Смекни!
smekni.com

Программно-аппаратный комплекс “фпсу-ip/Клиент” 18 4 Недостатки технологии 21 Глава Анализ возможных рисков и подходящих технологий программной и аппаратной защиты 25 1 Анализ рисков 25 (стр. 3 из 10)

2. Если пользователь уверен в правильности ввода названия учетной записи и пароля, но ему не удается войти в систему, пользователь обязан незамедлительно сообщить об этом администратору информационного ресурса для получения нового одноразового пароля.

3. Если пользователь заметит несанкционированное появление, изменение или удаление информации, он должен немедленно изменить свой пароль и сообщить об обнаруженных изменениях начальнику отдела, администратору информационного ресурса и администратору информационной безопасности.

4. Набор личного пароля следует проводить, в отсутствии лиц, которые потенциально могут увидеть процесс набора.

5. При оставлении рабочего места необходимо завершить открытую пользовательскую сессию либо использовать функцию «временной блокировки» рабочей станции.

6. Для предотвращения случайного оставления рабочего места с открытой пользовательской сессией рекомендуется использовать Screen Saver с автоматической блокировкой, включающийся автоматически, если компьютер не используется в течение определенного времени (5-15 минут).

7. В случае подозрения о компрометации пароля, сотрудники обязаны произвести экстренную замену личного пароля и незамедлительно поставить об этом в известность администратора информационной безопасности для исключения возможности утечки информации.

8. Любые действия сотрудников и посторонних лиц нарушающие требования настоящего Положения, категорируемые как значимые нарушения и нарушения, имеющие признаки компьютерного преступления, должны анализироваться через процедуру служебного расследования.

9. Запрещается:

9.1. Передача личного пароля сослуживцам или руководителям подразделения;

9.2. Запись личного пароля доступа на материальные носители (напр. бумагу, дискеты) в открытом виде;

9.3. Вход в компьютерную сеть и информационную систему с использованием чужих идентификаторов и паролей доступа;

9.4. Оставлять без присмотра рабочее место с открытой пользовательской сессией.

1.3 Анализ существующей технологии доступа - ФПСУ-IP

1.3.1 Программно-аппаратный комплекс “ФПСУ-IP”

Программно-аппаратный комплекс “ФПСУ-IP” является средством комплексного решения задач по защите информационных и телекоммуникационных систем от несанкционированного доступа (НСД) и предназначен для организации управления доступом к информационным ресурсам сетей передачи данных и обеспечения целостности, достоверности и конфиденциальности сетевых соединений.

В составе программно- аппаратного комплекса “ФПСУ-IP” (ПАК) используется средство криптографической защиты информации (СКЗИ) “Туннель/Клиент”, что позволяет осуществлять шифрование передаваемой информации в соответствии с ГОСТ 28147-89.

ПАК “ФПСУ-IP” разработан для применения в вычислительных сетях, использующих стек протоколов TCP/IP и среду передачи данных Ethernet (тип кадра Ethernet_II).

Основным элементом комплекса “ФПСУ-IP” является специализированное программно-аппаратное устройство - межсетевой экран (МЭ), совмещающий в себе функции сетевого фильтра, пакетного коммутатора сетевого уровня и организатора виртуальных корпоративных сетей (VPN) поверх локальных и глобальных вычислительных сетей.

МЭ “ФПСУ-IP” аппаратно устанавливается на выходе из защищаемой локальной сети в общие сети и осуществляет скоростную фильтрацию передаваемых пакетов данных, анализируя их по совокупности критериев и принимая решение о возможности их дальнейшей передачи. В качестве критериев фильтрации могут выступать IP-адреса отправителей и получателей пакетов, разрешённые номера IP-протоколов, номера портов TCP/UDP, время работы и разрешённые парные связи между конкретными абонентами. Таким образом, межсетевой экран “ФПСУ-IP” позволяет реализовать контроль и управление межсетевыми потоками информации, а также их коммутацию из одной локальной сети в другую, что обеспечивает разграничение доступа и защиту сегментов ЛВС от атак злоумышленников.

МЭ “ФПСУ-IP” защищает каналы управления и мониторинга пограничными маршрутизаторами, через которые осуществляется выход абонентов защищаемой МЭ области в глобальные сети

(WAN). МЭ “ФПСУ-IP” поддерживает защиту обмена данными таких протоколов управления и мониторинга, как Telnet, SNMP, HTTP и Ping. В состав ПО МЭ также входит опциональная подсистема разделения потоков для поддержки соответствующих функций транзитных маршрутизаторов по формированию нескольких потоков данных и отправке их по указанным администратором маршрутам. Кроме того, МЭ “ФПСУ-IP” осуществляет фильтрацию IP-пакетов протоколов маршрутизации (RIP, IGRP, OSPF).

1.3.2 Программно-аппаратный комплекс “ФПСУ-IP/Клиент”

Программно-аппаратный комплекс “ФПСУ-IP/Клиент” является средством защиты информационных обменов отдельных рабочих станций от несанкционированного доступа. “ФПСУ-IP/Клиент” предназначен для построения защищённых каналов связи между оборудованными комплексом рабочими станциями и межсетевыми экранами (МЭ) “ФПСУ-IP”, обеспечивающими дальнейшую защиту передаваемых данных на пути к станциям назначения. Кроме того, комплекс “ФПСУ-IP/Клиент” (далее Клиент) может выполнять функции сетевого фильтра, принимая и передавая сетевые пакеты в соответствии с задаваемыми правилами фильтрации. Механизм защиты канала связи с МЭ заключается в том, что между Клиентом и межсетевым экраном “ФПСУ-IP” создаётся VPN-туннель (Virtual Private NetWork - виртуальная частная сеть), по которому IP-пакеты передаются в зашифрованном виде, что обеспечивает достоверность, целостность и конфиденциальность передаваемой информации. В VPN- туннеле производятся обязательные взаимные процедуры идентификации и аутентификации Клиента и МЭ “ФПСУ-IP”, как при установлении защищённого соединения, так и в процессе приёма данных из туннеля.

Программно-аппаратный комплекс “ФПСУ-IP/Клиент” состоит из интеллектуального электронного устройства VPN- key, подключаемого к USB-порту рабочей станции Клиента, и программных драйверов поддержки, устанавливаемых на жёсткий диск компьютера. Организация защищённых межсетевых туннелей невозможна в отсутствие устройства VPN- key, которое выполняет начальные процедуры идентификации и аутентификации МЭ “ФПСУ-IP” и совместно с МЭ обеспечивает выработку сеансовых ключей для создания VPN-туннелей. Кроме того, VPN-key осуществляет идентификацию пользователя комплекса “ФПСУ-IP/Клиент” при доступе к устройству. VPN-key содержит:

- уникальные персональные и системные идентификаторы Клиента,

- персональные ключи доступа Клиента (аутентификационные данные). Персональные идентификаторы Клиента обеспечивают дополнительный уровень безопасности (например, в случае утери контроля над устройством VPN-key) и включают в себя:

- четырёхзначный PIN-код (Personal Identity Number) пользователя,

- десятизначный PUK-код (Personaly Unblocked Key) пользователя,

- четырёхзначный PIN-код администратора,

- десятизначный PUK-код администратора.

Персональные идентификационные коды пользователя запрашиваются системой при попытках доступа Клиента к МЭ, а коды администратора – при попытках конфигурирования устройства VPN- key. Системными идентификаторами являются: уникальный номер системы Клиентов (организации), которой принадлежит данный Клиент, уникальный номер логической группы, к которой он прикреплён, и его уникальный персональный номер в этой группе. Кроме того, в устройство VPN-key при изготовлении или в процессе настройки комплекса “ФПСУ-IP/Клиент” прописываются IP-адреса МЭ “ФПСУ-IP” и рабочих станций, к которым Клиент будет иметь защищённый доступ, а также данные о типах входящих и исходящих соединений, запрещаемых во время сеансов связи с МЭ. Поскольку вся информация, необходимая для организации и защиты межсетевых соединений, хранится в устройстве VPN- key, пользователь может работать с этим устройством с любого компьютера сети, оснащённого программным обеспечением комплекса “ФПСУ-IP/Клиент”.

Правила работы с ключом VPN- key:

Ключ ФПСУ-IP - интеллектуальное USB устройство, содержащее собственный программный код, системные идентификаторы (логин и пароль для доступа к информационным ресурсам) владельца, определяющие доступ к информационным ресурсам, и персональные коды доступа (персональные коды доступа -PIN- и PUK-коды - к Ключу ФПСУ-IP) владельца к USB устройству. Для доступа к корпоративной информационной системе установлено программное обеспечение, организующее, с использованием Ключа ФПСУ-IP, защищенный канал передачи данных. Ключ ФПСУ–IP присваивается определенному агенту, и позволяет ему работать в данном программном обеспечении. При вводе некорректного пароля пять раз подряд, ключ заблокируется и дальнейшая работа станет невозможной

Агент обязан:

- обеспечить конфиденциальность полученных паролей доступа к информационным ресурсам;

- обеспечить сохранность Ключа ФПСУ-IP и его использование в режиме исключающем несанкционированных доступ к нему;

- в случае утери ключа немедленно сообщить об этом по внутреннему телефону центрального офиса.

1.4 Недостатки технологии

В ходе анализа, было установлено, что Vpn- Key хранится в незащищенном месте. Что может привести к его краже. Частые поломки ключей.

Ключ представляет из себя обычный USB Flash накопитель, очень хрупкой сборки, поэтому самая распространенная поломка- ломается коннектор USB, соединяющий его с самой платой. Восстановлению не подлежит.

Потеря ключа, халатное отношение сотрудника к собственности банка.

Кража ключа злоумышленником. С помощью специальных программ, которые можно свободно найти в Интернете, можно восстановить ПИН – код. И использовать ключ в корыстных целях, во вред работе банка.

Таблица 1. Экономические затраты на Vpn-key.

Наименование

Стоимость

Стоимость ключа

2500 руб.

Поломки ключей за месяц г.Тюмень

25 000 руб.

Затраты на поломки в год г.Тюмень

300 000 руб.

Обновление ПО (разовое)

120 000 руб.

Покупка лицензии на использование ключей (1 год)

75 000 руб.

Продление лицензии (1 год)

30 000 руб.

Затраты на доставку ключей

1300- 1700 руб.

Min потери банка от простоя точки из-за поломки ключа в день

7500 руб.

Закуп ключей для ТТ и АП г.Тюмень

540 000 руб.

ОАО «Альфа-Банк» имеет только 880 торговых точек в России. Так же есть Альфа- партнеры. На одной торговой точке работает минимум два специалиста по продажам, соответственно необходимо 2 Vpn-key. Таким образом, первоначальный закуп ключей обошелся банку в размере : 880* 5000 руб. = 4 400 000 руб. И это только для торговых точек. В г.Тюмени всего 28 торговых точек и 80 Альфа- партнеров. Соответственно, затраты на приобретение ключей составили: 108*5000 = 540 000 руб.