Построение локальной вычислительной сети подразделения организации под управлением операционной системы Windows NT
Рефераты >> Программирование и компьютеры >> Построение локальной вычислительной сети подразделения организации под управлением операционной системы Windows NT

· нет возможности шифрования трафика сети;

· дополнительной идентификации пользователей;

· затирания остатков информации в системе.

4.ВЫБОР ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Так как Windows NT не может обеспечить требуемый уровень безопасности данных в локальной вычислительной сети нашего подразделения, то логичным является путь установки дополнительных средств защиты. Сегодня на рынке присутствует достаточное количество дополнительных средств защиты данных, требующихся нашей системе. Проанализируем возможности, предоставляемые этими средствами, и сделаем оптимальный выбор.

4.1.Обзор комплексов защиты информации

4.1.1.Комплекс “Аккорд”

В состав комплекса входит одноплатный контроллер, вставляемый в свободный слот компьютера, контактное устройство (съемник информации), программное обеспечение и персональные идентификаторы DS199x Touch Memory в виде таблетки. Съемник устанавливается на передней панели компьютера, а идентификация осуществляется прикосновением идентификатора (таблетки) к съемнику. Аутентификация выполняется до загрузки операционной системы. Дополнительно может быть поставлена библиотека программ для подключения средств шифрования и электронной подписи[2].

Таким образом, комплекс “Аккорд” не предоставляет всех необходимых нам услуг по защите информации. Шифрование и затирание остатков информации на носителях может быть произведено при помощи дополнительных утилит, аналогичных Diskreet и Wipeinfo из пакета Norton Utilities.

4.1.2.Комплекс Dallas Lock

В соответствии со спецификацией версия Dallas Lock 3.1 должна обеспечивать полномасштабную защиту рабочей станции, а также связь со станцией мониторинга.

Комплекс предусматривает регистрацию пользователя на рабочей станции и вход его в сеть посредством касания электронной карточки Touch Memory. Число вариантов серийных номеров – 48 триллионов.

Dallas Lock обеспечивает:

· возможность доступа к компьютеру и загрузки операционной системы только по предъявлении личной электронной карты пользователя и вводе личного пароля,

· многоуровневое разграничение доступа по отношению к ресурсам компьютера,

· защиту операционной системы,

· ведение системных журналов событий,

· установку для пользования опции гарантированного стирания файлов при их удалении,

· защиту собственных файлов и контроль целостности среды[2].

4.1.3.Комплекс Secret Net NT

Ассоциация “Информзащита” предлагает систему защиты Secret Net, предназначенную для защиты хранимой и обрабатываемой информации на персональных компьютерах в ЛВС от НСД и противодействия попыткам нарушения нормального функционирования ЛВС и прикладных систем на ее основе. В качестве защищаемого объекта выступает ЛВС персональных ЭВМ типа IBM PC/AT и старше, объединенных при помощи сетевого оборудования Ethernet, Arcnet или Token-Ring. Система включает средства:

· идентификации и аутентификации пользователей (в том числе и при использовании карт Touch Memory и Smart Card),

· разграничения доступа к ресурсам,

· контроля целостности,

· регистрации событий в журнале безопасности,

· затирания остатков данных на носителях информации,

· шифрования трафика сети,

· управления средствами защиты и др.

Система Secret Net имеет сертификат Гостехкомиссии РФ[3].

4.1.4.Выбор комплекса защиты информации

Проанализировав возможности рассмотренных выше комплексов защиты информации в локальных сетях, можно прийти к выводу, что лишь Secret Net NT удовлетворяет всем трем пунктам наших требований, изложенных в разделе 3.2.

4.2.Обзор возможностей программно-аппаратного комплекса Secret Net NT

Не умаляя достоинств Secret Net NT, надо сразу сказать, что эта система не сможет решить ВСЕХ проблем по созданию комплексной защиты компьютерных систем. Этого не может сделать никакое отдельно взятое техническое средство защиты, так же как и любая совокупность таких средств. Объясняется это тем, что создание комплексной системы защиты организации, кроме применения технических (аппаратно-программных) средств, предполагает принятие специальных мер правового и административного характера и обеспечение непрерывной организационной поддержки функционирования установленных средств защиты специальным персоналом.

Надо совершенно четко понимать, что система Secret Net NT - это всего лишь инструмент, позволяющий сотрудникам службы компьютерной безопасности значительно проще и надежнее решать одну из стоящих перед ними задач - задачу разграничения доступа должностных лиц к ресурсам компьютера (аппаратным, программным, информационным) в строгом соответствии с принятой в организации политикой безопасности.

Для эффективного применения системы Secret Net NT необходимо правильно ее установить и настроить, то есть назначить пользователям компьютера полномочия по доступу к ресурсам в соответствии с разработанными ранее (и возможно уточненными в ходе самой настройки системы защиты) документами. Требуемые полномочия назначаются пользователям путем соответствующей настройки средств парольной защиты, атрибутного и полномочного механизмов управления доступом к ресурсам компьютера.

Чаще всего устанавливать систему Secret Net NT приходится на компьютер, на котором уже реально работают пользователи. Для того, чтобы работы по ее установке и настройке не привели к временному нарушению их нормальной работы, в Secret Net NT предусмотрен целый ряд специальных возможностей и режимов. К ним относятся:

· поддержка технологии поэтапной установки компонент системы защиты Secret Net NT;

· возможность управления подключением различных защитных механизмов;

· наличие специального "мягкого" режима функционирования механизмов защиты.

Перечисленные выше возможности позволяют плавно повышать степень защищенности автоматизированной системы, не нарушая ее нормального функционирования[3].

Далее остановимся более подробно на некоторых наиболее полезных нам возможностях комплекса Secret Net NT.

4.2.1.Дополнительная идентификация

Имеется возможность дополнительной идентификации пользователя при входе в систему с предъявлением персонального идентификатора.

В процессе загрузки системы на экране компьютера появляется запрос на предъявление устройства идентификации (Touch Memory или Smart Card). Система Secret Net NT считывает имя, пароль и ключ с идентификатора и продолжает загрузку операционной системы[3].

4.2.2.Ключевой диск пользователя

При операциях с зашифрованными файлами и каталогами все приложения системы Secret Net NT (сервер управления доступом, утилиты) используют секретные ключи, записанные на сменных носителях (дискетах, магнитооптических дисках) – ключевых дисках[3].

4.2.3.Управление регистрацией событий

В системном журнале фиксируются различные события, происходящие на рабочей станции. От уровня регистрации (количества регистрируемых событий) зависит время, потраченное на запись сообщений в системный журнал и, соответственно, размер системного журнала (место занимаемое на диске). Поэтому, разумно ограничить список регистрируемых событий, например регистрировать только сбойные события.


Страница: