Основные средства (инструменты) информационной безопасности:

- персонал -- люди, которые будут обеспечивать претворение в жизнь информационной безопасности во всех аспектах, то есть разрабатывать, внедрять, поддерживать, контролировать и исполнять;

- нормативное обеспечение -- документы, которые создают правовое пространство для функционирования информационной безопасности;

- модели безопасности -- схемы обеспечения информационной безопасности, заложенные в данную конкретную информационную систему или среду;

- криптография -- методы и средства преобразования информации в вид, затрудняющий или делающий невозможным несанкционированные операции с нею (чтение и/или модификацию), вместе с методами и средствами создания, хранения и распространения ключей -- специальных информационных объектов, реализующих эти санкции;

- антивирусное обеспечение -- средство для обнаружения и уничтожения зловредного кода (вирусов, троянских программ и т.п.);

- межсетевые экраны -- устройства контроля доступа из одной информационной сети в другую;

- сканеры безопасности -- устройства проверки качества функционирования модели безопасности для конкретной информационной системы;

- системы обнаружения атак -- устройства мониторинга активности в информационной среде, иногда с возможностью принятия самостоятельного участия в указанной активной деятельности;

- резервное копирование -- сохранение избыточных копий информационных ресурсов на случай их возможной утраты или повреждения;

- дублирование (резервирование) -- создание альтернативных устройств, необходимых для функционирования информационной среды, предназначенных для случаев выхода из строя основных устройств;

- аварийный план -- набор мероприятий, предназначенных для претворения в жизнь, в случае если события происходят или произошли не так, как было предопределено правилами информационной безопасности;

- обучение пользователей -- подготовка активных участников информационной среды для работы в условиях соответствия требованиям информационной безопасности.

Основные направления информационной безопасности.

Физическая безопасность -- обеспечение сохранности самого оборудования, предназначенного для функционирования информационной среды, контроль доступа людей к этому оборудованию.

Компьютерная безопасность (сетевая безопасность, телекоммуникационная безопасность, безопасность данных) -- обеспечение защиты информации в ее виртуальном виде. В конкретном программном комплексе модель безопасности может быть реализована таким образом, что это потребует отдельного специалиста (или даже службы) по ее поддержанию. В этом случае, возможно разделить понятия безопасность данных (конкретного приложения) и безопасность сети (всей остальной информационной среды).

2.3 Физическая защита данных в КС

Кабельная система

Кабельная система является причиной более чем половины всех отказов сети. В связи с этим кабельной системе должно уделяться особое внимание с самого момента проектирования сети.

Наилучшим способом является использование получивших широкое распространение в последнее время так называемых структурированных кабельных систем, использующих одинаковые кабели для передачи данных в локальной вычислительной сети, локальной телефонной сети, передачи видеоинформации или сигналов от датчиков пожарной безопасности или охранных систем. К структурированным кабельным системам относятся, например, SYSTIMAX SCS фирмы АТ&T, OPEN DECconnect компании Digital, кабельная система корпорации IBM.

Понятие "структурированность" означает, что кабельную систему здания можно разделить на несколько уровней в зависимости от назначения и месторасположения компонентов кабельной системы. Например, кабельная система SYSTIMAX SCS состоит из:

- некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.

- Внешней подсистемы (campus subsystem)

- Аппаратных (equipment room)

- Административной подсистемы (administrative subsystem)

- Магистрали (backbone cabling)

- Горизонтальной подсистемы (horizontalsubsystem)

Внешняя подсистема состоит из медного и оптоволоконного кабеля, устройств электрической защиты и заземления и связывает коммуникационную и обрабатывающую аппаратуру в здании (или комплексе зданий). Кроме того, в эту подсистему входят устройства сопряжения внешних кабельных линий с внутренними.

Аппаратные служат для размещения различного коммуникационного оборудования, предназначенного для обеспечения работы административной подсистемы.

Административная подсистема предназначена для быстрого и легкого управления кабельной системой SYSTIMAX SCS при изменении планов размещения персонала и отделов. В ее состав входят кабельная система (неэкранированная витая пара и оптоволокно), устройства коммутации и сопряжения магистрали и горизонтальной подсистемы, соединительные шнуры, маркировочные средства и т.д.

Магистраль состоит из медного кабеля или комбинации медного и оптоволоконного кабеля и вспомогательного оборудования. Она связывает между собой этажи здания или большие площади одного и того же этажа.

Горизонтальная система на базе витого медного кабеля расширяет основную магистраль от входных точек административной системы этажа к розеткам на рабочем месте.

Оборудование рабочих мест включает в себя соединительные шнуры, адаптеры, устройства сопряжения и обеспечивает механическое и электрическое соединение между оборудованием рабочего места и горизонтальной кабельной подсистемой.

Наилучшим способом защиты кабеля от физических (а иногда и температурных и химических воздействий, например, в производственных цехах) является прокладка кабелей с использованием в различной степени защищенных коробов. При прокладке сетевого кабеля вблизи источников электромагнитного излучения необходимо выполнять следующие требования:

- неэкранированная витая пара должна отстоять минимум на 15-30 см от электрического кабеля, розеток, трансформаторов и т.д.

- требования к коаксиальному кабелю менее жесткие - расстояние до электрической линии или электроприборов должно быть не менее 10-15 см.

Другая важная проблема правильной инсталляции и безотказной работы кабельной системы - соответствие всех ее компонентов требованиям международных стандартов.

Наибольшее распространение в настоящее время получили следующие стандарты кабельных систем:

Спецификации корпорации IBM, которые предусматривают девять различных типов кабелей. Наиболее распространенным среди них является кабель IBM type 1 - экранированная витая пара (STP) для сетей TokenRing.

Система категорий UnderwritersLabs (UL) представлена этой лабораторией совместно с корпорацией Anixter. Система включает пять уровней кабелей. В настоящее время система UL приведена в соответствие с системой категорий EIA/TIA.

Стандарт EIA/TIA 568 был разработан совместными усилиями UL, American National Standards Institute (ANSI) и Electronic Industry Association/Telecommunications Industry Association, подгруппой TR41.8. 1 для кабельных систем на витой паре (UTP).

Необходимо также отметить, что требования стандарта EIA/TIA 568 относятся только к сетевому кабелю. Но реальные системы, помимо кабеля, включают также соединительные разъемы, розетки, распределительные панели и другие элементы. Использование только кабеля категории 5 не гарантирует создание кабельной системы этой категории. В связи с этим все вышеперечисленное оборудование должно быть также сертифицировано на соответствие данной категории кабельной системы.

Системы электроснабжения

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания. Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и т.д. - оснащены собственными дублированными системами электропитания.

Системы архивирования и дублирования информации

Организация надежной и эффективной системы архивации данных является одной из важнейших задач по обеспечению сохранности информации в сети. В небольших сетях, где установлены один-два сервера, чаще всего применяется установка системы архивации непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер.

Такой сервер автоматически производит архивирование информации с жестких дисков серверов и рабочих станций в указанное администратором локальной вычислительной сети время, выдавая отчет о проведенном резервном копировании. При этом обеспечивается управление всем процессом архивации с консоли администратора, например, можно указать конкретные тома, каталоги или отдельные файлы, которые необходимо архивировать. Возможна также организация автоматического архивирования по наступлении того или иного события ("eventdrivenbackup"), например, при получении информации о том, что на жестком диске сервера или рабочей станции осталось мало свободного места, или при выходе из строя одного из "зеркальных" дисков на файловом сервере. Среди наиболее распространенных моделей архивационных серверов можно выделить StorageExpressSystem корпорации Intel, ARCserveforWindows, производства фирмы Cheyenne и ряд других.

Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия. Для обеспечения восстановления данных при сбоях магнитных дисков в последнее время чаще всего применяются системы дисковых массивов - группы дисков, работающих как единое устройство, соответствующих стандарту RAID (RedundantArraysofInexpensiveDisks). Эти массивы обеспечивают наиболее высокую скорость записи/считывания данных, возможность полного восстановления данных и замены вышедших из строя дисков в "горячем" режиме (без отключения остальных дисков массива).

Организация дисковых массивов предусматривает различные технические решения, реализованные на нескольких уровнях.

Уровень 0 предусматривает простое разделение потока данных между двумя или несколькими дисками. Преимущество подобного решения заключается в увеличении скорости ввода/вывода пропорционально количеству задействованных в массиве дисков. В то же время такое решение не позволяет восстановить информацию при выходе из строя одного из дисков массива.

RAID уровня 1 заключается в организации так называемых "зеркальных" дисков. Во время записи данных информация основного диска системы дублируется на зеркальном диске, а при выходе из строя основного диска в работу тут же включается "зеркальный".

Уровни 2 и 3 предусматривают создание так называемых параллельных дисковых массивов, при записи на которые данные распределяются по дискам на битовом уровне. Специальный диск выделяется для сохранения избыточной информации, которая используется для восстановления данных при выходе из строя какого-либо из дисков массивов.

Уровни 4 и 5 представляют собой модификацию нулевого уровня, при котором поток данных распределяется по дискам массива. Отличие состоит в том, что на уровне 4 выделяется специальный диск для хранения избыточной информации, а на уровне 5 избыточная информация распределяется по всем дискам массива. Организация дисковых массивов в соответствии со стандартом 5 уровня обеспечивает высокую скорость считывания/записи информации и позволяет восстанавливать данные при сбое какого-либо диска без отключения всего дискового массива.

Среди всех вышеперечисленных уровней дисковых массивов уровни 3 и 5 являются наиболее предпочтительными и предполагают меньшие по сравнению с организацией "зеркальных" дисков материальные затраты при том же уровне надежности.

Повышение надежности и защита данных в сети, основанная на использовании избыточной информации, реализуются не только на уровне отдельных элементов сети, например дисковых массивов, но и на уровне сетевых ОС. Так, на протяжении последних десяти лет компания Novell реализует отказоустойчивые версии операционной системы Netware - SFT (SystemFaultTolerance), предусматривающие три основных уровня:

- SFT Level I. Первый уровень предусматривает, в частности, создание дополнительных копий FAT и DirectoryEntriesTables, немедленную верификацию каждого вновь записанного на файловый сервер блока данных, а также резервирование на каждом жестком диске около 2% от объема диска. При обнаружении сбоя данные перенаправляются в зарезервированную область диска, а сбойный блок помечается как "плохой" и в дальнейшем не используется.

- SFT Level II содержала дополнительно возможности создания "зеркальных" дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.

- Версия SFT Level III позволяет использовать в локальной сети дублированные серверы, один из которых является "главным", а второй, содержащий копию всей информации, вступает в работу в случае выхода "главного" сервера из строя.



2.4 Программно-технические средства в сетях

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Все средства защиты информации от несанкционированного доступа можно подразделять на следующие группы:

- Технические (аппаратные) средства и системы независящие от объекта защиты, т.е. помещения, места расположения, рабочей станции и т.д.

- Программно-аппаратные средства и системы, выполненные как отдельное устройство функционирующие совместно с объектом защиты в определенной последовательности в соответствии с выполнением программного алгоритма

- Программные средства или системы (программы работы с BIOS, программные файерволы, антивирусные средства и т.д.) установленные на рабочей станции и функционирующие в соответствии с выполнением собственных алгоритмов

Системы защиты информации при администрировании можно разделить следующим образом:

- Разграничение доступа к объекту защиты выполняется с применением идентификации (ввод имени пользователя, использования ключа доступа - дискеты, eToken-ключи, другие внешние аппаратных устройств);

- Аутентификация пользователя при доступе к защищаемой информации;

- Аудит доступа, ведение списка пользователей, блокирование доступа;

- Контроль целостности как папок и файлов, так и секторов и дисков;

- Аудит контроля целостности;

- Запрет и аудит загрузки с внешних или съемных носителей;

- Средство безопасной аутентификации eToken;

- Система защиты электронный замок "Соболь";

- Система защиты информации "Страж NT";

- Система защиты информации "SecretNet";

- Система защиты информации "Электронный замок "eLock";

- Система защиты информации "DallasLock";

Средство безопасной аутентификации eToken. Для государственных и коммерческих организаций сохранение конфиденциальной информации является одной из приоритетных задач. Организация эффективного и защищенного доступа к информационным ресурсам является сложной задачей. Одним из решений является возможность получения доступа с помощью специализированных токенов (ключей). Однако, оптимальный выбор представляет собой проблему.

Для определения наиболее эффективного средства аутентификации рационально использовать метод анализа иерархий.

Метод анализа иерархий (МАИ) является методологической основой для решения задач выбора альтернатив посредством их многокритериального рейтингования. Зарубежные ученые использую МАИ в своих исследованиях.

Изучив рынок средств аутентификации, для анализа и последующего внедрения одного из данных средств были выбраны следующие: eToken PRO, iButton (DS1961S), ruToken, eToken PASS и eToken PRO Anywhere.

Приведем некоторые характеристики устройств, взятые с официальных сайтов.

- eToken PRO. Ключи eToken PRO являются персональным средством аутентификации и хранения данных. Рассматриваемые устройства аппаратно поддерживают работу с цифровыми сертификатами и электронно-цифровой подписью. Возможности eToken PRO: двухфакторная аутентификация пользователей; поддержка Java-апплетов; возможность централизованного управления. Цена от 947 р.

- iButton (DS1961S). iButton - это микросхема, вставленная в защищенный металлический корпус. Форма устройства в виде монеты позволяет простое использование оператором. Представленной электронный ключ используется для аутентификации пользователя, доступа в охраняемую зону. Возможности iButton(DS1961S): цифровая идентификация; обеспечение компактности хранения информации; передача информации при контакте. Цена - 130 р.

- ruToken. Данный идентификатор является компактным устройством в виде USB-брелка, который используется для авторизации пользователя, защиты электронной переписки, удаленного доступа к ресурсам, безопасного и надежного хранения данных. Возможности ruToken: ограниченное количество попыток ввода PIN-кода; интеграция в smartcard-ориентированное программное обеспечение; три уровня (гость, пользователь, администратор) доступа к токену. Цена - 770 р.

- eToken PASS. Идентификатор позволяет добавить поддержку аутентификации по одноразовым паролям в различные приложения. Возможности: не требуется установка дополнительного программного обеспечения; не требуется установка драйверов; функционирование с мобильных устройств; одноразовый односеансовый пароль. Цена - 850 р.

- eTokenPROAnywhere является электронным USB-ключом, позволяющий безопасно обращаться к Web-ресурсам. Возможности: открытие браузера и перенаправление пользователя только на заданные веб-сайты (адреса хранятся в защищённой памяти ключа); аутентификация пользователя; обеспечение защиты передаваемых по сети данных; защита от фишинга. Цена - 1032 р.

Рассмотрим применение метода анализа иерархии для решения поставленной задачи. Вначале требуется построение иерархической структуры: цель, критерии, альтернативы (таблица 1).

Таблица 1 - Иерархическая структура

Цель	Выбор наилучшего средства аутентификации
Альтернативы	ruToken	eToken PASS	eTokenPro	eToken PRO Anywhere	iButton
Критерии	Цена	Возможности	Применяемость

Далее требуется провести сравнения альтернатив по каждому из трех показателей.

Рисунок 3. Сравнение выбранных идентификаторов относительно критерия "Цена"

Рисунок 4. Сравнение выбранных идентификаторов относительно критерия "Возможности"



Рисунок 5. Сравнение выбранных идентификаторов относительно критерия "Применяемость"

Рисунок 6. Результат сравнения идентификаторов по выбранным критериям

Таким образом, мы определили, что оптимальным средством аутентификации является идентификатор eToken PRO Anywhere, его значение глобального приоритета максимально - 0,3679.

Система защиты электронный замок "Соболь". Аппаратно-программный модуль доверенной загрузки "Соболь" позволяет защитить компьютеры от несанкционированного доступа и создавать замкнутую программную среду для работы пользователей. "Соболь" поможет предотвратить несанкционированную загрузку операционной системы как с внутренних носителей информации, так и съёмных, а механизм контроля целостности позволит отслеживать любые несанкционированные изменения в программной а аппаратной среде компьютера и запрещать работу на нём при их наличии.

Аппаратно-программный модуль может эффективно использоваться на предприятиях любого масштаба. Модуль применяется, когда необходимо предотвратить несанкционированный доступ к ресурсам защищаемого компьютера, разграничить доступ к информации и предотвратить несанкционированную её утечку при попытке обхода средств защиты.

Какие задачи решает:

- идентификация и аутентификация пользователей;

- контроль целостности аппаратной и программной среды компьютера;

- защита от несанкционированной загрузки ОС со съемных носителей;

- регистрация попыток доступа к компьютеру и иных событий безопасности;

- блокировка компьютера при попытке несанкционированного доступа или нарушении целостности программных или аппаратных компонентов;

- присутствует функция контроля работоспособности компонентов комплекса.

Внедрив "Соболь", заказчик сможет разграничить доступ пользователей к информации и компьютерам, предотвратить несанкционированную загрузку операционной системы со съемных носителей и последующую утечку информации, а механизм контроля целостности позволит контролировать неизменность программно-аппаратной среды компьютера.

Технические особенности

Электронный замок "Соболь" реализуется аппаратно-программным путём: он состоит из платы и программного обеспечения. "Соболь" может применяться для защиты как автономных компьютеров, так и компьютеров и серверов, входящих в состав локальной вычислительной сети предприятия.

Программно-аппаратный модуль "Соболь" перехватывает момент загрузки операционной системы и продолжает её загрузку только после того, как пользователь предъявит свой идентификатор и будет проведена проверка целостности системы.

Контроль целостности имеет 2 режима функционирования:

- жесткий - запрет загрузки ОС и доступа к устройствам при нарушении целостности, регистрация факта нарушения целостности в журнале;

- мягкий - разрешение загрузки операционной системы и фиксация факта нарушения целостности в журнале.

Защита от несанкционированной загрузки операционной системы со съемных носителей реализуется путём блокировки доступа к устройствам чтения внешних носителей и USB-устройствам до момента загрузки штатной ОС, установленной на защищаемом компьютере. Доступ к устройствам восстанавливается при успешной загрузке штатной операционной системы, установленной на защищаемом компьютере.

Аппаратный датчик случайных чисел, входящий в состав модуля доверенной загрузки "Соболь" может применяться в СКЗИ для генерации надёжных ключей шифрования. Аппаратная часть комплекса исполняется в виде плат различных стандартов, начиная от PCI и заканчивая MINI-PCI-E. Электронный замок совместим с 64-битными версиями ОС Windows.

Электронный замок "Соболь" можно применять как автономное средство защиты, так и средство защиты, функционирующее в режиме совместного использования с другими решениями компании "Код безопасности".

При использовании "Соболя" совместно с другими решениями, часть функций управления "Соболем" передаётся на то средство защиты информации, совместно с которым он функционирует.

Основными этапами внедрения комплекса являются: установка программного обеспечения и платы, инициализация комплекса и его настройка. В результате внедрения заказчик получает дополнительный контроль над доступом сотрудников к ресурсам компьютеров и исключение несанкционированной загрузки операционной системы (как штатной, так и загружаемой со съемных носителей).

Система защиты информации Страж NT

Система защиты информации "Страж NT" (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа в многопользовательских автоматизированных системах на базе персональных ЭВМ. СЗИ "Страж NT" (версия 3.0) может применяться как на автономных рабочих местах, так и на рабочих станциях и серверах в составе локальной вычислительной сети. Отсутствие аппаратной составляющей позволяет применять СЗИ на компьютерах недесктопного исполнения (ноутбуки, сервера, промышленные компьютеры).

В СЗИ "Страж NT" (версия 3.0) реализованы следующие подсистемы и защитные механизмы:

- Строгая двухфакторная аутентификация до загрузки операционной системы с использованием аппаратных идентификаторов.

- Дискреционный и мандатный принципы разграничения доступа пользователей к ресурсам системы.

- Замкнутая программная среда для пользователей.

- Регистрация событий, в том числе и действий администратора.

- Маркировка печатных документов, независимо от приложения, выдающего их на печать.

- Гарантированное стирание освобождаемой оперативной памяти и удаляемых ресурсов системы.

- Контроль целостности критических ресурсов системы и компонентов системы защиты.

- Управление пользователями.

- Управление носителями информации.

- Преобразование информации на отчуждаемых носителях.

- Управление устройствами.

- Тестирование механизмов системы защиты.

"Страж NT" (версия 3.0) имеет сертификат ФСТЭК России, который позволяет использовать ее при создании автоматизированных систем до класса защищенности 1Б включительно и для защиты информации в ИСПДн до 1 класса включительно.

Обновленный 64-х разрядный релиз СЗИ "Страж NT" прошел летом 2012 года инспекционный контроль ФСТЭК России, подтвердивший соответствие СЗИ выданному ранее сертификату №2145. В обновленном релизе СЗИ "Страж NT" добавлена поддержка 64-х разрядных операционных систем MicrosoftWindows XP, WindowsServer 2003, WindowsVista, WindowsServer 2008, Windows 7 и WindowsServer 2008 R2.

Программно-аппаратная система защиты информации SecretNet

SecretNet является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

- №98-ФЗ ("О коммерческой тайне")

- №152-ФЗ ("О персональных данных")

- №5485-1-ФЗ ("О государственной тайне")

- СТО БР (Стандарт Банка России)

Сертификаты ФСТЭКРоссии позволяют использовать СЗИ от НСД SecretNet для защиты:

- конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно;

- информационных систем персональных данных до класса К1 включительно.

Расширен список операционных систем, добавлена поддержка 64-битных платформ.

Упрощен аудит безопасности за счет реализации возможности групповых операций с журналами. В программе управления отображаются зарегистрированные журналы от нескольких компьютеров по различным критериям событий безопасности.

Улучшена информативность программы оперативного управления ("Монитор") - реализована возможность отображения состояния защитных подсистем на клиентских рабочих станциях.

Добавлена поддержка персональных идентификаторов Rutoken, USB-ключи eToken PRO (Java), смарт-карты eToken PRO (Java), смарт-карты eToken PRO.

Исключено шифрование данных.

Возможности SecretNet 6:

- Аутентификация пользователей.

- Обеспечение разграничения доступа к защищаемой информации и устройствам.

- Доверенная информационная среда.

- Контроль каналов распространения конфиденциальной информации.

- Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.

- Централизованное управление политиками безопасности, позволяет оперативно реагировать на события НСД.

- Оперативный мониторинг и аудит безопасности.

- Масштабируемая система защиты, возможность применения SecretNet (сетевой вариант) в организации с большим количеством филиалов.

Варианты развертывания SecretNet 6:

Автономный режим - предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.

Сетевой режим (с централизованным управлением) - предназначен для развертывания в доменной сети c ActiveDirectory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант SecretNet может быть успешно развернут в сложной доменной сети (domaintree/forest).

Программное СЗИ "Электронный замок "eLock" предназначено для защиты ресурсов персонального компьютера от НСД при загрузке. В СЗИ "eLock" реализованы следующие функции защиты:

- идентификация и аутентификация пользователя до загрузки операционной системы (ОС);

- проверка ключевой идентификационной информации, хранящейся на внешних носителях (модификации Floppy и USB);

- остановка загрузки ОС при неуспешной идентификации и/или аутентификации;

- блокировка компьютера после трех неуспешных попыток аутентификации;

- регистрация событий в журнале учета (тип, имя пользователя, дата и время возникновения события);

- контроль целостности исполняемых модулей СЗИ "eLock 3.0.5002.0" и блокировка загрузки компьютера в случае ее нарушения;

- поддержка полномочий привилегированных (супервизора, администратора) и обычных (до восьми) пользователей;

- изменение PIN-кода доступа к USB- ключам и PIN-кодов USB- ключей;

- реализация загрузки только с устройства жесткого диска и блокировка клавиатуры при загрузке ОС.

Подсистема регистрации предназначена для регистрации входов в СЗИ "eLock", регистрации идентификации и аутентификации пользователей, регистрации изменения личного пароля администратора и пользователя, регистрации случаев блокировки компьютера, регистрации действий администратора по редактированию списка пользователей и регистрации очистки журнала. При установке "eLock" записывается в постоянно запоминающее устройство персонального компьютера, где располагается его базовая система ввода-вывода (BIOS). Данной СЗИ от НСД состоит из модуля реализации функций защиты и интерфейса СЗИ "eLock", и модуля реализующего работу с флэш-памятью ПЭВМ (неверная установка СЗИ может повредить базовую систему ввода-вывода, что приведет к потере работоспособности ПЭВМ).

Система защиты информации "DallasLock"

Система защиты информации от несанкционированного доступа(СЗИ от НСД)DallasLock представляет собой программный комплекс для обеспечения безопасности хранения и обработки данных в ОС семейства Windows.

СЗИ от НСДDallasLock предназначается для:

- разграничения доступа к информационным ресурсам и подключаемым устройствам;

- аудита действий пользователей, санкционированных и без соответствующих прав;

- централизованного управления механизмами безопасности;

- приведения АС, ГИС и обработки ПДн в соответствие требованиям законодательства по защите информации.

Версии СЗИ от НСД Dallas Lock представляют собой линейку сертифицированных решений для использования при создании комплексной системы защиты в автоматизированных системах до класса 1Б включительно и в информационных системах персональных данных до 1-го уровня включительно.

СЗИ от НСД Dallas Lock является полностью программным средством с возможностью подключения аппаратных идентификаторов, что обеспечивает ей реализацию двухфакторной аутентификации, присущей системам с повышенной сложностью. В то же время аппаратная идентификация обязательной не является.

Возможна установка актуальных версий на персональных компьютерах, портативных и мобильных компьютерах (ноутбуках и планшетных ПК), серверах (файловых, контроллерах домена и терминального доступа), также поддерживает виртуальные среды (Приложение В).

Преимущества:

- Настройка параметров безопасности собственными механизмами, полностью независимыми от ОС.

- Быстрое внедрение и эффективное управление многоуровневой системой защиты для распределенных конфигураций информационных сетей.

- Совместимость с другими технологиями и продуктами по защите информации (антивирусами, межсетевыми экранами, VPN, криптопровайдерами, IDS/IPS) и прикладным ПО.

- Широкий набор дополнительного функционала(помимо базовых требований РД).

- Оптимальная совокупная стоимость владения -- от первичного приобретения до внедрения и сопровождения.

Возможности:

Архитектура СЗИ от НСД Dallas Lock включает в себя основные и дополнительные подсистемы, в том числе с уникальным функционалом.

- Аутентификация и разграничение доступа.

- Двухфакторная авторизация по паролю заданной сложности и аппаратному идентификатору.

- Дискреционный и мандатный принципы разграничения прав пользователей на доступ к глобальным, локальным и сетевым ресурсам файловой системы и подключаемым устройствам. Организация замкнутой программной среды и дополнительные механизмы ее настройки.

- Регистрация и учет действий пользователей.

- Настройка аудита и ведение журналов регистрации событий.

- Возможность фильтрации записей, экспорт и архивирование.

- Добавление штампа на распечатываемые документы.

- Контроль целостности.

- Обеспечение контроля целостности файловой системы, программно-аппаратной среды и реестра.

- Блокировка загрузки компьютера при выявлении изменений.

- Очистка остаточной информации.

- Объединение и управление защищенными компьютерами с помощью модуля"Сервер безопасности".

- Объединение нескольких Серверов безопасности в единый Лес безопасности с помощью модуля "Менеджер серверов безопасности".

- Дополнительные подсистемы и механизмы.

- Механизм преобразования данных в файл-контейнер.

- Механизм прозрачного преобразования жесткого диска.

- Модуль доверенной загрузки ПК уровня загрузочной записи.

- Задание списка расширений файлов, работа с которыми будет блокирована.

- Использование собственной графической оболочки для организации рабочего стола с ярлыками только необходимых программ.

- Подсистема самодиагностики функционала с формированием отчета.

- Удаленное администрирование и др.

2.5 Практическое применение методов и средств сетевой безопасности

Межсетевой экран (другие названия брандмауэр, фаервол) - это комплекс аппаратных и программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами (защитный барьер между компьютером и сетью, к которой он подключен).

Порт - это идентифицируемый определенным номером системный ресурс, выделяемый приложению, которое выполняется на некотором сетевом хосте (компьютер или другое сетевое устройство), для связи с приложениями, которые выполняются на других сетевых хостах (в том числе c другими приложениями на этом же хосте). Есть много тысяч таких портов и у каждого есть свой уникальный номер.

Наиболее часто используемыми портами во всемирной сети являются:

1. 80 -- порт для загрузки web-страниц;

2. 110 -- используется по умолчанию для загрузки электронной почты;

3. 25 -- используется по умолчанию для отправки электронной почты.

Суть брандмауэра в том, чтобы закрыть порты, которые не используются. В противном случае через них злоумышленник или вредоносная программа (вирус, троян) могут проникнуть в ПК.

Рисунок 7. Расположение сетевого экрана (Firewall) в сети.

Виды межсетевых экранов

Брандмауэры можно поделить на две простые категории: аппаратные и программные. Аппаратным фаерволом может быть маршрутизатор, который находиться между ПК и сетью Интернет. В таком случае к нему можно подключить несколько компьютеров и все они будут защищены брандмауэром, который является частью маршрутизатора. Программный межсетевой экран -- это специализированное ПО, которое пользователь устанавливает себе на компьютер.

Типичные возможности:

- фильтрация доступа к заведомо незащищенным службам;

- препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;

- контроль доступа к узлам сети;

- может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;

- регламентирование порядка доступа к сети;

- уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Следует отметить, что использование фаервола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.

Проблемы, не решаемые фаерволом:

- Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, онне защищает узлы сети от проникновения через "люки" (backdoors) или уязвимости ПО;

- не обеспечивает защиту от многих внутренних угроз, в первую очередь -- утечки данных;

- не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к фаерволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с фаервола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.

Аппаратный межсетевой экран ALTELL NEO -- защита корпоративной, локальной сети.

ALTELL NEO -- российские аппаратные межсетевые экраны нового поколения, сертифицированные ФСТЭК на самые высокие классы защиты. Главная особенность этих устройств -- сочетание возможностей фильтрации трафика с функциями построения защищенных каналов связи (VPN), обнаружения и предотвращения вторжений (IDS/IPS) и контент-фильтрации (антивирусы, веб- и спам-фильтры, контроль приложений), что обеспечивает полное соответствие современной концепции унифицированной защиты сети (UnifiedThreatManagement, UTM, шлюз безопасности).

Рисунок 8. Аппаратный межсетевой экран ALTELL NEO

Преимущества ALTELL NEO:

- Полное соответствие требованиям российского законодательства в области ИБ (сертификаты ФСТЭК и ФСБ);

- Широкий модельный ряд (небольшие и средние организации/холдинги/ЦОДы);

- Богатые функциональные возможности (FW, VPN, IDPS, антивирусный шлюз, почтовый фильтр, веб-фильтр);

- Открытые цены, наилучшее соотношение Мбит/руб.;

- Низкая совокупная стоимость владения (у младших моделей -- 0 рублей);

- Модульная архитектура аппаратной и программной составляющих (3 варианта системного ПО:FW, VPN, UTM, дополнительные модули и опции);

- Высокая производительность, быстрое шифрование ГОСТ 28147-89;

- Разнообразие интерфейсов: 1/10 GbE (RJ45, SFP, SFP+), E1/T1, QDR 40 GbE (InfiniBand);

- Контроль приложений в реальном времени (L7-filtering);

- Работа в конвергентных сетях (данные, голос, видео);

- Поддержка режима динамической маршрутизации (RIP, OSPF, BGP);

- Простое управление с использованием командной строки, полноценного веб-интерфейса и отдельной системы мониторинга и управления;

- Встроенный учет трафика;

- Бесплатная трехлетняя гарантия работоспособности устройства;

- Бесплатная годовая техническая поддержка;

- Автоматическое обновление в режиме PUSH;

- Возможно использование отечественного UEFI BIOS (сейчас используется в NEO 100);

- Русскоязычная техническая поддержка, подробная документация (3060 страниц).

Широкий модельный ряд ALTELL NEO позволяет удовлетворить запросы любой организации: от небольшой компании или регионального филиала до штаб-квартиры крупного территориально-распределенного холдинга или центра обработки данных. Модельный ряд ALTELL NEO приложение Г.

Одним из преимуществ устройств ALTELL NEO является их универсальность. В зависимости от варианта системного ПО (FW, VPN, UTM) они могут использоваться как межсетевой экран, маршрутизатор, криптошлюз, антивирусный шлюз, система обнаружения вторжений или веб-фильтр, а также выполнять все эти функции одновременно в качестве унифицированного шлюза безопасности (с вариантом ПО UTM). Таким образом, защита компьютерных сетей может быть обеспечена с помощью одного устройства (приложение Д).

http://www.altell.ru.images.1c-bitrix-cdn.ru/upload/medialibrary/04b/04b9e43b7282c9d60064dd7c4770066a.jpg?1393490655251520Устройства ALTELL NEO обладают всеми необходимыми сертификатами для использования в качестве средства защиты информации.



Рисунок 9. Возможности ALTELL NEO

Возможности:

- Защита локальной сети от нежелательного трафика;

- Обеспечение дифференцированных политик доступа к сети Интернет;

- Защита корпоративной сети от спама и вредоносного ПО;

- Разделение доступа к сегментам корпоративной сети, выделение сегментов ИСПДн и DMZ;

- Обнаружение и предотвращение вторжений (защита компьютерных сетей от хакерских атак);

- Обеспечение стабильности приоритетных соединений независимо от остальной нагрузки;

- Учет трафика и протоколирование соединений;

- Балансировка нагрузки между несколькими провайдерами;

- Создание отказоустойчивых кластерных решений;

- Объединение локальных сетей филиалов в единую защищенную корпоративную сеть;

- Защищенное подключение удаленных и мобильных пользователей к корпоративной сети;

- Блокировка нежелательных протоколов прикладного уровня;

- Защита корпоративной сети от DoS-атак.



3. Экономическая часть

3.1 Организационно-экономическое обоснование

В связи с массовым внедрением компьютеров во все сферы деятельности человека объем информации, которая хранится в электронном виде, вырос в тысячи раз, а с появлением компьютерных сетей даже отсутствие физического доступа к компьютеру не дает гарантии сохранности информационных ресурсов. Все больше появляется специализированных средств защиты информации, которые ориентированы на решение, как правило, только одной задачи обеспечения безопасности системы или в редких случаях, некоторого ограниченного набора задач. Так, организациям, чтобы оградить себя от "компьютерных" преступлений приходится реализовывать целый набор мер. Расширение применения современных информационных технологий делает возможным распространение различных злоупотреблений, связанных с использованием вычислительной техники.

В качестве межсетевого экрана для офиса "Мегафон" будут рассматриваться разработки следующих компаний-производителей аппаратных средств защиты периметра:

- IBM;

- D-link;

- Cisco.

В результате выбора среди продуктов от каждой фирмы можно выделить продукты D-link DFL-260, IBM Proventia Network IPS и Cisco 1801/K9. Стоит отметить, что в выборе участвовал показатель "Цена", потому что необходимо экономическое обоснование выбора того или иного продукта. Данное значение этого показателя учитывается в итоговом подсчете преимуществ. С этой целью приводится сравнительная таблица по основным характеристикам 3-х отобранных МЭ приложение Е.

Круг возможных потребителей:

- Небольшие компании с локальной сетью;

- Учебные учреждения (школы, техникумы, институты);

- Небольшие офисы, магазины.

Для больших предприятий подходит межсетевой экран ALTELL NEO он был описан в главе практическое применение методов и средств сетевой безопасности. Так как офис "Мегафон" небольшой, рассмотрим сетевой экран D-link DFL-260.

Круг возможных конкурентов:

- IBM ProventiaNetwork IPS;

- Cisco 1801/K9.

3.2 Расчет себестоимости

Затраты на внедрение межсетевого экрана

Таблица 2. Затраты на оборудование

Наименование затрат	Ед.изм.	Количество	Цена	Сумма
Компьютер Dell с процессором Intel	шт.	10	10.250	102.500
межсетевой экран D-link DFL-260	Шт.	1	22.000	22.000
D -link лицензия	Мес.	12	5.000	5.000
Интернет	мес	5	350	1.750

Расчет заработной платы

Таблица 3. Расчет заработной платы

Начисления на зп	% отчислений
1. Пенсионный фонд - страховая часть	16%
2.Накопительная часть	6%
3.Фонд социального страхования	2,9%
4.фонд медицинского обязательно страхования	5,1%



Таблица 4. Заработная плата

Должность	Оклад	Кол-во отработанных дней	Премия	Отчисления на социальные фонды 30%	Всего начислено
Администратор безопасности 1.Январь 2.февраль 3.март 4.Апрель 5.Май	23000	13 17 18 20 14	10.000 15.000 14.000 18.000 9.300	9.900 11.400 11.100 12.300 9.690	23.100 26.600 25.900 28.700 22.610
Лаборант-помощник 1.Январь 2.февраль 3.март 4.Апрель 5.Май	10000	15 18 20 17 15	6.000 10.000 11.400 8.500 7.300	4.800 6.000 6.420 5.550 5.190	11.200 14.000 14.980 12.950 12.110

3.3 Трудоемкость производства

Таблица 5. Расчет трудоемкости

Наименование этапа	Трудоемкость в днях
1.Разработка технического задания	3
2.подготовительный этап: - сбор информации; - выбор объективного построения программы; - разработка общей методики создания продукта	1 1 2
3.Основные этапы: - разработка основного алгоритма; - проверка.	2 2
4. Завершающий этап: - подготовка технической документации (сертификат); - сдача продукта.	3 2



3.4 Экономическая эффективность

Предполагаемая прибыль от межсетевого экрана D-link DFL-260 за 5 месяцев = 880.000, с лицензией 1080000.

Таблица 6. Расчет прибыли от МЭ за 5 месяцев

Месяц	Продано МЭ, шт.	Лицензия на 12 мес.	Цена МЭ	Сумма
Январь	4	5.000	22.000	108.000
Февраль	8	5.000	22.000	216.000
Март	7	5.000	22.000	189.000
Апрель	10	5.000	22.000	270.000
Май	11	5.000	22.000	297.000
Итого: 1080000

Таблица 7. Расчет затрат за 5 месяцев

Наименование затрат	Сумма
Компьютер Dell с процессором Intel	102.500
межсетевой экран D-link DFL-260	22.000
D -link лицензия	5.000
Интернет	1.750
ЗП Администратор безопасности	181.000
ЗП Лаборант-помощник	93.200
Итого: 405.450

Предполагаемая прибыль: = доход - затраты = Предполагаемая прибыль

ПП:= 1080000 - 405.450 = 674.550



Вывод

Внедрение продукта межсетевой экран актуально на сегодняшний день, так как даже самая маленькая организация должна быть защищена от НСД. Межсетевые экраны является выгодным продуктом для защиты организаций.

Распространение компьютерных систем и объединение их в коммуникационные сети усиливает возможности электронного проникновения в них. Во всех странах мира существует проблема компьютерной преступности, что вызывает необходимость привлечения все большего внимания и сил для организации борьбы с данным видом преступлений.

Возможности D-link DFL-260:

- Мощная система предотвращения атак (IPS);

- Фильтрация Web-содержимого;

- Профессиональная система предотвращения вторжений (IPS);

- Антивирусная (AV) проверка в реальном времени;

- Быстрая и эффективная фильтрация web-содержимого.

- Защита локальной сети от нежелательного трафика;

- Обеспечение дифференцированных политик доступа к сети Интернет;

- Защита корпоративной сети от спама и вредоносного ПО;



Заключение

Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.

Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:

- переход от традиционной "бумажной" технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;

- объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

- увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.

Компьютерные сети, в силу своей специфики, просто не смогут нормально функционировать и развиваться, игнорируя проблемы защиты информации.

В первой главе работы были рассмотрены различные виды угроз и рисков. Угрозы безопасности делятся не естественные и искусственные, а искусственные в свою очередь делятся на непреднамеренные и преднамеренные.

К самым распространенным угрозам относятся ошибки пользователей компьютерной сети, внутренние отказы сети или поддерживающей ее инфраструктуры, программные атаки и вредоносное программное обеспечение.

Меры обеспечения безопасности компьютерных сетей подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратно-программные).

Для защиты локальной или корпоративной сети от атак из глобальной сети применяют специализированные программные средства: брэндмауэры или прокси-серверы. Брэндмауэры - это специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/ транспортного уровней. Прокси-сервер - это сервер-посредник, все обращения из локальной сети в глобальную происходят через него.

Для защиты корпоративной сети во второй главе рассмотрен Аппаратный межсетевой экран ALTELL NEO. Широкий модельный ряд ALTELL NEO позволяет удовлетворить запросы любой организации: от небольшой компании или регионального филиала до штаб-квартиры крупного территориально-распределенного холдинга или центра обработки данных.



Список используемых источников

1. Баженов Р.И. Информационная безопасность и защита информации: практикум. Биробиджан: Изд-во ГОУВПО "ДВГСГА", 2011. 140 с.

2. Баженов Р.И. О методике преподавания метода анализа иерархий в курсе "Информационная безопасность и защита информации" // Современные научные исследования и инновации. 2014. №4 (36). С. 76.

3. Бикмаева Е.В., Баженов Р.И. Об оптимальном выборе системы защиты информации от несанкционированного доступа // APRIORI. Cерия: Естественные и технические науки. 2014. №6. С. 5.

4. Затеса А.В. Использование метода анализа иерархий для выбора информационной системы // Экономика, статистика и информатика. Вестник УМО. 2010. №6. С. 164-167.

5. Ирзаев Г.Х. Экспертный метод аудита безопасности информационных систем Вестник Дагестанского государственного технического университета. Технические науки. 2011. Т. 1. №20. С. 11-15.

6. Комполь В.В., Шиганова В.В., Баженов Р.И. Выбор программной платформы интернет-магазина с помощью метода анализа иерархий // Nauka-Rastudent.ru. 2014. №11 (11). С. 36.

7. Программные системы поддержки принятия оптимальных решений MPRIORITY 1.0. URL: http://www.tomakechoice.com/mpriority.html

8. Саати Т. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1993.

9. Савченко И.О. Выбор программного обеспечения для моделирования бизнес-процессов методом анализа иерархий Журнал научных публикаций аспирантов и докторантов. 2013. №6 (84). С. 35-37.

10. Родичев Ю.А. Компьютерные сети: архитектура, технологии, защита: учеб. Пособие для вузов. - Самара: изд-во "Универс-групп", 2006. - 468 с. - ISBN 5-467-00067-5.

11. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / Под ред. В.Ф. Шаньгина. - 2-е изд., перераб. И доп. - М.: Радио и связь, 2001. - 376 с.: ил.