Embed Size (px)
DESCRIPTION
Лекция № 1. НСД. Несанкционированный доступ к информации. - PowerPoint PPT Presentation
Citation preview
Лекция №Лекция №11
НСД
Несанкционированный доступ Несанкционированный доступ к информациик информации
доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т. д.) вкомпьютерных базах данных, файловых хранилищах, архивах, секретных частях и т. д. различных организаций путём изменения (повышения, фальсификации) своих прав доступа.
Другими словами, это доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Так же иногда несанкционированным доступом называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей. Это активные действия по созданию возможности распоряжаться информацией без согласия собственника. Такие действия могут быть квалифицированы с использованием ст. 183, 272 УК РФ.
Изменения уровня доступа достигаются путём использования методов социальной инженерии, ошибок и просчётов в системах безопасности, ошибок в программном обеспечении, а также подделки различных документов и удостоверений личности.
Причины несанкционированного Причины несанкционированного доступа к информациидоступа к информации
ошибки конфигурации (прав доступа, файрволов, ограничений на массовость запросов к базам данных)
слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохоохраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников)
ошибки в программном обеспечении злоупотребление служебными полномочиями
(воровство резервных копий, копирование информации на внешние носители при праве доступа к информации)
Прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС
Использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации.
Приемы несанкционированного доступа к Приемы несанкционированного доступа к информацииинформации За дураком - физическое проникновение в производственные помещения - злоумышленник
ожидает у закрытого помещения, держа в руках предметы связанные с работой на компьютерной технике (элементы маскировки), пока не появится кто-либо, имеющий легальный доступ в него, затем остается только войти внутрь вместе с ним или попросить его помочь занести якобы необходимые для работы на компьютере предметы. Другой вариант - электронное проникновение в СВТ - подключение дополнительного компьютерного терминала к каналам связи с использованием шлейфа "шнурка" в тот момент времени, когда законный пользователь кратковременно покидает свое рабочее место, оставляя свой терминал или персональный компьютер в активном режиме.
За хвост - злоумышленник подключается к линии связи законного пользователя и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его на себя, а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к системе. Подобными свойствами обладают телефонные аппараты с функцией удержания номера, вызываемого абонентом.
Компьютерный абордаж - злоумышленник вручную или с использованием автоматической программы подбирает код (пароль) доступа к системе с использованием обычного телефонного аппарата.
Неспешный выбор - злоумышленник изучает и исследует систему защиты от несанкционированного доступа, используемую в компьютерной системе, ее слабые места, выявляет участки, имеющие ошибки или неудачную логику программного строения, разрывы программы (брешь, люк) и вводит дополнительные команды, разрешающие доступ.
Маскарад - злоумышленник проникает в компьютерную систему, выдавая себя за законного пользователя с применением его кодов (паролей) и других идентифицирующих шифров.
Мистификация - злоумышленник создает условия, когда законный пользователь банковской системы осуществляет связь с нелегальным терминалом, будучи абсолютно уверенным в том, что он работает с нужным ему законным абонентом. Формируя правдоподобные ответы на запросы законного пользователя и поддерживая его заблуждения некоторое время, злоумышленник добывает коды (пароли) доступа или отклик на пароль.
Аварийный - злоумышленник создает условия для возникновения сбоев или других отклонений в работе СВТ банковской компьютерной системы. При этом включается особая программа, позволяющая в аварийном режиме получать доступ к наиболее ценным данным. В этом режиме возможно “отключение” всех имеющихся в банковской компьютерной системе средств защиты информации, что облегчает доступ к ним злоумышленника.
Гениальный документГениальный документ Руководящий документ
Средства вычислительной техникиЗащита от несанкционированного
доступа к информацииПоказатели защищенности от
несанкционированного доступа к информации
Утверждено решением председателя Государственной
технической комиссии при Президенте Российской
Федерации от 30 марта 1992 г.
2. Требования к показателям 2. Требования к показателям защищенностизащищенностиНаименование показателя
Класс защищенности
6 5 4 3 2 1Дискреционный принцип контроля доступа + + + = + =Мандатный принцип контроля доступа - - + = = =Очистка памяти - + + + = =Изоляция модулей - - + = + =Маркировка документов - - + = = =Защита ввода и вывода на отчуждаемый физический носитель информации
- - + = = =
Сопоставление пользователя с устройством - - + = = =Идентификация и аутентификация + = + = = =Гарантии проектирования - + + + + +Регистрация - + + + = =Взаимодействие пользователя с КСЗ - - - + = =Надежное восстановление - - - + = =Целостность КСЗ - + + + = =Контроль модификации - - - - + =Контроль дистрибуции - - - - + =Гарантии архитектуры - - - - - +Тестирование + + + + + =Руководство для пользователя + = = = = =Руководство по КСЗ + + = + + =Тестовая документация + + + + + =Конструкторская (проектная) документация + + + + + +
"-" – нет требований к данному классу; "+" – новые или дополнительные требования, "=" – требования совпадают с требованиями к СВТ предыдущего класса.
КРИПТОН-ЗАМОККРИПТОН-ЗАМОК Изделия М-526, М-526А, М-526Б (АПМДЗ «КРИПТОН-ЗАМОК») - это комплексы аппаратно-программных
средств, который предназначены для обеспечения разграничения и контроля доступа пользователей к техническим средствам вычислительной сети (сервера и рабочие станции), на которых будет обрабатываться информация, в том числе и с высоким грифом секретности, разграничения доступа к аппаратным ресурсам компьютеров, а также контроля целостности установленной на компьютере программной среды под любые ОС, использующие файловые системы FAT12, FAT16, FAT32 и NTFS (Windows NT 4.0 и Windows 2000/XP/2003), а так же Ext2, Ext3 (Unix-системы).
Изделия М-526, М-526А, М-526Б («КРИПТОН-ЗАМОК») обладают следующими возможностями:
Идентификация и аутентификация пользователей до запуска BIOS компьютера. Создание нескольких профилей защиты, надежное разграничение ресурсов компьютера,
принудительная загрузка операционной системы (ОС) с выбранного устройства в соответствии с индивидуальными настройками администратора для каждого пользователя.
Блокировка компьютера при НСД, накопление и ведение электронного журнала событий (в собственной энергонезависимой памяти).
Подсчет эталонных значений контрольных сумм объектов и проверка текущих значений контрольных сумм (рассчитываются по алгоритму вычисления хэш-функции по ГОСТ Р34.11-94), экспорт/импорт списка проверяемых объектов на гибкий магнитный диск.
Интеграция в другие системы безопасности (сигнализация, пожарная охрана и пр.). Организация бездисковых рабочих мест на основе встроенного Флеш-диска 16 Мбайт. Алгоритм кодирования аутентифицирующей информации в Изделиях М-526, М-526А, М-526Б
(«КРИПТОН-ЗАМОК») - в соответствии с требованиями ГОСТ 28147-89.
Администратор имеет возможность разрешить некоторым пользователям осуществлять загрузку ОС с накопителя на гибком магнитном диске (НГМД) или CD ROM. Во всех других случаях Изделия М-526, М-526А, М-526Б («КРИПТОН-ЗАМОК») загружают ОС только через сетевой адаптер, произведенный фирмой «АНКАД», или с одного из накопителей на жёстком магнитном диске (НЖМД) компьютера, который специально подготовлен администратором.
Одна из главных отличительных особенностей Изделий М-526, М-526А, М-526Б («КРИПТОН-ЗАМОК») - это их модульная структура, которая позволяет настраивать и дорабатывать его под разнообразные требования заказчиков.
Система Система Dallas Lock 7.5Dallas Lock 7.5 Система Dallas Lock 7.5 представляет собой программное средство
защиты от несанкционированного доступа к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов.
Основные возможности СЗИ от НСД «Dallas Lock 7.5»: Запрет загрузки компьютера посторонними лицам. Двухфакторная авторизация по паролю и аппаратным идентификаторам (USB
eToken, Touch Memory) до загрузки ОС. Разграничение прав пользователей на доступ к локальным и сетевым ресурсам. Контроль работы пользователей со сменными накопителями. Мандатный и дискреционный принципы разграничения прав. Организация замкнутой программной среды. Аудит действий пользователей. Контроль целостности ресурсов компьютера. Очистка остаточной информации. Возможность автоматической печати штампов (меток конфиденциальности) на
всех распечатываемых документах. Защита содержимого дисков путем прозрачного преобразования. Удаленное администрирование, выделенный центр управления, работа в
составе домена безопасности. Возможна установка на портативные компьютеры (Notebook). Отсутствие обязательной аппаратной части. Удобные интерфейс, установка и настройка. Защита данных путем преобразования диска (кодирования) Поддержка различных аппаратных идентификаторов (USB_e Token, TM,
Proximity)
«Dallas Lock 7.5» для Windows 2000/XP/2003 (сертификат ФСТЭК России №1685 от 18.09.08); Сертификат удостоверяет, что флагманская версия является программным средством защиты информации от несанкционированного доступа к информационным ресурсам компьютеров и соответствуют требованиям руководящих документов Гостехкомиссии России по 2-му уровню контроля отсутствия недекларированных возможностей и 3-му классу защищенности от НСД. Версия продукта может использоваться для защиты государственной тайны категории «совершенно секретно» (АС до класса защищенности "1Б" включительно), а также для защиты информации (персональных данных) в ИСПДн до 1 класса включительно.
SecretNet 5.1SecretNet 5.1
Сетевая версия системы Secret Net 5.1 обладает всеми возможностями автономной версии, кроме того в нее включены средства централизованного управления, что существенно облегчает работу администратора безопасности.
Система централизованного управления В качестве хранилища информации в системе централизованного управления используется Active Directory (AD). Для нужд централизованного
управления Secret Net 5.1 схема Active Directory расширяется — создаются новые объекты и изменяются параметры существующих.Для выполнения этих действий используется специальный модуль изменения схемы AD, который устанавливается и запускается на контроллере домена при установке системы централизованного управления. Для приведения параметров работы защитных средств компьютера в соответствие настройкам безопасности Secret Net 5.1, задаваемым с помощью групповых политик, используется агент Secret Net 5.1, установленный на каждом сервере или рабочей станции защищаемой сети.Столь тесная интеграция Системы Управления с Active Directory позволяет легко использовать Secret Net 5.0 для организации защиты сети, использующей многодоменную структуру. Построение защитной системы сети, использующей многодоменную структуру, на основе выделенного сервера безопасности, как это было в системах защиты предыдущего поколения, имело ряд существенных недостатков. Постоянно возникающие проблемы синхронизации данных между контроллером домена и сервером безопасности, завышенные требования к аппаратной части сервера безопасности – всё это значительно затрудняло централизованное управление безопасностью информационной системы. В Secret Net 5.1 эти проблемы принципиально отсутствуют.
Оперативный мониторинг и аудит В Secret Net 5.1 предусмотрена функция оперативного мониторинга и аудита безопасности информационной системы предприятия, которая
позволяет решать такие задачи, как: Оперативный контроль состояния автоматизированной системы предприятия (получение информация о состоянии рабочих станций и о
работающих на них пользователях). Централизованный сбор журналов с возможностью оперативного просмотра в любой момент времени, а также хранение и архивирование
журналов. Оповещение администратора о событиях НСД в режиме реального времени. Оперативное реагирование на события НСД — выключение, перезагрузка или блокировка контролируемых компьютеров.
Ведение журнала НСД. Система Оперативного управления имеет свою базу данных, в которой хранится вся информация, связанная с работой сервера по обеспечению
взаимодействия компонентов, а также журналы, поступающие от агентов.В качестве базы данных используется СУБД Oracle 9i.
Мониторинг Программа мониторинга устанавливается на рабочем месте администратора оперативного управления — сотрудника, уполномоченного
контролировать и оперативно корректировать состояние защищаемых компьютеров в режиме реального времени.С помощью программы мониторинга администратор может управлять сбором журналов с рабочих станций. Предусмотрено два варианта. Первый — сервер оперативного управления собирает журналы по команде администратора. Второй — администратор составляет расписание и передает его серверу, далее сервер собирает журналы в соответствии с этим расписанием.Также предусмотрена возможность создать удобный для администратора вид представления сети – т.н. «срез» (например, по отделам, по территориальному размещению и т.п.), в случае крупной распределённой сети, делегировать другим администраторам выделенные им для управления сегменты сети.
Аудит В системе Secret Net 5.1 для проведения аудита используются 4 журнала, три из которых – штатные журналы ОС и одни хранит сведения
событий, происходящих в Secret Net 5.1. Журналы ведутся на каждом защищаемом компьютере сети и хранятся в его локальной базе данных. Сбор журналов осуществляется по команде аудитора или по расписанию.Программа работы с журналами позволяет аудитору просматривать записи журналов и тем самым отслеживать действия пользователей, связанные с безопасностью автоматизированной информационной системы предприятия.В журналах предусмотрена удобная система фильтрации по различным критериям, которая значительно упрощает работу, связанную с поиском и анализом событий.С помощью программы работы с журналами аудитор может выдавать команды серверу на архивацию журналов, а также на восстановление журналов из архива. Предусмотрена возможность просмотра архивов, а также сохранения журнала в файл для последующей передачи и анализа записей вне системы Secret Net 5.1.
Клиент Клиент Secret Net 5.1 следит за соблюдением настроенной политики безопасности на рабочих
станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на Сервер Безопасности, а также приём от него оперативных команд и их выполнение.Сервер Безопасности
Сервер Безопасности производит сбор журналов от зарегистрированных на нем агентов, накапливает полученную информацию в базе данных и обеспечивает выдачу команд оперативного управления клиентам (например, блокировку рабочей станции при выявлении попытки НСД).Программа оперативного управления, мониторинга и аудита («Монитор»)
Монитор является программой, которая отображает администратору оперативную информацию от Сервера Безопасности о состоянии рабочих станций и дает возможность отслеживать:какие компьютеры сети в данный момент включены;
какие пользователи на них работают (как локально, так и в терминальном режиме). «Монитор» в режиме реального времени отображает оперативную информацию о
происходящих событиях НСД, позволяет осуществлять просмотр журналов всех рабочих станций, а также выдавать на защищаемые рабочие станции команды оперативного управления.
Модификатор схемы Active Directory Модификатор схемы AD используется для подготовки схемы Active Directory ОС Windows к
развертыванию Secret Net 5.1. т.к. в качестве хранилища информации о настройках безопасности Secret Net 5.1 использует AD, данный модуль создаёт новые объекты и изменяет параметры существующих. Программы управления объектами и параметрами групповых политик, входящие в состав этого модуля, обеспечивают управление параметрами работы доменных пользователей и применение централизованных настроек безопасности Secret Net 5.1.
СобольСоболь
СТРАЖ СТРАЖ NT 3.0NT 3.0
