лаб.1 (Примеры лаб по МИСЗКИ)
Описание файла
Файл "лаб.1" внутри архива находится в следующих папках: Примеры лаб по МИСЗКИ, Примеры лаб по МИЗСКИ. PDF-файл из архива "Примеры лаб по МИСЗКИ", который расположен в категории "". Всё это находится в предмете "методы и средства защиты компьютерной информации" из 7 семестр, которые можно найти в файловом архиве РТУ МИРЭА. Не смотря на прямую связь этого архива с РТУ МИРЭА, его также можно найти и в других разделах. Архив можно найти в разделе "лабораторные работы", в предмете "методы и средства защиты компьютерной информации" в общих файлах.
Просмотр PDF-файла онлайн
Текст из PDF
Московский Государственный Институт Радиотехники, Электроники и Автоматики(Технический Университет)Отчет по лабораторной работе №1по предмету: «Методы и средства защиты компьютерной информации»Вариант 31 («Защита компьютера бухгалтера от консольных атак»)Работу выполнил: студент группы ВССУ-8-05Овчинников М.Ю.шифр ВССУ051136Работу проверил: Карпов Д.А.Москва 2008 г.1.
Описание фирмыНебольшая фирма, занимающаяся разработкой программного обеспечения назаказ, арендует помещение на 7 этаже 10-этажного офисного здания. Охрана уздания имеется, но она не в состоянии обеспечить защиту компьютеров фирмы отконсольныхатак.Теоретически,любойчеловекможетбеспрепятственноразгуливать по этажам и делать все, что ему заблагорассудится, в любое время, еслиего не видит охранник и оставаться там как угодно долго.В фирме работают: директор (руководитель), секретарь, бухгалтер, сетевойадминистратор, программисты (не более 15 человек). Все сотрудники фирмы имеютличные компьютеры, объединенные в локальную сеть с выделенным сервером.Фирма располагается в нескольких смежных помещениях.
Отдельные входыиз коридора имеют приемная (с рабочим местом секретаря и выходом в комнатыдиректора), кабинет бухгалтера и отдел программистов (с выходом в серверную(переоборудованную из кладовки)).На момент разработки плана по улучшению безопасности фирма ужефункционировала, парк ПК и сервер были закуплены.Бухгалтерская база данных располагалась на компьютере бухгалтера. Прочиебухгалтерские документы хранятся как на компьютере бухгалтера, так и на сервере(с ограничением прав доступа). В кабинетах директора и бухгалтера имеютсянесгораемые сейфы для документов.
Ключи от сейфов каждый из них носит с собой.Запасные ключи лежат в банковской ячейке.На всех компьютерах, кроме сервера установлена ОС Windows XP.2. Модель угрозТребуется защитить компьютер бухгалтера от следующих видов угроз:- угрозы целостности и сохранности информации;- угрозы раскрытия;Рассмотрим эти угрозы и их актуальность и значимость для конкретногокомпьютера более подробно.В защите в данном случае нуждается следующая информация:- важные договоры;- списки клиентов;- базы данных бухгалтерских программ;2Целостность и сохранности информации в данном случае могут быть нарушеныхищением следующего оборудования (или его частей):- компьютер бухгалтера;- файловый сервер;Также это оборудование может подвергаться воздействию стихийных бедствий.Опасность представляют следующие лица:- наемные сотрудники обществ и организаций, имеющих мотивы кнанесению ущерба предприятию или хищению его информации;- лица, пытающиеся завладеть дорогостоящим (а иногда и не очень)оборудованием;- хулиганы и вандалы;- сотрудники организации, входящие также в одну из первых трехгрупп лиц (в том числе и системный администратор);- честные сотрудники организации.Таким образом, можно сформировать следующие основные модели угроз:Угроза 1.хищение компьютера бухгалтера;Угроза 2.хищение жесткого диска компьютера бухгалтера;Угроза 3.хищение сервера;Угроза 4.хищение жестких дисков сервера;Угроза 5.консольная атака на сервер;Угроза 6.консольная атака на компьютер бухгалтера;Угроза 7.повреждение информации на жестком диске компьютера бухгалтера попричинам как аппаратного, так и программного характера;Угроза 8.повреждение информации на жестком диске (дисках) сервера попричинам как аппаратного, так и программного характера;Угроза 9.повреждение информации на компьютере бухгалтера вследствиепожара;Угроза 10.повреждение информации на сервере вследствие пожара;Угроза 11.повреждение информации на компьютере бухгалтера вследствиестихийных бедствий;Угроза 12.повреждение информации на сервере вследствие стихийных бедствий;3Угроза 13.повреждение информации на сервере вследствие неумышленныхнеосторожных действий третьих лиц;Угроза 14.повреждение информации на компьютере бухгалтера неумышленныхнеосторожных действий третьих лиц.3.
Меры защитыПервичные меры защитыДля начала требуется по возможности уменьшить количество угроз и защищаемыхобъектов.Решение №1. Перенести все документы бухгалтера на его компьютер.Полностью отметает угрозы: 3, 4, 5, 8, 10, 12, 13.Вторичные меры защитыЗащита от Угрозы 1. Для защиты от угрозы 1 требуется, чтобы в нерабочее времядо системного блока было почти невозможно добраться, а рабочее время былосложно добраться беспрепятственно и нельзя было просто взять системный блок иунести.Меры:- металлическая дверь в серверную с хорошим замком [500$];- контракт ЧОП на установку и подержание сигнализации и кнопки тревоги напомещения фирмы [2150$ в год] (если разделить на количество помещений, набухгалтера приходится [716,7$ в год]);- набор противоугонных тросов для компьютеров и оргтехники Flexguard HeavyDuty Cable Lock Kit (HK36) [35$]; Принцип действия этогооснован на использовании специальной пластины,приклеиваемой к корпусу компьютера специальным клеем.Специальный трос затем оборачивается вокруг какого-либостационарного объекта.Защита от Угрозы 2.Меры: В дополнение к мерам защиты от угрозы 1, требуется установить замок накорпус системного блока [1$] (если специального отверстия под замок в системномблок не предусмотрено за сумму порядка 15$ его можно проделать);Защита от Угрозы 6.Меры:4- Включение в ОС Windows XP следующих парольных политик безопасности: "Вести список использованных паролей" из 4 штук (пользователямтрудно все время придумывать новые сложные пароли); "Максимальный срок действия пароля" 3 месяца (больший сроксильно увеличит риск отслеживания пароля, меньший – вызовет негодованиепользователя и неудобство в работе (и увеличит количество дней в году, когдасвежеесмененный пароль лежит в ящике стола, пока не запомнен); "Минимальный срок действия пароля" 30 дней "Пароль должен удовлетворять требованиям сложности" (т.е.
Парольдолжен содержать не менее шести символов, и среди них должны быть символы покрайней мере трех типов из следующих четырех: заглавные буквы, строчные буквы,цифры и специальные символы (т. е. *, %, &, !), пароль не может включать учетноеимя пользователя, пароль не может содержать частей полного имени пользователя)(для защиты от консольной атаки более чем достаточно);- Вменить в обязанность системному администратору доходчиво и ненавязчиво(желательно весело и с шутками) объяснить бухгалтеру, как можно создать легкозапоминающийся сложный пароль и какие наиболее частые ошибки делаютпользователи при создании паролей.- Установить пароль на BIOS (слегка усложнит доступ к загрузке со сменныхнакопителей);- Отключить автозапуск с любых накопителей;- Ограничить права на запись в реестр и системные папки (если у пользователя небудет прав, то не будет прав и у запускаемых от его имени программ);- Запретить учетной записи бухгалтера использование любых сменных носителей.Защита от Угрозы 7.
Меры:- Установить в компьютер бухгалтера дополнительный жесткий диск 500ГБ Seagate"Barracuda ES ST3500630NS" [88$];- Установить в компьютер пользователя пишущий DVD-RW-привод [28$];- На дополнительном HDD создать раздел с правами на чтение и запись только дляадминистратора. Разрешить учетной записи администратора полный досуп к DVDRW приводу.5- Запретить вход в систему без ставки индивидуального USB-токена [по 25$ насотрудника]. Два токена используются для входа в систему под учетной записьюадминистратора, третий и четвертый – для учетной записи бухгалтера.Администраторские токены хранятся в сейфах у директора и бухгалтера. Сбухгалтерским токеном бухгалтер не расстается. Запасной бухгалтерский такжележит в сейфе у директора.- Для доступа к базе данных не использовать доступы на уровне Windows.Администратору прав не давать.- Первый этап бэкапа – выгрузка базы данных на незащищенный от бухгалтерараздел средствами администрирования конкретной базы данных.
У учетной записиадминистратора не должно быть никаких прав доступа к базе данных (в том числе ик папке, где она хранится). Вся настройка бэкапа проводится администратором вприсутствии бухгалтера и директора под учетной записью бухгалтера или, еслипозволяет квалификация бухгалтера – самим бухгалтером. Для выгрузки базызадается распиание (максимально универсальное, чтобы не надо было менять).- Второй этап бэкапа – ежедневное копирование выгруженной из базы данныхкопии на защищенный от учетной записи бухгалтера жесткий диск. Копированиезапускается с правами учетной записи администратора.- Третий этап. Бухгалтер ежемесячно сам записывает выгруженную базу данных наDVD-R диск и помещает его в сейф.
Токен администратора также хранится в этомсейфе и им редко пользуются (в основном только для восстановления информации).Резервное копирование также частично защищает информацию бухгалтера отдругих угроз.6Первоначальная стоимость решения за первый год складывается из стоимостиследующих ее составляющих:USB-токен (4 шт)DVD-RW приводЖесткий дискЗамок на корпус системного бока с установкойПротивоугонные тросыМеталлическая дверь с хорошим замкомКонтракт с ЧОП (та часть суммы, котораяприходится на охрану комнаты бухгалтера)DVD-R диски100$28$88$16$35$500$716,7$40$Итого: 1483,7$Стоимость решения на последующие годы:Контракт с ЧОП (та часть суммы, которая716,7$приходится на охрану комнаты бухгалтера)DVD-R дискиИтого:Болеесложныемерыбезопасностидля кампаниитакого40$756,7$размера будутнеоправданно дороги, т.к.
защита информации (равно как попытки ее заполучить)будет обходиться дороже ее реальной стоимости.7.