- •Задачи и методы защиты информации от нсд Компьютерные системы зи
- •Методы защиты информации
- •Идентификация и аутентификация пользователей
- •Ограничение доступа на вход в систему
- •Разграничение доступа
- •Регистрация событий (аудит)
- •Контроль целостности
- •Управление политикой безопасности
- •Уничтожение остаточной информации
- •Защита программ от несанкционированного копирования
- •Методы, затрудняющие считывание скопированной информации
- •Методы, препятствующие использованию скопированной информации
- •Основные функции средств защиты от копирования
- •Основные методы защиты от копирования Криптографические методы
- •Метод привязки к идентификатору
- •Методы, основанные на работа с переходами и стеком
- •Манипуляции с кодом программы
- •Методы противодействия динамическим способам снятия защиты программ от копирования
- •Межсетевые экраны (мэ)
- •Развитие технологий мэ
- •Фильтрация пакетов
- •Трансляция сетевых адресов
- •Процесс фильтрации пакетов
- •Межсетевые экраны уровня соединения
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны прикладного уровня
- •Межсетевой экран с динамической фильтрацией пакетов
- •Межсетевые экраны и инспекции состояния
- •Персональные межсетевые экраны
- •Распределенные межсетевые экраны
- •Обход мэ
- •Постепенный подход
- •Туннелирование
- •Несущий протокол
- •Протокол-пассажир
- •Протокол инкапсуляции
- •Требования и показатели защищенности межсетевых экранов
Контроль целостности
Для организации доверенной загрузки дополнительно применяется процедура проверки целостности системного программного обеспечения и аппаратуры.
Многие СЗИ позволяют администратору безопасности назначить для проверки критичные, на его взгляд, аппаратные составляющие компьютерной системы.
Специальная подпрограмма должна проверить состав АС на предмет штатной комплектности, наличия "чужих" комплектующих (НЖМД, видеокарта и т. д.). Кроме того, администратор безопасности может назначить для проверки целостности критичные файлы системного ПО, их неизменность с момента последней доверенной загрузки, что может осуществляться, например, с помощью вычисления контрольных сумм.
Для организации контроля целостности аппаратуры и системного программного обеспечения необходимо наличие аппаратной составляющей СЗИ, которая имеет свой вычислитель и память, и включается в работу до обращения компьютера к жесткому диску.
При контроле целостности файлов учитываются:
-
наличие файла,
-
его размер,
-
дата и время последней модификации,
-
контрольная сумма данных, содержащихся в файле.
При нарушении какого-либо параметра в журнале регистрации событий фиксируется факт нарушения целостности, и, как правило, дальнейшая загрузка системы блокируется с разрешением последующего входа только администратору безопасности.
Существует контроль целостности:
-
всей системы защиты в целом
-
критических файлов ОС (драйвера)
-
аппаратно-технический (жесткие диски…)
Управление политикой безопасности
Для претворения в жизнь принятой в организации политики безопасности, которая включает все описанные методы защиты, администратор безопасности должен осуществлять настройку операционной системы и СЗИ имеющимися в них средствами. В любой системе защиты присутствует ряд специфичных настроек, часть из которых имеют существенное значение, а часть являются второстепенными, но также оказывающими влияние на состояние защищенности системы.
Под методом "Управление политикой безопасности" будем понимать выполнение совокупности настроек разноплановых параметров, которые позволяют установить в системе определенное состояние защищенности.
Управление политикой безопасности оказывает свое влияние на обеспечение всех требований к системе защиты информации, сформулированных в теме 1.
В ОС семейства Windows NT настройки безопасности могут быть выполнены либо напрямую через редактирование реестра ОС, либо с использованием инструмента (оснастки) "Локальная политика безопасности". Указанная оснастка, в конечном счете, также вносит изменения в реестр ОС, однако обладает более удобным интерфейсом, чем редактор реестра.
Настраиваемые параметры безопасности условно могут быть разделены на четыре основные группы:
-
политики учетных записей (включающие политику паролей и политику блокировки),
-
политики аудита,
-
назначение прав пользователя,
-
параметры безопасности.
Для группы "Политики учетных записей" с целью повышения эффективности применения механизмов парольной защиты рекомендуется устанавливать следующие параметры:
-
Максимальный срок действия паролей – 30-40 дней;
-
Требовать не повторяемость паролей - 8 паролей;
-
Минимальная длина пароля - 8-10 символов;
-
Пароли должны отвечать требованиям сложности;
-
Блокировка учетной записи на 30 минут;
-
Пороговое значение блокировки - 3 ошибки входа;
-
Сброс счетчика блокировки - через 30 минут.
Группа "Назначение прав пользователя" описывает возможности, которые предоставляются той или иной категории пользователей. Для защищенной рабочей станции рекомендуется назначить наиболее опасные с точки зрения безопасности права следующим категориям пользователей:
-
Архивирование файлов и каталогов - операторы архива;
-
Восстановление файлов и каталогов - операторы архива;
-
Доступ к компьютеру по сети - удалить всех;
-
Завершение работы системы - администраторы;
-
Загрузка и выгрузка драйверов устройств - администраторы;
-
Изменение системного времени - администраторы;
-
Локальный вход в систему - администраторы, операторы архива, пользователи;
-
Овладение файлами или иными объектами - администраторы;
-
Профилирование загруженности системы - администраторы;
-
Профилирование загруженности процесса - администраторы;
-
Управление аудитом и журналом безопасности - администраторы.
В группе "Параметры безопасности" обязательно рекомендуется включать параметры:
-
Не отображать последнего имени пользователя;
-
Очистка страничного файла виртуальной памяти;
-
Разрешить доступ к НГМД только локальным пользователям;
-
Запретить перезагрузку без регистрации.
В связи с большим количеством настраиваемых параметров в ОС Windows предлагается технология настройки параметров безопасности с использованием шаблонов.
Шаблоном является конфигурационный текстовый файл, содержащий типичные настройки для различных уровней защищенности:
-
базового,
-
защищенного,
-
высоко защищенного.
Имеющиеся стандартные шаблоны могут быть доработаны, в дополнение к ним могут быть созданы иные шаблоны.
Просмотр, создание и редактирование шаблонов безопасности осуществляется с помощью оснастки "Шаблоны безопасности".