскрытия;Рассмотрим эти угрозы и их актуальность и значимость для конкретногокомпьютера более подробно.В защите в данном случае нуждается следующая информация:- важные договоры;- списки клиентов;- базы данных бухгалтерских программ;2Целостность и сохранности информации в данном случае могут быть нарушеныхищением следующего оборудования (или его частей):- компьютер бухгалтера;- файловый сервер;Также это оборудование может подвергаться воздействию стихийных бедствий.Опасность представляют следующие лица:- наемные сотрудники обществ и организаций, имеющих мотивы кнанесению ущерба предприятию или хищению его информации;- лица, пытающиеся завладеть дорогостоящим (а иногда и не очень)оборудованием;- хулиганы и вандалы;- сотрудники организации, входящие также в одну из первых трехгрупп лиц (в том числе и системный администратор);- честные сотрудники организации.Таким образом, можно сформировать следующие основные модели угроз:Угроза 1.хищение компьютера бухгалтера;Угроза 2.хищение жесткого диска компьютера бухгалтера;Угроза 3.хищение сервера;Угроза 4.хищение жестких дисков сервера;Угроза 5.консольная атака на сервер;Угроза 6.консольная атака на компьютер бухгалтера;Угроза 7.повреждение информации на жестком диске компьютера бухгалтера попричинам как аппаратного, так и программного характера;Угроза 8.повреждение информации на жестком диске (дисках) сервера попричинам как аппаратного, так и программного характера;Угроза 9.повреждение информации на компьютере бухгалтера вследствиепожара;Угроза 10.повреждение информации на сервере вследствие пожара;Угроза 11.повреждение информации на компьютере бухгалтера вследствиестихийных бедствий;Угроза 12.повреждение информации на сервере вследствие стихийных бедствий;3Угроза 13.повреждение информации на сервере вследствие неумышленныхнеосторожных действий третьих лиц;Угроза 14.повреждение информации на компьютере бухгалтера неумышленныхнеосторожных действий третьих лиц.3.
Меры защитыПервичные меры защитыДля начала требуется по возможности уменьшить количество угроз и защищаемыхобъектов.Решение №1. Перенести все документы бухгалтера на его компьютер.Полностью отметает угрозы: 3, 4, 5, 8, 10, 12, 13.Вторичные меры защитыЗащита от Угрозы 1. Для защиты от угрозы 1 требуется, чтобы в нерабочее времядо системного блока было почти невозможно добраться, а рабочее время былосложно добраться беспрепятственно и нельзя было просто взять системный блок иунести.Меры:- металлическая дверь в серверную с хорошим замком [500$];- контракт ЧОП на установку и подержание сигнализации и кнопки тревоги напомещения фирмы [2150$ в год] (если разделить на количество помещений, набухгалтера приходится [716,7$ в год]);- набор противоугонных тросов для компьютеров и оргтехники Flexguard HeavyDuty Cable Lock Kit (HK36) [35$]; Принцип действия этогооснован на использовании специальной пластины,приклеиваемой к корпусу компьютера специальным клеем.Специальный трос затем оборачивается вокруг какого-либостационарного объекта.Защита от Угрозы 2.Меры: В дополнение к мерам защиты от угрозы 1, требуется установить замок накорпус системного блока [1$] (если специального отверстия под замок в системномблок не предусмотрено за сумму порядка 15$ его можно проделать);Защита от Угрозы 6.Меры:4- Включение в ОС Windows XP следующих парольных политик безопасности: "Вести список использованных паролей" из 4 штук (пользователямтрудно все время придумывать новые сложные пароли); "Максимальный срок действия пароля" 3 месяца (больший сроксильно увеличит риск отслеживания пароля, меньший – вызовет негодованиепользователя и неудобство в работе (и увеличит количество дней в году, когдасвежеесмененный пароль лежит в ящике стола, пока не запомнен); "Минимальный срок действия пароля" 30 дней "Пароль должен удовлетворять требованиям сложности" (т.е.
Парольдолжен содержать не менее шести символов, и среди них должны быть символы покрайней мере трех типов из следующих четырех: заглавные буквы, строчные буквы,цифры и специальные символы (т. е. *, %, &, !), пароль не может включать учетноеимя пользователя, пароль не может содержать частей полного имени пользователя)(для защиты от консольной атаки более чем достаточно);- Вменить в обязанность системному администратору доходчиво и ненавязчиво(желательно весело и с шутками) объяснить бухгалтеру, как можно создать легкозапоминающийся сложный пароль и какие наиболее частые ошибки делаютпользователи при создании паролей.- Установить пароль на BIOS (слегка усложнит доступ к загрузке со сменныхнакопителей);- Отключить автозапуск с любых накопителей;- Ограничить права на запись в реестр и системные папки (если у пользователя небудет прав, то не будет прав и у запускаемых от его имени программ);- Запретить учетной записи бухгалтера использование любых сменных носителей.Защита от Угрозы 7.
Меры:- Установить в компьютер бухгалтера дополнительный жесткий диск 500ГБ Seagate"Barracuda ES ST3500630NS" [88$];- Установить в компьютер пользователя пишущий DVD-RW-привод [28$];- На дополнительном HDD создать раздел с правами на чтение и запись только дляадминистратора. Разрешить учетной записи администратора полный досуп к DVDRW приводу.5- Запретить вход в систему без ставки индивидуального USB-токена [по 25$ насотрудника]. Два токена используются для входа в систему под учетной записьюадминистратора, третий и четвертый – для учетной записи бухгалтера.Администраторские токены хранятся в сейфах у директора и бухгалтера. Сбухгалтерским токеном бухгалтер не расстается. Запасной бухгалтерский такжележит в сейфе у директора.- Для доступа к базе данных не использовать доступы на уровне Windows.Администратору прав не давать.- Первый этап бэкапа – выгрузка базы данных на незащищенный от бухгалтерараздел средствами администрирования конкретной базы данных.
У учетной записиадминистратора не должно быть никаких прав доступа к базе данных (в том числе ик папке, где она хранится). Вся настройка бэкапа проводится администратором вприсутствии бухгалтера и директора под учетной записью бухгалтера или, еслипозволяет квалификация бухгалтера – самим бухгалтером. Для выгрузки базызадается распиание (максимально универсальное, чтобы не надо было менять).- Второй этап бэкапа – ежедневное копирование выгруженной из базы данныхкопии на защищенный от учетной записи бухгалтера жесткий диск. Копированиезапускается с правами учетной записи администратора.- Третий этап. Бухгалтер ежемесячно сам записывает выгруженную базу данных наDVD-R диск и помещает его в сейф.
Токен администратора также хранится в этомсейфе и им редко пользуются (в основном только для восстановления информации).Резервное копирование также частично защищает информацию бухгалтера отдругих угроз.6Первоначальная стоимость решения за первый год складывается из стоимостиследующих ее составляющих:USB-токен (4 шт)DVD-RW приводЖесткий дискЗамок на корпус системного бока с установкойПротивоугонные тросыМеталлическая дверь с хорошим замкомКонтракт с ЧОП (та часть суммы, котораяприходится на охрану комнаты бухгалтера)DVD-R диски100$28$88$16$35$500$716,7$40$Итого: 1483,7$Стоимость решения на последующие годы:Контракт с ЧОП (та часть суммы, которая716,7$приходится на охрану комнаты бухгалтера)DVD-R дискиИтого:Болеесложныемерыбезопасностидля кампаниитакого40$756,7$размера будутнеоправданно дороги, т.к.
защита информации (равно как попытки ее заполучить)будет обходиться дороже ее реальной стоимости.7.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.