Разработка системы программно-аппаратной защиты автоматизированной системы предприятия

Тип работы:
Реферат
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Разработка системы программно-аппаратной защиты автоматизированной системы предприятия

1. Перечень защищаемых ресурсов на объекте информатизации

защищаемый безопасность информационный автоматизированный

Перед началом осуществления плана по защите данных в АС, представленной в виде ЛВС, следует выделить информационные ресурсы, нуждающиеся в защите и оценить важность защищаемой информации. Чтобы определить информацию, подлежащую защите в предприятия муниципального подчинения, необходимо обратиться к следующим нормативным документам: ФЗ № 149 от 27. 07. 2006 «Об информации, информационных технологиях и защите информации»; ФЗ № 98 от 29. 07. 2004 «О коммерческой тайне»; ФЗ № 152 от 27. 07. 2006 «О персональных данных»; Указ Президента Р Ф от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями на 23 сентября 2005 г.). Данные нормативные документы позволяют выделить следующие виды информации предприятия муниципального подчинения, подлежащей защите: Общедоступная информация — открытая информация об организационно-штатной структуре, распорядительные документы (устав, различные положения и т. д.; 2) Персональные данные — данные руководителей организации и её сотрудников (сведения о судимости, состояние здоровья, опыт работы, профессиональные знания, навыки и умения, деловые связи, вероисповедание, домашний адрес, паспортные данные, семейное положение); 3) Служебная тайна; 4) Коммерческая тайна.

Необходимо обеспечивать комплексную защиту всех информационных служб и коммуникационных каналов между ними. Чтобы определить необходимые механизмы безопасности, нужно разработать программно-аппаратную реализацию всех серверов, рабочих мест, каналов связи информационной системы, а также других коммуникационных систем, особенно связанных с элементами информационной системы.

Таблица 1.1. ЛВС финансового отдела, отдела кадров и отдела промышленности

№ пп

Защищаемый ресурс

К ресурсу допущены

Полное наименование

Условное наименование

Категория доступа

1

Рабочее место начальника финансового отдела

АРМФ1

Конфиденциально

Начальник и заместитель начальника финансового отдела

2

Рабочее место заместителя начальника финансового отдела

АРМФ2

Конфиденциально

Начальник и заместитель начальника финансового отдела

3

Рабочее место финансового отдела

АРМФ3

Конфиденциально

Все сотрудники финансового отдела

4

Рабочее место финансового отдела

АРМФ4

Конфиденциально

Все сотрудники финансового отдела

5

Рабочее место начальника и зам. начальника отдела кадров

АРМК1

Конфиденциально

Начальник и заместитель начальника отдела кадров

6

Рабочее место отдела кадров

АРМК2

Конфиденциально

Все сотрудники конструкторского отдела

7

Рабочее место отдела кадров

АРМК3

Конфиденциально

Все сотрудники отдела кадров

8

Рабочее место начальника отдела промышленности

АРМП1

Конфиденциально

Начальник и заместитель начальника отдела кадров

9

Рабочее место зам. начальника отдела промышленности

АРМП2

Конфиденциально

Начальник и заместитель начальника отдела промышлености

10

Рабочее место отдела промышленности

АРМП3

Конфиденциально

Все сотрудники отдела промышленности

11

Рабочее место отдела промышленности

АРМП4

Конфиденциально

Все сотрудники отдела промышленности

12

Сервер ЛВС

СЛВС

Конфиденциально

Администратор безопасности

13

Сервер БД

СБД

Конфиденциально

Администратор безопасности

14

ОС МСВС 3. 0

МСВС

несекретно

Администратор безопасности

13

Межсетевой экран

FW

несекретно

Администратор безопасности

2. Таблица разграничения доступа

Таблица 1.2 — Таблица разграничения доступа в АС предприятия к ресурсам

№ пп

Должностные лица, допущенные к защищаемым ресурсам ОВТ

Защищаемые ресурсы

Полное наименование ресурса (папки)

Условное наименование ресурса

Разрешенные виды доступа

2

Все сотрудники предприятия

«Документы»

DOCS_ALL

R

3

Начальник и зам. начальника финансового отдела

«Финансовый отдел»

DOCS_FIN

RWDEC

4

Все сотрудники финансового отдела

RWEC

4

Начальник зам. начальника отдела промышленности

«Отдел промышленности»

DOCS_PROM

RWDEC

5

Сотрудники отдела промышленности

RWEC

4

Начальник зам. начальника отдела кадров

«Отдел кадров»

DOCS_KAD

RWDEC

5

Сотрудники отдела кадров

RWEC

3. Описание реализации информационных сервисов

1. обмен файлами. Реализуется встроенными средствами операционной системы windows посредством ЛВС. Сетевые папки пользователей хранятся на сервере.

2. Доступ в ас высшего звена реализуется по каналу связи с использованием сервера ЛВС и сетевого экрана.

3. Электронная почта реализуется с помощью установленного почтового сервера и почтовой прикладной программой outlook Express.

4. Вывод документов на печать реализуется посредством установки принтеров у начальников отделов и общих принтеров в отделах.

5. Доступ в базы данных реализуется с помощью установленного сервера баз данных.

6. Электронный документооборот реализован с помощью программного комплекса vipnet.

4. Определение класса защищенности АС

Для того чтобы сформировать набор требований по безопасности, которым должна отвечать АС, необходимо определить ее класс защищенности.

Класс защищенности согласно руководящему документу Гостехкомиссии «Автоматизированные системы.

Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации" определяется на основании:

— перечня лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;

— матрицы доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;

— режимов обработки данных в АС.

Определение класса защищенности АС позволяет сформировать набор требований по безопасности, которые предъявляются к этому классу систем. Эти требования изложены в РД ФСТЭК «Средства вычислительной техники. Защита от НСД. Показатели защищенности от несанкционированного доступа к информации». Кроме того, на основе класса защищаемой АС выбираются средства вычислительной техники (СВТ), которые должны иметь соответствующий класс защищенности СВТ. Также необходимо обратить внимание на то, что в АС обрабатываются персональные данные, следовательно, необходимо определить и класс ИСПДн.

5. Классификация ИСПДн

Согласно порядку проведения классификации информационных систем персональных данных, введенному Приказом ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20, нам необходимо установить для ИСПДн следующее:

Определить категорию обрабатываемых персональных данных;

Определить объем персональных данных, обрабатываемых в информационной системе.

Категория ПДн — 2-я (персональные данные позволяют идентифицировать субъекта персональных). Объем обрабатываемых ПДн — более 100 000 субъектов. На основании этого можно сделать вывод, что ИСПДн относиться к классу К2 и требует дополнительной защиты. Требования к 2 классу ИСПДн:

— идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

— регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного остановка.

— обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды.

6. Формирование требований к защищённости АС

Подсистема управления доступом: должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Подсистема регистрации и учета: должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

В параметрах регистрации указываются:

— дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

— результат попытки входа: успешная или неуспешная (при НСД);

— должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку). Подсистема обеспечения целостности: должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.

При этом:

— целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;

— целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;

— должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

— должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест — программ, имитирующих попытки НСД;

— должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление, и контроль работоспособности.

7. Выбор механизмов и средств защиты информации от НСД

В процессе проектирования аппаратно-программного комплекса защиты информации (АПКЗИ) решается задача создания оптимальных для защищаемой автоматизированной информационной системы (АИС) механизмов защиты, средств управления ими и механизмов общей организации работы АПКЗИ, предназначенных для обеспечения эффективного взаимодействия и координации работы всех компонентов защиты. На выбор общей структуры АПКЗИ наибольшее влияние оказывают следующие факторы: требования по защищенности; общая структура защищаемой АИС; перечень угроз; модель нарушителя. Основу любой СЗИ составляет совокупность некоторых механизмов защиты информации, которые можно выделить на основе различных критериев. Обычно выделяют следующие механизмы (или службы безопасности): идентификацию и аутентификацию; управление доступом; протоколирование и аудит; криптографию; экранирование. Выбор способа реализации механизмов защиты информации и решения задач защиты заключается в выборе типа средств, которые планируется использовать для решения каждого из механизмов: организационные; инженерно-технические (физические); программно-технические; криптографические.

8. Выбор механизмов и средств защиты информации от НСД

Основу любой СЗИ составляет совокупность некоторых механизмов защиты информации, которые можно выделить на основе различных критериев. Обычно выделяют следующие механизмы (или службы безопасности):

идентификацию и аутентификацию,

управление доступом,

протоколирование и аудит,

криптографию,

экранирование.

Таблица 4. Механизмы безопасности и средства их обеспечения

Механизмы безопасности

Средства обеспечения механизмов безопасности

Встроенные службы средств защиты

1. Идентификацию и аутентификацию;

2. Управление доступом;

3. Протоколирование и аудит.

Средства встроенные в ОС МСВС

4. Криптографическая защита

5. Экранирование

9. Определение списка сотрудников отдела и списка защищаемых ресурсов АС

Список сотрудников отдела и их должности

Фамилия

Должность

1. Шпунтенко

Начальник финансового отдела

2. Афанасьева

Начальник отдела кадров

3. Дмитрова

Начальник отдела промышлености

4. Черняхова

Заместитель начальника финансового отдела

5. Карпов

Специалист отдела финансов

6. Бочаров

Специалист отдела промышлености

7. Воробьева

8. Сарбаев

Специалист отдела кадров

9. Лиренко

Список ресурсов и условное наименование

Ресурс

Условное наименование

Финансовый отдел

Папка «Распоряжения начальника»

RASPOR_FIN

Папка «Отчеты зам. нач. отдела»

REP_SUB_FIN

Папка «Распоряжения зам. нач. отдела»

RASPOR_SUB_FIN

Папка «Отчеты сотрудников»

REP_FIN

Отдел Промышлености

Папка «Распоряжения начальника»

RASPOR_PROM

Папка «Отчеты сотрудников»

REP_PROM

БД «Производство»

DB_PROM

Отдел Кадров

Папка «Распоряжения начальника»

RASPOR_KAD

Папка «Отчеты сотрудников»

REP_KAD

БД «Работающие сотрудники»

DB_WORK

БД «Кандидаты»

DB_CAND

Таблица разграничения доступа

Ф.И.О.

Ресурсы

RASPOR_FIN

REP_SUB_FIN

RASPOR_SUB_FIN

REP_FIN

Шпунтенко

RWDEC

RD

R

RD

Черняхова

R

W

RWDEC

R

Карпов

R

NA

R

W

RASPOR_KAD

REP_KAD

DB_WORK

DB_CAND

Афанасьева

RWDEC

RD

RWD

RWD

Сарбаев

R

W

RW

RW

Лиренко

R

W

RW

RW

Заключение

В результате выполнения был разработан проект системы защиты информации от несанкционированного доступа для автоматизированной системы учреждения администрации края, созданной в виде локально — вычислительной сети, соединённых каналами передачи данных общедоступного пользования, ЭВМ которой находятся в пределах контролируемой зоны. Все зарегистрированные пользователи имеют одинаковые полномочия по уровню допуска к АС, но различные уровни доступа к разделам информационной базы данных.

Список литературы

1. Девянин П. Н. «Модели безопасности компьютерных систем» М.: Цифровая. Академия — 2010 г.

2. Безбогов А. А., Яковлев А. В., Шамкин В. Н. «Методы и средства защиты компьютерной информации» М.: Тамбов ТГТУ — 2009 г.

3. Малюк А. А. «Информационная безопасность: концептуальные и методологические основы защиты информации» М.: Вега 2010 г.

4. Биячуев Т. А. «Безопасность корпоративных сетей», М.: ИТМО, 2009 г. ;

5. Завгородний В. И. «Комплексная защита информации в компьютерных системах», М.: Логос, 2011 г.

ПоказатьСвернуть
Заполнить форму текущей работой