На основе принятой концепции средства защиты информации делятся на средства защиты от преднамеренного НСД (СЗИ ПНСД) и от случайного НСД (СЗИ СНСД). Средства управления защитой информации (СУЗИ) от НСД являются объединяющими, дающими возможность с помощью целенаправленных и взаимосвязанных функций в сочетании с наиболее полным охватом возможных каналов НСД объекта отдельными средствами защиты создать законченную и строгую систему защиты в комплексе средств автоматизации. Пример структуры такой системы приведен на рис.2.1.
СЗИ ПНСД включает 1-й контур защиты – систему контроля доступа на территорию объекта (СКДТО), 2-й контур защиты - систему контроля и разграничения доступа в помещение (СКРПД) и основной контур защиты (ОКЗ). СКДТО, содержащая систему охранной сигнализации (СОС) и контрольно-пропускные пункты (КПП), служит для ограничения доступа лиц на территорию объекта, а также совместно со специальными аппаратными решениями составляет средство защиты от побочных электромагнитных излучений и наводок.
Основной контур защиты перекрывает каналы доступа по периметру комплекса средств автоматизации (КСА). Система контроля вскрытия аппаратуры (СКВА) перекрывает доступ к внутреннему монтажу, технологическим пультам управления и кабельным соединениям. Система опознания и разграничения доступа к информации (СОРДИ) закрывает несанкционированный доступ и обеспечивает возможность контроля санкционированного доступа к информации законных пользователей и разграничения и разграничения их полномочий с учетом их функциональных обязанностей.
Рис.2.1.Структурная схема защиты информации
Средства вывода аппаратура из рабочего контура (СВАРК) обеспечивают блокировку НСД к информации при ремонте и профилактике аппаратуры. В числе средств основного контура применяются также средства защиты ресурсов (СЗР) и организационные меры. СЗР нацелены на недопущение блокировки пользователем-нарушителем работы других пользователей, а также для контроля и ограничения доступа пользователей к ресурсам.
Средства защиты информации на носителях (СЗИН) включают средства шифрования данных (СШД), средства уничтожения остатков информации на носителях (СУОИ), средства аутентификации информации на носителях (САИН), средства верификации программного обеспечения (СВПО) и организационно-технические мероприятия. Система контроля вскрытия аппаратуры включает датчики вскрытия, установленные на контролируемой аппаратуре, цепи сбора сигналов (ЦСС) и устройство контроля вскрытия аппаратуры (УКВА).
СОРДИ содержит терминал службы безопасности информации (ТСБИ), функциональные задачи программного обеспечения (ФЗ ПО), реализующие на программном уровне идентификацию и аутентификацию пользователей, а также разграничение их полномочий по доступу к информации. В целях защиты кодов паролей от НСД для них также должны быть предусмотрены средства защиты (СЗКП).
Средства защиты от случайного НСД включают средства повышения достоверности информации (СПДИ) и средства защиты информации от аварийных ситуаций (СЗИ АС). СПДИ содержат систему функционального контроля (СФК), устройство защиты от ошибок в каналах связи (УЗО КС), средства контроля целостности программного обеспечения (СКЦ ПО) и специальные технические решения (СТР). Они включают средства защиты от переадресации памяти (СЗПП), изоляции функциональных задач (СИФЗ) и другие технические решения.
Средства управления защитой информации содержат автоматизированное рабочее место службы безопасности (АРМ СБ) информации, ФЗ ПО, специально разработанные для выполнения управления защитой на программном уровне, включая ведение журнала учета и регистрации доступа (ЖУРД) и организационные мероприятия. АРМ СБ включает терминал безопасности, УКВА, аппаратуру записи кодов в физические ключи-пароли (АЗКП), необходимое количество ключей-паролей и аппаратуру регистрации и документирования информации (АРДИ). В дополнение к указанным средствам, выполненным на аппаратном и программном уровнях, в необходимых случаях применяются организационные меры[2].
2.4.Требования к защите информации в ЛВС подразделения
Чтобы обеспечить требуемый уровень безопасности информации в ЛВС подразделения, система безопасности должна иметь следующие средства:
· Средства идентификации и проверки полномочий
· Средства обеспечения защиты файлов
· Средства защиты ОС и программ пользователей
· Средства шифрования/дешифрования трафика сети
· Средства уничтожения остатков информации в системе
· Средства регистрации обращений к системе.
3.АНАЛИЗ ВОЗМОЖНОСТЕЙ СИСТЕМЫ РАЗГРАНИЧЕНИЯ ДОСТУПА ОС WINDOWS NT. ОБОСНОВАНИЕ ПРИМЕНЕНИЯ СПЕЦИАЛЬНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ.
3.1.Обзор услуг Windows NT по обеспечению безопасности информации
Windows NT имеет средства обеспечения безопасности, встроенные в операционную систему. Рассмотрим наиболее значимые из них.
Для повышения удобства Windows NT имеет централизованные средства управления безопасностью сети.
Имеется возможность установки области и связей доверия для централизации сетевого учета пользователей и другой информации, относящийся к безопасности, в одном месте, облегчая управление сетью и использование ее. При централизованном управлении безопасностью для каждого пользователя имеется только одна учетная карточка и она дает пользователю доступ ко всем разрешенным ему ресурсам сети. Можно использовать только один сетевой компьютер, чтобы проследить за активностью на любом сервере сети[1].
Профили пользователя в Windows NT позволяют обеспечить большое удобство пользователям и в то же самое время ограничить их возможности, если это необходимо. Чтобы использовать профили пользователя для большей продуктивности, имеется возможность сохранить на сервере профили, содержащие все характеристики пользователя и установочные параметры, как например, сетевые соединения, программные группы и даже цвета экрана. Этот профиль используется всякий раз, когда пользователь начинает сеанс на любом компьютере с Windows NT так, что предпочитаемая им среда следует за ним с одной рабочей станции на другую. Для того, чтобы применять профили при ограничении возможностей пользователя, необходимо добавить ограничения к профилю, как например, предохранить пользователя от изменения программных групп и их элементов, делая недоступными части интерфейса Windows NT, когда пользователь будет регистрироваться в сети[1].
Windows NT Server дает много инструментальных средств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть серверы и увидеть, какие ресурсы они совместно используют; увидеть пользователей, подключенных к настоящему времени к любому сетевому серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут[1].
Всякий раз, когда пользователь начинает сеанс на рабочей станции Windows NT, экран начала сеанса запрашивают имя пользователя, пароль и домен. Затем рабочая станция посылает имя пользователя и пароль в определенный домен для идентификации. Сервер в этом домене проверяет имя пользователя и пароль в базе данных учетных карточек пользователей домена. Если имя пользователя и пароль идентичны данным в учетной карточке, сервер уведомляет рабочую станцию о начале сеанса. Сервер также загружает другую информацию при начале сеанса пользователя, как например установки пользователя, свой каталог и переменные среды.
По умолчанию не все учетные карточки в домене позволяют входить в систему серверов домена. Только карточкам групп администраторов, операторов сервера, операторов управления печатью, операторов управления учетными карточками и операторов управления резервным копированием разрешено это делать[1].
3.1.5.Учетные карточки пользователей
Каждый человек, который использует сеть, должен иметь учетную карточку пользователя в некотором домене сети. Учетная карточка пользователя содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные работы или ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе[1].
Табл.3.1 показывает содержимое учетной карточки пользователя.
Таблица 3.1
Учетная карточка пользователя
Таблица 3.1(продолжение)