- 5.1 Мероприятия по обучению и проверке квалификации персонала
- 5.2 Мероприятия по созданию необходимых подразделений и рабочих мест
- 5.3 Порядок контроля и приемки СЗПДн
- ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ
АИБ
|
-
|
Администратор информационной безопасности
|
|
АРМ
|
-
|
Автоматизированное рабочее место
|
|
БД
|
-
|
База данных
|
|
ВПр
|
-
|
Вредоносная программа
|
|
ИБП
|
-
|
Источник бесперебойного питания
|
|
ИСПДн
|
-
|
Информационная система персональных данных
|
|
ЛВС
|
-
|
Локальная вычислительная сеть
|
|
МЭ
|
-
|
Межсетевой экран
|
|
НСД
|
-
|
Несанкционированный доступ
|
|
ОС
|
-
|
Операционная система
|
|
ПДн
|
-
|
Персональные данные
|
|
ПМВ
|
-
|
Программно-математическое воздействие
|
|
ПО
|
-
|
Программное обеспечение
|
|
ПТС
|
-
|
Программно-технические средства
|
|
СЗИ
|
-
|
Система защиты информации
|
|
СКД
|
-
|
Система контроля доступа
|
|
СЗПДн
|
-
|
Система защиты персональных данных
|
|
AD
|
-
|
Active Directory
|
|
DNS
|
-
|
Domain Name System
|
|
|
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящий технический проект разработан специалистами кафедры ИУ-8 "Информационная безопасность" факультета "Информатика и системы управления" МГТУ им. Н. Э. Баумана в рамках выполнения практической работы по проектированию системы защиты персональных данных (далее - СЗПДн).
Технический проект содержит описание основных технических решений по оснащению СЗПДн информационной системы персональных данных (далее ИСПДн), расположенной в помещении компьютерного класса лаборатории кафедры ИУ-8 "Информационная безопасность" МГТУ им. Н.Э. Баумана.
1.1 Наименование проектируемой системы
Полное наименование:
- Система защиты персональных данных компьютерного класса лаборатории кафедры ИУ-8 "Информационная безопасность" МГТУ им. Н.Э. Баумана.
Условное наименование:
- СЗПДн ИСПДн лаборатории ИУ-8.
1.2 Наименование предприятий исполнителя работ и заказчика системы
Заказчик:
- кафедра ИУ-8 "Информационная безопасность" факультета "Информатика и системы управления" МГТУ им. Н. Э. Баумана.
Исполнитель:
- студенты группы ИУ8-112 кафедры ИУ-8 "Информационная безопасность" Гальцев Б.С., Кучин И.А., Сенчуков А.И.
1.3 Основание для проектирования
Основанием для разработки технического проекта по оснащению СЗДПн ИСПДн лаборатории ИУ-8 являются:
- Требования учебного плана кафедры "Информационная безопасность" (ИУ-8) МГТУ им. Н.Э. Баумана;
- Техническое задание на проектирование системы защиты персональных данных информационной системы персональных данных, расположенной в помещении компьютерного класса лаборатории кафедры ИУ-8 "Информационная безопасность" МГТУ им. Н.Э. Баумана (шифр - 001234567.000.001.ТЗ.01.1-1).
1.4 Сроки выполнения работ
Сроки начала и окончания работ по оснащению СЗПДн ИСПДн лаборатории ИУ-8 определяются в соответствии с учебным планом кафедры ИУ-8 "Информационная безопасность" МГТУ им. Н.Э.Баумана. Сроком начала работ является 30 августа 2010 года, сроком окончания работ - 19 сентября 2010 года. Сдача-приемка работ осуществляется в период с 20 сентября 2010 года по 24 сентября 2010 года.
1.5 Цели, назначение и области использования системы
Создаваемые системы относятся к системам защиты информации.
Назначением создаваемых систем является обеспечение безопасности ПДн, обрабатываемых в ИСПДн лаборатории ИУ-8, в соответствии с требованиями нормативных правовых актов Российской Федерации и руководящих документов по защите ПДн.
Целью проведения работ является оснащение СЗПДн ИСПДн лаборатории ИУ-8.
1.6 Очередность создания
Работы по оснащению СЗПДн ИСПДн лаборатории ИУ-8 выполняются с соблюдением следующей очередности:
- предпроектное обследование ИСПДн лаборатории ИУ-8;
- разработка технического задания на оснащение СЗПДн ИСПДн лаборатории ИУ-8;
- проектирование СЗПДн ИСПДн лаборатории ИУ-8;
- сдача-приемка работ по оснащению СЗПДн ИСПДн лаборатории ИУ-8.
1.7 Сведения об использованных нормативно-технических документах
Настоящий технический проект разработан на основе следующих нормативных правовых актов и стандартов Российской Федерации:
- Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных";
- Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждено постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781;
- Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 (Зарегистрирован в Минюсте России 3 апреля 2008 года, регистрационный № 11462);
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.;
- Положение о методах и способах защиты информации в информационных системах персональных данных. Утверждено Приказом ФСТЭК России от 5.02.2010 N 58;
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/54-144;
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/6/6-622.
2. ОПИСАНИЕ ПРОЦЕССА ДЕЯТЕЛЬНОСТИ
Кафедра "Информационная безопасность" является подразделением государственного образовательного учреждения высшего профессионального образования "Московский Государственный Технический Университет имени Н.Э. Баумана". Основные функции кафедры ИУ-8 направлены на решение задач по профессиональной подготовке студентов по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем".
Основные функции кафедры ИУ-8 определяют цели обработки ПДн и реализуются средствами автоматизации в рамках ИСПДн лаборатории ИУ-8. Назначением ИСПДн лаборатории ИУ-8 является обработка ПДн студентов кафедры ИУ-8 МГТУ им. Н.Э. Баумана.
ИСПДн лаборатории ИУ-8 представляет собой совокупность серверов хранения и обработки информации и автоматизированных рабочих мест (далее - АРМ), объединенных в локальную вычислительную сеть (далее - ЛВС). Также ИСПДн включает в себя персонал, осуществляющий обработку информации, и обслуживающий персонал.
В ИСПДн предусмотрен многопользовательский режим работы. При этом пользователи обладают различными правами на доступ к ПДн, обрабатываемым в ИСПДн лаборатории ИУ-8.
В состав технических средств ИСПДн лаборатории ИУ-8 входят:
- серверное оборудование;
- рабочие станции пользователей ИСПДн;
- сетевое оборудование (активное и пассивное).
Информация хранится на серверах ИСПДн в виде файлов. Пользователи ИСПДн получают доступ к информации с использованием механизмов сетевого доступа к файлам и папкам.
Обработка информации осуществляется на типовых АРМ пользователей с использованием пакета программ Microsoft Office 2007. За каждым пользователем закрепляется выделенное АРМ, и работа пользователя на других АРМ запрещается.
Ввод информации в ИСПДн осуществляется пользователями на своих АРМ с клавиатуры. Для вывода информации из ИСПДн используется лазерный принтер, установленный в общем помещении ИСПДн.
Для обеспечения производственного процесса оборудование ИСПДн лаборатории ИУ-8 подключается к другим ЛВС организации, не имеющим выхода в сети связи общего пользования. При взаимодействии ЛВС ИСПДн с другими ЛВС организации передача ПДн не осуществляется.
Класс ИСПДн лаборатории ИУ-8 определен равным К3.
Подробное описание ИСПДн кафедры ИУ-8 приведено в документе Отчет о предпроектном обследовании (шифр - 001234567.000.001.ОПО.01.1-1).
3. ОСНОВНЫЕ ТЕХНИЧЕСКИЕ РЕШЕНИЯ
Технические решения по оснащению СЗПДн ИСПДн лаборатории ИУ-8 разработаны с учетом требований Технического задания на создание СЗПДн (шифр - 001234567.000.001.ТЗ.01.1-1), а также требования нормативных документов по защите ПДн.
СЗПДн ИСПДн лаборатории ИУ-8 проектируется как многоуровневая система с централизованным управлением. При проектировании СЗПДн ИСПДн лаборатории ИУ-8 учитываются возможности дальнейшего масштабирования систем, а также максимального использования существующих инженерных сетей и систем.
3.1 Общие требования к проектируемым СЗПДн ИСПДн лаборатории ИУ-8
СЗПДн ИСПДн лаборатории ИУ-8 должна:
- обеспечивать защиту ПДн, которые обрабатываются, передаются и хранятся на всех уровнях ИСПДн, от несанкционированного доступа (далее - НСД);
- обеспечивать защиту речевой информации, обсуждаемой в рамках обработки информации пользователями ИСПДн на своих рабочих местах;
- не вызывать существенного снижения производительности аппаратно-программного обеспечения ИСПДн при обработке информации;
- обеспечивать высокую надёжность и средства восстановления как компонент системы защиты информации, так и самой информации;
- соответствовать современному уровню развития вычислительной техники и технологий автоматизированной обработки информации;
- удовлетворять требованиям законодательства и нормативных документов Российской Федерации в области защиты ПДн.
3.2 Решения по структуре СЗПДн ИСПДн лаборатории ИУ-8
Проектируемая СЗПДн ИСПДн лаборатории ИУ-8 состоит из подсистем, перечень и назначение которых приведены в таблице 3.3.1.
Таблица 3.2.1 - Подсистемы СЗПДн ИСПДн лаборатории ИУ-8
№ п/п
|
Наименование подсистемы
|
Назначение подсистемы
|
|
1
|
Подсистема управления доступом
|
управление доступом к информационным ресурсам ИСПДн;
управление парольной политикой
|
|
2
|
Подсистема регистрации и учета
|
регистрация и учет действий пользователей ИСПДн и процессов;
регистрация действий администратора СЗПДн;
|
|
3
|
Подсистема обеспечения целостности
|
контроль доступа в помещения ИСПДн
|
|
3
|
Подсистема антивирусной защиты
|
защита программ и данных от вирусов и вредоносных программ
|
|
4
|
Подсистема межсетевого экранирования
|
фильтрация сетевого трафика;
защита ЛВС ИСПДн от НСД
|
|
5
|
Подсистема защиты информации от утечек по побочным каналам
|
- защита речевой информации от утечек по акустическому каналу
|
|
6
|
Подсистема резервного копирования
|
- резервное копирование и восстановление информации
|
|
7
|
Подсистема обеспечения отказоустойчивости
|
- обеспечение бесперебойной работы всех элементов ИСПДн;
- обеспечение безотказной работы внешних дисковых систем.
|
|
|
Оснащение СЗПДн ИСПДн лаборатории ИУ-8 предусматривается на основе типовых решений с использованием средств защиты информации как отечественного, так и зарубежного производства, применяемых при построении систем защиты информации различного назначения.
Предусмотренные настоящими техническими решениями средства защиты информации интегрируются в существующую ИСПДн лаборатории ИУ-8. В целях обеспечения удобства внедрения отдельных компонентов проектируемых СЗПДн предусматривается объединение средств защиты информации в отдельные комплексы.
В целях обеспечения централизованного администрирования различных компонент ИСПДн лаборатории ИУ-8, а также средств защиты информации, входящих в состав разрабатываемой СЗПДн ИСПДн лаборатории ИУ-8, настоящими техническими решениями предусматривается организация домена Active Directory. В состав создаваемого домена предусматривается включить АРМ пользователей и серверы, входящие в ИСПДн лаборатории ИУ-8.
3.3 Описание подсистем средств защиты информации
3.3.1 Подсистема управления доступом
Для защиты ПДн, хранящихся на файловых серверах ИСПДн лаборатории ИУ-8, от НСД предназначена подсистема управления доступом. В состав подсистемы управления доступом входят:
- служба каталогов Active Directory (далее - AD);
- групповые политики AD.
Оба этих компонента полностью интегрированы в операционные системы (далее - ОС) семейства Windows, поэтому нет необходимости установки дополнительного программного обеспечения (далее - ПО), необходимо будет только произвести дополнительную настройку сервера, который впоследствии будет выполнять роль контроллера домена..
Подсистема регистрации и учета
Подсистема регистрации и учета выполняет следующие функции:
- регистрация и учет действий пользователей ИСПДн и процессов;
- регистрация действий администратора СЗПДн;
- регистрация и учет событий информационной безопасности.
В качестве подсистемы регистрации и учета используется встроенный в ОС семейства Windows модуль ведения журналов событий, а также средство их отображения - Event Viewer.
3.3.2 Подсистема обеспечения целостности
СКД обеспечивает ограничение физического доступа в защищаемое помещение ИСПДн лаборатории ИУ-8, осуществляя идентификацию пользователей с использованием proximity-карт доступа. В качестве СКД используется система "Универсальный офис" компании Legos
3.3.3 Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для защиты АРМ пользователей и серверов ИСПДн от возможных вирусных заражений, а также сетевых атак.
В состав подсистемы антивирусной защиты входит программный комплекс Kaspersky Business Space Security.
3.3.4 Подсистема межсетевого экранирования
Подсистема межсетевого экранирования выполняет следующие функции:
- фильтрация сетевого трафика на периметре ЛВС лаборатории ИУ-8;
- защита ЛВС ИСПДн лаборатории ИУ-8 от НСД.
Компоненты подсистемы устанавливаются на периметре ЛВС лаборатории ИУ-8.
Компоненты подсистемы межсетевого экранирования обеспечивают фильтрацию всего входящего и исходящего из ЛВС лаборатории ИУ-8 сетевого трафика и блокируют сетевой трафик, неразрешенный настройками безопасности.
В состав подсистемы межсетевого экранирования входит ПО Microsoft Internet Security and Acceleration (далее - ISA) Server 2006.
3.3.5 Подсистема защиты информации от утечек по побочным каналам
Подсистема защиты информации от утечек по побочным каналам предназначена для защиты выделенных помещений от утечки акустической информации по вибрационному и акустическому каналам. Компоненты подсистемы монтируются в защищаемом помещении, а также по его периметру в элементах строительных конструкций помещения. На основе данных об акустической обстановке внутри защищаемого помещения формируется виброакустическая помеха, предотвращающая съем информации по акустическому и вибрационному каналам.
В состав подсистемы защиты информации от утечек по побочным каналам входят:
- адаптивный генератор виброакустической помехи "Кедр";
- излучатели малой мощности "ПКИ-1".
3.3.6 Подсистема резервного копирования
Подсистема резервного копирования предназначена для резервного копирования как серверов хранения (создание слепков жестких дисков), так и непосредственно самих файлов, содержащих ПДн (резервное копирование и восстановление файлов). Компоненты подсистемы устанавливаются на АРМ пользователей и серверы ИСПДн.
В состав подсистемы резервного копирования входит программный комплекс Acronis True Image Echo Enterprise Server.
3.3.7 Подсистема обеспечения отказоустойчивости
Подсистема обеспечения надежности должна обеспечивать бесперебойную работу серверов хранения ПДн, серверов резервного копирования и АРМ пользователей ИСПДн.
Работа подсистемы реализуется с помощью следующих компонентов:
- массив RAID 5 дисков серверов хранения ПДн и серверов резервного копирования на основе программной реализации RAID-контроллера, либо внешнего RAID-контроллера - Adaptec ASR-2805;
- источники бесперебойного питания (далее - ИБП) серверов хранения ПДн и серверов резервного копирования - UPS 3000VA Ippon Smart Winner 3000;
- ИБП АРМ пользователей ИСПДн - UPS 600VA PowerCom BNT 600A.
3.3.8 Описание средств защиты информации
Применяемые в СЗПДн ИСПДн лаборатории ИУ-8 средства защиты информации представлены в таблице 3.4.1.
3.4 Описание средств защиты информации
Таблица 3.4.1 - Применяемые средства защиты информации
№ п/п
|
Наименование средства
защиты информации
|
Условное обозначение средства
защиты информации
|
|
1
|
Средство защиты информации от НСД
|
cлужба каталогов AD
|
|
|
|
групповые политики AD
|
|
2
|
Средство регистрации и учета
|
ПО Event Viewer
|
|
3
|
Средство антивирусной защиты серверов и рабочих станций
|
система антивирусной защиты Kaspersky Business Space Security
|
|
4
|
Межсетевой экран
|
ПО ISA Server 2006
|
|
5
|
Средство защиты информации от утечек по побочным каналам
|
адаптивный генератор виброакустической помехи "Кедр"
|
|
6
|
Система контроля доступа
|
Система "Универсальный офис" Legos
|
|
7
|
Средство резервного копирования
|
Система резервного копирования Acronis True Image Echo Enterprise Server
|
|
8
|
Средство обеспечения отказоустойчивости
|
RAID-массив 5 на базе программной реализации RAID-контроллера, либо RAID-контроллера Adaptec ASR-3405
|
|
|
|
ИБП UPS 3000VA Ippon Smart Winner 3000
|
|
|
|
ИБП UPS 600VA PowerCom BNT 600A
|
|
|
3.4.1 Службы каталогов Active Directory
Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:
- единая регистрация в сети - пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам и службам (службы сетевой инфраструктуры, службы файлов и печати, серверы приложений и баз данных и т. д.);
- безопасность информации - средства аутентификации и управления доступом к ресурсам, встроенные в службу AD, обеспечивают централизованную защиту сети;
- централизованное управление - администраторы могут централизованно управлять всеми корпоративными ресурсами;
- администрирование с использованием групповых политик - при загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик и применяются ко всем учетным записям пользователей и компьютеров, расположенных в сайтах, доменах или организационных подразделениях;
- интеграция с Domain Name System (далее - DNS) - функционирование служб каталогов полностью зависит от работы службы DNS. В свою очередь серверы DNS могут хранить информацию о зонах в базе данных (далее - БД) AD;
- расширяемость каталога - администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам;
- масштабируемость - служба AD может охватывать как один домен, так и множество доменов, объединенных в дерево доменов, а из нескольких деревьев доменов может быть построен лес;
- репликация информации - в службе AD используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать БД AD на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки;
- гибкость запросов к каталогу - БД AD может использоваться для быстрого поиска любого объекта AD, используя его свойства (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.);
- стандартные интерфейсы программирования - для разработчиков программного обеспечения служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API).
В AD может быть создан широкий круг различных объектов. Объект представляет собой уникальную сущность внутри каталога и обычно обладает многими атрибутами, которые помогают описывать и распознавать его. Учетная запись пользователя является примером объекта. Этот тип объекта может иметь множество атрибутов, таких как имя, фамилия, пароль, номер телефона, адрес и многие другие. Таким же образом общий принтер тоже может быть объектом в AD и его атрибутами являются его имя, местоположение и т.д. Атрибуты объекта не только помогают определить объект, но также позволяют искать объекты внутри каталога.
3.4.2 Групповые политики Active Directory
Механизм групповых политик позволяет автоматизировать данный процесс управления. С помощью групповых политик можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров -- сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.
Каждый объект групповых политик (GPO, Group Policy Object) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container) хранящегося в БД AD, и шаблона групповых политик (GPT, Group Policy Template), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, -- это папка %systemroot%\SYSVOL\sysvol\<имя домена>\Policies, и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.
Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.
Каждый объект политик может быть привязан к тому или иному объекту AD -- сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).
При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:
- локальная политика;
- политики сайта AD;
- политики домена;
- политики организационных подразделений.
Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.
Кроме применения политик в момент загрузки компьютера или входа пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут.
3.4.3 ПО Event Viewer
Оснастка Event Viewer отображает события, регистрируемые системой при выполнении различных операций. На компьютерах Windows по умолчанию имеются следующие журналы:
- Application (журнал приложений) -- содержит события, записываемые программами. Приложение определяет типы записываемых событий и язык сообщения;
- Security (журнал безопасности) -- содержит события, относящиеся к безопасности компьютера, такие как попытки регистрации в системе или манипуляции с файлами.
- System (журнал системы) -- содержит события, записываемые компонентами Windows.
Event Viewer отображает типы событий, каждое из которых имеет собственный уровень важности и собственную пиктограмму в журнале. Например:
- Error (ошибка) -- сигнализирует об актуальной проблеме, которая может касаться потери функциональности, такой как нарушение корректного запуска служб и драйверов;
- Warning (предупреждение) -- указывает на проблему, которая впоследствии может стать серьезной, если не обращать внимания на предупреждение. Предупреждения сугубо информативны и не свидетельствуют о наличии проблемы в настоящем или обязательном ее появлении в будущем;
- Success Audit (аудит успехов) -- это событие, имеющее отношение к системе безопасности, которое произошло и записывается потому, что система или администратор включили аудит данного события;
- Failure Audit (аудит отказов) -- это событие, имеющее отношение к системе безопасности, которое не произошло, но запись о нем делается потому, что система или администратор включили аудит данного события.
Информация, отображаемая в Event Viewer, включает дату и время, когда произошло событие, источник события (то есть служба, драйвер устройства или приложение, записавшее событие в журнал), категорию события, ID события, имя пользователя, который был зарегистрирован в системе, когда событие произошло и имя компьютера, на котором произошло событие. Для того чтобы просматривать журнал Security, необходимо иметь права администратора.
3.4.4 Система антивирусной защиты Kaspersky Business Space Security
Система антивирусной защиты СЗПДн будет строиться на базе ПО компании "Лаборатория Касперского" Kaspersky Business Space Security, включающего в себя средства для защиты рабочих станций, серверов, а также средства централизованного администрирования.
В состав системы антивирусной защиты Kaspersky Business Space Security входят Антивирус Касперского для Windows Workstation, Антивирус Касперского для Windows Server и средство централизованного управления Kaspersky Administration Kit.
Антивирус Касперского для Windows Workstation предназначен для защиты рабочих станций в ЛВС и за ее пределами от всех видов вредоносных и потенциально опасных программ и сетевых атак.
Антивирус Касперского для Windows Server используется для защиты файловых серверов под управлением операционных систем Windows от всех типов вредоносных программ. Решение разработано с учетом повышенных требований к серверам, работающим в условиях высоких нагрузок.
Kaspersky Administration Kit позволяет организовать и контролировать централизованную защиту всей компании, объединяющую в единую систему разные уровни защиты.
В состав Kaspersky Administration Kit входят следующие компоненты:
- сервер администрирования;
- агент администрирования;
- консоль администрирования.
Сервер администрирования осуществляет функции централизованного хранения информации об установленных в сети предприятия программах "Лаборатории Касперского" и управления ими.
Агент администрирования осуществляет взаимодействие между Сервером администрирования и программами "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере);
Консоль администрирования предоставляет пользовательский интерфейс к административным службам Сервера и Агента.
Система антивирусной защиты Kaspersky Business Space Security выполняет следующие функции:
- Комплексная защита файловых серверов под управлением Windows;
- Расширенная проактивная защита от новых вредоносных программ;
- Антивирусная защита в режиме реального времени;
- Проверка файловых хранилищ по расписанию;
- Проверка критических областей системы;
- Изоляция зараженных рабочих станций;
- Оптимальное использование ресурсов компьютера;
- Распределение нагрузки между процессорами сервера;
- Полноценная поддержка 64-битных платформ;
- Удаленная централизованная установка и удаление ПО;
- Удаленное централизованное управление;
- Автоматическое обновление баз и модулей ПО;
- Система получения отчетности;
- Механизм оповещения о событиях в работе ПО;
- Управление лицензиями.
3.4.5 ПО Microsoft Internet Security and Acceleration Server 2006
ISA Server 2006 представляет из себя полнофункциональный межсетевой экран (далее - МЭ) уровня приложений, обеспечивающий защиту ЛВС от внутренних и внешних атак. Выступая в качестве МЭ предприятия, ISA Server 2006 реализует следующие функции:
- многоуровневый межсетевой экран - для достижения максимального уровня безопасности ЛВС используется фильтрация пакетов, фильтрация каналов и фильтрация потока данных приложений. Динамическая фильтрация пакетов выявляет пакеты, которые будут пропущены в защищенные области сети, а также к прокси-службам прикладного уровня. При этом по мере необходимости автоматически выполняется открытие (а по завершении сеанса связи -- закрытие) соответствующих портов. Фильтрация каналов обеспечивает прозрачный для приложений шлюз для межплатформенного доступа к telnet, RealAudio, Windows Media, IRC (Internet Relay Chat), а также ко многим другим протоколам. Фильтрация каналов в ISA Server 2006 работает совместно с динамической фильтрацией пакетов, что упрощает ее использование и повышает общую безопасность работы сети. Фильтрация и динамическая проверка данных приложений способна распознавать команды протоколов (например, НТТР, FTP и Gopher), поступающие от клиентских компьютеров. Сервер ISA Server имперсонирует во внутренней сети клиентские компьютеры, скрывая от внешней среды внутреннюю топологию сети и IP-адреса ЛВС.
- динамическая проверка данных приложений - ISA Server 2006 динамически проводит интеллектуальную проверку на уровне приложений потока данных, проходящего через МЭ. Во избежание возможных разрывов подключения или нарушения системы безопасности это делается с учетом контекста данных приложения и состояния подключения.
- интеллектуальная фильтрация данных приложений - помимо базовой фильтрации данных, сервер ISA Server 2006 контролирует поток данных приложений, распознавая в нем данные и команды при помощи специальных фильтров. Средства интеллектуальной фильтрации позволяют на основе анализа содержания потока данных пропускать, блокировать, перенаправлять или изменять данные протоколов HTTP, FTP, SMTP, POP3, DNS, данных конференций по протоколу H.323, потокового мультимедиа, удаленного вызова процедур.
- безопасная публикация - механизм безопасной публикации серверов позволяет защитить от внешних атак Web-серверы, почтовые серверы и приложения электронной торговли. ISA Server способен выдавать себя за опубликованный сервер, реализуя дополнительный уровень защиты. Для защиты внутренних серверов в правилах публикации можно определить доступные компьютеры, а правила публикации средств управления сервером защищают внутренние серверы от незаконного доступа со стороны внешних пользователей. Кроме того, опубликованные серверы защищены от атак извне с помощью интеллектуальной фильтрации данных приложений.
- обнаружение вторжений - интегрированный компонент обнаружения вторжений (разработанный на основе технологии компании Internet Security Systems) уведомляет пользователя и предпринимает необходимые действия в случае обнаружения попытки незаконного проникновения в сеть (например, сканирования портов, использования средств WinNuke или Ping of Death).
- прозрачность межсетевого экрана - механизм SecureNAT путем замены внутреннего IP-адреса на внешний предоставляет прозрачный доступ к межсетевому экрану и защиту для всех IP-клиентов (независимо от конфигурации клиента и не требуя специального ПО). Сложные фильтры прикладного уровня, которые служат для управления подключением, предоставляют комплексную поддержку клиентам SecureNAT
3.4.6 Адаптивный генератор виброакустической помехи "Кедр"
Адаптивный генератор виброакустической помехи "Кедр" предназначен для защиты выделенных помещений от утечки акустической информации по вибрационному и акустическому каналам. Его принцип действия основан на маскировании речи шумовой помехой, которая создаётся с помощью виброизлучателей. Противодействие прослушиванию заключается в излучении шумовой помехи в элементы строительных конструкций здания. Прибор предотвращает возможность прослушивания переговоров с помощью акустических, вибрационных датчиков, лазерных устройств съёма информации, аппаратуры прослушивания через стены, потолки, перекрытия, окна, воздуховоды, трубы отопления и т. п.
"Кедр" анализирует акустическую обстановку в помещении и на основании результатов анализа, по встроенному алгоритму, формирует сигнал управления, функционально связанный с огибающей акустического (речевого) сигнала. Сформированный сигнал управляет параметрами генератора шума на основе 64 разрядной двоичной псевдослучайной последовательности, как во временной области, так и по амплитуде. Это позволяет локализовать виброакустическую помеху во время произнесения слов и повысить ее спектральную плотность.
Устройство реализует распределенную виброакустическую защиту помещения через сеть излучателей малой мощности, что позволяет надёжно закрыть локальные области утечки информации по виброакустическому каналу (микротрещины, полости и. т.п.), а также снизить общий уровень акустического фона в защищаемом помещении.
Прибор может работать в двух режимах "1" адаптивный, "2" непрерывный. При работе в режиме "1" обеспечивается оптимальное перекрытие уровня речи уровнем помехи в строительных конструкциях, а также минимальное излучение шума в само помещение. В режиме "2" прибор работает в непрерывном режиме. К устройству могут подключаться до 20 излучателей типа "ПКИ-1" (для зашумления строительных конструкций), по 10 излучателей на каждый канал, а также до 4 электромагнитных излучателя типа "ЭМ-1" для зашумления воздуховодов. Все три канала подключения имеют независимую регулировку, что позволяет выставлять необходимый для защиты уровень шума на стенах, на окнах, трубах отопления.
В каждом канале генератора имеется цифровой 5-полосный графический эквалайзер, позволяющий проводить настройку канала под конкретные условия (стена, окно и т.п.) и различные виды вибродатчиков. Наличие встроенный памяти позволяет запоминать до 16 вариантов амплитудно-частотных характеристик эквайлайзера (по 4 на каждый канал). Система акустопуска и наличие дистанционного управления (проводного или по радиоканалу) дает возможность осуществлять гибкое управление процессом генерации помехи.
В устройстве имеется встроенная система контроля состояния каналов, позволяющая определить как перегрузку любого из них, так и отсутствие подключенных датчиков.
3.4.7 Система "Универсальный офис" Legos
"Универсальный Офис" представляет собой комплекты системы контроля управления доступом на 1 дверь с функциями учета рабочего времени, фотоидентификации и охранной сигнализации.
Комплект включает в себя всё необходимое для подключения системы контроля и управления доступом в офисе, рассчитанном до 150 человек.
Позволяет реализовать следующие функции:
Страницы: 1, 2