Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

Хабаровск – 2016

Содержание

Введение 4

1 Актуальность проблемы 6

1.1 Средства ограничения физического доступа 7

1.2 Средства защиты от НСД по сети 11

2 Постановка задачи 17

2.1 Cоздание уникального идентификатора 17

2.2 Cоздание резервного идентификатора 18

2.3 Блокирование информационной системы 18

2.4 Автозапуск программного модуля 19

3 Проектирование информационной системы 20

3.1 Диаграммы вариантов использования 20

3.2 Диаграмма состояний 23

3.3 Диаграмма последовательности 25

3.4 Диаграммы деятельности 27

3.5 Диаграммы компонентов 32

3.6 Выбор среды программирования 34

4 Руководство пользователя 38

4.1 Руководство по настройке 38

4.2 Руководство по защите от НСД 45

4.3 Рекомендации по обращению с ключами доступа 48

Заключение 51

Список используемых источников 52

Abstract

The subject of the thesis is to develop software to protect information systems from unauthorized access.

Purpose: create a reliable and easy to use application to protect а PC from unauthorized access using a USB key – the identifier to allow access to a PC, without physical connection with which the computer cannot work.

Tasks:

• Create a dedicated active element in the form of a systematic process that solves only tasks of user identification and access differentiation;

• Lock access to your PC by physically unplugging devices input and output (keyboard, mouse, monitor) to be performed automatically when you remove the device to identify the user;

• Minimum use of hardware resources of the PC only one hardware interrupt line.

The project of software consists of diagrams of use cases, states, sequence, cooperation, activities and components. The project also includes a user's guide designed software.

Введение

В настоящее время слово "информация" приобрело четкую связь с понятиями "прибыль", которую можно получить, располагая ею, и "ущерб", который может быть нанесен вследствие ее утечки. Одна из главных причин потери информации – несанкционированный доступ к данным и приложениям, получаемый лицами, не прошедшими регистрацию и не имеющими права на использование соответствующих информационных ресурсов.

Под несанкционированным доступом (НСД) понимается доступ к информации, нарушающий правила разграничения доступа с использованием программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.

Риски, которые несут современные предприятия в связи с несанкционированным доступом, сделали этот фактор одной из наиболее опасных угроз при работе с информацией. Таким образом на одно из первых мест в информационной безопасности вышла проблема защиты от НСД, подразумевающая возможность работать в условиях безопасности как с открытыми, так и с конфиденциальными данными.

В качестве объекта исследования возьмём некоторую организацию ООО «Флакоат - Сибирь», которое несет убытки вследствие утечки корпоративной информации. В ходе прохождения производственной практики была поставлена задача – нахождение оптимального проектного решения для защиты информации предприятия от НСД. Совместно с руководителем филиала было принято решение о создании надежного и простого в эксплуатации приложения двухфакторной аутентификации.

Принятие данного решения по разработке средства ограничения физического доступа обосновано представлением о том, что автоматизированное рабочее место данного предприятия используется одним конкретным пользователем (владельцем) "персонально", а потому нет необходимости разделять его ресурсы и защищать полученные части по отдельности. Отсюда, основной задачей защиты АРМ от НСД является исключение возможности управления им посторонним лицом в отсутствие владельца.

Предмет исследования данной выпускной квалификационной работы –организация более безопасного использования информационных ресурсов предприятия.

Цель: создание надежного и простого в эксплуатации приложения для защиты АРМ от НСД, использующего USB–ключ – идентификатор для обеспечения двухфакторной аутентификации.

Задачи:

• создание выделенного активного элемента в виде системного процесса, решающего исключительно задачи идентификации пользователей и разграничения доступа;

• блокировка доступа к АРМ путем программного отключения устройств ввода и вывода (клавиатура, мышь, монитор), выполняемого автоматически при удалении устройства для идентификации пользователя;

• минимальное использование аппаратных ресурсов ПК – только одну линию аппаратного прерывания.

1 Актуальность проблемы

Несанкционированный доступ злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия:

• читать и/или модифицировать электронные документы, которые в дальнейшем будут храниться или редактироваться на компьютере;

• осуществлять перехват различной ключевой информации, используемой для защиты электронных документов;

• использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети;

• уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения.

Защита компьютеров от НСД является одной из основных проблем защиты информации, поэтому в большинство операционных систем и популярных пакетов программ встроены различные подсистемы защиты от НСД. Например, выполнение аутентификации в пользователей при входе в операционные системы семейства Windows. Однако, не вызывает сомнений тот факт, что для серьезной защиты от НСД встроенных средств операционных систем недостаточно. К сожалению, реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из–за регулярно обнаруживаемых уязвимостей, позволяющих получить доступ к защищаемым объектам в обход правил разграничения доступа. Выпускаемые же производителями программного обеспечения пакеты обновлений и исправлений объективно несколько отстают от информации об обнаруживаемых уязвимостях. Поэтому в дополнение к стандартным средствам защиты необходимо использование специальных средств ограничения или разграничения доступа.
Данные средства можно разделить на две категории:

• средства ограничения физического доступа;

• средства защиты от несанкционированного доступа по сети.

1.1 Средства ограничения физического доступа

Наиболее надежное решение проблемы ограничения физического доступа к компьютеру – использование программно - аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются «электронными замками».

Теоретически, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе. Поступить подобным образом с данным средством защиты практически невозможно: все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям.

Контроль целостности файлов представляет собой вычисление их эталонной контрольной суммы, например, хеширование по алгоритму ГОСТ Р 34.11–94, сохранение вычисленных значений в энергонезависимой памяти замка и последующее вычисление реальных контрольных сумм файлов и сравнение с эталонными.

В штатном режиме работы электронный замок получает управление от BIOS защищаемого компьютера после включения последнего. На этом этапе и выполняются все действия по контролю доступа на компьютер, а именно:

1. замок запрашивает у пользователя носитель с ключевой информацией, необходимой для его аутентификации. Если ключевая информация требуемого формата не предъявляется или если пользователь, идентифицируемый по предъявленной информации, не входит в список пользователей защищаемого компьютера, замок блокирует загрузку компьютера;

2. если аутентификация пользователя прошла успешно, замок рассчитывает контрольные суммы файлов, содержащихся в списке контролируемых, и сравнивает полученные контрольные суммы с эталонными. В случае, если нарушена целостность хотя бы одного файла из списка, загрузка компьютера блокируется. Для возможности дальнейшей работы на данном компьютере необходимо, чтобы проблема была разрешена Администратором, который должен выяснить причину изменения контролируемого файла и, в зависимости от ситуации, предпринять одно из следующих действий, позволяющих дальнейшую работу с защищаемым компьютером:

1. пересчитать эталонную контрольную сумму для данного файла, т.е. зафиксировать измененный файл;

2. восстановить исходный файл;

3. удалить файл из списка контролируемых.

1. если все проверки пройдены успешно, замок возвращает управление компьютеру для загрузки штатной операционной системы.

Поскольку описанные выше действия выполняются до загрузки операционной системы компьютера, замок обычно загружает собственную операционную систему (находящуюся в его энергонезависимой памяти – обычно это MS–DOS или аналогичная ОС, не предъявляющая больших требований к ресурсам), в которой выполняются аутентификация пользователей и проверка целостности файлов. В этом есть смысл и с точки зрения безопасности – собственная операционная система замка не подвержена каким–либо внешним воздействиям, что не дает возможности злоумышленнику повлиять на описанные выше контролирующие процессы.

Информация о входах пользователей на компьютер, а также о попытках несанкционированного доступа сохраняется в журнале, который располагается в энергонезависимой памяти замка.

При использовании электронных замков существует ряд проблем, в частности:

• BIOS некоторых современных компьютеров может быть настроен таким образом, что управление при загрузке не передается BIOS’у замка. Для противодействия подобным настройкам замок должен иметь возможность блокировать загрузку компьютера (например, замыканием контактов Reset) в случае, если в течение определенного интервала времени после включения питания замок не получил управление;

• злоумышленник может просто вытащить замок из компьютера. Общая схема работы средств ограничения физического доступа представлена на рисунке 1.1.1.

Рисунок 1.1.1 – Общая схема работы средств ограничения физического доступа

Средства ограничения физического доступа можно разделить на следующие группы:

• программные;

• технические;

• программно–технические.

К программным средствам можно отнести следующие:

• подсистема "Аккорд–РАУ" – это ПО для автоматизации управления защитой информации в АС. Она объединяет Автоматизированное рабочее место администратора безопасности информации (АРМ АБИ) и пользовательские терминалы, оснащенные СЗИ семейства "АККОРД".

• система «Secret Net» предназначена для защиты информации от несанкционированного доступа на рабочих станциях и серверах, работающих в локальных вычислительных сетях под управлением ОС MS Windows 2000, MS Windows XP и MS Windows 2003.

• комплексная система защиты информации «Панцирь» – программный продукт для ОС Windows 2000/XP/2003, собственными средствами реализующий все технические требования, регламентируемые для АС класса защищенности 1Г.

• «Dallas Lock» является программным средством защиты информации от несанкционированного доступа к информационным ресурсам компьютеров и соответствуют требованиям руководящих документов Гостехкомиссии России по 3–му уровню контроля отсутствия недекларированных возможностей и 4–му классу защищенности от НСД.

• «ruToken» – российское средство аутентификации и защиты информации, использующее сертифицированные алгоритмы шифрования и аутентификации и объединяющее в себе российские и международные стандарты безопасности.

К техническим средствам относятся:

• СЗИ НСД «Аккорд - АМДЗ» – это аппаратный модуль доверенной загрузки для IBM - совместимых ПК – серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

• «eToken» – персональное средство строгой аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭЦП.

К программно - техническим средствам относятся:

• Аппаратно - программный модуль доверенной загрузки «Криптон - замок» – это комплекс аппаратно - программных средств, который предназначен для обеспечения разграничения и контроля доступа пользователей к техническим средствам вычислительной сети (сервера и рабочие станции), на которых будет обрабатываться информация, в том числе и с высоким грифом секретности, разграничения доступа к аппаратным ресурсам компьютеров, а также контроля целостности установленной на компьютере программной среды.

• Программно - аппаратный комплекс средств защиты информации «Аккорд - NT/2000» предназначен для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам.

• электронный замок «Соболь» – это аппаратно - программное средство защиты компьютера от несанкционированного доступа. Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

1.2 Средства защиты от НСД по сети

Наиболее действенным методом защиты ЛВС от атак со стороны пользователей сетей общего пользования является:

• построение виртуальной защищенной сети (VPN – Virtual Private Network);

• межсетевое экранирование.

Рассмотрим их подробно.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР