Автор работы: Пользователь скрыл имя, 06 Мая 2014 в 11:13, курсовая работа
Цель данной курсовой работы заключается в разработке проектасистемы защиты информации от несанкционированного доступа.
Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и в дальнейшем расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцу получить какой-либо выигрыш: материальный, политический и т.д.
Введение 6
Часть 1. Разработка проекта подсистемы защиты информации от несанкционированного доступа 7
1 Определение перечня защищаемых ресурсов и их критичности 7
2 Определение категорий персонала и программно-аппаратных средств, на которые распространяется политика безопасности 9
3Определение особенностей расположения, функционирования и построения средств компьютерной системы. Определение угроз безопасности информации и класса защищённости АС. 10
3.1 Анализ информационной архитектуры системы 10
3.2 Определение класса защищённости АС 12
3.3 Классификация ИСПДн 13
4 Формирование требований к построению СЗИ 20
5 Разработка модели угроз 24
6 Модель нарушителя 32
6.1 Этапы разработки, производства, хранения и транспортировки средств системы, подготовки к вводу в эксплуатацию 32
6.2 Типы нарушителей 33
6.3 Предположения об имеющейся у нарушителя информации 35
6.4 Предположения об имеющихся у нарушителей средствах атак 37
6.5 Предположения о каналах атак 37
6.6 Определение типа нарушителя 39
7 Выбор механизмов и средств защиты информации от НСД 39
Часть 2. Формулирование политики безопасности подразделений и информационных служб 44
8 Определение способов реализации правил разграничения доступа пользователей к информационным ресурсам 44
9 Формирование исчерпывающего набора правил разграничения доступа конкретных пользователей к конкретным объектам информационной службы. 52
Заключение 58
Список используемых источников 59
Т а б л и ц а 7 - Наличие необходимого функционала
SecretNet 6 (версия 6.5, автономный режим), Вариант-К | |
Требования к управлению доступом | |
идентификация и проверка подлинности пользователя при входе в систему по: | |
идентификатору (коду); |
реализовано |
паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. |
реализовано |
Требования к регистрации и учёту | |
регистрация входа (выхода) пользователей в систему (из системы), либо регистрация загрузки и инициализации операционной системы и её программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются: | |
дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы; |
реализовано |
результат попытки входа (успешная или неуспешная); |
реализовано |
учёт всех защищаемых носителей информации с помощью: | |
маркировки; |
организационные меры |
занесения учётных данных в журнал учёта. |
организационные меры |
Требования по обеспечению целостности | |
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность системы защиты персональных данных проверяется: | |
при загрузке системы по наличию имён (идентификаторов) компонентов системы защиты. |
реализовано |
целостность программной среды обеспечивается: | |
отсутствием в информационной системе средств разработки и отладки программ. |
реализовано |
физическая охрана технических средств информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надёжных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации; |
организационные меры |
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа; |
не реализовано |
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности. |
реализовано |
SecretNet 6 (версия 6.5, автономный режим), Вариант-К обеспечивается аппаратными идентификаторами ПАК "Соболь".
Согласно «Положению о методах и способах защиты информации в информационных системах персональных данных» кроме системы защиты от НСД в ИСПДн должны быть развернуты следующие средства защиты информации: межсетевой экран, средство обнаружения вторжений, антивирусное ПО, сканер безопасности, криптографические средства защиты.
Так как ИСПДн представляет собой распределенную вычислительную сеть, состоящую из отдельных ЭВМ с экономической точки зрения имеет смысл использовать персональные межсетевые экраны и персональные средства обнаружения вторжений. Из-за необходимости использования сертифицированных средств защиты, выбор становится сильно ограниченным. Межсетевой экран который удовлетворяет всем требованиям и использование которого является экономически обоснованным является – Security Studio Endpoint Protection. Кроме того данный продукт также является сертифицированным ФСТЭК средством обнаружения вторжений.
В качестве подсистемы антивирусной защиты принято решение использовать Kaspersky Business Space Security. Данный продукт включает в себя Антивирус Касперского 6.0 для Windows Servers для серверов и Антивирус Касперского 6.0 для Windows Workstations для рабочих станций.
В качестве средства для шифрования трафика между различными ЭВМ в данной АС, а так же для защищенного соединения с АС высшего звена было принято решение использовать VipNet Client 3.x. При этом VipNet Client 3.x подключены к VipNet инфраструктуре на основе VipNet Coordinator и VipNet Administrator системного интегратора, с которым заключено соответствующие соглашение на использование.
В таблице 8 показано соответствие выбранных средств установленным требованиям.
Т а б л и ц а 8 - Соответствие требованиям
VipNet Client 3.x |
XSpider 7.7 |
SSEP |
Kaspersky Business Space Security | |
Требования к межсетевому экранированию |
||||
фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов); |
реализовано |
реализовано |
||
фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств; |
реализовано |
реализовано |
||
фильтрация с учётом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов; |
реализовано |
не реализовано |
||
фильтрация с учётом любых значимых полей сетевых пакетов; |
реализовано |
реализовано |
||
регистрация и учёт фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации); |
реализовано |
реализовано |
||
идентификация и аутентификация администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия; |
реализовано |
реализовано |
||
регистрация входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана); |
реализовано |
реализовано |
||
регистрация запуска программ и процессов (заданий, задач); |
реализовано |
|||
контроль целостности своей программной и информационной части; |
реализовано |
реализовано |
||
восстановление свойств межсетевого экрана после сбоев и отказов оборудования; |
реализовано |
реализовано |
||
регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления |
не реализовано |
реализовано |
||
Требование к анализу защищённости |
||||
Средства (системы) анализа защищённости должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему. |
реализовано |
|||
Требование к обнаружению атак |
||||
Обнаружение вторжений проводится для информационных систем, подключённых к сетям международного информационного обмена, путём использования в составе информационной системы программных или программно-аппаратных средств (систем) обнаружения вторжений |
реализовано |
|||
Требование защиты каналов связи |
||||
создание канала связи, обеспечивающего защиту передаваемой информации; |
||||
аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных. |
||||
Требование к антивирусной защите |
||||
В
информационных системах, имеющих подключение
к информационно- |
реализовано | |||
Часть 2. Формулирование политики безопасности подразделений и информационных служб
8 Определение способов реализации правил разграничения доступа пользователей к информационным ресурсам.
Составим дискреционную модель разграничения доступа, которая будет являться базой формирования правил разграничения доступа. Результат представлен в таблице 9.
Т а б л и ц а 9 - Правила разграничения доступа
№ п.п. |
Должностные лица, допущенные к защищаемым ресурсам ОВТ |
Защищаемый ресурс | |
Наименование ресурса |
Разрешённые виды доступа | ||
Отдел планирования | |||
1.1 |
Начальник отдела планирования |
|
|
1.2 |
Первый зам. начальника отдела планирования |
|
|
1.3 |
Первый специалист отдела планирования |
|
|
1.4 |
Второй специалист отдела планирования |
|
|
1.5 |
Третий специалист отдела планирования |
|
|
1.6 |
Четвёртый специалист отдела планирования |
|
|
1.7 |
Пятый специалист отдела планирования |
|
|
Отдел кадров | |||
2.1 |
Начальник отдела кадров |
|
|
2.2 |
Первый зам. начальника отдела кадров |
|
|
2.3 |
Первый специалист отдела кадров |
|
|
2.4 |
Второй специалист отдела кадров |
|
|
2.5 |
Третий специалист отдела кадров |
|
|
2.6 |
Четвёртый специалист отдела кадров |
|
|
2.7 |
Пятый специалист отдела кадров |
|
|
Проектный отдел | |||
3.1 |
Начальник проектного отдела |
|
|
3.2 |
Первый зам. начальника проектного отдела |
|
|
3.3 |
Первый специалист проектного отдела |
|
|
3.4 |
Второй специалист проектного отдела |
|
|
3.5 |
Третий специалист проектного отдела |
|
|
3.6 |
Четвёртый специалист проектного отдела |
|
|
3.7 |
Пятый специалист проектного отдела |
|
|
9 Формирование исчерпывающего набора правил разграничения доступа конкретных пользователей к конкретным объектам информационной службы.
Разработаем структуру ресурсов (каталогов) для заданного количества пользователей АС, приведённых в задании.
Разработаем и реализуем таблицу разграничения доступа для пользователей в соответствии с их должностным положением и возможностями прав доступа NTFS к каталогам по их смысловому содержанию.
«Ревизор 1 XP» предназначен для создания и редактирования модели СРД. При этом программой выполняются следующие функции:
1. автоматическое сканирование локальных логических дисков, а также доступных сетевых папок. Выбор ресурсов для сканирования осуществляется администратором АРМ;
2. автоматическое считывание установленных прав доступа файловой системы NTFS (для АРМ под управлением ОС семейства Windows NT);
3. построение по результатам сканирования дерева ресурсов, соответствующего структуре ресурсов АРМ и ЛВС;
4. автоматическое получение списка локальных и доменных пользователей (для АРМ под управлением ОС семейства Windows NT);
5. ручная регистрация в ПРД пользователей и установка их уровней допуска;
6. установка прав доступа пользователей к объектам доступа, а также грифов секретности объектов доступа;
7. отображение всей информации, содержащейся в ПРД, в удобной форме;
8. создание отчётов на основе информации о субъектах и объектах доступа;
Программа выполняется администратором АРМ.
Выполним с помощью «Ревизор 2 XP» следующие операции:
- сканирование ресурсов файловой системы АРМ (введенных каталогов, файлов), доступных пользователю АРМ;
- автоматическое построение по результатам сканирования структуры объектов доступа, для каждого зарегистрированного пользователя;
- заполнение таблицы полномочий доступа пользователей к объектам доступа.
Результаты представлены на рисунках 1-3.
Рисунок 1 - Разграничение доступа для первого специалиста финансового отдела
Рисунок 2 - Разграничение доступа для зам.начальникафинансового отдела
Рисунок 3 - Разграничение доступа для начальника финансового отдела
Выполним исследование защищенности ресурсов.
«Ревизор 2 XР» - средства автоматизированной проверки соответствия прав пользователей по доступу к защищаемым информационным ресурсам АРМ, описанных в модели системы разграничения доступа (СРД), реальным правам доступа, предоставляемым установленной на АРМ системой защиты информации, либо соответствующей операционной системой.
Выполним с помощью «Ревизор 2 XР» следующие операции:
1) сравнение данных, полученных сканированием структуры объектов доступа с данными, указанными в описании модели СРД пользователей к объектам доступа;
2) проверку установленных в модели СРД АРМ полномочий пользователей по доступу к объектам доступа на соответствие установленным ПРД.
3) проверку
реального предоставления
Далее на рисунках 4-6 представлены отчеты по результатам сравнения.
Рисунок 4 – результат тестирования ПРД
для первого специалиста финансового
отдела.
Рисунок
5 – результат тестирования ПРД для зам.начальника
финансового отдела.
Рисунок 6 – результат тестирования ПРД для начальника финансового отдела.
Таким образом, имеется полное соответствие модели правил разграничения доступа (ПРД) с реализованными ПРД.
Заключение
В результате выполнения курсового проекта был разработать проект системы защиты информации от несанкционированного доступа для автоматизированной системы учреждения администрации района, созданной в виде распределенной вычислительной сети, состоящей из отдельных ЭВМ, которые расположены в нескольких контролируемых зонах. Все зарегистрированные клиенты сети имеют одинаковые полномочия по уровню допуска, к различным разделам информационной базы. Управление разграничением доступа к ресурсам системы осуществляется на основе специальных программных средств защиты от несанкционированного доступа.
Разработана и реализована структура ресурсов (каталогов) для пользователей АС - 3-х начальников отдела, 1-х заместителей и 5-х специалистов в каждом отделе. Создана модель СРД для созданных ресурсов. С помощью анализатора уязвимостей «Ревизор 2 XP» Выполнена проверка установленных в модели СРД полномочий пользователей по доступу на соответствие установленным ПРД для начальника отдела, заместителя начальника отдела и специалиста отдела.
Курсовое проектирование закрепило, углубило и обобщило знания, полученных в процессе изучения лекционного курса по дисциплине "Программно – аппаратная защита информации", а также умений и навыков, полученных при выполнении практических и лабораторных работ, и применению этих знаний, умений и навыков к решению конкретных инженерных задач, развитию навыков работы со специальной литературой и навыков инженерного проектирования.
Информация о работе Формулирование политики безопасности подразделений и информационных служб