- •Введение
- •1 Постановка задачи
- •2.1 Концепция безопасности объектов информатизации
- •2.1.1 Цели и задачи системы безопасности
- •2.1.2 Принципы организации и функционирования системы безопасности
- •2.1.3 Управление системой безопасности объектов информатизации
- •2.2 Характеристика объектов защиты
- •2.2.1 Универсальная электронная карта (уэк)
- •2.2.2 Банкомат
- •2.3 Список участников проекта
- •2.4 Перечень защищаемой информации и прикладного программного обеспечения
- •2.5 Статистические данные в сфере защиты
- •2.6 Угрозы информационной безопасности
- •2.7 Модель нарушителя
- •2.8 Анализ рисков
- •2.9 Построение частной модели угроз
- •2.10 Зарубежный опыт решения задач построения электронного правительства и оказания государственных услуг
- •2.10.1 Инфраструктура электронной идентификации и авторизации
- •2.10.2 Электронные паспорта
- •2.10.3 Карты, используемые для получения медицинских услуг
- •2.10.4 Система идентификации и единой точки входа в информационные системы для государственных служащих
- •2.10.5 Сервисы меток времени
- •2.11 Неудача западных коллег
- •2.12 Вывод
- •3 Кострукторская часть
- •1) Универсальная карта и её чипы;
- •3) Организации, как информационный ресурс.
- •3.1 Универсальная карта и её чипы
- •3.1.1 Контактный чип emv
- •3.1.1.1 Элементы данных и файлы
- •3.1.1.2 Соображения безопасности
- •3.1.2 Бесконтактный чип
- •3.1.3 Чип со сдвоенным интерфейсом
- •3.1.4 Электронно-цифровая подпись как средство защиты чипа
- •3.2 Организационные мероприятия
- •Банкомат:
- •Rfid-считыватели.
- •3.3.1 Банкомат
- •3.3.1.1 Сенсорная панель
- •3.3.1.2 Фотодиоды
- •3.3.1.3 Светодиодная панель
- •3.3.3 Домашний карт-ридер
- •3.3.4 Rfid-считыватели
- •3.3.4.1 Сканер радиочастот
- •3.3.4.2 Экранированный чехол из медной пластины
- •3.3.5 Биометрия, как составляющая метода защиты
- •3.3.5.1 Дактилоскопия
- •3.3.5.2 Биометрия лица
- •3.4 Организации, как информационный ресурс.
- •3.4.1 Межсетевые экраны
- •3.4.1.2 Сспт-2
- •3.4.2 Система защиты каналов передачи данных
- •3.4.3 Антивирусные средства
- •3.4.3.2 Антивирус Касперского
- •3.4.4 Системы обнаружения вторжений
- •3.5 Вывод
- •4 Организационно-экономическая часть
- •4.1 Сфера применения
- •4.2 Описание эффекта от внедрения системы защиты информации
- •4.3 Экономические расчеты по Республике Марий Эл
- •4.3.1 Расчет капитальных затрат на внедрение
- •4.3.2 Предполагаемый доход
- •4.4 Вывод
- •5 Безопасность жизнедеятельности
- •5.1. Анализ опасных и вредных факторов на объекте информатизации
- •5.1.1 Эмоциональный фактор, в случае хищения уэк
- •5.1.2 Электромагнитное излучение rfid технологии
- •5.1.3 Освещенность аппаратно-технических средств
- •5 .2 Освещенность кабины банкомата
- •5.2.1 Технический расчёт искусственного освещения кабины банкомата
- •5.4 Вывод
- •Заключение
- •Л итература
- •Приложение 1
- •Приложение 2
- •Приложение 3
- •Приложение 4
- •Приложение 5
- •Приложение 6
- •Приложение 7
3.4.4 Системы обнаружения вторжений
3.4.4.1 HoneypotManager
HoneypotManager — это система защиты информации, реализующая проактивную защиту от хакерских вторжений и несанкционированных действий инсайдеров. Система имитирует работу сетевых бизнес-приложений (ERP и т.п.) на базе СУБД Oracle и регистрирует любые попытки несанкционированного доступа к ним.
HoneypotManager усиливает защиту информационных систем организации, существенно снижая риски раскрытия данных бизнес-приложений. Кроме того, это ПО позволяет выполнять некоторые требования, предъявляемые к системам защиты персональных данных, банковским системам и платежным системам:
требования ФСТЭК России к СЗИ для ПДн в части защиты персональных данных средствами имитации в системах класса К1, К2, К3;
международный стандарт безопасности данных индустрии платежных карт PCI DSS;
стандарт Банка России СТО БР СТО БР ИББС-1.0-2008.
HoneypotManager позволяет в режиме «реального» времени выявлять нарушителей (инсайдеров или хакеров), действующих в локальной вычислительной сети предприятия, анализировать и пресекать их действия без риска потери реальных данных. Это единственное средство обнаружения вторжений, основанное на имитации данных, рекомендуемое для защиты ИСПДн до класса К1 включительно. Оно может использоваться в сетях с конфиденциальной информацией (вплоть до АС 1Г), имея сертификат по НДВ-4 и ТУ. Для повышения качества имитации ложные данные могут создаваться на основе реальных данных заказчика.
Решение отличается низким уровнем ложных срабатываний – по сути это поведенческая система, регистрирующая только факты НСД. Она не требует специально подготовленного специалиста по анализу вторжений – оповещения о событиях системы понятны обычным ИТ-администраторам.
Основными функциями продукта являются:
имитация реальных систем хранения данных;
обнаружение и регистрация фактов НСД к данным, имитируемым системой;
оповещение заинтересованных лиц о попытках НСД к этим данным;
возможность восстановления модифицированной нарушителем системы к исходному состоянию;
генерация отчетов о работе системы за определенные периоды времени;
централизованное управление несколькими ловушками (сенсорами);
авторизация и контроль доступа к управлению системой;
механизм контроля работоспособности (диагностика);
гибкая настройка правил реагирования на попытки НСД;
генерация имитационных данных, которые выглядят как реальные;
периодическая смена IP-адресов ловушек (сенсоров).
Схема применения HoneypotManager:
Даже при наличии всех традиционных средств защиты существует возможность получения нежелательного доступа к внутренней сети предприятия злоумышленником, который ищет доступные ресурсы компании. Это может быть как внешний нарушитель, проникший в сеть, так и инсайдер, способный передать данные наружу.
Эта возможность реализуется благодаря недостаткам или особенностям проектирования тех или иных традиционных средств защиты. Например:
Межсетевой экран может надежно защищать от проникновения внутрь сети, но не препятствует передаче данных во внешнюю сеть. Кроме того, он не препятствует работе во внутренней сети всевозможных мобильных устройств, так как трафик этих устройств не проходит через шлюзы - наблюдается т.н. «исчезновение периметра» сети.
Антивирус является средством «реактивной защиты», зависящим от частоты обновлений баз сигнатур вредоносного ПО.
Персональные СЗИ от НСД не всегда блокируют съемные носители и сетевые USB-устройства.
Что касается СОВ, то зачастую среди всей регистрируемой ими информации бывает сложно выделить критичные события и они не всегда «понимают» атаки на прикладные программы. Кроме того, сложные IDS и DLP системы требуют наличия специально обученного персонала и больших материальных затрат на поддержание их работы и анализ их деятельности. Это особенно актуально для организаций малого и среднего бизнеса.
HoneypotManager полезен как раз в тех случаях, когда традиционные средства защиты не срабатывают. Продукт размещает в локальной сети организации одну или несколько имитирующих реальные данные систем (ловушек-сенсоров). Любой пользователь, осуществивший доступ к имитирующей системе, является нарушителем, так как все легитимные пользователи работают только с настоящим хранилищем.
Потенциальным нарушителем может являться как внутренний пользователь корпоративной вычислительной сети - сотрудник компании, не имеющий специальных знаний по взлому информационных систем, так и внешний пользователь-хакер средней квалификации, получивший доступ к ИС.
Имитирующая система содержит специально подготовленные данные для обеспечения работы приложений, обращающихся к ней. Это могут быть реальные данные, перенесенные на ловушку и подвергнутые изменениям, после которых они перестают быть достоверными.
Система регистрирует информацию о состоянии сенсоров, сведения о фактах НСД и других событиях на имитирующих системах в журнале событий ОС (EventLog). Она также обеспечивает уведомление об этих событиях специалиста по защите информации (администратора безопасности вычислительной сети) по электронной почте.
С HoneypotManager возможность получения нежелательного доступа к внутренней сети предприятия сохраняется, но, будучи легкодоступным, он «оттягивает» злоумышленника на себя, снижая вероятность попадания на реальный коммерческий сервер. Это происходит как в случае с внешним хакером, так и с инсайдером и позволяет повысить шансы выявить нарушителя и оставить реальные сервера приложений в неприкосновенности.
Цена: 38000 руб.