- •Оглавление
- •Введение
- •Назначение системы Secret Net
- •Технология управления информационной безопасностью
- •Варианты применения системы
- •Общая архитектура и компоненты
- •Состав серверной части
- •Подсистема управления
- •Состав клиентской части
- •Агент сервера безопасности
- •Локальная база данных системы защиты
- •Подсистема идентификации
- •Подсистема контроля целостности
- •Подсистема полномочного управления доступом
- •Подсистема криптографической защиты информации
- •Компонента защиты от загрузки
- •Взаимодействие серверной и клиентской частей
- •Основные средства защиты
- •Защита от несанкционированного входа в систему
- •Механизм идентификации и аутентификации пользователей
- •Функция временной блокировки компьютера
- •Функция программной защиты от загрузки с гибкого диска
- •Аппаратные средства внешней защиты
- •Управление доступом пользователей к ресурсам
- •Объекты управления и защиты
- •Механизмы разграничения доступа
- •Механизм избирательного управления доступом
- •Механизм полномочного управления доступом
- •Механизм замкнутой программной среды
- •Криптографическая защита информации
- •Криптографическая защита файлов
- •Криптографические ключи
- •Условия применения криптографической защиты
- •Средства контроля работы системы защиты
- •Механизм регистрации событий
- •Механизм контроля целостности
- •Основные понятия и термины
Принципы построения и применения |
7 |
ГЛАВА 2. Технология управления информационной безопасностью
Система Secret Net реализована с использованием принципиально новой технологии управления информационной безопасности в современных информационных системах, которая была разработана специалистами ЗАО НИП “ИНФОРМЗАЩИТА”. В основе технологииинформационнойбезопасностилежатследующиепринципы:
•Двухуровневоеописание состояниясистемызащиты, позволяющеесоздатьуровень “как должно быть”, формально описывающий положения принятой в организации политики безопасности, и уровень “как есть на самом деле”, отражающий реально действующие настройки средств защиты для ресурсов корпоративной сети (компьютеров, пользователей, устройств и т.д.).
•Создание объектов управления доступом, отображающих реальные объекты предметной области (например, “сотрудник”, “задача, решаемая сотрудником”, “автоматизированное рабочее место” “помещение, в котором расположено автоматизированное рабочее место” и другие объекты).
•Документоориентированный подход к управлению системой защиты. Этот подход позволяет управлять доступом к ресурсам при помощи формализованных электронных документов (заявок), а также контролировать состояние информационной безопасности корпоративной сети с помощью типовых отчетных документов, принятых в организации (формуляры АРМ, формуляры задач, перечни пользователей и их полномочий, перечни нарушений и т.п.).
•Смешанное управление безопасностью, обеспечивающее централизованное управление основными настройками системы, сбором, обработкой и анализом сведений от всех средств защиты, используемых в корпоративной сети, а также децентрализованное изменение необходимых настроек системы защитынаместахс последующим отображением этих изменений в центральной базе данных.
•Привлечение к созданию формального описания политики безопасности различных категорий пользователей корпоративной сети - специалистов подразделений автоматизации, разработчиков прикладных систем, сотрудников отдела кадров.
•Использование на серверах и рабочих станциях активных агентов, позволяющих обеспечить смешанное управление безопасностью и формирование контура “как есть”, а также синхронизацию изменений, происходящих как в центральной базе данных системы защиты, так и в локальных базах данных на рабочих местах.
•Использование средств криптографической защиты информации для обеспечения усиленной аутентификации пользователей, шифрования информации, передаваемой в корпоративной сети и хранимой на серверах и рабочих станциях.
•Модульность и наращиваемость системы. Эти свойства упрощают ввод системы защиты в эксплуатацию и поэтапную активизацию возможностей системы путем подключения дополнительных компонент.
8 |
Система защиты Secret Net |
ГЛАВА 3. Варианты применения системы
Взависимости от структуры (структурной организации) автоматизированной информационной системы предприятия и используемых операционных сред (программных средств), возможныразличные вариантыприменения системыSecret Net.
Внастоящее время в состав системы защиты входят клиенты сервера безопасности, позволяющие организовать защиту рабочих станций и серверов сети, работающих под управлением следующих операционных систем:
•операционные системы семейства Windows’9x (Windows 95, OSR2, Windows 98)
с файловой системой FAT12, FAT16 или FAT32;
•операционная система Windows NT;
•операционная система Windows 2000;
•операционная система MP-RAS.
Любой вариант применения требуется наличие в защищаемой автоматизированной системе сервера безопасности Secret Net, а также программ подсистемы управления, обеспечивающих централизованное управление системой защиты. Без этих составных частей системы Secret Net ее применение невозможно.
Сервер безопасности и программы подсистемы управления устанавливаются на компьютеры, оснащенные процессорами, совместимыми с процессорами семейства INTEL X86, и работающие под управлением операционных систем Windows NT
версии 4.0 (Service Pack 6) или Windows 2000 версии 4.0 (Service Pack 2). При этом на компьютере, на который устанавливаются программы подсистемы управления, предварительно должен быть установлен клиент Secret Net для Windows NT или Windows 2000 (в зависимости от операционной системы компьютера).
Система Secret Net поддерживает работу с протоколами сетевого обмена TCP/IP и IPX. Эти протоколы используются для организации обмена данными между компонентами системы защиты по локальной сети. Поэтому на серверах и рабочих станциях, на которых будут размещаться компоненты системы защиты, должны быть установлены программные компоненты, обеспечивающие работу с сетевыми протоколами TCP/IP, IPX.
Отличия вариантов применения системы Secret Net определяются выбором клиентов сервера безопасности, которые будут обеспечивать защиту рабочих станций и серверов сети, а также используемым набором аппаратных средств системы защиты.