Технический проект (1209879), страница 5

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 5)

1. Компонента администратора

Компонента администратора представляет собой АРМ администратора безопасности информации, с которого осуществляется управление средствами защиты, управление контроллерами доменов и серверами безопасности Dallas Lock, и АРМ системного администратора, с которого осуществляется администрирование Учебной ИСОП.

Система ЗИ обеспечивает защиту АРМ администратора безопасности информации и АРМ системного администратора следующими техническими средствами защиты:

• использование средства защиты от несанкционированного доступа (Dallas Lock 8.0-К);

• использование средства обеспечения доверенной загрузки (ПАК «Соболь» 3.0);

• идентификация и аутентификация администраторов и преподавателей производится с помощью электронного идентификатора eToken PRO (Java);

• использование средства анализа защищенности (XSpider 7.8.24) на АРМ 9 администратора безопасности информации;

• средство резервного копирования и восстановления Консоль администратора Acronis Backup & Recovery 11 Advanced на АРМ 10 системного администратора;

• программное обеспечение АПКШ «Континент», устанавливается на АРМ 9 администратора безопасности информации;

• использование средства антивирусной защиты «Антивирус Касперского 6.0 для Windows Workstation». На момент разработки проекта данное средство уже установлено.

1. Межсетевой экран АПКШ «Континент»

Данная компонента представляет собой программно-аппаратный комплекс АПКШ «Континент», реализующий собой функции межсетевого экрана. Комплекс устанавливается в серверную стойку. Криптошлюз «Континент» подключается к сети на границе ЛВС Учебной ИСОП. Программное обеспечение АПКШ «Континент» устанавливается на АРМ 9 администратора безопасности информации.

1. Установка и настройка средств защиты информации

   1. Установка и настройка СЗИ Dallas Lock 8.0-K

Установка и настройка Dallas Lock 8.0-K осуществляется в соответствии с эксплуатационной документацией.

Установка производится на все АРМ пользователей Учебной ИСОП и серверы, обрабатывающие защищаемую информацию, защиту которой необходимо обеспечить исходя из актуальности угроз безопасности информации и согласно требованиям, предъявляемым к системе ЗИ.

Настройка заключается в следующем:

Защита от НСД:

• Идентификация и аутентификация пользователей(студентов, слушателей) не осуществляется;

• регистрация пользователя в системе (по 1 пользователю на АРМ 1-7 и по 1 пользователю на АРМ 8, 9, 10 в соответствие таблицей 4.1 настоящего проекта);

• задание пароля преподавателя, администратора безопасности и системного администратора не менее 6 буквенно-цифровых символов;

• алфавит пароля не менее 60 символов;

• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки равное 3;

• блокировка АРМ пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на 30 минут;

• смена пароля для администратора безопасности информации и системного администратора через каждые 120 дней;

• настройка дискреционного метода управления доступом в соответствии с матрицей доступа (см. в таблице 4.2);

• настройка числа параллельных сеансов доступа пользователей не более 2-х;

• настройка параметров блокирования сеанса доступа через 15 минут неактивности пользователя;

• блокирование или уничтожение всех не используемых учетных записей;

• настройка параметров гашения экрана монитора через 5 минут неактивности пользователя;

• настройка параметров регистрации входа и выхода пользователя в систему и из системы;

• настройка параметров регистрации и учета событий, определенных в Перечнем регистрируемых событий информационной безопасности, с указанием имени пользователя, даты и времени совершенного события и результата успешности или не успешности события;

• настройка срока хранения информации о зарегистрированных событиях безопасности в 3 месяца;

• установка пароля BIOS;

• настройка функций оповещения администратора о событиях, связанных с нарушением безопасности.

• настройка функции изоляции процессов.

• настройка функции самотестирования.

Обнаружение вторжений:

• настройка обнаружения сигнатур компьютерных атак;

• настройка правил контроля приложений;

• настройка контроля реестра;

• настройка эвристического анализа;

• задание источника обновления базы решающих правил;

• настройка регулярности обновлений баз решающих правил раз в сутки.

Межсетевое экранирование:

• настройка правил фильтрации для необходимых протоколов и портов;

• настройка регистрации событий межсетевого взаимодействия и администрирования межсетевого экрана;

• настройка регистрации изменения правил фильтрации;

• настройка функции сбора и отображения информации о сетевых пакетах и установленных соединениях;

• настройка сигнализации событий, связанных с нарушением установленных правил фильтрации.

1. Установка и настройка CЗИ XSpider 7.8.24

Установка и настройка средства анализа защищенности XSpider 7.8.24 осуществляется в соответствии с эксплуатационной документацией.

Установка производится на АРМ 9 администратора безопасности информации. Настройка осуществляется следующим образом:

• определение структуры сети;

• настройка правил анализа защищенности сетевых узлов Учебной ИСОП;

• настройка контроля соответствия состояния узлов, ОС и приложений политикам безопасности;

• настройка функций сохранения результатов работы модулей для дальнейшего анализа.

1. Установка и настройка СЗИ Антивирус Касперского 6.0 для Windows

Настройка средства антивирусной защиты осуществляется в соответствии с эксплуатационной документацией. Настройка заключается в следующем:

• настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;

• настройка полной проверки съемного носителя информации при подключении устройства к АРМ;

• настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;

• настройка функций регистрации и учета выполнения проверок на АРМ пользователей;

• настройка способов выполнения заданных действий по обработке объектов, подвергшихся воздействию (удаление, блокирование, изолирование, перемещение в заданный каталог);

• настройка функции сигнализации пользователям средства антивирусной защиты о событиях, связанных с обнаружением вредоносных компьютерных программ (вирусов).

1. Установка и настройка СЗИ ПАК «Соболь» 3.0

Установка и настройка СЗИ ПАК «Соболь» 3.0 осуществляется в соответствии с эксплуатационной документацией.

Установка производится на все АРМ пользователей (студентов, слушателей), АРМ преподавателя, АРМ 9 администратора безопасности информации, АРМ 10 системного администратора и сервера. Настройка осуществляется следующим образом:

• установка платы;

• подключение механизма сторожевого таймера;

• обеспечение идентификации и аутентификации администраторов средства доверенной загрузки и преподавателей;

• идентификация и аутентификация пользователей (студентов, слушателей) не осуществляется;

• настройка функций разграничения доступа к управлению средством доверенной загрузки (на основе ролей администраторов);

• регистрация пользователя в системе (по 1 пользователю на АРМ 1-8 и по 1 пользователю на АРМ 8, 9, 10 в соответствие таблицей 4.1 настоящего проекта);

• задание пароля преподавателя, администратора безопасности и системного администратора не менее 6 буквенно-цифровых символов;

• задание пароля для пользователей (студентов, слушателей) не требуется;

• присвоение преподавателю, администратору безопасности информации и системному администратору персональных идентификаторов eToken PRO (Java);

• настройка механизма блокирования загрузки операционной системы со съемных носителей, а также при превышении числа неудачных попыток аутентификации, нарушении целостности средства доверенной загрузки, загружаемой программной среды, состава аппаратных компонентов, при попытках обхода средства доверенной загрузки, при критичных типах сбоев и ошибок;

• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки равное 3;

• смена пароля для администратора безопасности информации и системного администратора через каждые 120 дней;

• настройка функций регистрации и учета выполнения функций безопасности средства доверенной загрузки;

• настройка функций самотестирования средства доверенной загрузки;

• настройка функций контроля целостности программного обеспечения;

• настройка функций контроля целостности программной среды, файлов, хранящихся на жестких дисках и функций контроля компонентов аппаратного обеспечения средства вычислительной техники;

• настройка функций сигнализации о событиях, связанных с нарушением безопасности;

• настройка функций обеспечения недоступности ресурсов средства доверенной загрузки из программной среды средств вычислительной техники после завершения работы средства доверенной загрузки;

• настройка функций обеспечения невозможности отключения (обхода) компонентов средства доверенной загрузки.

1. Установка и настройка СЗИ Acronis Backup & Recovery Advanced 11

Установка и настройка СЗИ Acronis Backup & Recovery Advanced 11 осуществляется в соответствии с эксплуатационной документацией.

Установка сервера управления производится на Сервер на базе Xeon №1. Установка Агентов производится на все сервера. Установка консоли управления производится на АРМ 10 системного администратора. Настройка осуществляется следующим образом:

• назначение носителей резервных копий;

• настройка состава резервируемой информации в соответствии с Перечнем резервируемой информации;

• настройка плана резервного копирования защищаемой информации ежедневно в период с 18:00 до 22:00;

• настройка срока хранения резервных копий 30 дней;

• настройка функций регистрации и учета событий, связанных с резервным копированием информации на резервные носители информации.

1. Установка и настройка АПКШ «Континент»

Установка и настройка средства межсетевого экранирования осуществляется в соответствии с эксплуатационной документацией.

Установка заключается в подключении модуля Криптошлюз «Континент» на границе ЛВС Учебной ИСОП. Программное обеспечение комплекса устанавливается на АРМ 9 администратора безопасности информации. Настройка заключается в следующем:

• настройка сетевых фильтров в соответствии с топологией сети Учебной ИСОП;

• настройка правил фильтрации для необходимых протоколов и портов;

• настройка идентификации и аутентификации администратора безопасности информации;

• настройка регистрации событий межсетевого взаимодействия и администрирования межсетевого экрана;

• настройка регистрации изменения правил фильтрации;

• настройка сигнализации событий, связанных с нарушением установленных правил фильтрации.

1. Установка Microsoft Windows 7 «Профессиональная» (Service Pack 1)

Установка Microsoft Windows 7 «Профессиональная» (Service Pack 1) осуществляется в соответствии с эксплуатационной документацией.

Установка производится на АРМ№№1-10.

1. Установка и настройка Microsoft Windows Server 2008 Enterprise Edition (Service Pack 2)

Установка Microsoft Windows Server 2008 Enterprise Edition (Service Pack 2) осуществляется в соответствии с эксплуатационной документацией.

Установка производится на Сервер на базе Pentium №1 и Сервер на базе Pentium №2.

1. Организационные мероприятия по защите информации

В организационно-распорядительной документации регламентируются:

• правила и процедуры идентификации и аутентификации пользователей;

• правила и процедуры идентификации и аутентификации устройств;

• правила и процедуры управления идентификаторами;

• правила и процедуры управления средствами аутентификации (аутентификационной информацией);

• правила и процедуры управления учетными записями пользователей;

• правила разграничения доступа;

• правила и процедуры управления информационными потоками;

• ограничение числа параллельных сеансов доступа;

• правила и процедуры блокирования сеансов доступа;

• правила и процедуры сбора, записи и хранения информации о событиях безопасности;

• правила и процедуры определения действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации;

• правила и процедуры обеспечения доверенной загрузки средств вычислительной техники;

• правила и процедуры управления запуском программного обеспечения (в том числе списки программного обеспечения, ограничения запуска, параметры запуска компонентов программного обеспечения)

• правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения (в том числе управления составом и конфигурацией подлежащих установке компонентов программного обеспечения, параметрами установки, параметрами настройки компонентов программного обеспечения);

• правила и процедуры доступа к машинным носителям информации, встроенным в корпус средств вычислительной техники (накопителям на жестких дисках);

• правила и процедуры контроля перемещения машинных носителей информации, встроенных в корпус средств вычислительной техники (накопителей на жестких дисках)

• состав и содержание информации о событиях безопасности, подлежащих регистрации;

• правила и процедуры сбора, записи и хранения информации о событиях безопасности;

• правила и процедуры реагирования на сбои при регистрации событий безопасности;

• правила и процедуры мониторинга результатов регистрации событий безопасности и реагирования на них;

• правила и процедуры защиты информации о событиях безопасности;

• правила и процедуры просмотра и анализа информации о действиях отдельных пользователей;

• правила и процедуры антивирусной защиты информационной системы;

• правила и процедуры обновления базы данных признаков вредоносных компьютерных программ (вирусов);

• правила и процедуры обнаружения (предотвращения) вторжений (компьютерных атак);

• правила и процедуры обновления базы решающих правил;

• правила и процедуры выявления, анализа и устранения уязвимостей;

• правила и процедуры контроля установки обновлений программного обеспечения;

• правила и процедуры контроля целостности информации;

• правила и процедуры восстановления программного обеспечения;

• ограничения прав пользователей по вводу информации в информационную систему;

• правила и процедуры резервирования;

• правила и процедуры резервного копирования;

• правила и процедуры восстановления информации с резервных машинных носителей информации;

• правила и процедуры контроля и управления физическим доступом;

• правила и процедуры контроля использования технологий мобильного кода;

• правила и процедуры защиты периметра информационной системы.

Организационные меры защиты информации приведены в таблице А.1 приложения А.

1. Технические средства защиты информации, предлагаемые к использованию в учебных целях

На основании рабочих программ дисциплин по специальности 10.05.03 «Информационная безопасность автоматизированных систем» в таблице 8.1 приведен перечень технических средств защиты информации, предлагаемых к использованию в учебных целях. Установка и настройка данных средств осуществляется в ходе проведения практических занятий. Параметры настройки определены в учебно-методических комплексах дисциплин.

Таблица 8.1 – Технические средства защиты информации, предлагаемые к использованию в учебных целях

1. Заключение

Результатом модернизации Учебной ИСОП является создание программно-технического решения, представляющего собой совокупность взаимосвязано функционирующих подсистем, реализуемых как встроенными в операционные системы, так и сертифицированными СЗИ, образующими единую систему ЗИ, а также приобретение новых учебных сертифицированных СЗИ, что выполняет требования технического задания, федеральных государственных образовательных стандартов и нормативных документов в области защиты информации.

Характеристики

Список файлов ВКР