- •Кафедра прикладной математики и информационных систем а.Н. Силаенков Учебное пособие для выполнения курсовой работы
- •«Информационная безопасность»
- •080801 «Прикладная информатика в экономике » Омск 2009
- •Введение
- •1. Назначение и задачи курсовой работы
- •2. Содержание курсовой работы
- •2.1. Организация курсовой работы
- •2.2. Исходные данные к курсовой работе
- •3. Формирование требований к проектируемой системе защиты информации
- •4. Проектирование системы иб
- •Подсистема межсетевого экранирования
- •Подсистема защиты Web-ресурсов
- •Внутренняя безопасность
- •Аутентификация и авторизация
- •Вредоносный код
- •Контроль и фильтрация трафика
- •Управление компонентами системы иб
- •Этапы работ по проектированию системы иб
- •Создание политики иб
- •Состав и содержание текстовой части тз исб
- •5. Разработка технического проекта системы иб
- •6. Содержание пояснительной записки
- •Оформление текстовых документов
- •6.7. Оформление курсовой работы
- •14. Структура системы информационной безопасности
- •Подсистема резервного копирования и архивирования.
- •Подсистема защиты электронной почты.
- •Подсистема обнаружения атак
- •Подсистема управления информационной безопасностью, централизованного мониторинга и аудита событий
- •Подсистема защиты каналов передачи данных
- •Подсистема идентификации и аутентификации пользователей
- •Подсистема регистрации и учета.
- •Подсистема обеспечения целостности.
- •Список литературы
Подсистема защиты каналов передачи данных
В целях обеспечения защиты передаваемых данных организованы соединения VPN, что значительно увеличивает безопасность существующих внешних информационных потоков для внешних организаций.
В состав подсистемы входят:
маршрутизатор с функциями шлюза VPN;
программные агенты VPN, установленные на АРМ удалённых пользователей.
Маршрутизатор с функциями шлюза VPN выполняет следующие основные функции:
поддержку межсетевого взаимодействия с удалёнными подразделениями;
защиту транзитного трафика между удалёнными пользователями и узлами сети;
защиту трафика самого маршрутизатора;
пакетную фильтрацию трафика.
Программные агенты VPN выполняют следующие функции:
защиту транзитного трафика между удалёнными пользователями и узлами сети;
пакетную фильтрацию трафика.
Подсистема идентификации и аутентификации пользователей
Для централизации управления аутентификационной информацией, а также для обеспечения соответствия АС требованиям нормативных документов РФ внедрена подсистема идентификации и аутентификации пользователей.
Подсистема обеспечивает:
индивидуальную идентификацию и аутентификацию пользователей при доступе к информационным ресурсам;
поддержку различных методов аутентификации, в т.ч. предлагаемый метод с использованием сертификатов открытых ключей;
возможность использования различных электронных ключевых носителей (eToken), в т.ч. предлагаемых на пластиковых смарт-картах;
использование компонент подсистемы для организации подсистемы защищённой электронной почты;
возможность оперативного контроля за процессом предоставления доступа ко всем важным приложениям и ресурсам организации
эффективное управление правами доступа и идентификацией пользователей информационных систем;
применение пользователями одного пароля для идентификации для многих приложений и ресурсов;
ведение статистики использования информационных ресурсов, подготовка отчетов, проведение аудитов.
В состав подсистемы входит:
Сервер Удостоверяющего Центра;
Сервер публичного каталога LDAP;
Сервер управления средствами идентификации;
Сервер хранилища информации о пользователях;
ПО защищённого доступа;
Смарт-карты и считыватели на АРМ пользователей.
Сервер Удостоверяющего Центра (УЦ) обеспечивает:
единую систему управления ключевой информацией и соответствующими цифровыми сертификатами;
использование функций шифрования и ЭЦП, на основе цифровых сертификатов X.509;
проверку подлинности и актуальности сертификата со стороны клиента. Цифровые сертификаты, выпускаемые УЦ, могут быть использованы для:
реализации функций шифрования, ЭЦП в подсистеме защищённой электронной почты;
обеспечения однократной аутентификации при доступе к домену Windows;
аутентификации компонент VPN-инфраструктуры.
Сервер публичного каталога LDAP должен обеспечивает хранение открытых ключей сертификатов и списков отозванных сертификатов и поддерживает публичный доступ к ним.
Сервер управления средствами идентификации позволяет с минимальными затратами времени и средств выполнять основные задания по комплексному управлению USB-ключами и смарт-картами, в том числе:
создавать, импортировать, экспортировать, редактировать учётные записи пользователей;
назначать пользователям смарт-карты и USB-ключи;
записывать в памяти этих устройств сертификаты открытого ключа и закрытые ключи;
печатать фотографию, имя пользователя, штрих-код и другую информацию на комбинированных картах;
регистрировать имплантированные в карты радио-метки (RFID);
обновлять, отзывать сертификаты;
разблокировать устройства;
управлять полномочиями пользователей.
Сервер хранилища информации о пользователях обеспечивает:
масштабируемое и высокодоступное за счет репликации хранилище информации о пользователях, основанное на стандартах LDAP;
единую точку проверки прав доступа для всех сетевых приложений заказчика;
управление всем жизненным циклом информации о пользователях (заведение, изменение и удаление) из единой точки, доступной уполномоченным администраторам через браузер;
средства автоматической синхронизации информации о пользователях между реестрами различных приложений и операционных систем;
средства делегирования полномочий по администрированию пользователей на уровень департамента, отдела и т.д.;
средства синхронизации паролей между различными приложениями и автоматического восстановления пароля в случае его утери пользователем;
средства создания отчетов и аудита политики безопасности в реальном масштабе времени;
средства интеграции с другими системами безопасности, например, с системами контроля за доступом в здание.
Для реализации защищённого входа в сеть применяется ПО защищённого доступа, обеспечивающее:
аутентификацию пользователей на компьютере и в сети Windows с помощью USB-ключей или смарт-карт;
использование регистрационных имён и паролей для локального входа в систему или для входа в домен;
использование цифровых сертификатов Х.509, сертификатов пользователя со смарт-картой и закрытых ключей для входа в домен;
генерирование и последующее применение случайных паролей, неизвестных пользователю;
возможности однофакторной и двухфакторной аутентификации.
Смарт-карты обеспечивают единое хранилище сертификатов сотрудников для доступа к АРМ и ресурсам ЛВС, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL). Смарт-карты могут также служить для визуальной идентификации сотрудника и для обеспечения доступа сотрудника в помещения.