КРАСНОДАРСКИЙ КОЛЛЕДЖ ЭЛЕКТРОННОГО ПРИБОРОСТРОЕНИЯ
Методические указания
по выполнению практического задания по дисциплине
Программно - аппаратные средства защиты информации
Разработаны преподавателем
Луценко А.В.
Рассмотрены и одобрены
на заседании цикловой
комиссии АСУ
Протокол №___ от _______ 2010 г.
Председатель ЦК _____________
подпись
2010 г.
Практическое задание
Определите условную стоимость оборудования для выполнения условий политики безопасности предприятия (организации) в соответствии с выбранным вариантом.
Условия выбора политики безопасности.
Для решения задачи обеспечения безопасности АСОИ необходимо:
- защитить информацию при ее хранении, обработке и передаче;
- подтвердить подлинность объектов данных и пользователей (аутентификация сторон, устанавливающих связь);
- обнаружить и предупредить нарушение целостности объектов данных;
- защитить технические устройства и помещения;
- защитить конфиденциальную информации от утечки и от внедренных электронных устройств съема информации;
- защитить программные продукты от внедрения программных закладок и вирусов;
- защитить от несанкционированного доступа к информационным ресурсам и техническим средствам сети, в том числе и к средствам управления, чтобы предотвратить снижение уровня защищенности информации и самой сети в целом;
- организовать требующиеся мероприятия, направленные на обеспечение сохранности конфиденциальных данных.
Порядок выполнения работы.
В соответствии с номером варианта произвести выборку объекта защиты
Вариант
Объект защиты
АСОИ
Служба
безопасности
1
Склад строительных материалов
5 компьютеров
нет
2
Высшее учебное заведение
95 компьютеров
Нет
3
Научно - исследовательский институт
150 компьютеров
Есть
4
ОАО «Нефтяная компания»
Корпоративная сеть
Есть
5
Частный предприниматель
1 компьютер
Нет
6
Высшее военное училище
100 компьютеров
Нет
7
Завод по производству автотехники
250 компьютеров
Есть
8
Военный завод
Корпоративная сеть
Есть
9
Рекламное агентство
10 компьютеров
Нет
10
Компьютерный клуб
20 компьютеров
Нет
Произвести оценку рисков нарушения безопасности информации в соответствии с алгоритмом, приведенным на рис. 1.
У
грозы
Р
иски
Контрмеры
Рисунок 1. Алгоритм оценки рисков нарушения безопасности информации
Угрозы
Выберите из представленного перечня потенциальных нарушителей, их цели и угрозы
Потенциальные нарушители:
- зарегистрированные пользователи ЛРС;
- имеющие доступ к штатным средствам управления рабочей станцией, таким как клавиатура, устройства считывания информации (дисководы, считыватели и др.);
- не имеющие физического доступа к ЛРС.
3.2. Цели нарушителей:
- компрометация секретной информации, в том числе и информации, относящейся к работе средств защиты информации ЛРС (ключевая информация, пароли пользователей и др.);
- изменение или уничтожение секретной информации, в том числе и относящейся к функционированию средств защиты информации ЛРС (ключевая информация, пароли пользователей и др.);
- нарушение работоспособности всей системы в целом или се отдельных компонентов;
3.3. Обобщенный перечень угроз:
3.3.1. по характеру доступа:
- с доступом к ПО;
- с доступом только к аппаратным ресурсам;
- без доступа к ЛРС.
3.3.2. по характеру проявления:
- активные;
- пассивные.
3.3.3. по используемым в ходе реализации угрозы средствам:
- с использованием штатных средств, входящих в состав ЛРС;
- с использованием дополнительных средств.
3.4. Основные угрозы, наиболее опасные для ЛВС:
- анализ сетевого трафика с целью получения доступа к конфиденциальной информации, например к передаваемым в открытом виде по сети пользовательским паролям;
- нарушение целостности передаваемой информации. При этом может модифицироваться как пользовательская, так и служебная информация, например подмена идентификатора группы, к которой принадлежит пользователь;
- получение несанкционированного доступа к информационным ресурсам, например с использованием подмены одной из сторон обмена данными с целью получения доступа к файл-серверу от имени другого пользователя;
- попытка совершения ряда действий от имени зарегистрированного пользователя в системе, например злоумышленник, скомпрометировав пароль администратора, может начать общаться с ЛВС от его имени.
Риски.
Выберите основные виды технических средств ведения разведки:
Радиопередатчики с микрофоном (радиомикрофоны):
- с автономным питанием;
- с питание от телефонной линии;
- с питание от электросети;
- управляемые дистанционно;
- использующие функцию включения по голосу;
- полуактивные;
- с накоплением информации.
4.1.2. Электронные «уши»:
- микрофоны с проводами;
- электронные стетоскопы;
- микрофоны с острой диаграммой направленности;
- лазерные микрофоны;
- микрофоны с передачей через сеть 220 В;
- прослушивание через микрофон телефонной трубки;
- гидроакустические микрофоны.
4.1.3. Устройства перехвата телефонных сообщений:
- непосредственно подключения к телефонной линии;
- подключения с использованием индукционных датчиков (датчики Холла и др.);
- с использованием датчиков, расположенных внутри телефонного аппарата;
- телефонный радиотранслятор;
- перехвата сообщений сотовой телефонной связи;
- перехвата пейджерных сообщений;
- перехвата факсимильных сообщений;
- специальные многоканальные устройства перехвата телефонных сообщений.
4.1.4. Устройства приема, записи, управления:
- приемник для радиомикрофонов;
- устройства записи;
- ретрансляторы;
- устройства записи и передачи в ускоренном режиме;
- устройства дистанционного управления.
4.1.5. Видеосистемы записи и наблюдения.
4.1.6. Системы определения местоположения контролируемого объекта.
4.1.7. Системы контроля компьютеров и компьютерных сетей.
Контрмеры.
5.1. Выберите соответствие вашей системы защиты, стандартам в области защиты информации:
- ISO 7498 – 2 (X.800). Стандарт посвящен описанию архитектуры безопасности по отношению к модели взаимодействия открытых систем (OSI);
- ISO 8732. Стандарт посвящен управлению ключами в банковских системах;
- ISO 9564. Стандарт посвящен методам управления и обеспечения безопасности персонального идентификационного номера (PIN);
- ISO/IEC 9594 – 8 (Х.509) Данный стандарт посвящен двум типам аутентификации – простой и строгой;
- ISO/IEC 9796. Стандарт определяет унифицированный механизм, реализующий электронную цифровую подпись (ЭЦП);
- ANSI X3.92. Стандарт специфицирует DES – алгоритм, который в рамках этого стандарта представляется как алгоритм шифрования данных;
- ANSI X9.31. Стандарт описывает алгоритм генерации и проверки ЭЦП на основе алгоритма RSA;
- ANSI X9.42. Стандарт описывает несколько вариантов применения алгоритма неаутентификационного обмена ключами типа Диффи – Хэлмана, обеспечивающих распределение симметричных ключей;
- ГОСТ 28147 – 89. Отечественный стандарт блочного шифрования данных;
- ГОСТ Р34.10 – 94. Электронная цифровая подпись.