Смекни!
smekni.com

Обеспечение защиты данных в системе Учет рабочего времени 2 (стр. 2 из 3)

Средства защиты от возможных угроз

Защита от угрозы № 2:

Для того, чтобы обеспечить безопасность НСД к активному оборудованию, необходимо его разместить под охрану. Обеспечить доступ к нему лицам, обладающим такими полномочиями.

Администратор должен позаботиться об эффективности паролей.

Пароль – это последовательность букв, цифр и других символов, с помощью которой система проверяет, действительно ли это тот самый пользователь, который имеет данную учетную запись и право доступа к ресурсам.

При регистрации нового пользователя администратор дает пользователю пароль по умолчанию, который в обязательном порядке должен меняться пользователем при первом доступе к системе. Пользователь должен помнить о том, чтобы пароль был менее наглядным, что вызывает определённые трудности при его подборе злоумышленниками. Для этого к паролю предъявляются определённые требования:

­ пароль не должен содержать данных, которые как-то связаны с пользователем (дата рождения, адрес и др.);

­ пароль должен сочетать в себе как символы, так и числа;

­ пароль должен быть не слишком длинным и не коротким;

­ пароль периодически должен меняться в зависимости от политики предприятия.

Защита от угрозы № 1:

Для усложнения доступа к компьютеру и его ресурсам злоумышленников, необходимо предусмотреть пароли BIOS. А также, если компьютер включен, но пользователь отсутствует, необходимо перевести компьютер в режим ожидания, т.е. включить хранитель экрана (screen-saver) c опцией ввода пароля при выходе из этого режима.

Защита от угрозы № 3:

Для предотвращения прослушивания сетевого трафика ЛВС необходимо отказаться от повторителя (Hub-а) и заменить его на коммутатор (Switch). Благодаря этому информация от отправителя будет направляться непосредственно получателю.

Защита от угрозы № 4:

Так как отдел работает с конфиденциальной информацией, которая не должна быть доступной посторонним лицам, то помещение во внерабочее время должно находиться под замком и сигнализацией. Ключ должен выдаваться на основании распоряжения руководителя лицам, оговоренным в нём.

Во избежание от подмены оборудования пользователя необходимо сделать привязку MAC-адреса сетевого интерфейса к коммутатору, т.е. разрешить доступ к данному порту определённому сетевому устройству.

Существует также ряд неявных угроз, которые могут возникнуть в процессе функционирования активного оборудования, например сбой в электропитании, выход из строя винчестеров.

Для предотвращения последствий от сбоя рекомендуется использовать:

­ Фильтры питания;

­ Источники бесперебойного питания;

­ Автономные генераторы.

Возможные механизмы защиты вертикальной структуры сети

Для большей защиты информации, циркулирующей по сети передачи данных, по возможности необходимо защищать на каждом уровне модели OSI.

Физический уровень:

Данный уровень отвечает за кодирование передаваемых сигналов в среде передачи данных. На этом уровне происходит преобразование поступающих со всех остальных уровней битов (0 и 1) в электрические сигналы. В соответствии с этим, для избежание воздействия различных электромагнитных наводок, которые могут привести к искажению передаваемой информации, необходимо использовать для передачи данных специальные экранированный кабель.

Канальный уровень:

Так как на данном уровне семиуровневой модели OSI происходит работа с MAC-адресами сетевых интерфейсов (адресами сетевых карт), то с целью устранения такой угрозы, как подмена рабочего места пользователя, необходимо произвести привязку MAC-адресов к конкретным портам активного оборудования, например, коммутатора.

Привязка MAC-адресов будет выглядеть примерно следующим образом:

[разрешить доступ MAC-1 к порту Port-1]

После выполнения такой операции к порту 1 коммутатора будут иметь доступ только компьютеры с адресами сетевых интерфейсов MAC-1. Устройства с другими сетевыми картами уже не смогут получить доступ к портам данного коммутатора.

Сетевой уровень:

Сетевой уровень отвечает за маршрутизацию, т.е. за выбор оптимального пути и доставку пакета данных адресату. В соответствии с этим необходимо разбить нашу сеть на виртуальные сегменты (сгруппировать в отдельные VLAN-ы), причём каждый такой сегмент будет иметь дело с конфиденциальной информацией, касающейся только пользователей, расположенных в данном сегменте сети (работников бухгалтерии предприятия).

[Включить Port – 1 в VLAN - 1]

[Включить Port – 2 в VLAN - 1]

[Включить Port – 3 в VLAN – 1]

[Включить Port – 4 в VLAN - 2]

[Включить Port – 5 в VLAN - 2]

[Включить Port – 6 в VLAN - 3]

Для достижения большего эффекта от такого разбиения сети необходимо использовать листы доступа (ACCESS – листы), которые бы запрещали сетям с конфиденциальной информацией маршрутизироваться в общую сеть, где циркулирует информация общего пользования. В результате использования таких листов доступа, конфиденциальная информация из одного виртуального сегмента никогда не попадёт в сегменты с общедоступной информацией.

Транспортный уровень:

На данном уровне необходимо организовать списки доступа (ACCESS – листы) аналогичные листам доступа на сетевом уровне, однако, здесь можно указывать не адреса сетей, а адреса конкретных сервисов. Например:

[Разрешить сервису Service-1 адреса IP-1 доступ к сервису Service-1 адреса IP-2]

[Разрешить сервису Service-2 адреса IP-1 доступ к сервису Service-2 адреса IP-2]

[Разрешить сервису Service-5 адреса IP-3 доступ к сервису Service-5 адреса IP-2]

[Остальное запретить]

Такие списки доступа можно настроить на серверах.

Прикладной уровень:

Это уровень сетевой модели, отвечающий за взаимодействие пользовательского приложения и сетью. На данном уровне необходимо осуществлять идентификацию (проверку наличия данного пользователя в списке) и аутентификацию (проверку достоверности имени и пароля) пользователей. При этом необходимо следить за тем, чтобы пользователи периодически осуществляли смену пароля, причём новый пароль должен значительно отличаться. Беспарольных пользователей в системе быть не должно.

Также на данном уровне необходимо произвести разделение прав доступа пользователей к информации на сервере.

Защита ОС:

На всех пользователях данной системы желательно установить операционную систему Windows XPProfessional. На сервере баз данных для большей защищённости находящейся на нём информации должна быть установлена ОС Windows 2003 Server.

При инсталляции и настройке ОС рекомендуется:

1. Необходимо поставить все существующие для ОС сервиспаки;

2. Опускать ненужные сервисы, при этом необходимо периодически проверять включенные сервисы с целью выявления изменений, которые могут произойти, например, при установке нового ПО или АО (На сервере с конфиденциальной информацией не должно быть таких сервисов, как telnet, ftp, http);

3. По возможности не использовать удалённое администрирование;

4. Постоянно контролировать процессы, запущенные в системе. Администратору необходимо знать каждый процесс и для чего он запускается;

5. Поставить на компьютеры последнюю версию хорошего антивируса (AVP, DrWEB, ...) и регулярно обновлять антивирусные базы. Также необходимо политикой безопасности запретить всем пользователям, кроме администратора, отключать антивирус. Обязательно наличие механизмов регистрации процессов, их анализа и распознавания угроз системе;

6. Выполнять проверку целостности, путем вычисления значения хэш-функции (некий аналог контрольной суммы) от заранее определенного набора критичных файлов системы и сравнения этого значения с эталоном. Проверка может проводиться как программными, так и аппаратными средствами;

7. Все пользователи должны иметь пароли, устойчивые к прямому перебору, т.е. содержать буквенные, цифровые и специальные символы в разных регистрах и иметь длину не менее 10 символов. Таким образом, пароль типа Nb6$iL78@+&67K будет подбираться прямым перебором несколько лет, пароль не должен нести смысловую нагрузку, как, например: quake, doom, password и т.д.;

8. Учитывать социальный фактор: не записывать пароль на бумажках, не сообщать пароль кому-либо, игнорировать письма от якобы системного администратора сообщить логин и пароль и т.д.;

9. Пользователи, не имеющие прав администратора, не должны иметь доступ к системным файлам, реестру и т.д. Например, файл MSV_0.dll, отвечающий за проверку подлинности пароля при локальном входе в систему, может быть скопирован и изменен таким образом, что любой пароль для любого пользователя будет считаться верным.

Прикладное и общесистемное ПО:

1. На сервере и клиенте запрещено иметь средства разработки;

2. Категорически запрещено вести разработку и эксплуатацию ПО на промышленных ресурсах. Для этих целей должны быть выделены отдельные ресурсы;

3. Каждый субъект должен иметь доступ только к тем объектам, который ему разрешён в соответствии с матрицей доступа.