Пространственная модель объекта защиты

Содержание

 

Содержание 3

Введение 4

1 Анализ объекта защиты 6

1.1 Пространственная модель объекта защиты 6

1.2. Моделирование угроз безопасности информации 8

1.3 Описание среды передачи данны 9

1.4 Каналы утечки конфиденциальной информации 13

1.5 Комплексные меры по защите информации 15

1.6 Организационная защита 19

2 Аппаратные методы защиты Информации 32

2.1 Охранно пожарные средства защиты объекта 32

2.2 Программно аппаратный комплекс «Росомаха» 49

3 Программные методы защиты информации 54

3.1 Firewall ESET Smart Security 54

Заключение 66

Список литературы 67

 

 

Введение

В современном мире создаются все новые и новые информационные технологии, которые улучшают и облегчают работу человека. Если прошедшие века характеризовались такими словами, как «металлический», «феодальный», прошлый век – «ядерный», то нынешний век без преувеличения можно назвать «информационный». Ключевой термин – информация – приобретает сейчас наибольшую ценность. Доступ к необходимой информации открывает неограниченные возможности. Но в настоящее время доступ к информации, представляющей ценность и являющейся собственностью ограниченной нормативными и правовыми документами, устанавливающими права доступа к информации. Тем не менее, всегда существует информационная угроза в лице конкурентов, недоброжелателей, иностранных разведок. Именно поэтому информацию необходимо защищать.

Учитывая активность, непрерывность, скрытность разведки, большое количество потенциальных источников информации, проблема защиты информации относится к числу сложных слабо формализуемых задач. Несмотря на большие достижения науки, число проблем, разрешимых строго математически, существенно меньше числа существующих проблем. Тем не менее человеком накоплен опыт по решению задач, и он оформлен в виде науки, которая называется системным подходом к решению слабо формализуемых проблем.

С позиции системного подхода совокупность взаимосвязанных элементов, функционирующих с целью обеспечения безопасности информации, образуют систему защиты информации. Такими элементами являются люди, т.е. руководители сотрудники службы безопасности; объект защиты, представляющий собой здание, инженерные конструкции. средства вычислительной техники, технические средства защиты информации и контроля ее эффективности. Проектирование требуемой системы защиты информации начинается с системного анализа существующей системы защиты информации, которая включает:

- моделирование объекта защиты

Определение источников защищаемой информации (люди, документы, физические поля, материальные объекты)

Описание пространственного расположения основных мест расположения источников защищаемой информации.

- моделирование угроз безопасности информации

- моделирование физического проникновения злоумышленника к источникам информации

 - моделирование технических каналов утечки

Данная курсовая представляет собой создание системы защиты информации в кабинете преподавателей физкультуры.

Анализ объекта защиты

Организационная защита

Как известно, большая часть повреждения и утечки информации происходит по вине персонала. Поэтому на персонал надо обратить самое пристальное внимание.

В частности необходимо всеми доступными методами обеспечивать лояльность персонала, проводить специализированное обучение и разъяснения на тему «Наиболее распространенные заблуждения, предубеждения и ошибки, приводящие к искажению, уничтожению и утечке информации». Очень важным, с моей точки зрения, составление грамотной политики безопасности и ознакомление с ней под подпись всех сотрудников.

В этой части я написал политику безопасности в соответствии с особенностями данного помещения.

Общим принципом политики сетевой безопасности в Корпорации является запрет всех видов доступа и всех действий, которые не разрешены явно данной политикой. Другими словами, если нет специального разрешения на проведение конкретных действий или использование конкретных сетевых ресурсов, то такие действия или такое использование запрещены, а лица, их осуществляющие подлежат наказаниям, описанным позднее в этой политике.

Эта политика состоит из двух основных частей - политики для работы в отдельной сети и политики для работы в межсетевой среде. Межсетевая среда(интернет) - это термин, применяемый при описании ситуации, когда более чем одна сеть соединены между собой и две или более сетей могут обмениваться данными между собой. Примерами межсетевой среды является Интернет, а также корпоративная сеть, и эта политика будет использовать такую нотацию при ссылке на них. Эта политика применима в равной степени ко всему интернет, но некоторые ее компоненты специально описаны для среды интернет. Рассмотрение ситуации работы в сети и межсетевой среде в дальнейшем разбивается на две под проблемы - периметр безопасности и внутренняя безопасность. Для сети, которая не присоединена к интернету, периметр безопасности не нужен, иначе, для того чтобы защитить соединение с интернетом, нужно реализовать элементы политик периметра безопасности. Политика внутренней безопасности одинаково применима как к сетям, так и к интернету, политика же периметра безопасности применима только к интернету.

Сетевая часть политики описывает подход к обеспечению безопасности для одной сети, обычно ЛВС, независимо от того, присоединена она к интернету или нет. Межсетевая часть этой политики описывает подход к проблеме безопасности в любой сети, соединенной с другой сетью, независимо от того, осуществляется ли это соединение через одну ЛВС, группу ЛВС или глобальную сеть, такую как Интернет. Соединения через глобальную сеть могут быть выделенными каналами между удаленными друг от друга местами или соединениями через Интернет.

Описание политики

Сети.

Политика безопасности, описываемая здесь, в равной степени применима ко всем сетевым компонентам организации.

Интересы организации.

Сетевые ресурсы Корпорации существуют лишь для того, чтобы поддерживать деятельность организации. В некоторых случаях тяжело провести черту между интересами организации (служебными интересами) и другими интересами. Система конференций и электронной почты Интернета являются примерами смешения интересов организации и личных интересов сотрудников по использованию этих ресурсов. Корпорация понимает, что попытки использования ограничений типа “только в интересах Корпорации” в этих случаях бессмысленны. Поэтому необходимо дать рекомендации, а не строгие требования в отношении информационных ресурсов, которые служат для решения не только задач, стоящих перед Корпорацией. Начальники отделов имеют право принять решение о допустимости использования сетевых ресурсов сотрудниками для решения задач, отличных от чисто служебных, в том случае, если при этом повышается эффективность работы данного сотрудника. С другой стороны начальники отделов должны препятствовать некорректному использованию сетевых ресурсов, как для личных целей, так и для целей отдыха и развлечения сотрудников, но могут допустить такое использование ресурсов, там где оно морально или повышает эффективность работы. Сетевые администраторы имеют право и должны сообщать об инцидентах, связанных с подозреваемым или доказанным использованием сетевых ресурсов не по назначению, начальнику отдела, сотрудники которого были участниками инцидента, и сообщать о нарушениях данной политики своему начальнику отдела.

Принцип “знай только то, что ты должен знать для работы”.

Доступ к информационным ценностям Корпорации не будет осуществлен, если не будет необходимости знать эту информацию. Это значит, что очень критическая информация должна быть защищена и раздроблена на части таким образом, чтобы она была неизвестна основной массе сотрудников. Персональная информация, например, требуется руководителям групп, но им не нужна полная информация о людях, то есть о сотрудниках, работа с которыми не входит в их круг обязанностей.

Выявление необходимости сотруднику знать какую-либо информацию осуществляется младшими начальниками, а ответственность за реализацию принятых решений возлагается на сетевых администраторов в рамках его ответственности. Споры и конфликты будут разрешаться комитетом по безопасности, но доступ к информации, явившейся предметом конфликта, будет запрещен до окончания разрешения конфликта. Другими словами, каждый должен знать только то, что ему положено.

Обмен данными.

Одним из основных показателей значимости сетевых ресурсов является быстрый и точный обмен данными, а также уничтожение избыточных и устаревших данных. В этом вопросе Корпорация поддерживает и поощряет совместное использование и обмен информацией между подразделениями Корпорации там, где этот обмен не входит в противоречие с принципом “знать только то, что тебе нужно для работы”. Не должно происходить импорта и экспорта информационных ценностей между узлами сети без явного разрешения на это, в соответствии с вышеупомянутым принципом. Причина выделения отдельного пункта состоит в необходимости подчеркнуть, что неконтролируемый обмен данными является причиной появления источников порчи информации и их распространения (вирусов и т.д.). Например, как следствие, запрещено вносить данные, полученные вне сетевой инфраструктуры Корпорации, без тщательной проверки на отсутствие источников ее порчи. Из изложенного выше должно быть ясно, что все, что явно не разрешено, - запрещено, так как область обмена данными создает риск целостности данных.

  Аутентификация.

Доступ к любой информационной ценности Корпорации не должен осуществляться без соответствующей аутентификации, кроме случаев, описанных в этом разделе. Руководители подразделений могут принять решение предоставить публичный доступ к некоторой информации Корпорации для ее рекламы и продвижения на рынке. Сети могут иметь службы общего доступа, аналогичные тем, что имеются в BBS. Эти службы не требуют аутентификации или имеют слабую аутентификацию. Если такая служба делается доступной для пользователей сети, которые не являются постоянными сотрудниками Корпорации или работающими в ней по контракту, или как-то иначе подпадающими под юрисдикцию Корпорации, то они должна получать к ней доступ не из сети, а из интернета с применением соответствующих мер защиты периметра безопасности. Другими словами, если информация раскрывается вне Корпорации, то это не может делаться через сеть, а должно осуществляться через интернет с использованием соответствующих средств защиты, например требования аутентификации для получения доступа к частным информационным ценностям.

Аутентификация должна осуществляться способом, согласованным с критичностью используемой информации. В большинстве случаев достаточно традиционных имени и пароля пользователя. В других случаях требуется более сильная аутентификация помимо традиционной. Эти случаи касаются интернета, и не будут рассматриваться в части относительно сетей.

Межсетевой обмен.

Взаимосвязанные сети создают свой собственный набор проблем безопасности помимо тех, которые применимы ко всем сетевым ресурсам. Критической компонентой создания эффективной межсетевой безопасности является определение периметра интернета. Каждый компонент его описывается в этой части вместе со специальными положениями политики в отношении его.

Определение периметра.

Невозможно адекватно защитить информационные ценности корпорации без знания каждой точки риска и выработки, соответствующих мер защиты. Для целей этой политики периметр определяется как совокупность всех точек соединения с ближайшими соседями в интернете. Всемирный Интернет приводит к существованию ряда уникальных ситуаций, которые требуется рассмотреть отдельно. Точка риска была определена как точка соединения, а из этого следует, что риск существует только в месте самого соединения. Это - самое неприятное следствие. Точки риска возникают в каждой точке соединения с сетью или узлом, не входящим в состав ЛВС.

Точка риска.

Этот термин был выбран вместо точки атаки, так как последняя предполагает преступную деятельность с другой стороны соединения. Компрометация или искажение информации часто не являются результатом преступной деятельности, хотя результат может оказаться таким же. Модем, присоединенный к сетевому узлу, представляет собой точку риска, если отвечает на телефонные звонки и предоставляет возможность соединения удаленному пользователю. Фактически, если такой модем присоединен к сети, то есть меняет свой статус и становится интернетом. В каждой точке доступа к интернету должно быть реализовано управление доступом, независимо от того, является ли она соединением с интернетом или модемом.

Управление доступом.

В каждой точке риска интернета должна использоваться некоторая форма управления доступом. Когда точка риска соединяет две сущности с эквивалентными привилегиями доступа, она может быть объявлена доверенным соединением, при условии, что все точки риска в обеих сетях находятся между сущностями с эквивалентными привилегиями доступа. Если существует точка риска с сущностью с меньшими привилегиями доступа, то всем присоединенным сетям назначается уровень привилегий, равный низшему уровню точки риска.

Привилегии доступа точки риска могут быть повышены соответствующей фильтрацией или аутентификацией. Фильтрация включает запрет взаимодействия с узлами, имеющими более низкий уровень привилегий, чем тот, что у интернета с другой стороны точки риска. Аутентификация должна использоваться в тех случаях, когда сущность или пользователь могут располагаться на узле с меньшими привилегиями, чем те, которые имеются у узла, на котором находится информация, к которой должен иметься доступ по принципу “знать то, что нужно для работы” .

Не должно существовать прецедентов получения доступа через точку риска между сетями с различными уровнями привилегий без использования сильной аутентификации. Традиционные имя и пароль пользователя не считаются сильной аутентификацией в рамках этой политики. Эта форма аутентификации является достаточной только тогда, когда оба интернета имеют одинаковые уровни привилегий, но может применяться как дополнение к сильной аутентификации, до или после сеанса усиленной аутентификации для большего контроля доступа.

Обмен данными

В отличие от сети, где обмен происходит только между узлами сети, интернет позволяет совместно использовать и обмениваться информацией с других узлами сети. Должно уделяться достаточное внимание тому, какие данные импортируются из или экспортируются в интернет различных уровней привилегий. Данные, которые предназначены для замены или обновления данных, находящихся на узлах, доступных любым пользователям интернета, могут экспортироваться из интернета с большими привилегиями в интернет без ограничений на доступ к общедоступной информации.

Допустимо экспортировать данные из интернета с низким уровнем привилегий в сеть с высоким уровнем привилегий, если известно, что данные не представляют риска компрометации или искажения для интернета-получателя. Примером таких допустимых передач может быть импорт пользователем технической статьи или текста программы для внутреннего использования. Вообще, исходный (то есть читаемый человеком) материал может импортироваться из интернета с низкими привилегиями без тщательного просмотра, если данный материал служит интересам Корпорации. Но этого нельзя сказать про импорт исполняемых файлов или двоичных данных. Двоичные данные или программы не могут быть импортированы из сети с низкими привилегиями без тщательной проверки, для оценки риска разрушения или компрометации информационных ценностей внутри сети с более высокими привилегиями и из сети с низкими привилегиями без тщательной проверки для оценки риска разрушения или компрометации информационных ценностей внутри интернета с более высокими привилегиями. Нельзя записывать в интернете какие-либо данные или программы на носители информации и импортировать в сеть Корпорации без тщательного анализа компетентными ответственными лицами.

Допустимо экспортировать данные из сети с высокими привилегиями в интернет с низкими привилегиями, если уровень привилегий сети назначения выше или равен уровню привилегий, требуемому для доступа к данным. Нельзя записывать в сети Корпорации какие-либо данные или программы на носители информации и экспортировать их в интернет без тщательного анализа компетентными ответственными лицами.

Аутентификация.

Этот вопрос упоминается несколько раз при описании политики, так как он играет большую роль в каждой области, в которой он упоминается. Аутентификация в точке риска между интернетом и сетью – это первый шаг по управлению доступом к информационным ценностям с другой стороны точки риска. Если уровень привилегий обоих сторон одинаков, то можно реализовать обычные механизмы аутентификации. Примерами не столь сильных технологий является использование r-команд Unixа, с помощью которых два узла доверяют друг другу с помощью взаимной верификации на основе идентификатора пользователя и узла; традиционные идентификатор пользователя и пароль тоже не очень сильная технология, так как она уязвима к компрометации неосторожным пользователем. Более сильные технологии включают процессы, которые менее уязвимы к компрометации. Это могут быть одноразовые пароли, которые никогда не используются снова. Одноразовые пароли могут генерироваться программой и печататься на листах бумаги или они могут генерироваться смарт-картами на основе текущего времени и даты, случайных чисел, или других методов, приводящих к получению уникального пароля. Усиленная аутентификация может быть реализована с помощью технологии запрос-ответ. В этом случае аутентифицирующийся сущности дается случайное число-запрос, которое она должна зашифровать и отослать зашифрованный результат.

Сервер аутентификации.

Для интернетов, которые соединяются с сетью Корпорации через точки риска, требующие усиленной аутентификации, Корпорация требует наличия безопасного сервера аутентификации для протоколирования верификации попыток аутентификации и их результатов. Сервер аутентификации должен размещаться в интернете, к которому не должно быть доступа с других сетей с целями, отличными от обработки событий, связанных с аутентификацией. Допускается вход в этот интернет транзакций аутентификации, ответов на запросы службы имен, и результатов синхронизации времени для поддержки технологий аутентификации на основе времени. Выходить из этого интернета через единственную точку риска могут только ответы на транзакции аутентификации, запросы к службе имен и запросы к службе времени. Для этого интернета может также допускаться передача сообщений службы протоколирования событий, связанных с безопасностью, если администратор безопасности сочтет нужным хранить протоколы событий на сервере аутентификации. Серверу аутентификации также разрешается посылать уведомления об инцидентах с безопасностью информации по электронной почте для последующего анализа их администратором безопасности. Сервер аутентификации может быть физически защищен путем помещения его в закрытую комнату, доступ в которую разрешен только администратору безопасности.

 

Заключение

Целью данного курсового проекта является комплексная защита объекта «Кабинет преподавателей физкультуры ФГОУ СПО ПГПК». В процессе выполнения данного курсового проекта была изучена специальная литература на тему защиты информации в автоматизированных системах, в результате чего были достигнуты цели данного курсового проекта, а именно произведён анализ объекта защиты; произведено определение компонентов автоматизированной системы и средств защиты; осуществлена настройка компонентов системы и средств защиты для обеспечения безопасности обрабатываемой в ней информации от различного рода несанкционированных воздействий.

К курсовому проекту составлена пояснительная записка, содержащая разделы: анализ объекта защиты, аппаратные методы защиты информации, программные методы защиты информации, и  графическая работа на листе А1 объекта с охранно-пожарными системами.

Список литературы

1. Корнеев И.К, Степанов Е.А. Информационная безопасность и защита информации: Учебное пособие. –М.: ИНФРА–М, 2008. – 304с..

2. Торокин А.А Основы инженерно-технической защиты информации, 1997г.

3. Хорев А. А. Технические каналы утечки акустической (речевой) информации. – “Специальная Техника” № 1, 2009.

4. Хорев А. А. Классификация и характеристика технических каналов утечки информации, обрабатываемой ТСПИ и передаваемой по каналам связи.

6) Сайт www.razvedka.ru.

 

Содержание

 

Содержание 3

Введение 4

1 Анализ объекта защиты 6

1.1 Пространственная модель объекта защиты 6

1.2. Моделирование угроз безопасности информации 8

1.3 Описание среды передачи данны 9

1.4 Каналы утечки конфиденциальной информации 13

1.5 Комплексные меры по защите информации 15

1.6 Организационная защита 19

2 Аппаратные методы защиты Информации 32

2.1 Охранно пожарные средства защиты объекта 32

2.2 Программно аппаратный комплекс «Росомаха» 49

3 Программные методы защиты информации 54

3.1 Firewall ESET Smart Security 54

Заключение 66

Список литературы 67

 

 

Введение

В современном мире создаются все новые и новые информационные технологии, которые улучшают и облегчают работу человека. Если прошедшие века характеризовались такими словами, как «металлический», «феодальный», прошлый век – «ядерный», то нынешний век без преувеличения можно назвать «информационный». Ключевой термин – информация – приобретает сейчас наибольшую ценность. Доступ к необходимой информации открывает неограниченные возможности. Но в настоящее время доступ к информации, представляющей ценность и являющейся собственностью ограниченной нормативными и правовыми документами, устанавливающими права доступа к информации. Тем не менее, всегда существует информационная угроза в лице конкурентов, недоброжелателей, иностранных разведок. Именно поэтому информацию необходимо защищать.

Учитывая активность, непрерывность, скрытность разведки, большое количество потенциальных источников информации, проблема защиты информации относится к числу сложных слабо формализуемых задач. Несмотря на большие достижения науки, число проблем, разрешимых строго математически, существенно меньше числа существующих проблем. Тем не менее человеком накоплен опыт по решению задач, и он оформлен в виде науки, которая называется системным подходом к решению слабо формализуемых проблем.

С позиции системного подхода совокупность взаимосвязанных элементов, функционирующих с целью обеспечения безопасности информации, образуют систему защиты информации. Такими элементами являются люди, т.е. руководители сотрудники службы безопасности; объект защиты, представляющий собой здание, инженерные конструкции. средства вычислительной техники, технические средства защиты информации и контроля ее эффективности. Проектирование требуемой системы защиты информации начинается с системного анализа существующей системы защиты информации, которая включает:

- моделирование объекта защиты

Определение источников защищаемой информации (люди, документы, физические поля, материальные объекты)

Описание пространственного расположения основных мест расположения источников защищаемой информации.

- моделирование угроз безопасности информации

- моделирование физического проникновения злоумышленника к источникам информации

 - моделирование технических каналов утечки

Данная курсовая представляет собой создание системы защиты информации в кабинете преподавателей физкультуры.

Анализ объекта защиты

Пространственная модель объекта защиты

Пространственная модель объекта – это модели пространственных зон с указанным месторасположением источников защищаемой информации. План  помещения представлен на графическом рисунке 1.1. На плане указаны двери, окна, расположение рабочих мест, персональных компьютеров, шкафов и сейфов, локальная сеть, батареи отопления. На плане этажа показаны расположение контрольно-пропускных пунктов, способ подхода к объекту места подведения кабелей, способных передавать защищаемую информацию. Информация по описанию объекта защиты структурирована в таблицу:

Таблица 1.1 – Описание объекта

Этаж		Первый		S = 35 м2
Количество окон, , наличие штор на окнах		2 окна 2.5×2.0 с решётками,		Выходят на улицу
Двери, кол-во, одинарные, двойные		1 дверь   железная		Выходит в коридор
Соседние помещения, название, толщина стен		Коридор, Раздевалки, толщина стен 300 мм
Помещение над потолком, название, толщина перекрытий		Чердак, толщина перекрытия 200 мм
Батареи отопления, типы, выходят трубы		2, радиаторные батареи, в раздевалки
Продолжение таблицы 1.1
Цепи электропитания		Цепь электропитания организации через трансформаторный блок подключена к городской сети. Напряжение в помещении 220 В., 2 розетки, вход/выход в коридор
ПЭВМ		1 ПК на базе Intel Pentium IV
Технические средства охраны		Датчик разбития стекла, геркон, пассивный инфракрасный датчик движения
	Пожарная сигнализация		Аврора-ДТН ИП212/101-78-А1 Извещатель комбинированный (дымовой+тепловой)

 

Рисунок 1.1 – План помещения

Таким образом, объект защиты обладает развитой сетью инженерных коммуникаций и технических средств охраны, что с одной стороны затрудняет физическое проникновение злоумышленника, с другой – дает возможность для реализации высокотехнологичных способов съема информации, требующих значительных денежных вложений.

 

123456Следующая ⇒

Поделиться: