3.3 Создание подсистемы безопасности.

Защита любого объекта включает несколько рубежей, число которых зависит от уровня режимности объекта. При этом во всех случаях важным рубежом будет система управления контроля доступом на объект. Система контроля и управления доступом (СКУД) – это обязательный элемент комплексной системы безопасности и неотъемлемая часть современного офиса, как система электронного документооборота или система кондиционирования.

Современные системы контроля и управления доступом эффективно решают задачи обеспечения безопасности любого уровня, осуществляют предупреждение о проникновении посторонних лиц на подконтрольную территорию, а также способствуют повышению дисциплины труда благодаря учету рабочего времени сотрудников компании. Высокий уровень безопасности может достигаться дублированием идентификации. Например, дополнительно к проверке электронного ключа посетителя может применяться ввод кода доступа с клавиатуры, либо идентификация голоса. В современных комплексах СКУД присутствует подсистема "тихой тревоги", которая вводится в случае какой-либо угрозы и оповещает о ней службу безопасности.

Что нужно для того, чтобы обезопасить информационную систему предприятия от неприятностей, связанных с проблемами электропитания? Разумеется, независимый источник питания, мощность которого превышает полезную потребляемую мощность ИС — от десятков киловольтампер в случае малых офисов до сотен киловольтампер для крупных организаций. Дизель-генератор — вещь хорошая и нужная, но для его запуска в работу требуется время — в самом лучшем случае секунды. А для того чтобы полностью парализовать всю компьютерную систему вашей организации, хватит и сотых долей секунды. Так что без источников бесперебойного питания все равно не обойтись. Я остановился на модели APC by Schneider Electric Smart-UPS C 1500VA LCD

ИБПAPC by Schneider Electric Smart-UPS C 1500VA LCD

В качестве СКД на всех проходных пунктах я решил установить Sphinx R500 которая обеспечивает доступ по карточкам она представляет собой считыватель, электромагнитный (электромеханический) замок и кнопку на выход. Доводчик необходим для гарантированного закрывания двери после прохода. Система является слаботочной и требует для работы источник питания напряжением 12В.

Контроллер Sphinx R500

Особенности системы : Контроллер Sphinx R500 обеспечивает контроль доступа, выполняет охранные функции (подключение устройств охранно-пожарной сигнализации напрямую к контроллеру), а также управляет электроснабжением (например, обесточивает сеть в отсутствие сотрудников)

Для решения следующих проблем: защита информационных ресурсов ПК, защита от вредоносного ПО, будет использоваться Антивирус Касперского 6.0 R2 для Windows.

Основные функции:

· Защита от вирусов, троянцев, шпионского ПО и других угроз в режиме реального времени;

· Централизованное управление безопасностью сети;

· Повышение производительности труда за счет ограничения доступа сотрудников к интернету и приложениям;

· Автоматическое резервное копирование по расписанию для надежной защиты конфиденциальных данных;

· Хранение ценных данных в зашифрованных файлах-контейнерах, которые можно пересылать по электронной почте или записывать на USB-устройства;

· Создание и безопасное хранение стойких паролей для вас и ваших сотрудников (обеспечивается работа и с 32-разрядными приложениями и браузерами);

· Постоянная антивирусная защита и регулярные обновления, не замедляющие работу компьютеров;

· Простое управление безопасностью вашей сети без помощи ИТ-специалиста;

· Передовые технологии для защиты от хакерских атак;

· Удобная настройка защиты локальной сети, в т.ч. Wi-Fi соединений;

· Файловый шредер для предотвращения восстановления и кражи удаленных документов;

· Круглосуточная техническая поддержка, предоставляемая «Лабораторией Касперского» и/или ее партнерами;

Для решения проблемы разграничение доступа:

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - фильтровать пакеты, не подходящие под критерии, определённые в конфигурации.

При осуществлении взаимодействия сети офиса с сетями других организаций и фирм по Интернет или при удаленном доступе сотрудников к глобальной сети, возможен перехват и несанкционированный доступ к передаваемой конфиденциальной информации.

Для защиты локальной сети предприятия от удалённых атак можно использовать межсетевой экран ZyWALL 2 EE от компании Zyxel

ZyWALL 2 EE

Он ориентирован на защиту Интернет-каналов и локальных сетей предприятий малого бизнеса и региональных филиалов. Встроенный четырехпортовый коммутатор Fast Ethernet позволяет в большинстве случаев обойтись без дополнительного сетевого оборудования. Порт RS-232 может быть использован как для локального управления, так и для резервирования доступа в Интернет, Для подключения к глобальной Сети служит порт 10/100 Мбит/с Ethernet. Все Ethernet-порты - с автоматическим определением скорости и типа используемого соединительного кабеля, что позволяет максимально упростить пользование устройством и модернизацию сети. ZyWALL 2 ЕЕ позволяет организовать два VPN-туннеля.

На сервере установлена ОС Windows 2003 Server, средствами которой и будет обеспечиваться VPN. Следует также подкорректировать настройки ОС сервера для обеспечения лучшего разграничения доступа к ресурсам и работ служб.

Также необходимо проводить организационные меры по работе с персоналом: разъяснять их возможности доступа, объяснять и следить за правильностью работы с внешними носителями информации и устанавливаемыми приложениями, контролировать актуальность антивирусных баз на компьютерах пользователей, довести до их сведения как правильно необходимо хранить секретные данные.

Функции безопасности, обеспечиваемые Windows 2003 Server:

Аутентификация (проверка подлинности). Это процесс надежного определения подлинности поддерживающих связь компьютеров. Аутентификация основана на методах криптографии, и это гарантирует, что нападающий или прослушивающий сеть не сможет получить информацию, необходимую для рассекречивания пользователя или другого объекта.

Аутентификация пользователей в сети будет осуществляться посредством аутентификации через Windows Server 2003. Также на Windows Server 2003 будет производится настройка разграничения доступа к информационным ресурсам как локальной рабочей станции, так и при защите ЛВС в целом.

Особое место занимает корректная настройка именно серверной ОС, благодаря которой осуществляется половина защиты и разграничения доступа в сети.

Защита информационных ресурсов локальной рабочей станции будет осуществляться с применением антивируса.

Для проверки качественной защищенности сети существует программное обеспечение. В этих целях можно использовать программу Nsauditor Network Security Auditor, которая используется в области сканирования уязвимости сетей. Данную программу необходимо использовать как при внедрении проекта, так и при дальнейшей работе сети.

В качестве дополнительной меры средства контроля доступа к ПК я решил использовать современную технологию электронных ключей Rutoken WEB .

Rutoken WEB

Электронный идентификатор Rutoken - это компактное устройство в виде USB-брелока, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.

Rutoken с успехом заменяет любые парольные системы защиты, ведь теперь не нужно запоминать множество логинов и сложных паролей, все они надежно хранятся в памяти токена. Все что должен сделать пользователь - подключить токен к USB-порту и набрать PIN-код. Таким образом, осуществляется двухфакторная аутентификация, когда доступ к информации можно получить, только обладая уникальным предметом (токеном) и зная некоторую уникальную комбинацию символов (PIN-код).

Rutoken выступает удачной альтернативой другим аппаратным носителям ключевой информации: смарт-картам, i-button, не говоря уже о дискетах. Действительно, Rutoken - это аналог смарт-карты, но для работы с ним не требуется дополнительное оборудование (считыватель), данные надежно хранятся в энергонезависимой памяти токена объемом до 128 Кб, прочный корпус Rutoken устойчив к внешним воздействиям. Основу Rutoken составляет микроконтроллер, который выполняет криптографическое преобразование данных, и память, в которой хранятся данные пользователя (пароли, сертификаты, ключи шифрования и т.д.).

Электронные идентификаторы обычно используются в комплексе с соответствующими программно-аппаратными средствами. Rutoken поддерживает основные промышленные стандарты, что позволяет без труда использовать токены в уже существующих системах безопасности информации.

Rutoken разработан компаниями "Актив" и "Анкад" с учетом современных требований к устройствам защиты информации. Главным отличием Rutoken от зарубежных аналогов является аппаратно реализованный российский стандарт шифрования - ГОСТ 28147-89

Схема предприятия ООО "САТУРН"

Так же желательно формирование совета по безопасности. Для совета выбирается один представитель от каждого отдела. Это позволит службе безопасности иметь как бы своего делегата в каждом отделе, который будет пояснять программу безопасности и сам иногда проводить тренинги. Созданный таким образом совет обучает работников и выявляет возникающие проблемы по защите информации предприятия. Такая система имеет следующие преимущества:

1. укрепляются связи между сотрудниками службы безопасности и сотрудниками производства;

2. растет понимание требований защиты информации сотрудниками;

3. развиваются и совершенствуются стратегии обеспечения защиты информации в каждом отделе, получается поддержка правил и норм, установленных администрацией.