3.Предусматривать наличие администратора или целой службы защиты информации, ответственных за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС.
4.Проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью специальных программных средств не реже одного раза в год.
5.Иметь в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
6.Использовать только сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.
Аппаратный контроллер
Представляет собой плату (ISA/PCI), устанавливаемую в
один из слотов расширения материнской платы ПЭВМ. Аппаратный контроллер содержит ПЗУ с программным обеспечением, разъем для подключения считывателя информации и дополнительные устройства.
В качестве дополнительных устройств на аппаратном контроллере могут быть установлены реле блокировки загрузки внешних устройств (FDD, CD-ROM, SCSI, ZIP и т.п.); аппаратный датчик случайных чисел; энергонезависимая память.
Считыватель информации
Устройство, |
предназначенное |
для |
В качестве считывателей информации |
||||
считывания |
|
информации |
с |
могут использоваться считыватели |
|||
предъявляемого |
|
пользователем |
смарт-карт (Smart Card Reader) |
||||
персонального идентификатора. |
контактные и бескотактные, а также |
||||||
Наиболее часто в комплексах защиты |
биометрические |
считыватели |
|||||
от НСД применяются |
считыватели |
информации, |
позволяющие |
||||
информации |
|
с |
персональных |
идентифицировать |
пользователя по |
||
идентификаторов |
типа |
Touch |
его биометрическим характеристикам |
||||
Memory |
(Ibutton) |
DS199X, |
(отпечаток пальца, личная подпись и |
||||
представляющие |
собой |
контактные |
т.п.). |
|
|||
устройства.
Персональный идентификатор пользователя
Аппаратное устройство, обладающее уникальными некопируемыми характеристиками.
Наиболее часто в системах защиты от НСД используются идентификаторы типа Touch-Memory (Ibutton), представляющие собой электронную схему, снабженную элементом питания и обладающую уникальным идентификационным номером длиной 64 бита, который формируется технологически. Срок эксплуатации электронного идентификатора, составляет около 10 лет.
Помимо ТМ-идентификаторов, в системах защиты от НСД используются идентификаторы типа Smart Card («Смарт-карта»). Смарт-карта представляет собой пластиковую карточку, со встроенной в нее микросхемой, содержащей энергонезависимую перезаписываемую память.
Дополнительные механизмы защиты от несанкционированного доступа к ПЭВМ
ограничение времени «жизни» пароля и его минимальной длины, исключая возможность быстрого его подбора в случае утери пользователем персонального идентификатора;
использование «временных ограничений» для входа пользователей в систему путем установки для каждого пользователя интервала времени по дням недели, в котором разрешена работа;
установка параметров управления хранителя экрана - гашение экрана через заранее определенный интервал времени (в случае если в течение указанного интервала действия оператором не выполнялись). Возможность продолжения работы предоставляется только после проведения повторной идентификации по предъявлению персонального идентификатора пользователя (или пароля);
установка для каждого пользователя ограничений по выводу защищаемой информации на отчуждаемые носители (внешние магнитные носители, порты принтеров и коммуникационных устройств и т.п.);
периодическое осуществление проверки целостности системных файлов, в том числе файлов программной части системы защиты, а также пользовательских программ и данных;
контроль обращения к операционной системе напрямую, в обход прерываний ОС, для исключения возможности функционирования программ отладки и разработки, а также программ «вирусов»;
исключение возможности использования ПЭВМ при отсутствии аппаратного контроллера системы защиты, для исключения возможности загрузки операционной системы пользователями со снятой системой защиты;
использование механизмов создания изолированной программной среды, запрещающей запуск исполняемых файлов с внешних носителей либо внедренных в ОС, а также исключающей несанкционированный вход незарегистрированных пользователей в ОС;
индикация попыток несанкционированного доступа к ПЭВМ и защищаемым ресурсам в реальном времени путем подачи звуковых, визуальных или иных сигналов.
Защита от несанкционированного межсетевого доступа
Основные угрозы: |
|
угрозы неправомерного вторжения во внутреннюю сеть из |
|
|
внешней |
Цели: |
|
|
несанкционированного использования ресурсов внутренней сети |
|
нарушения ее работоспособности. |
угрозы несанкционированного доступа во внешнюю сеть
из внутренней В случае наличия ограничений установленных для:
для предотвращения утечки конфиденциальных данных
при запрете доступа, например, в учебных заведениях, к информации нецензурной и нежелательной направленности
в случае запрета служебного доступа к развлекательным компьютерным
ресурсам в рабочее время
Схема подключения межсетевого экрана
Брандмауэр не является симметричным.
Для него отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю сеть и наоборот.
В общем случае работа межсетевого экрана основана на динамическом выполнении двух групп функций:
1. фильтрации проходящих через него информационных потоков
Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано.
Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности.
2. посредничества при реализации межсетевых взаимодействий.
Брандмауэр должен иметь возможность анализа и использования:
Информации о соединениях - информации от всех семи уровнях в пакете
Истории соединений - информации, полученной от предыдущих соединений. Например, исходящая команда PORT сессии FTP должна быть сохранена для того, чтобы в дальнейшем можно было проверить входящее соединение FTP data
Состояния уровня приложения - информации о состоянии, полученной из других приложений. Например, аутентифицированному до настоящего момента пользователю можно предоставить доступ через брандмауэр только для авторизованных видов сервиса
Агрегирующих элементов - вычислений разнообразных выражений, основанных на всех вышеперечисленных факторах.