- •Экзаменационные вопросы по курсу «Безопасность информационных систем»
- •Функционально-структурная организация информационных систем на архитектуре «клиент-сервер»
- •Функционально-структурная организация информационных систем на web-архитектуре
- •Структура построения политика информационной безопасности объекта защиты.
- •Описание объекта защиты. Определение основных приоритетов информационной безопасности.
- •Анализ рисков. Формирование перечня критичных ресурсов.
- •Определение основных приоритетов информационной безопасности в инфокоммуникационной системе
- •Модель нарушителя в инфокоммуникационной системе в закрытом контуре лвс
- •Модель нарушителя в инфокоммуникационной системе в открытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в закрытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в открытом контуре лвс
- •Общие требования построения защищенной инфокоммуникационной системе
- •3.1. Общие требования к подсистемам «закрытого» и «открытого» контуров ис
- •3.1.1. Общие требования к подсистеме резервирования и восстановления информации
- •3.1.4. Подсистема антивирусного контроля
- •Общие требования к подсистеме обеспечения безопасности сетевого взаимодействия
- •Требования к подсистеме аутентификации и управления доступом
- •Требования к подсистеме криптографической защиты информации
- •Требования к подсистеме антивирусной защиты
- •Требования к подсистеме резервирования и восстановления информации
- •Требования к подсистеме контроля эталонного состояния информации и рабочей среды
- •Требования к подсистеме управления безопасностью
- •Требования к средствам построения защищенных виртуальных сетей (vpn)
- •Технические решения по защите от нсд межсетевого взаимодействия и передаваемой информации
- •Протокол формирования защищенного туннеля на канальном уровне pptp (Point-to-PointTunnelingProtocol),
- •Протокол формирования защищенного туннеля на канальном уровне l2f (Layer-2 Forwarding)
- •Протокол формирования защищенного туннеля на канальном уровне l2tp (Layer-2 TunnelingProtocol)
- •Общее описание стека протоколов защиты межсетевого уровня iPsec (InternetProtocolSecurity).
- •Протокол обмена ключевой информацией ike (InternetKeyExchange)
- •Протокол аутентифицирующего заголовка (AuthenticationHeader, ан);
- •Протокол инкапсулирующей защиты содержимого (EncapsulatingSecurityPayload, esp).
- •Технические решения по защите от нсд компьютерных ресурсов на уровне серверов и рабочих станций лвс
- •4.1. Технические решения для защиты компьютерных ресурсов серверов и арм
- •4.1.2. Решения по ос hp-ux для обеспечения корпоративной безопасности
- •4.1.3. Организационно-технические решения для защиты субд Oracle
- •4.1.4. Организационно-технические решения для защиты сервера бд
- •4.1.5. Организационно-технические решения для защиты арм пользователей ис
- •Технические решения по реализации подсистемы аутентификации и идентификации
- •Построение системы управления информационной безопаснстью
4.1.4. Организационно-технические решения для защиты сервера бд
В качестве возможных мероприятий по ограничению потенциальных угроз со стороны администратора _DBA могут быть выполнены следующие действия:
– создать замкнутую программную среду на АРМ администратора приложений для предотвращения запуска с него клиентского приложения прикладного ПО;
– установить средств защиты от НСД (аутентификация пользователя) на АРМ пользователей «закрытого» контура ИС для предотвращения доступа администратора на эти АРМ;
– организовать виртуальные выделенные подсети, объединяющие АРМ групп пользователей «закрытого» контура с различными полномочиями, с целью запрета доступа к серверу БД неразрешенных АРМ.
4.1.5. Организационно-технические решения для защиты арм пользователей ис
1. Использовать только сертифицированные СЗИ от НСД на каждом АРМ. Настройку СЗИ от НСД на каждом АРМ производить индивидуально, с учётом задач, независимо от используемой ОС. Блокировать выполнение пользователем собственных задач, не разрешенных АИБ.
2. В минимальной конфигурации СЗИ от НСД на каждом АРМ должны обеспечивать:
– создание закрытой программной среды для каждого пользователя (позволяет запускать только указанный набор программ и/или процессов);
– идентификацию и аутентификацию пользователей, предоставление доступа к компьютерным ресурсам только путем ввода пароля с клавиатуры;
– контроль целостности программного обеспечения СЗИ от НСД до входа пользователя в операционную систему;
– контроль целостности файлов системного и прикладного ПО, расположенных локально;
– разграничение доступа к локальным каталогам и файлам АРМ, обеспечивающее защиту от модификации системного и прикладного ПО АРМ;
– регистрацию попыток доступа к наиболее важным объектам локальной файловой системы компьютера;
– блокирование работы пользователей в случае нарушения ограничений, введенных СЗИ от НСД.
3. Управление доступом пользователей АРМ должно основываться на стандартных механизмах идентификации, аутентификации и разграничения доступа к ресурсам, предоставляемых:
– BIOS АРМ;
–СЗИ от НСД;
– ОС Windows;
– сетевой ОС;
– СУБД Oracle;
– серверами SecurID или Kerberos и др.
4. Завершение работы пользователя АРМ должно сопровождаться освобождением всех используемых ресурсов (выход из системы).
5. Настройка СЗИ от НСД должна запрещать пользователю выполнение следующих действий (табл. 4.2).
Таблица 4.2
Запрет на действия пользователя АРМ
-
Запрет
Пояснения
Загрузка с внешних носителей
Запрещается загрузка компьютера с системной дискеты или с загрузочного CD–диска
Работа при нарушении целостности
При обнаружении факта нарушения целостности контролируемых файлов доступ пользователя к компьютеру блокируется
Работа при изъятии аппаратной поддержки
При обнаружении факта изъятия устройства аппаратной поддержки из компьютера доступ пользователя к компьютеру блокируется. При попытке пользователя войти в систему на экран будет выведено предупреждающее сообщение, и загрузка компьютера будет прервана
Работа при изменении конфигурации
При обнаружении факта изменения конфигурации компьютера доступ пользователя к компьютеру блокируется. При попытке пользователя войти в систему на экран выводится предупреждающее сообщение, и загрузка компьютера прерывается
Доступа к портам
Пользователю запрещается обмен информацией через коммуникационные порты компьютера
Редактирования системного реестра
Пользователю запрещается изменять параметры системного реестра
Изменения настроек сети
Пользователю запрещено изменение параметров работы сетевой карточки, сетевых протоколов и других настроек «сетевого окружения» в операционной системе
Изменения параметров безопасности
Пользователю запрещен доступ к изменению политик безопасности.
Выполнения функций, не определенных технологическим процессом
Пользователю запрещено выполнять программное обеспечение, не используемое в технологическом процессе