Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку (стр. 33 из 39)

блокування устроїв інтерфейсу користувача (клавіатури, миші, мо-нітора) на час його відсутності;

контроль цілісності й самотестування КСЗ при старті й по запиті адміністратора, що дозволяє забезпечити стійке функціонування КСЗ і не до-пустити обробку ІОД у випадку порушення його працездатності;

розмежування обов'язків користувачів і виділення декількох ролей адміністраторів, які можуть виконувати різні функції по адмініструванню (реєс-трацію ресурсів, що захищаються, реєстрацію користувачів, призначення прав доступу, обробку протоколів аудита й т.п.).

розмежування доступу користувачів до обраних каталогів (папкам), розміщеним на робочих станціях і файлових серверах ЛВС, що дозволяє органі-зувати одночасну спільну роботу декількох користувачів ЛВС, що мають різні службові обов'язки й права по доступі до ІОД;

керування потоками інформації й блокування потоків інформації, що приводять до зниження її рівня конфіденційності;

контроль за видачею інформації на друкування;

контроль за експортом/імпортом інформації на змінні носії;

гарантоване видалення інформації шляхом затирання вмісту файлів, що містять ІОД, при їхньому видаленні;

розмежування доступу прикладних програм до обраних каталогів і файлів, що перебуває в них, що дозволяє забезпечити захист ІОД від випадкового видалення, модифікації й дотримати технології її обробки;

контроль цілісності прикладного ПО й ПО КСЗ, а також блокування завантаження програм, цілісність яких порушена, що дозволяє забезпечити захист від вірусів і дотримання технології обробки ИсОД;

контроль за використанням користувачами дискового простору файлових серверів (квоти), що виключає можливість блокування одним з користувачів можливості роботи інших;

відновлення функціонування КСЗ після збоїв, що гарантує доступність інформації із забезпеченням дотримання правил доступу до неї;

безперервну реєстрацію, аналіз і обробку подій (входу користувачів в ОС, спроб несанкціонованого доступу, фактів запуску програм, роботи з ІОД, видачу на друкування й т.п.) у спеціальних протоколах аудита, що дозволяє ад-міністраторам контролювати доступ до ИсОД, стежити за тим, як використовується КСЗ, а також правильно його конфігурувати;

негайне оповіщення адміністратора безпеки про всі виявлені порушення встановлених правил розмежування доступу (ПРД);

ведення архіву зареєстрованих даних і даних аудита.

До складу комплексу « Гриф-Мережа» входять:

засоби розмежування доступу й реєстрації даних аудита, установлювані на робочих станціях і файлових серверах ЛВС;

автоматизоване робоче місце (АРМ) адміністратора засобів захисту. Основні функції: реєстрація користувачів, генерація паролів ідентифікації й аутентификации зі збереженням їх на мобільні флеш-пристрої; реєстрація ресурсів, що захищаються; керування розмежуванням доступу користувачів до обраних каталогів; контроль цілісності й самотестування КСЗ по запиті адміністратора; керування розмежуванням доступу прикладних програм до обраних каталогів; керування квотами користувачів; установка контролю програмного забезпечення (заборона запуску незареєстрованних програм);

АРМ адміністратора безпеки. Основні функції: настроювання й керування параметрами аудита захищених ресурсів; керування параметрами оповіщення й прийом оповіщень про критичні для безпеки подіях у реальному режимі часу; можливість перегляду, аналізу й обробки протоколів аудита; робота з архівом даних аудита.

У термінах НД ТЗИ 2.5–004–99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» КСЗ « Гриф-Мережа» реалізує наступний функціональний профіль:

2.КДЦ.4. = (КА-2, ДО-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-5, НІ-3, НК-1, АЛЕ-2, НЦ-2, НТ-2)

Розробка виконана відповідно до вимог до рівня гарантій Г-4.

Відповідно до експертного висновку ДСТЗИ СБ України № 96 від 18.12.2006 р. реалізований функціональний профіль, політика функціональних послуг безпеки й рівень гарантій відповідають вимогам НД ТЗИ 2.5-008-2002 «Вимоги по захисту конфіденційної інформації від несанкціонованого доступу під час обробки в автоматизованих системах класу 2» при використанні технології обробки інформації, що висуває підвищені вимоги до забезпечення конфіденційності, цілісності й доступності інформації й за умови відсутності необхідності реалізації довірчого керування доступом користувачів до інформаційних об'єктів.

б) застосуванням доменної структури управління користувачами докальної мережі на базі сервера управління Windows -2003 (Рис.3.2, 3.3 3.4), яка дозволяє адміністратору безпеки регулювати:

- час доступу користувача в мережу та пароль доступу;

- конкретну ПЕОМ, з якої дозволяється доступ користувача в мережу;

- програму початкової загрузки спец програм профілю безпеки користувача згідно політики безпеки в ЛОМ.

Рис.3.2. Управління адміністратором безпеки кодом ПЕОМ, з якої дозволяється загрузка локальної ПЕОМ з ідентифікатором та паролем користувача в мережу

Рис.3.3. Управління адміністратором безпеки часом входу в мережу ПЕОМ, з якої дозволяється загрузка локальної ПЕОМ з ідентифікатором та паролем користувача в мережу

Рис.3.4. Управління адміністратором безпеки загрузкою початкових програм профілю мережевої безпеки на ПЕОМ, з якої дозволяється загрузка локальної ПЕОМ з ідентифікатором та паролем користувача в мережу

2 рівень –програмні модулі мережевого сканування ПЕОМ, які ввійшли в мережу, для виявлення несанкціонованого застосування не легалізованих ПЕОМ в мережі, появи нестандартних процесів, загружених в оперативну пам’ять ПЕОМ, наявності несанкціонованого програмного забезпечення сканування мережі, розгортання програм виходу в глобальну мережу з робочих станцій мережі з застосуванням мобільних телефонів чи радіоплат 3G, Novatel, MTC-connect (рис.3.5, 3.6, 3.7), який забезпечується:

а) програмним АРМ WhatsUP – IP- сканування мереж та побудови схем компьютерного контролю за включенням та виходом ПЕОМ з мережі (рис.3.5, 3.6).

Рис.3.5 Результати сканування сегмента віртуальної мережі програмним АРМ WhatsUP

Рис.3.6 Результати контрольного сканування однієї з незареєстрованих ПЕОМ, виявлених при скануванні сегмента віртуальної мережі програмним АРМ WhatsUP (код ПЕОМ – 1 не відповідає легалізованій номенклатурі відділу захисту інформації)

б) мережевим сканером адміністратора безпеки DameWare – IP- сканування мереж , складу процесів в оперативній пам’яті ПЕОМ, повний контроль складу файлів на дисках ПЕОМ, контроль роботи користувача (дзеркало монітора), примусова зупинка роботи ПЕОМ в мережі (рис.3.7, 3.8).

Рис.3.7. Результати контрольного сканування мережі ПЕОМ комплексом DameWare (контроль складу програмного забезпечення та директорій на «жорстких» дисках)

Рис.3.8. Результати сканування ПЕОМ в мережі комплексом DameWare в режимі Remote Control (контроль дій користувача –дзеркало монітора)

в) мережевим сканером адміністратора безпеки GFILanGuard – IP- сканування структури та складу мереж , складу процесів в оперативній пам’яті ПЕОМ, повний контроль складу файлів на дисках ПЕОМ (рис.3.9, 3.10).

Рис.3.9. Результати сканування ПЕОМ в мережі комплексом GFILanGuard

Рис.3.10. Результати сканування ПЕОМ в мережі комплексом GFILanGuard в режимі контролю процесів в оперативній пам'яті ПЕОМ

г) спеціальним мережевим сканером адміністратора безпеки Xpider7 – IP- сканування структури та складу мереж , складу уязвимості ПЕОМ на проникнення та управління з боку мережевого порушника (рис.3.11, 3.12).

Рис.3.11. Ддослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення

Рис.3.12. Результати дослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення

Рис.3.13. Результати дослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення

Рис.3.14. Результати дослідження уязвимості ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення

Рис.3.15. Статистичні результати дослідження уязвимості групи ПЕОМ в мережі комплексом Xpider7 в режимі контролю процесів несанкціонованого проникнення