Організація захисту інформації в ЛОМ - Проектування локальних обчислювальних мереж (ЛВС) по

Захист інформації в ЛВС, що розробляється, спрямована на збереження інтегральних характеристик, а саме конфіденційності, цілісності і доступності циркулюючої та оброблюваної в ЛОМ інформації.

3.5.1 Визначення об'єктів захисту інформації в ЛОМ

Об'єктами захисту є інформація, що розташовується на мережевому сховищі.

3.5.2 Визначення суб'єктів доступу до інформації, що захищається в ЛОМ

Суб'єктами доступу до інформації, що захищається в ЛОМ, є користувачі (студенти, співробітники) і обслуговуючий персонал ЛОМ.

3.5.3 Визначення загальної та приватної мети захисту інформації в ЛВС

Загальною метою захисту інформації є запобігання або суттєве зменшення величини шкоди, заподіяної суб'єктам доступу ЛОМ внаслідок втрати загальнодоступної інформації та (або) втрати та витоку інформації обмеженого доступу.

Приватними цілями захисту інформації, згідно із завданням на курсове проектування, є:

- технічний захист від програмних вірусів;

- технічна захист від НСД з використанням мандатного розмежування доступу;

- технічний захист від зовнішніх атак на розтин пароля.

3.5.4 Визначення видів та напрямів захисту інформації

Розрізняють такі види захисту:

правовий захист інформації;

технічний захист інформації;

криптографічний захист інформації;

фізичний захист інформації.

У реалізації цього курсового проекту використовується лише технічний вид захисту. Технічний захист від програмних вірусів реалізується за допомогою установки на всі робочі станції та сервер пакетів антивірусного обладнання Avira Free Antivirus 2014.

Механізми керування доступом є основою захистуресурсів, забезпечуючи вирішення завдання розмежування доступу суб'єктів до інформаційних та технічних ресурсів, що захищаються - об'єктів.

Багаторівневі (мандатні) моделі управління доступом передбачають формалізацію процедури призначення прав доступу за допомогою так званих міток конфіденційності або мандатів, що призначаються суб'єктам та об'єктам доступу.

Так, для суб'єкта доступу мітки, наприклад, можуть визначатися відповідно до рівня допуску особи до інформації, а для об'єкта доступу (власне дані) - ознаками конфіденційності інформації. Ознаки конфіденційності фіксуються в мітці об'єкта.

Існують вимоги до мандатного механізму, які полягають у наступному:

1. Кожному суб'єкту та об'єкту доступу повинні зіставлятися класифікаційні мітки, що відображають їх місце у відповідній ієрархії. За допомогою цих міток суб'єктам та об'єктам мають призначатися класифікаційні рівні. Ці позначки повинні бути основою мандатного принципу розмежування доступу.

2. Система захисту під час введення нових даних у систему повинна вимагати та отримувати від санкціонованого користувача класифікаційні мітки цих даних. При санкціонованому занесенні до списку користувачів нового суб'єкта йому повинні призначатися класифікаційні позначки. Зовнішні класифікаційні мітки (суб'єктів, об'єктів) повинні точно відповідати внутрішнім міткам (всередині системи захисту).

3. Система захисту повинна реалізовувати мандатний принцип контролю доступу стосовно всіх об'єктів при явному та прихованому доступі з боку будь-якого із суб'єктів:

- суб'єкт здійснює запис в об'єкт, тільки якщо класифікаційний рівень суб'єкта в ієрархічній класифікації не більший, ніж класифікаційний рівень об'єкта в ієрархічнійкласифікації.

4. Реалізація мандатних ПРД має передбачати можливість супроводу, зміни класифікаційних рівнів суб'єктів та об'єктів спеціально виділеними суб'єктами.

Переваги такого розмежування:

- суттєво спрощується завдання адміністрування;

- Користувач не може повністю управляти доступом до ресурсів, які він створює.

- Користувач або процес, що не має певного рівня довіри, не може отримати доступ до інформації, процесів або пристроїв більш захищеного рівня.

Недоліки такого розмежування:

Основу реалізації управління доступом становлять:

1. Формальне порівняння мітки суб'єкта, який запросив доступ, та мітки об'єкта, до якого запросено доступ.

2. Прийняття рішень про надання доступу на основі деяких правил, основою яких є протидія зниженню рівня конфіденційності інформації, що захищається.

Практика показує, що багаторівневі моделі захисту знаходяться набагато ближче до потреб реального життя, ніж матричні (дискреційні) моделі, і є гарною основою для побудови автоматизованих систем розмежування доступу.

Для реалізації такого методу розмежування доступу необхідно вставити спеціальне програмне забезпечення на робочі станції та сервер. Як програмне забезпечення було обрано останню версію програмного продукту компанії «Код безпеки» Secret Net 7.

Детальний опис програмного продукту СЗІ Secret Net описаний у пункті 3.4.1.

Для потреб нашої ЛОМ (92 робочі станції та сервер) буде придбано пакет СЗІ Secret Net версія 7. Сервер безпеки класу B.

Сервер класу B - до 250 серверів і робочих станцій, що захищаються (від 1 до 249 робочихстанцій/серверів). Ціна ПЗ становитиме 92 000 рублів.

Реалізація технічного захисту від зовнішніх атак на розтин пароля забезпечується за допомогою зміни параметрів політики паролів. Операційна система Windows server 2012 R2, встановлена на сервері, забезпечує досить гнучке настроювання політик облікових користувачів, у тому числі й політик паролів.

Вбудованими засобами системи забезпечується налаштування наступних політик:

1. Вести журнал паролів - не дозволяє користувачам створювати новий пароль, аналогічний поточному або нещодавно використаному.

2. Максимальний термін дії пароля - Встановлює період часу на днях, протягом якого діятиме пароль. Після закінчення цього терміну користувач повинен змінити пароль.

3. Мінімальний термін дії пароля – встановлює мінімальну кількість днів, які мають пройти перед тим, як користувач зможе змінити пароль.

4. Мінімальна довжина пароля - встановлює мінімальну кількість знаків, які мають бути у паролі.

5. Пароль повинен відповідати вимогам щодо складності. Необхідно, щоб паролі:

- мали довжину не менше шести знаків;

- містили комбінацію як мінімум із трьох зазначених нижче знаків: великі літери, малі літери, цифри, розділові знаки.

- не містили імені користувача або екранного імені

6. Зберігання пароля з використанням шифрування - зберігання пароля без шифрування.

3.5.5 Визначення форм прояву вразливості інформації

Формами прояву вразливості інформації, що обробляється в проектованій ЛОМ, є:

- несанкціоноване знищення інформації;

- несанкціоноване спотворення (модифікування) інформації;

- несанкціонованіблокування доступу до інформації;

- несанкціоновані надання інформації;

- несанкціоновані поширення інформації;

- несанкціоноване ознайомлення з інформацією.

Таблиця 3.7 – Форми прояву вразливості інформації

Форма прояву вразливості інформації

Несанкціоноване знищення інформації

Несанкціоноване ознайомлення з інформацією.

Несанкціоноване блокування доступу до інформації;

Несанкціоноване надання інформації;

Несанкціоноване розповсюдження інформації;

3.5.6 Визначення прав доступу суб'єктів доступу до об'єктів захисту інформації в ЛОМ

Таблиця 3.8 - Таблиця прав доступу

Права доступу до внутрішніх ресурсів

Права адміністратора в каталогах, у тому числі зміна рівня та прав доступу

Бази даних, програмне забезпечення

Створення, читання файлів, запис у файл, створення підкаталогів та файлів, видалення каталогів, пошук файлів, зміна каталогів

Інформаційні ресурси свого відділу

Обмеження доступу до папок (файлів), а також до інформаційних ресурсів інших відділів

3.5.7 Перелік заходів щодо захисту інформації в ЛОМ

На основі аналізу вимог щодо захисту інформації завдання на курсове проектування, цілей захисту інформації, видів та напрямів захисту інформації, форм прояву вразливостей інформації було складено перелік заходів щодо захисту інформації у ЛОМ:

а) заходи щодо розмежування прав доступу. Адміністратор повинен реалізувати мандатну модель розмежування доступу для запобігання НСД до ресурсів;

б) заходи щодопосилення парольних політик. Адміністратор повинен внести зміни до політики паролів, щоб забезпечити захист від зовнішніх атак на розтин паролів;

в) адміністратор повинен мати уявлення про віртуальні мережі VLAN, щоб правильно організувати роботу наявних віртуальних мереж;

г) навчання користувачів - підготовка активних учасників інформаційного середовища до роботи в умовах відповідності вимогам інформаційної безпеки.

3.5.8 Вибір методів та способів захисту інформації в ЛОМ

а) заходи щодо розмежування прав доступу. Для кожного об'єкта та суб'єкта інформаційної системи мають бути проставлені мітки конфіденційності;

б) повинна бути чітко та правильно організована робота віртуальних підмереж проектованої ЛОМ;

в) має бути організовано налаштування політик паролів.

Для проектованої ЛОМ необхідно використовувати такі часто застосовувані на практиці, а тому добре вивчені та ефективні методи та механізми захисту інформації:

- ідентифікація – визначення (розпізнавання) кожного учасника процесу інформаційної взаємодії перед тим, як до нього будуть застосовані інші механізми забезпечення інформаційної безпеки;

- автентифікація - забезпечення впевненості у цьому, що учасник процесу інформаційного взаємодії ідентифікований правильно, тобто є тим, чий ідентифікатор він пред'явив;

- контроль доступу - створення та підтримка набору правил, визначальних кожному учасникупроцесу інформаційного обміну – дозвіл на доступ до ресурсів та вид (рівень) цього доступу. Це основний механізм, який забезпечує розмежування прав доступу до об'єкта;

- механізми аудиту та моніторингу - регулярне відстеження подій, що відбуваються в процесі обміну інформацією з реєстрацією та аналізом попередньо визначених значущих чи підозрілих подій.

Відповідно до завдання в проектованій ЛОМ будуть використовуватися технічні методи захисту інформації.

3.5.9 Вибір засобів та систем захисту інформації в ЛВС

Для проектованої ЛОМ необхідно використовувати такі методи та механізми захисту інформації, такі як організація віртуальної локальної мережі VLAN та організація мандатного розмежування доступу для запобігання YCL до ресурсів.

Організація віртуальної локальної мережі – VLAN (Virtual Local Area Network).

Віртуальною локальною мережею називається група вузлів мережі, трафік якої, зокрема і широкомовний, на канальному рівні повністю ізольований від трафиків інших вузлів мережі. Перевагою технології віртуальних мереж є те, що вона дозволяє створювати повністю ізольовані сегменти мережі шляхом логічного конфігурування комутаторів, не вдаючись до зміни фізичної структури.

За допомогою технології VLAN трафік кожної підмережі ЛОМ буде ізольований, що дозволить захистити інформацію, що циркулює в кожній підмережі від НСД з іншої підмережі.

У цій мережі організація VLAN здійснюватиметься шляхом логічного об'єднання вибраних фізичних портів комутатора. При цьому кожен порт приписується тій чи іншій віртуальній мережі. До одного порту комутатора може бути підключено кілька комп'ютерів, наприклад, через комутатор. Всі ці комп'ютери будутьналежати до однієї VLAN - до тієї, до якої приписаний порт комутатора, що їх обслуговує.

Як антивірусне ПЗ для робочих станцій я обрала Avira Free Antivirus - безкоштовний антивірус, антишпигун і антируткіт.

Основні можливості Avira Free Antivirus 2014:

1. Антивірус та антишпигун

2. Хмарний захист

Хмарна технологія захисту Avira Protection Cloud – класифікація загроз у реальному часі та швидке сканування системи.

3. Захист від руткітів

Анти-руткіт Avira захищає від складних у виявленні загроз - руткітів.

4. Управлінням Брандмауером Windows

Avira Free Antivirus дозволяє редагувати мережеві правила для програм, змінити профілі мережі (Приватна, Загальна) та керувати розширеними параметрами Брандмауера Windows у режимі підвищеної безпеки.