Скачать презентацию ТЕМА БАЗОВЫЕ ПОДСИСТЕМЫ СЗИ И ТРЕБОВАНИЯ К НИМ Скачать презентацию ТЕМА БАЗОВЫЕ ПОДСИСТЕМЫ СЗИ И ТРЕБОВАНИЯ К НИМ

Тема Базовые подсистемы системы защиты .ppt

  • Количество слайдов: 45

ТЕМА «БАЗОВЫЕ ПОДСИСТЕМЫ СЗИ И ТРЕБОВАНИЯ К НИМ Санкт-Петербург – 2013 ТЕМА «БАЗОВЫЕ ПОДСИСТЕМЫ СЗИ И ТРЕБОВАНИЯ К НИМ Санкт-Петербург – 2013

Базовые этапы построения системы ИКБ • • • 1 1 Анализ: Определение, анализ и Базовые этапы построения системы ИКБ • • • 1 1 Анализ: Определение, анализ и классификация возможных угроз информации в КС Выявление на основе анализа уязвимых элементов, через которые возможна реализация угроз информации 2 Выработка детальных требований Анализ текущего уровня ИКБ и определение риска Разработка политики безопасности, как совокупности концептуальных решений, направленных на эффективную ЗИ с учетом структуры СЗИ и программно-аппаратных средств защиты информации Формирование полного перечня требований к системе ИКБ в соответствии с необходимыми классами защищенности 3 Синтез Разработка и реализация проекта СЗИ с учетом всех предъявляемых требований, влияющих на защиту факторов Проверка соблюдения всех норм по обеспечению ИКБ и контроль правильности функционирования Внедрение СЗ и ее поддержание в актуальном состоянии

Классификация программно-аппаратных средств защиты информации от НСД 2 Программно аппаратные средства защиты информации ( Классификация программно-аппаратных средств защиты информации от НСД 2 Программно аппаратные средства защиты информации ( СЗИ) от несанкционированного доступа ( НСД) СЗИ на уровне отдельных компьютеров и ЛВС СЗИ отдельных компьютеров и ЛВС от НСД со стороны внешней среды ( Интернет ) СЗИ на уровне сети Интернет Подсистема управления системой защиты от НСД

Средства защиты компьютерных ресурсов на уровне отдельных ПК и ЛВС 2 а • Средства Средства защиты компьютерных ресурсов на уровне отдельных ПК и ЛВС 2 а • Средства разграничения доступа к компьютерным ресурсам внутри корпоративной сети • Средства усиленной аутентификации пользователей • Средства криптографической защиты хранящейся информации • Антивирусные средства для рабочих станций и серверов.

Пример реализации уровней защиты компьютерных ресурсов отдельных ПК и ЛВС 2 б • Защита Пример реализации уровней защиты компьютерных ресурсов отдельных ПК и ЛВС 2 б • Защита на уровне аппаратных средств рабочих станций и серверов, активизируемая на каждом компьютере до загрузки операционной системы (применение электронных замков "Соболь"). • Создание замкнутого интерфейсного и программного окружения, а также разграничение доступа к компьютерным ресурсам внутри корпоративной сети с помощью программноаппаратного комплекса защиты от НСД к информации в ЛВС Secret Net. • Криптографическая защита хранящейся информации (формирование и применение виртуальных криптодисков средствами Secret. Disk/Strong. Disk). • Антивирусная защита рабочих станций и серверов с помощью распределенных комплексов защиты от компьютерных вирусов «Антивирус Касперского» для рабочих станций и файловых серверов.

Электронный замок Электронный замок "Соболь" и "Соболь. PCI" Назначение: Для защиты компьютера от несанкционированного доступа. Поставляются две модификации этого устройства: электронный замок "Соболь" для шины стандарта ISA и "Соболь-PCI" для шины стандарта PCI. Возможности СЗИ: • идентификация пользователей по электронным идентификаторам Touch Memory; • регистрация попыток доступа к ПЭВМ; • запрет загрузки ОС с внешних носителей (FDD, CD-ROM, ZIP, LPT, SCSI-порты) на аппаратном уровне; • контроль целостности программной среды до загрузки операционной системы.

Состав системы Secret Net 2 в Состав системы Secret Net 2 в

Семейство систем защиты информации от НСД «SECRET NET» Программно-аппаратные комплексы Семейство систем защиты информации от НСД «SECRET NET» Программно-аппаратные комплексы "Secret Net" версии 4. 0. предназначены для защиты информации, хранимой и обрабатываемой на автономных персональных компьютерах и рабочих станциях и серверах ЛВС, работающих под управлением операционных систем (ОС) Windows 95/98 и Windows NT/ 2000. Особенности сетевого варианта: § усиленная идентификация и аутентификация; § криптографическая защита данных; § централизованный мониторинг состояния безопасности информационной системы и управление защитными механизмами.

Средства защиты отдельных ПК и ЛВС от НСД со стороны внешней среды (Интернет) 2 Средства защиты отдельных ПК и ЛВС от НСД со стороны внешней среды (Интернет) 2 г • Средства защиты от несанкционированного доступа со стороны сетевого окружения • Антивирусные шлюзы • Фильтры содержимого электронной почты • Средства контроля доступа в Интернет

Пример реализации уровней защиты отдельных ПК и ЛВС со стороны внешней среды (Интернет) 2 Пример реализации уровней защиты отдельных ПК и ЛВС со стороны внешней среды (Интернет) 2 д • Защита от несанкционированного доступа со стороны сетевого окружения распределенными системами экранирования Firewall-1, Firewall-1 Secure. Server, Symantec Client Security. • Использование антивирусных шлюзов Inter. Scan Virus. Wall for HTTP/SMTP/FTP для предотвращения доступа вредоносного кода со стороны Internet. • Применение фильтров содержимого электронной почты SC MAILsweeper for SMTP для предотвращения несанкционированной передачи конфиденциальной информации по e-mail. • Контроль доступа в Internet с помощью средства фильтрации Web-трафика SC MIMEsweeper.

Средства защиты на уровне сети Интернет • Средства построения защищенных виртуальных сетей • Защищенная Средства защиты на уровне сети Интернет • Средства построения защищенных виртуальных сетей • Защищенная электронная почта • Защищенный Web-сервис • Средства автоматизации конфиденциального документооборота 2 е

Пример реализации уровней защиты информации, передаваемой по сети Интернет • Использование комплексной системы управления Пример реализации уровней защиты информации, передаваемой по сети Интернет • Использование комплексной системы управления потоками работ и организации конфиденциального документооборота «OPTIMA-Work. Flow» , обеспечивающей функции шифрования и ЭЦП для электронных сообщений и документов на базе криптопровайдера «Крипто. Про CSP» . • Формирование и защита цифровых сертификатов с помощью Удостоверяющего Центра «Крипто. Про УЦ» . • Формирование защищенных виртуальных сетей на сеансовом уровне эталонной модели OSI по протоколу TLS (SSL) с помощью криптопровайдера «Крипто. Про TLS» . • Формирование защищенных криптотуннелей на сетевом уровне эталонной модели OSI с помощью шлюзов VPN "Континент-К", Vi. PNet. 2 ж

Схема использования пакета Vi. PNet Office программ 2 з Схема использования пакета Vi. PNet Office программ 2 з

Состав системы защиты информации от НСД 3 Состав системы защиты информации от НСД 3

Требования к подсистеме управления доступом 3 а • • 1. Идентифицировать и проверять подлинность Требования к подсистеме управления доступом 3 а • • 1. Идентифицировать и проверять подлинность субъектов доступа при входе в систему. Причем это должно осуществляться по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. 2. Идентифицировать терминалы, ЭВМ, узлы компьютерной сети, каналы связи, внешние устройства ЭВМ по их логическим адресам (номерам). 3. По именам идентифицировать программы, тома, каталоги, файлы, записи и поля записей. 4. Осуществлять контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Требования к подсистеме регистрации и учета 3 б • • Регистрировать вход (выход) субъектов Требования к подсистеме регистрации и учета 3 б • • Регистрировать вход (выход) субъектов доступа в систему (из системы), либо регистрировать загрузку и инициализацию операционной системы Регистрировать выдачу печатных (графических) документов на твердую копию Регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов Регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам Регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей Проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку) Регистрировать выдачу (приемку) защищаемых носителей Осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей

Требования к подсистеме обеспечения целостности • • 3 в Обеспечивать целостность программных средств системы Требования к подсистеме обеспечения целостности • • 3 в Обеспечивать целостность программных средств системы защиты информации (СЗИ) от НСД , обрабатываемой информации, а также неизменность программной среды Осуществлять физическую охрану СВТ (устройств и носителей информации) Проводить периодическое тестирование функций СЗИ от НСД при изменении программной среды и персонала АС с помощью тестовых программ, имитирующих попытки НСД Иметь в наличии средства восстановления СЗИ НСД

Базовые функции подсистемы управления доступом 4 Базовые функции подсистемы управления доступом 4

Идентификация и аутентификация 5 Идентификация и аутентификация 5

Управление доступом к защищенным ресурсам 6 Управление доступом к защищенным ресурсам 6

Методы разграничения доступа и замкнутая рабочая среда 7 Методы разграничения доступа и замкнутая рабочая среда 7

Базовые функции подсистемы регистрации и учета 8 Базовые функции подсистемы регистрации и учета 8

Методы регистрации и учета действий пользователя 9 Методы регистрации и учета действий пользователя 9

Гарантированное уничтожение Учет машинных носителей 10 Гарантированное уничтожение Учет машинных носителей 10

Базовые функции подсистемы обеспечения целостности 11 Базовые функции подсистемы обеспечения целостности 11

Контроль целостности, резервирование и восстановление 12 Контроль целостности, резервирование и восстановление 12

Криптографическая и антивирусная подсистемы 13 Криптографическая и антивирусная подсистемы 13

Классификация защищенности СВТ от НСД 13 а Классификация защищенности СВТ от НСД 13 а

Требования к показателям защищенности СВТ 13 б Наименование показателя Класс защищенности 6 5 4 Требования к показателям защищенности СВТ 13 б Наименование показателя Класс защищенности 6 5 4 3 2 1 Маркировка документов + - + + + = = + = = = Защита ввода и вывода на отчуждаемый физический носитель информации - - + = = = Сопоставление пользователя с устройством - - + = = = Идентификация и аутентификация Тестовая документация + + + = + + + + + = = + + + + = + = = = + + = = = Конструкторская (проектная) документация + + + Дискреционный принцип контроля доступа Мандатный принцип контроля доступа Очистка памяти Изоляция модулей Гарантии проектирования Регистрация Взаимодействие пользователя с КСЗ Надежное восстановление Целостность КСЗ Контроль модификации Контроль дистрибуции Гарантии архитектуры Тестирование Руководство для пользователя Руководство по КСЗ

Комплексная СЗИ «Панцирь –К» 14 Комплексная СЗИ «Панцирь –К» 14

Задачи по защите информации со стороны внешней среды 15 Задачи по защите информации со стороны внешней среды 15

Угрозы НСД к информации со стороны внешней среды 16 Угрозы НСД к информации со стороны внешней среды 16

Место МСЭ по защите информации со стороны внешней среды 17 Место МСЭ по защите информации со стороны внешней среды 17

Определение МСЭ 18 Определение МСЭ 18

Варианты установки МСЭ 19 Варианты установки МСЭ 19

МСЭ не защищает от: 20 МСЭ не защищает от: 20

Задачи СЗИ в процессе передачи по открытым каналам 21 Задачи СЗИ в процессе передачи по открытым каналам 21

Функции СЗИ на уровне Интернет 22 Функции СЗИ на уровне Интернет 22

Цели и способы криптографической защиты передаваемой информации 23 Цели и способы криптографической защиты передаваемой информации 23

Построение виртуальной сети 24 Построение виртуальной сети 24

Построение виртуальной частной сети 25 Построение виртуальной частной сети 25

Классификация вредоносных программ 26 Классификация вредоносных программ 26

Определение компьютерного вируса 27 Определение компьютерного вируса 27

Каналы проникновения вредоносного ПО 28 Каналы проникновения вредоносного ПО 28

Методы защиты от компьютерных вирусов и классификация антивирусных программ 29 Методы защиты от компьютерных вирусов и классификация антивирусных программ 29