5. Технический проект (1209952), страница 4
Текст из файла (страница 4)
Функциональные возможности:
-
полная идентификация сервисов на случайных портах;
-
эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;
-
обработка RPC-сервисов (Windows и *nix) с их полной идентификацией;
-
проверка слабости парольной защиты;
-
проведение проверок на нестандартные DoS-атаки;
-
специальные механизмы, уменьшающие вероятность ложных срабатываний.
-
VipNet Administrator 3.2
VipNet Administrator 3.2 – это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя VipNet NCC (центр управления сетью, ЦУС) – программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью VipNet.
Функциональные возможности:
-
Формирование топологии защищенной сети, путем регистрации сетевых узлов, пользователей и связей между ними.
-
Определение политики безопасности на каждом узле и формирование списка разрешенных приложений, которые должны выполняться на каждом узле (шифрование трафика, ЭП, Деловая Почта и т. д.).
-
Автоматическая рассылка всем узлам информации об изменениях в топологии сети – новых узлах, пользователях, связях, также ключей шифрования, сертификатов, CRL.
-
Проведение автоматического централизованного обновления ПО ViPNet на узлах защищенной сети, включая программно-аппаратные комплексы ViPNet Coordinator HW.
-
Организация взаимодействия между несколькими сетями ViPNet.
-
Управление лицензиями, включая иерархическое распределение лицензий по подчиненным сетям.
-
VipNet Client 3.2
VipNet Client 3.2 – это программный комплекс, выполняющий на рабочем месте пользователя или сервере с прикладным ПОфункции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования.
-
VipNet Coordinator HW1000
VipNet Coordinator HW1000 – это криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус».
-
Построение СЗИ в информационной системе
-
Схема построения СЗИ
Построение СЗИ в «Системе-112» заключается в применении сертифицированных средств защиты информации и обеспечении организационно-режимных мероприятий по защите информации.
СЗИ включает следующие функциональные компоненты:
-
сетевая компонента;
-
серверная компонента;
-
компонента администратора;
-
VipNet Coordinator HW1000.
Общая схема построения системы защиты персональных данных в ГИС «Система-112» приведена в приложении В.
-
Сетевая компонента
Сетевая компонента представляет собой АРМ пользователей, подключенных к локальной сети и сетям общего пользования, включая пользователей, работающих согласно своим должностным обязанностям.
СЗИ обеспечивает защиту ПДн следующими техническими средствами защиты:
-
использование средства защиты от несанкционированного доступа (Dallas Lock 8.0-K);
-
использование средства обеспечения доверенной загрузки (ПАК «Соболь» 3.0);
-
идентификация и аутентификация пользователя производится с помощью электронного идентификатора DS1992;
-
использование ПК VipNet Client 3.2 (КС2)
-
использование криптопровайдера «КриптоПро CSP 3.6». На момент разработки проекта данное средство уже установлено и настроено.
-
использование средства антивирусной защиты «Антивирус Касперсого 6.0 для Windows Workstation». На момент разработки проекта данное средство уже установлено и настроено.
Параметры настройки представлены в разделе 6.2.1.
-
Серверная компонента
Серверная компонента включает 2 сервера, использующиеся для обработки ПДн, каждый из которых является контроллером домена для сегмента, в состав которого он включен.
СЗИ обеспечивает защиту информации, обрабатываемой на серверах, следующими техническими средствами защиты:
-
использование средства защиты от несанкционированного доступа (Dallas Lock 8.0-K);
-
использование средства обеспечения доверенной загрузки (ПАК «Соболь» 3.0);
-
идентификация и аутентификация пользователя производится с помощью электронного идентификатора DS1992
-
использование ПК VipNet Client 3.2 (КС2);
-
установка сервера безопасности Dallas Lock на каждом из серверов;
-
использование средства антивирусной защиты «Антивирус Касперсого 6.0 для Windows Workstation». На момент разработки проекта данное средство уже установлено и настроено.
Параметры настройки представлены в разделе 6.2.1.
-
Компонента администратора
Компонента администратора представляет собой АРМ администратора, с которого осуществляется управление средствами защиты, управление контроллерами доменов и серверами безопасности Dallas Lock.
СЗИ обеспечивает защиту АРМ администратора следующими техническими средствами защиты:
-
использование средства защиты от несанкционированного доступа (Dallas Lock 8.0 -К);
-
использование средства обеспечения доверенной загрузки (ПАК «Соболь» 3.0);
-
идентификация и аутентификация пользователя производится с помощью электронного идентификатора DS1992;
-
использование средства анализа защищенности (XSpider 7.8.24);
-
использование ПК VipNet Administrator 3.2 (КС2);
-
использование средства антивирусной защиты «Антивирус Касперсого 6.0 для Windows Workstation». На момент разработки проекта данное средство уже установлено и настроено.
-
VipNet Coordinator HW1000
Эта компонента представляет собой программно-аппаратный комплекс VipNet Coordinator HW1000, реализующий сосбой функции межсетевого экрана, криптосредства и организатора VPN-сети. Устанавливается в серверную стойку и подключается к сети на границе ЛВС «Системы-112.
-
Режимы функционирования
В СЗИ реализованы следующие режимы функционирования:
-
режим установки и конфигурирования;
-
режим отладки;
-
рабочий режим.
-
Режим установки и конфигурирования
Режим установки и конфигурирования предназначен для первичной настройки СЗИ и выполняется на этапе пуско-наладочных работ. В этом режиме происходит настройка СЗИ путем создания правил, редактирования и применения политик, шаблонов. Режим установки и конфигурирования подразумевает работы по установке и начальной настройке установленного программного обеспечения.
-
Установка и настройка СрЗИ от несанкционированного доступа
Установка и настройка Secret Net 7 осуществляется в соответствии с эксплуатационной документацией.
Установка производится на все АРМ пользователей ГИС «Система-112», на которых обрабатывается ПДн, доступ к которым необходимо ограничить исходя из актуальности угроз информационной безопасности и согласно требованиям, предъявляемым к СЗИ.
Настройка СрЗИ заключается в следующем:
-
регистрация пользователя в системе;
-
задание пароля пользователя не менее 6 буквенно-цифровых символов;
-
алфавит пароля не менее 30 символов;
-
максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;
-
блокировка АРМ пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на 15 минут;
-
смена пароля через каждые 180 дней;
-
настройка параметров гашения экрана монитора через 5 минут неактивности пользователя;
-
настройка параметров выхода из системы через 15 минут неактивности пользователя;
-
настройка параметров регистрации входа и выхода пользователя в систему и из системы;
-
настройка параметров регистрации и учета событий, связанных с действием пользователя, с указанием имени пользователя, времени совершенного события и результата успешности или не успешности события;
-
создание списка компонентов системы и модулей СрЗИ, которые необходимо поставить на контроль целостности;
-
получение контрольной суммы файлов, поставленных на контроль целостности;
-
настройка ежедневной быстрой проверки АРМ и настройка еженедельной полной проверки АРМ на наличие вирусов и вредоносных программ;
-
настройка ежедневного обновления антивирусных баз и компонентов антивирусной системы;
-
настройка проверки съемных носителей при подключении к АРМ на наличие вирусов и вредоносных программ;
-
настройка блокирования подключаемых модемов и мобильных устройств;
-
настройка функции самотестирования;
-
блокирование или уничтожение всех не используемых учетных записей;
-
настройка функции блокирования неактивных (неиспользуемых) учетных записей пользователей после 90 дней неиспользования;
-
настройка дискреционного метода управления доступом в соответствии с матрицей доступа (см. в таблице 4.2);
-
установка пароля BIOS;
-
настройка функций разграничения доступа к управлению средством контроля съемных носителей (на основе ролей администраторов);
-
настройка функции контроля подключения съемных машинных носителей информации (контроль использования интерфейсов ввода/вывода СВТ, контроль подключаемых типов внешних программно-аппаратных устройств, контроль подключаемых съемных машинных носителей информации);
-
настройка функций контроля отчуждения (переноса) информации со съемных машинных носителей информации;
-
настройка функций регистрации и учета выполнения функций безопасности средства контроля съемных машинных носителей;
-
настройка функций оповещения администратора о событиях, связанных с нарушением безопасности.
-
Установка и настройка средств доверенной загрузки
Установка и настройка средства доверенной загрузки ПАК «Соболь» 3.0 осуществляется в соответствии с эксплуатационной документацией.
Установка производится на все АРМ пользователей, АРМ 1 Администратора ГИС и сервера. Настройка осуществляется следующим образом:
-
установка платы;
-
подключение механизма сторожевого таймера;
-
обеспечение идентификации и аутентификации пользователей и администраторов средства доверенной загрузки;
-
настройка функций разграничения доступа к управлению средством доверенной загрузки (на основе ролей администраторов);
-
регистрация пользователя в системе;
-
присвоение пользователю персонального идентификатора DS1992;
-
настройка функции блокирования загрузки операционной системы с внешних носителей или LiveCD, а также при превышении числа неудачных попыток аутентификации, нарушении целостности средства доверенной загрузки, загружаемой программной среды, состава аппаратных компонентов, при попытках обхода средства доверенной загрузки, при критичных типах сбоев и ошибок;
-
максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;
-
настройка функций регистрации и учета выполнения функций безопасности средства доверенной загрузки;
-
настройка функций самотестирования средства доверенной загрузки;
-
настройка функций контроля целостности программного обеспечения;
-
настройка функций контроля целостности программной среды и функций контроля компонентов аппаратного обеспечения средства вычислительной техники;
-
настройка функций сигнализации о событиях, связанных с нарушением безопасности;
-
настройка функций обеспечения недоступности ресурсов средства доверенной загрузки из программной среды средств вычислительной техники после завершения работы средства доверенной загрузки;
-
настройка функций обеспечения невозможности отключения (обхода) компонентов средства доверенной загрузки.
-
Установка и настройка средства анализа защищенности
Установка и настройка средства анализа защищенности XSpider 7.8.24 осуществляется в соответствии с эксплуатационной документацией.
Установка производится на АРМ 1 Администратора ГИС. Настройка осуществляется следующим образом:
-
определение структуры сети;
-
настройка правил анализа защищенности сетевых узлов ГИС;
-
настройка контроля соответствия состояния узлов, ОС и приложений политикам безопасности;
-
настройка функций сохранения результатов работы модулей для дальнейшего анализа.
-
Установка и настройка средства межсетевого экранирования и криптографической защиты
Установка и настройка средства межсетевого экранирования и криптографической защиты осуществляется в соответствии с эксплуатационной документацией.
Установка заключается в подключении VipNet Coordinator HW1000 на границе ЛВС «Системы-112», клиентской части VipNet Client 3.2 на АРМ пользователей АРМ 1 Администратора ГИС. VipNet Administrator 3.2 устанавливается на АРМ 1 Администратора ГИС.














