- •Кафедра прикладной математики и информационных систем а.Н. Силаенков Учебное пособие для выполнения курсовой работы
- •«Информационная безопасность»
- •080801 «Прикладная информатика в экономике » Омск 2009
- •Введение
- •1. Назначение и задачи курсовой работы
- •2. Содержание курсовой работы
- •2.1. Организация курсовой работы
- •2.2. Исходные данные к курсовой работе
- •3. Формирование требований к проектируемой системе защиты информации
- •4. Проектирование системы иб
- •Подсистема межсетевого экранирования
- •Подсистема защиты Web-ресурсов
- •Внутренняя безопасность
- •Аутентификация и авторизация
- •Вредоносный код
- •Контроль и фильтрация трафика
- •Управление компонентами системы иб
- •Этапы работ по проектированию системы иб
- •Создание политики иб
- •Состав и содержание текстовой части тз исб
- •5. Разработка технического проекта системы иб
- •6. Содержание пояснительной записки
- •Оформление текстовых документов
- •6.7. Оформление курсовой работы
- •14. Структура системы информационной безопасности
- •Подсистема резервного копирования и архивирования.
- •Подсистема защиты электронной почты.
- •Подсистема обнаружения атак
- •Подсистема управления информационной безопасностью, централизованного мониторинга и аудита событий
- •Подсистема защиты каналов передачи данных
- •Подсистема идентификации и аутентификации пользователей
- •Подсистема регистрации и учета.
- •Подсистема обеспечения целостности.
- •Список литературы
3. Формирование требований к проектируемой системе защиты информации
Перед тем как приступить к проектированию системы информационной безопасности необходимо сформулировать требования к разрабатываемой системе.
Это можно сделать на основании результатов предпроектного обследования информационной безопасности компании (в компании должна быть разработана внутренняя нормативная документация: политика информационной безопасности, методика определения ценности или критичности для бизнеса различных данных, правила реагирования на инциденты в области нарушения информационной безопасности и т. п.) и на основе организационно-нормативной документации Гостехкомиссии РФ).
На основании выполненного отчета определить к какому классу защищенности СВТ или АСОД (в зависимости от того, что используется в фирме: только средства вычислительной техники или же информационные системы) следует отнести СВТ или АСОД данной компании, чтобы реализовать выработанные рекомендации по совершенствованию системы защиты информации с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, межсетевых экранов и др.
Примечание. Рекомендуемый класс защищенности для СВТ- четвертый.
Показатели защищенности для него:
1. Контроль доступа.
2. Очистка памяти.
3. Идентификация и аутентификация.
4. Гарантии проектирования. На начальном этапе проектирования СВТ должна быть построена модель защиты, включающая в себя ПРД к объектам и непротиворечивые правила изменения ПРД.
5. Регистрация: прав доступа; запросов к защищаемым ресурсам; создания и уничтожения объектов; действий по изменению ПРД; даты, времени и действий пользователей.
6. Выборочное ознакомление с регистрационной информацией.
7. Контроль за целостностью КСЗ.
8. Тестирование реализации ПРД, идентификации и аутентификации, а также их средств защиты;
9. Очистка памяти.
10. Регистрация событий и средства защиты регистрационной информации, возможность санкционированного ознакомления с ней;
11. Контроль за целостностью КСЗ.
12. Руководство пользователя.
13. Руководство по КСЗ.
14. Тестовая документация.
15. Конструкторская и проектная документация.
16. Механизм, претворяющий в жизнь ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД
17. Мандатный принцип контроля доступа - сопоставление классификационных меток каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
В СВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.
18. Изоляция модулей
При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.
19. Маркировка документов
При выводе защищаемой информации на документ в начале и конце проставляют штамп № 1 и заполняют его реквизиты в соответствии с Инструкцией № 0126-87 (п. 577).
20. Защита ввода и вывода на отчуждаемый физический носитель информации.
КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные ("помеченные"). При вводе с "помеченного" устройства (вывода на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи. Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КСЗ.
21. Сопоставление пользователя с устройством.
КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки).
Идентифицированный КСЗ должен включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется выделенному устройству.
22.Целостность КСЗ. В СВТ четвертого класса защищенности должен осуществляться периодический контроль за целостностью КСЗ.
23. Тестирование. Проводится более широкое тестирование, включая кроме реализации ПРД, очистку оперативной и внешней памяти, маркировку документов, защиту ввода и вывода информации на носители, идентификацию и аутентификацию, запрет на доступ несанкционированного пользователя, контроль за целостностью СВТ, регистрацию событий.
Требования к показателям защищенности автоматизированных систем смотри в конспекте лекций.