- •Введение
- •Глава 1. Исследование объекта защиты
- •1.1 Описание объекта защиты
- •1.2 Классификация угроз информационной безопасности
- •1.3 Общая характеристика источников угроз нсд в испДн
- •2.4 Средства защиты информации
- •2.5 Организационные меры защиты
- •2.6 Цикл обработки персональных данных
- •3. Разработка мер защиты персональных данных на предприятии
- •3.2 Программные и аппаратные средства защиты пэвм
- •3.3 Базовая политика безопасности
- •4. Экономический расчёт проекта
3.2 Программные и аппаратные средства защиты пэвм
Для обмена информацией с вышестоящими организациями будет использоваться ViPNet Client, для доступа к защищённой сети медицинских учреждений. ViPNet Client - это программный комплекс для ОС семейства Windows, выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования. Выбор данного средства защиты обусловлен приказом ФОМС, на базе сети которого создаётся защищённая сеть медицинских учреждений.
Клиент состоит из набора взаимосвязанных программных модулей: [Монитор] - совместно с низкоуровневым драйвером шифрования и фильтрации трафика отвечает за реализацию функций:
Персонального сетевого экрана - надежно защищает рабочую станцию/сервер от возможных сетевых атак, как из глобальной (Интернет), так и из локальной сети. При этом:
Осуществляется фильтрация защищенного и открытого трафиков по множеству параметров («белый» и «черный» списки IP-адресов, порты, протоколы);
Реализуется режим «stealth» (режим инициативных соединений), позволяющий сделать невидимым компьютер защищенной сети из открытой сети;
Обеспечивается обнаружение и блокировка типичных сетевых атак (элементы IDS).
Шифратора IP-трафика - обеспечивает защиту (конфиденциальность, подлинность и целостность) любого вида трафика (приложений, систем управления и служебного трафика ОС), передаваемого между любыми объектами защищенной сети, будь то рабочие станции, файловые серверы, серверы приложений.
Высокая производительность шифрующего драйвера, поддерживающего современные многоядерные процессоры, позволяет в реальном времени защищать трафик служб голосовой и видеосвязи в сетях TCP/IP и обеспечивать одновременную работу множества пользовательских сессий.
Поддерживается прозрачная работа через устройства статической и динамической NAT/PAT маршрутизации при любых способах подключения к сети.
Чат-клиента - позволяет пользоваться услугами встроенного сервиса обмена защищенными сообщениями и организации чат-конференций между объектами защищенной сети ViPNet, на которых установлены ViPNet Client или ViPNet Coordinator (Windows).
Клиента службы обмена файлами - позволяет обмениваться между объектами защищенной сети ViPNet любыми файлами без установки дополнительного ПО (например, FTP-сервера/клиента) или использования функций ОС по общему доступу к файлам через сеть.
Обмен файлами производится через защищенную транспортную сеть ViPNet с гарантированной доставкой и «докачкой» файлов при обрыве связи. [Контроль приложений] - программа, которая позволяет контролировать сетевую активность приложений и компонент операционной системы.
При этом можно формировать «черный» и «белый» списки приложений, которым запрещено или разрешено работать в сети, а также задавать реакцию на сетевую активность неизвестных приложений.
В большинстве случаев это позволяет предотвратить несанкционированную сетевую активность вредоносного ПО, например, программ-«троянов». [Деловая Почта] - программа, которая выполняет функции почтового клиента защищенной почтовой службы, функционирующей в рамках защищенной сети ViPNet, и позволяет:
формировать и отсылать письма адресатам защищенной сети через простой графический интерфейс пользователя;
- осуществлять многоадресную рассылку;
- использовать встроенные механизмы ЭЦП для подписи, в том числе множественной, текста письма и его вложений;
- контролировать все этапы «жизни» письма благодаря встроенному механизму обязательного квитирования писем;
- встроенная функция аудита к истории удаления писем;
- архивы писем;
- автоматическая обработка входящих сообщений;
Любой отправитель корреспонденции может быть однозначно идентифицирован. Поэтому этот сервис ViPNet является идеальным решением для внутрикорпоративного обмена документами и письмами. MFTP - программа, выполняющая функции обмена служебной информацией между узлами защищенной сети (обновления ключей шифрования, связей узлов, программного обеспечения) и конвертами с письмами «Деловой Почты» и конвертами «Файлового Обмена».
Криптопровайдер ViPNet CSP - ViPNet Client содержит встроенный криптопровайдер, реализующий стандартный для разработчиков прикладных систем под ОС Windows интерфейс Microsoft CryptoAPI 2.0.
Рисунок 3.3 - Главное окно ViPNet Client
Для защиты клиентских машин от вирусных атак должно быть использовано антивирусное программное обеспечение. На основе сравнения нескольки антивирусов (рисунок 3.4) выбор антивируса был сделан в пользу ESET NOD32 Antivirus, который помимо высокой эффективности, обладает кроссплатформенностью и может использоваться на компьютерах как под управлением Windows, так и Linux. NOD32 прошёл сертификацию ФСТЭК и подходит для защиты ИСПДн до 1 класса включительно.
Рисунок 3.4 - Сравнительная характеристика антивирусов
Для контроля доступа к критически важным ресурсам предполагается использовать аппаратно-программную систему защиты информации «МДЗ-Эшелон».
Модуль доверенной загрузки «МДЗ-Эшелон» является единственным в своем роде программным средством защиты от несанкционированного доступа, обеспечивающим контроль целостности, идентификацию и аутентификацию до передачи управления операционной системе.
В отличие от распространенных аппаратно-программных модулей доверенной загрузки, «МДЗ-Эшелон» не подвержен атакам на модификацию BIOS.
Технические характеристики:
поддержка аппаратной платформы семейства Intel x86 c BIOS PnP фирм «Phoenix-AWARD» и «AMI» с установленным жестким диском стандартов PATA, SATA и/или SCSI и CD-ROM стандартов PATA, SATA и др.;
поддержка любых ОС, установленных на отдельный раздел жесткого диска:Windows, QNX, Linux, WinCE c boot-сектором, FreeBSD и др. ;
объем, занимаемый на жестком диске: около 24 Мб;
требуемый объем в микросхеме FLASH BIOS - около 6 Кб;
первичная авторизация пользователя до загрузки ОС;
при успешной авторизации - контроль целостности среды путем вычисления контрольных сумм элементов файловой системы, связанных с пользователем и последующим сравнением с эталонными значениями;
поддержка BIOS с ядрами AWARD-Phoenix 4.5,6.0 и AMIBIOS 7.0, 8.0;
поддержка виртуальных машин VMWare, Bochs, VirtualPC.
Полученный сертификат соответствия ФСТЭК России № 1872 от 10.07.2009 г. позволяет использовать модуль доверенной загрузки «МДЗ-Эшелон» как в системах защиты персональных данных, так и для защиты сведений, составляющих государственную тайну, до грифа «совершенно секретно» включительно.
Кроме того, модуль доверенной загрузки «МДЗ-Эшелон» имеет сертификат Минобороны России № 815 на соответствие Приказу МО РФ, в том числе:
требованиям руководящего документа Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», 1999 г. - по второму уровню контроля;
требованиям руководящего документа Гостехкомиссии «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», 1992 г. - по 3 классу (в части требований «идентификации и аутентификации» подсистемы управления доступом и «целостность КСЗ» подсистемы обеспечения целостности);
криптографическим и инженерно-криптографическим требованиям ВС РФ;
требованиям по соответствию реальных и декларируемых в документации функциональных возможностей (ТУ);
на соответствие заданию по безопасности ИЦ-ЭШ.586.
Обоснованность выбора данного средства защиты приведена в таблице 3.1.
Таблица 3.1 - Сравнение аппаратно-программных средств защиты
Название |
«МДЗ-Эшелон» |
АПМДЗ «КРИПТОН-ЗАМОК» |
ПАК «Соболь» |
Поддерживаемые ОС |
позволяет загружать любую ОС, установленную на отдельный раздел жесткого диска, включая МСВС и Windows (QNX, Linux, WinCE c boot-сектором, FreeBSD) |
Windows 95/98/NT 4.0/2000/XP/2003 |
Windows начиная с 2000; FreeBSD версии 5.3, 6.2, 6.3 или 7.2; Trustverse Linux XP Desktop 2008 Secure Edition; МСВС 3.0 |
Поддержка файловых систем |
NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2 |
FAT12, FAT16, FAT32 и NTFS |
NTFS, FAT 32, FAT 16, UFS, EXT3, EXT2 |
Стоимость |
4400 руб. |
5500 руб. |
7850 руб. |