Защита информации

Межсетевой экран ЗАСТАВА  обеспечивает:

• Возможность регистрации и учета фильтруемых пакетов; в параметры регистрации включаются адрес, время и результат фильтрации
• Регистрацию и учет запросов на установление виртуальных соединений
• Локальную сигнализацию попыток нарушения правил фильтрации
• Идентификацию и аутентификацию администратора защиты при его локальных запросах на доступ
• Возможность идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия
• Запрет доступа, не идентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась.

 

Застава Клиент

Программные продукты ЗАСТАВА-Клиент (ЗАСТАВА-Корпоративный Клиент и  ЗАСТАВА-Персональный клиент) обеспечивают защиту пользовательских рабочих станций  от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и/или с компьютерами из сегментов локальных сетей, защищенных программными продуктами семейства ЗАСТАВА и/или SKIP-продуктами других производителей.

ЗАСТАВА-Клиент поставляется как программный пакет, который устанавливается на компьютере пользователя. Перенастройки работающего на этом компьютере программного обеспечения не требуется.

Продукт поставляется в  двух модификациях, ЗАСТАВА-Персональный Клиент и ЗАСТАВА-Корпоративный  Клиент

При использовании продукта ЗАСТАВА-Персональный Клиент политика информационной безопасности задается самим пользователем с помощью набора конфигурационных правил посредством интерфейса командной строки или графического интерфейса пользователя.

ЗАСТАВА-Корпоративный Клиент не имеет интерфейса пользователя, что позволяет пользователям эксплуатировать продукт без специальной подготовки. Конфигурирование продукта происходит удаленно администратором безопасности. На удаленные компьютеры конфигурация загружается с помощью дискеты или смарт-карты.

В остальном продукты ЗАСТАВА-Персональный клиент и ЗАСТАВА-Корпоративный  Клиент полностью идентичны.

Программный продукт  ЗАСТАВА-Клиент обеспечивает:

• контроль списка партнеров по защищенному/незащищенному взаимодействию;
• защиту информационных ресурсов компьютера от несанкционированного доступа из внешних сетей;
• реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения;
• доступ в заданном защищенном режиме только для зарегистрированных партнеров по взаимодействию;
• регулируемую стойкость защиты трафика;
• коммуникационную совместимость с системами защиты, использующими программные продукты семейства ЗАСТАВА и/или SKIP-продукты других производителей.

 

Застава Офис

Программный продукт ЗАСТАВА-Офис обеспечивает коллективную защиту сегмента локальной сети от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и/или с компьютерами из сегментов локальных сетей, защищенных программными продуктами семейства ЗАСТАВА и/или SKIP-продуктами других производителей.

ЗАСТАВА-Офис поставляется как программный пакет, который  устанавливается на компьютере, выполняющем  функции сетевого шлюза (Gateway) между  защищаемым сегментом сети и внешними локальными (LAN) или глобальными (WAN) сетями.

Политика информационной безопасности задается самим пользователем  с помощью набора конфигурационных правил - локально или удаленно посредством  интерфейса командной строки или  графического интерфейса пользователя.

Графический интерфейс  пользователя состоит из двух частей - клиентской и серверной. Серверная  часть устанавливается на управляемом  объекте (на компьютере с установленным  программным продуктом ЗАСТАВА-Офис), клиентская - на любом (в том числе и на одном с серверной частью) компьютере под управлением ОС Solaris или ОС Windows NT. Графический интерфейс предоставляет пользователю все возможности для конфигурирования программного продукта ЗАСТАВА-Офис, за исключением процедур установки криптомодулей, которые производятся стандартными средствами ОС Solaris. Клиентская и серверная части графического интерфейса пользователя работают по защищенному каналу связи.

Программный продукт  ЗАСТАВА-Офис обеспечивает:

• Контроль списка партнеров по защищенному/незащищенному взаимодействию независимо на каждом физическом интерфейсе;
• Защиту информационных ресурсов сегмента локальной сети от несанкционированного доступа из внешних сетей независимо на каждом физическом интерфейсе;
• Реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения независимо на каждом физическом интерфейсе;
• Доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных (nomadic), партнеров по взаимодействию;
• Регулируемую стойкость защиты трафика;
• Маскировку топологии защищаемого сегмента путем туннелирования трафика

 

2.2. Современные ОС и их краткие возможности в информационной безопасности

 

Современные ОС, такие  как Windows XP, Windows NT, Linux, Windows 2000-Advanced server, Professional и т п. Этими ОС-ми пользуются большинство людей нашей планеты не говоря о предприятиях и организациях, они самые распространенные и удобные в пользовании и очень универсальны в своих возможностях.

Практически все современные ОС поддерживают работу в сети. Однако в качестве ОС для сервера чаще всего используются Novell NetWare, Unix, Linux и Windows 2000 Server.

Теперь можно и рассмотреть что же такое ОС, что оно из себя представляет.

Операционная система - это программа, которая загружается при включении компьютера. Она производит диалог с пользователем, осуществляет управление компьютером, его ресурсами (оперативной памятью, местом на дисках и т.д.), запускает другие (прикладные) программы на выполнение. Операционная система обеспечивает пользователю и прикладным программам удобный способ общения (интерфейс) с устройствами компьютера. Основная причина необходимости операционной системы состоит в том, что элементарные операции для работы с устройствами компьютера и управления ресурсами компьютера - это операции очень низкого уровня, поэтому действия, которые необходимы пользователю и прикладным программами состоят из нескольких сотен или тысяч таких элементарных операций.

Текущей версией ОС является NetWare 6.x. Помимо удобного графического интерфейса, эта версия NetWare имеет ряд других характерных особенностей:

1) NetWare 6.0 использует в качестве основного сетевого протокола TCP/IP (протокол, используемый в сети Internet). Если предыдущие версии NetWare работали на собственном протоколе фирмы Novell - протоколе IPX/SPX, а протокол ТСР/IР мог использоваться только поверх IPX/SPX (также эмулировался Net BIOS), то теперь NetWare 5.0 предлагает следующие варианты:

• только протокол TCP/IP - протокол TCP/IP в режиме "совместимости" (может использоваться IPX/SPX поверх ТСР/IР) совместное использование протоколов TCP/IP и IPX/SPX (оба протокола работают параллельно и независимо)
• только протокол IPX/SPX.

2) В NetWare используется служба каталога NDS (Novell Directory Service), которая представляет собой единую распределенную базу данных в виде дерева каталогов, в которой описываются все объекты сети (пользователи, группы пользователей, принтеры и т.д.), с указаниями прав доступа. База данных NDS является общей для всей сети. Если в предыдущих версиях NetWare 3.x и 2.x необходимо было создавать учетную запись пользователя (имя и пароль) на каждом сервере сети, то в NetWare 6.0 достаточно один раз зарегистрировать пользователя в NDS, и он получит доступ ко всем серверам сети.

3) В NetWare используется мощная и гибкая модель разграничения доступа. Система безопасности подключения к сети включает в себя: ограничения на срок действия и частоту смены пароля, запрет на повторное использование старых паролей, ограничение времени суток и адресов компьютеров, с которых пользователь может подключаться к сети, запрет одному и тому же пользователю на подключение к сети с нескольких машин одновременно. Система безопасности файловой системы позволяет для каждого файла и каталога назначить различным пользователям любую комбинацию следующих прав доступа: чтение, запись, создание, удаление, модификация (имени файла и его атрибутов), просмотр (содержимого каталога), изменение прав доступа, супервизор (полный набор всех прав). Аналогично регулируется доступ и к любым другим объектам NDS (права на просмотр, создание, удаление, переименование объектов, чтение, запись, сравнение и добавление их свойств, права супервизора). NetWare имеет также двухстороннюю систему аудита: внешние независимые аудиторы могут анализировать события в сети, не имея доступа к секретным данным, в то же время, администраторы сети не имеют доступа к данным аудита.

На ПК (персональный компьютер) типа IBM PC чаще всего используется ОС Windows. Windows имеет однородную систему безопасности (security) удовлетворяющую спецификациям правительства США и соответствующую стандарту безопасности В2.

Надежность и отказоустойчивость (reliability and robustness) обеспечивают архитектурными особенностями, которые защищают прикладные программы от повреждения друг другом и операционной системой. Windows использует отказоустойчивую структурированную обработку особых ситуаций на всех архитектурных уровнях которая включает восстанавливаемую файловую систему NTFS и обеспечивает защиту с помощью встроенной системы безопасности и усовершенствованных методов управления памятью.

Возможности локализации ( allocation) представляют средства для работы во многих странах мира на национальных языках, что достигается применением стандарта ISO Unicod (разработан международной организацией по стандартизации).

Благодаря модульному построению системы обеспечивается расширяемость (insibility) Windows , что позволяет гибко осуществлять добавление новых модулей на различные уровни операционной системы.

 

2.3. Средства и возможности ОС семейства  Windows для организации защити информации

 

Windows 2000 Server дает много  инструментальных средств для  слежения за сетевой деятельностью  и использованием сети. ОС позволяет  просмотреть сервер и увидеть, какие ресурсы он  использует; увидеть пользователей, подключенных к настоящему времени к   серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.

 

Удаленный доступ

Windows 2000 Server позволяет клиентам удаленного доступа подключаться к серверам удаленного доступа и обращаться к таким сетевым ресурсам, как файлы, принтеры и службы, создавая иллюзию подключения к серверу удаленного доступа через локальную сеть.  Windows 2000 поддерживает два типа удаленного доступа.

Удаленный доступ через  телефонную линию (dial-up remote access)- Используется клиентом при подключении к серверу удаленного доступа через телефонную линию или иную телекоммуникационную инфраструктуру. Телекоммуникационная несущая среда используется для создания временного физического или виртуального соединения между клиентом и сервером.

Удаленный доступ через  виртуальную частную сеть (virtual private network, VPN). Позволяет клиентам VPN устанавливать с сервером виртуальное соединение типа <<точка-точка >> через IP –сеть, например Интернет. Удаленный доступ отличается от удаленного управления, поскольку программное обеспечение удаленного доступа вступает в роли прокси – соединения с сетью windows 2000, тогда как программное обеспечение для удаленного управления выполняет приложение на сервере, предоставляя клиенту пользовательский интерфейс.

Служба Active Directory.

В Active Directory хранится структура и список членов домена windows 2000 включая информацию об учетных записях и паролях пользователей.

Шифрованная файловая система EFS

 

Windows 2000 в основном использует, файловую систему NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2000 можно работать только с теми томами, на которые есть права доступа. В файловых системах, в которых не используется шифрование, если запускается компьютер по сети или воспользоваться загрузочной дискетой MS DOS или Windows 98, можно получить доступ ко всем файлам, хранящимся на диске, так как на пользователя в этом случае не распространяются ограничения доступа, сведения о которых содержатся в специальных списках контроля доступа.

При использовании шифрованной  файловой системы EFS можно файлы и папки, данные, которых будут, зашифрованы с помощью пары ключей. Любой пользователь, который захочет получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться. Система EFS так же обеспечивает схему защиты файлов в среде Windows 2000. Однако не следует забывать о том, что при использовании шифрования производительность работы системы снижается.

 

Работа в  сети и вход пользователей

Каждый клиент, который  использует сеть, должен иметь учетную карточку пользователя в  домене сети. Учетная карточка пользователя содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные  ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе.

Таблица 2.1. показывает содержимое учетной карточки пользователя.

 

Таблица 2.1

Содержимое учетной  карточки

 

Учетная карточка пользователя	Элемент учетной  карточки	Комментарии
Username	Имя пользователя	Уникальное имя пользователя, выбирается при регистрации.
Password	Пароль	Пароль пользователя.
Full name	Полное имя	Полное имя пользователя.
Logon hours	Часы начала сеанса	Часы, в течение которых  пользователю позволяется входить  в систему. Они влияют на вход в  систему сети и доступ к серверу. Так или иначе, пользователь вынужден будет выйти из системы, когда его часы сеанса, определенные политикой безопасности, истекут
Logon workstations	Рабочие станции	Имена рабочих станций, на которых пользователю позволяется  работать. По умолчанию пользователь может использовать любую рабочую  станцию, но возможно введение ограничений.
Expiration date	Дата истечения срока	Дата в будущем, когда  учетную карточку автоматически исключают из базы, полезна при принятии на работу временных служащих
Учетная карточка пользователя.	Элемент учетной карточки.	Комментарии.
Home directory	Собственный каталог	Каталог на сервере, который  принадлежит пользователю; пользователь управляет доступом к этому каталогу.
Logon script	Сценарий начала сеанса	Пакетный или исполняемый  файл, который запускается автоматически, когда пользователя начинает сеанс.
Profile	Установки (параметры)	Файл, содержащий запись о параметрах среды рабочего стола (Desktop) пользователя, о таких, например, как сетевые соединения, цвета  экрана и установочные параметры, определяющие, какие аспекты среды, пользователь может изменить.
Account type	Тип учетной карточки	Тип учетной карточки - глобальный или локальный.