Диплом Пупов 388x

advertisement
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
Институт математики, естественных наук и информационных технологий
Кафедра информационной безопасности
Допустить к защите в ГАК
Заведующий кафедрой
информационной безопасности
д.т.н. профессор
_______________ А.А. Захаров
(подпись)
«__»_________________2013 г.
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
Пупов Андрей Олегович
РАЗРАБОТКА И РЕАЛИЗАЦИЯ ПРОЕКТА АТТЕСТАЦИИ
АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ.
Научный руководитель:
Старший преподаватель
_________________/ Бажин К.А./
(подпись)
Автор работы:
________________ / Пупов А.О./
(подпись)
Тюмень, 2013
2
АННОТАЦИЯ
В данной работе описан процесс разработки и реализации проекта
аттестации автоматизированной системы.
Актуальность
данной
работы
в
том,
что
аттестуемая
автоматизированная система имеет одну ключевую особенность, серверная
часть автоматизированной системы, является виртуальной. Аттестация
необходима для продления лицензии ФСБ на предоставление услуг в области
шифрования информации.
Работа состоит из двух глав. В первой произведен обзор и сравнение
средств защиты информации выбираемых для данного объекта. Во второй
описываются
аттестационные
информации,
анализ
работы,
защищенности
внедрение
полученной
средств
защиты
автоматизированной
системы.
Практическая значимость данной работы в том, что разработанный
проект аттестации может быть использован на подобных объектах,
использующих виртуальную инфраструктуру.
Данная работа может применятся в качестве практического руководства
при аттестации автоматизированных систем.
3
ОГЛАВЛЕНИЕ
СОКРАЩЕНИЯ ....................................................................................................... 4
ВВЕДЕНИЕ .............................................................................................................. 5
1. ТЕОРИТИЧЕСКАЯ ЧАСТЬ ............................................................................ 7
1.1. ПОРЯДОК АТТЕСТАЦИИ АС ................................................................. 7
1.2. СЗИ ДЛЯ ЗАЩИТЫ РАБОЧИХ СТАНЦИЙ ПОЛЬЗОВАТЕЛЕЙ ..... 10
1.3. СЗИ ДЛЯ ЗАЩИТЫ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ ........... 12
1.4. АНТИВИРУСНАЯ ЗАЩИТА ................................................................. 15
1.5. СЗИ ДЛЯ КАНАЛОВ СВЯЗИ ................................................................. 17
1.6. СКАНЕР БЕЗОПАСНОСТИ ................................................................... 21
2. ПРАКТИЧЕСКАЯ ЧАСТЬ ............................................................................ 23
2.1. АНАЛИЗ ИЗНАЧАЛЬНОЙ ИНФРАСТРУКТУРЫ ОБЪЕКТА .......... 23
2.2. АНАЛИЗ ВНУТРЕННИХ ДОКУМЕНТОВ ПО
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ .................................................... 24
2.3. ОПРЕДЕЛЕНИЕ КЛАССА АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ .
.................................................................................................................... 30
2.4. ОБУЧЕНИЕ СОТРУДНИКОВ РАБОТЕ С СЗИ ................................... 33
2.5. УСТАНОВКА И НАСТРОЙКА ВЫБРАННЫХ СЗИ .......................... 39
2.6. АНАЛИЗ ЗАЩИЩЕННОСТИ ПОЛУЧЕННОЙ ИНФРАСТРУКТУРЫ
.................................................................................................................... 45
ЗАКЛЮЧЕНИЕ ..................................................................................................... 51
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ ............................................. 52
ПРИЛОЖЕНИЕ А
4
СОКРАЩЕНИЯ
АС – Автоматизированная Система
НСД – Несанкционированный Доступ
ФСТЭК – Федеральная Служба по Техническому и Экспортному Контролю
ФСБ – Федеральная Служба Безопасности
АВИ – Администратор Виртуальной Инфраструктуры
АИБ – Администратор Информационной Безопасности
СЗИ – Средства Защиты Информации
РД – Руководящая Документация
ИБ – Информационная Безопасность
5
ВВЕДЕНИЕ
Аттестация автоматизированной системы подразумевает комплекс
различных организационно-технических мероприятий, результатом которых
является подтверждение специализированным документом, того, что объект
соответствует
требованиям
нормативно-технической
документации
по
информационной безопасности, утвержденных ФСТЭК РФ.
Объекту, на котором производится аттестация, необходимо продление
лицензии ФСБ на предоставление услуг в области шифрования информации.
Для данного объекта был предложен комплекс средств защиты
информации , не имеющий прецедентов внедрения по Тюменской области.
Кроме того, при выборе СЗИ, одним из наиболее важных пунктов была
необходимость сделать автоматизированную систему не только безопасной,
но и более удобной для администрирования.
Серверная часть автоматизированной системы аттестуемой организации
является виртуальной, построенной на технологиях VMware, в России на
данный момент только один продукт прошел сертификацию, позволяющую
использовать его дня защиты виртуальной инфраструктуры.
Целью данной дипломной работы является разработка и реализация
проекта
аттестации
информационной
системы,
удовлетворяющей
специальным требованиям и рекомендациям по технической защите
конфиденциальной информации.
Перечень поставленных задач:
 Анализ текущей инфраструктуры объекта;
 Анализ внутренних документов по информационной безопасности;
 Определение класса автоматизированной системы;
6
 Выбор необходимых СЗИ для данного класса автоматизированной
системы;
 Установка и настройка выбранных СЗИ;
 Обучение сотрудников работе с СЗИ;
 Анализ защищенности полученной инфраструктуры;
 Выдача аттестата соответствия на АС.
7
1. ТЕОРИТИЧЕСКАЯ ЧАСТЬ
1.1.
Создание
ПОРЯДОК АТТЕСТАЦИИ АС
системы
информационной
безопасности
является
совокупностью организационных мер и программно-аппаратных средств,
направленных непосредственно на защиту информации от угроз хищения,
утраты, утечки, уничтожения, искажения, блокирования доступа к ней, по
средствам несанкционированного доступа, а так же защита информации от
угрозы утечки по техническим каналам.
В коммерческих организациях, ответственность за безопасность
информационных
систем
несет
руководство
департамента
защиты
информации, в таких организациях на данный момент, существуют
собственные внутренние документы регламентирующие работу отдела
защиты информации, определяющие роли и зоны ответственности за защиту
информации, в них имеется информация об объектах и способах защиты
информации. Реализация организационных и программно-аппаратных СЗИ –
внутреннее дело самой организации. Соответственно проверка состояния
реализованных мер защиты, так же является зоной ответственности отдела
защиты информации.
Для получения аттестата соответствия организация должна привлечь
стороннюю
организацию,
имеющую
разрешение
на
проведение
аттестационных мероприятий.
Аттестационный орган, при проведении аттестации, руководствуется
руководящими документами Гостехкомиссии России: «Автоматизированные
системы. Защита от несанкционированного
доступа
к информации.
Классификация автоматизированных систем и требования по защите
информации», «Специальные требования и рекомендации по технической
защите конфиденциальной информации» и другими документами, имеющими
отношение к защите персональных данных.
8
После
проведения
аудита
автоматизированной
системы,
аттестационный орган, опираясь на РД определяет, какие требования нужно
предъявить к автоматизированной системы, для приведения её в соответствие
с РД.
Аудит включает в себя:
 Анализ внутренних документов по информационной безопасности;
 Опись
применяемых
программных
и
аппаратных
средств
вычислительной техники;
 Определение
границ
контролируемой
зоны
автоматизированной
системы;
 Анализ рисков текущей информационной инфраструктуры.
По результатам аудита, аттестуемой организации:
 Могут быть предложены дополнения и изменения в текущий пакет
документов;
 Предлагается перечень СЗИ для приведения автоматизированной
системы в соответствие с РД.
Соответственно, каждая АС имеет свои исключительные особенности, это
выражается в перечне используемых программно-аппаратных средств, классе
АС, месте её физического расположения и т.п. Кроме того при выборе СЗИ
для АС необходимо учитывать пожелания заказчика, эти пожелания могут
выражаться в:
 Стоимости СЗИ;
 Спецификациях СЗИ;
 Использовании строго определенных СЗИ.
9
Поэтому невозможно разработать и использовать типовые способы защиты
информации,
поэтому
индивидуальное решение.
под
каждого
заказчика
подготавливается
10
1.2.
СЗИ ДЛЯ ЗАЩИТЫ РАБОЧИХ СТАНЦИЙ
ПОЛЬЗОВАТЕЛЕЙ
СЗИ «Secret Net 6» (версия 6.5, сетевой), сертификат соответствия №2228
(срок действия с 3.12.2010 по 3.12.2013), в качестве аналогов было
рассмотрено СЗИ Dallas Lock 7.7, сертификат соответствия №2209 (срок
действия от 19.11.10 по 19.11.13).
Secret Net - это сертифицированное СЗИ от НСД, позволяющее привести
различные АС в соответствие с требованиями регулирующих документов:
 №98-ФЗ ("О коммерческой тайне");
 №152-ФЗ ("О персональных данных");
 №5485-1-ФЗ ("О государственной тайне");
 СТО БР (Стандарт Банка России).
Основные возможности Secret Net:
 Аутентификация
пользователей
с
поддержкой
аппаратных
идентификаторов;
 Полная интеграция с сложными доменными сетями, интеграция с Active
Directory;
 Разделение полномочий пользователей при доступе к информационным
ресурсам АС;
 Доверенная информационная среда;
 Система контроля утечек конфиденциальной информации;
 Система контроля съемных носителей и устройств компьютера на
основе централизованных политик;
 Система аудита информационной безопасности;
11
 Централизованной управление СЗИ;
 Создание замкнутой программной среды;
 Возможность
развёртывания
СЗИ
в
организациях
с
большим
количеством филиалов.
Данная версия «Secret Net 6» удовлетворяет всем необходимым
требованиям к классу защищенности 1Г, так же удовлетворяет требованиям
заказчика по удобству администрирования. Сетевой вариант позволяет
централизованно управлять СЗИ на конечных клиентских машинах, что
является большим преимуществом, ввиду наличия у организации большого
количества филиалов.
Возможности продуктов «Secret Net 6» и «Dallas Lock 7.7», при равной
цене, являются практически идентичными, за исключением отсутствия в
программном продукте «Dallas Lock 7.7» возможности централизованного
управления.
Заказчику были предложены оба варианта, после рассмотрения данных
предложений, выбор был сделан в пользу СЗИ «Secret Net 6». Кроме того,
заказчиком планируется обновление СЗИ «Secret Net 6» до последней версии,
СЗИ «Secret Net 7».
12
1.3.
СЗИ ДЛЯ ЗАЩИТЫ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ
СЗИ «vGate R2», сертификат соответствия №2308 (срок действия с
28.03.2011 по 28.03.2014).
vGate – на данный момент единственное сертифицированное СЗИ для
виртуальных инфраструктур, построенных на базе систем VMware vSphere 4,
5, 5.1.
Возможности vGate 2.5:
 Автоматизация работы администратора виртуальной инфраструктуры
(АВИ) и администратора информационной безопасности (АИБ) по
настройке и эксплуатации систем безопасности;
 Разграничение полномочий АВИ и АИБ, для противодействия ошибкам
администрирования и исключения возможности злоупотребления
полномочиями администратора;
 Возможность защиты систем и средств управления виртуальной
инфраструктуры от НСД;
 Возможность защиты ESXi серверов от НСД;
 Поддержка работы с распределенной инфраструктурой;
 Мандатное управление доступом;
 Возможность контроля целостности программной и аппаратной
конфигурации виртуальных машин;
 Возможность
«доверенной
загрузки»
виртуальных
машин
расположенных на защищенных ESXi-серверах;
 Возможность контроля доступа АВИ к настройкам виртуальных машин,
ESXi-серверов и vCenter;
13
 Ведение
журнала
событий,
связанных
с
информационной
безопасностью;
 Защита от НСД и контроль целостности компонентов СЗИ;
 Возможность централизованного управления и мониторинга;
 Быстрый импорт и экспорт конфигураций СЗИ на резервные центры
хранения;
 Поддержка работы режима VMware vCenter Linked Mode, позволяющего
работать с несколькими объединёнными серверами vCenter;
 Возможность использования аппаратных средств при аутентификации
АИБ и АВИ;
 Автоматизированная подготовка отчетов по различным стандартам;
 Возможность контроля целостности исполняемых файлов гостевых
систем виртуальных машин;
 Возможность просмотра всех изменений в файлах, настройках
виртуальных машин.
vGate существует в двух вариантах исполнения:
 vGate R2 - используется для защиты конфиденциальных данных;
 vGate-S R2 -
используется для защиты информации, содержащей
государственную тайну или сведения повышенной секретности.
vGate R2 2.5 полностью соответствует всем необходимым требованиям к
классу защищенности 1Г, так же удовлетворяет требованиям заказчика по
удобству администрирования. Встроенные политики безопасности имеют
конфигурацию
настроек
безопасности
непосредственно
для
класса
защищенности 1Г. Кроме того имеется возможность дополнительно усилить
уровень защищенности, используя другие шаблоны, не противоречащие
14
шаблону настроек безопасности для класса защищенности 1Г. Равноценного
сертифицированного аналога данному продукту не обнаружено.
15
1.4.
АНТИВИРУСНАЯ ЗАЩИТА
Изначально в качестве антивирусной защиты рассматривалось два
сертифицированных ФСТЭК антивирусных решения:
1. Программное изделие «Kaspersky Endpoint Security 8 для Windows»,
сертификат ФСТЭК России №2682 (срок действия с 26.07.2012 по
26.07.2015).
2. Программное изделие «ESET NOD32 Platinum Pack 4.0», сертификат
ФСТЭК России №1914 (срок действия от 22.09.2009 по 22.09.12,
продлен до 22.09.2015 года).
Оба программных изделия могут использоваться при создании АС до
класса защищенности 1Г включительно. Согласно внутреннему документу
«Положение по антивирусной защите организации», предпочтительным
является программное изделие «Kaspersky Endpoint Security 8 для Windows».
Kaspersky Endpoint Security для Windows
- представляет собой
комплексную многоуровневую защиту рабочих станций пользователей и
серверов под управлением Windows от угроз различной направленности.
Полная, проработанная интеграция всех компонентов продукта обеспечивает
бесперебойную и бесконфликтную работу в системе без снижения
производительности серверов и рабочих станций.
Функции программного изделия «Kaspersky Endpoint Security 8 для Windows»:
 Почтовый и файловый антивирус;
 Web - антивирус;
 IM – антивирус;
 Возможность лечения активного заражения;
 Мониторинг состояния системы;
 Проактивная защита;
 Мониторинг активности запущенных приложений;
16
 Сетевой экран;
 Система обнаружения вторжений;
 Контроль подключенных устройств;
 Мониторинг уязвимостей ОС и приложений;
 Полная интеграция с KSN.
Kaspersky Security Center – инструмент управления защитой, позволяющий
удаленно устанавливать решения на рабочие станции и сервера, настраивать
параметры
защиты,
управлять
обновлением
антивирусных
баз
и
программного обеспечения программного изделия «Kaspersky Endpoint
Security 8 для Windows», контролировать статус защиты и реагировать на
события в режиме реального времени. Управление системой эффективно и
удобно в виду наличия инструментов централизованного поиска уязвимостей,
поддержки виртуальных сред и иерархического управления.
Программное изделие «Kaspersky Endpoint Security 8 для Windows»
полностью соответствует
всем
необходимым
требованиям
к
классу
защищенности 1Г, так же удовлетворяет требованиям заказчика по удобству
администрирования.
17
1.5.
СЗИ ДЛЯ КАНАЛОВ СВЯЗИ
В качестве СЗИ для каналов связи рассматривалось два возможных
решения:
1. Программный комплекс «ViPNet CUSTOM 3.1», сертификат ФСТЭК
России №1594/1 (срок действия с 26.05.2010 по 26.05.2013, продлен
до 20 мая 2016г.).
2. АПКШ "Континент-АП" версия 3.6, сертификат ФСТЭК России
№2669 (срок действия с 5.06.12 по 5.06.15).
Сравнительная таблица:
Таблица 1. Сравнительная таблица СЗИ
ViPNet CUSTOM 3.1
Сертификат ФСТЭК
до
АС
класса
Континент-АП 3.6
1В до
АС
класса
1В
включительно
включительно
Стоимость внедрения
~ 300 000,00р.
~ 330 000,00р.
Реализация
программная
программно-аппаратная
Протокол передачи данных
TCP/IP
Собственный,
на
основе
ГОСТ 28147-89
Скорость шифрования
До 100 Мбит/с
До 80 Мбит/с
Поддержка
Да
Да
централизованного
управления
Соединение типа «клиент- Да
Нет
клиент»
Исходя из сравнительной таблицы, можно сделать вывод, что для нашего
проекта более подходит программный комплекс «ViPNet CUSTOM 3.1». Его
18
преимуществами является более высокая скорость шифрования, цена и
возможность защищенного взаимодействия типа «клиент-клиент»
Возможности и преимущества ViPNet CUSTOM 3.1:
 Ориентация на возможность организации защищенного соединения
типа «клиент-клиент», в отличии от большинства VPN-решений от
сторонних производителей, поддерживающих только соединения типа
«сервер-сервер», либо «сервер-клиент». Данная возможность позволяет
реализовать любую необходимую политику разграничения доступа для
всей защищенной сети, кроме того позволяет снизить нагрузку на VPNсервера, так как взаимодействие типа «клиент-клиент» не задействует
VPN–сервер для шифрования трафика клиентов, устанавливающих
связь;
 Ориентация на функционирование в рамках наличия различного
сетевого и программного обеспечения, использующего статическую или
динамическую трансляцию адресов и портов. Это позволяет упростить
интеграцию системы защиты в текущую инфраструктуру сети,
благодаря этому, в большинстве случаев, ручная настройка ПО ViPNet
Client не требуется;
 ViPNet CUSTOM поддерживает разделении фильтрации шифрованного
и открытого траффика, это позволяет даже среди доверенных узлов
ограничить возможность взаимодействий через несанкционированные
порты, использование несанкционированных протоколов, это позволяет
повысить уровень безопасности защищенной сети;
 Возможность получения распределенной системы межсетевых и
персональных сетевых экранов, благодаря тому, что каждый из
компонентов ViPNet CUSTOM содержит собственный сетевой экран и
систему контроля сетевой активности запущенных приложений;
19
 Присутствует развитая система виртуальных адресов, для устранения
возможных конфликтов IP-адресов в реальных локальных сетях,
включенных в единую защищенную сеть. Данная возможность
позволяет скрывать реальную схему сети и упростить настройку
прикладного ПО пользователей. Так же данная возможность является
решением проблемы взаимодействия локальных вычислительных сетей
со смежной IP-адресацией;
 Поддержка межсетевого взаимодействия, позволяющего устанавливать
защищенные каналы связи между неограниченным числом защищенных
сетей, созданных на базе ViPNet CUSTOM;
 ViPNet
CUSTOM
использующих
предоставляет
IP-телефонию,
возможность
функции
аудио
защиты
сетей,
видео
связи.
и
Поддерживаются протоколы H.323, Skinny, SIP;
 ПО ViPNet Coordinator может функционировать на различных
многопроцессорных и многоядерных серверных платформах, что
позволяет обеспечить высокую производительность шифрования
трафика;
 ViPNet
CUSTOM
предоставляет
возможность
использования
дополнительных функций для защищенного обмена информацией,
службы чата и конференций, собственная почтовая служба с функцией
автоматизации обмена файлов, сообщений и поддержкой электронной
цифровой подписи;
 Использование механизмов аварийной перезагрузки, защиты от
вторжений при загрузке операционной системы;
 ViPNet CUSTOM представляет собой гибкое и самодостаточное
решение,
для
его
специализированное
внедрения
аппаратное
нет
необходимости
обеспечение,
приобретать
функционирование
20
ViPNet
CUSTOM
возможно
на
мощностях
заказчика.
При
необходимости имеется возможность приобретения дополнительного
количества лицензий на любые компоненты ViPNet CUSTOM.
Программный комплекс «ViPNet CUSTOM 3.1» полностью соответствует
всем необходимым требованиям к классу защищенности 1Г, так же
удовлетворяет требованиям заказчика по удобству администрирования.
21
1.6.
Для
анализа
СКАНЕР БЕЗОПАСНОСТИ
защищенности
полученной
инфраструктуры
был
использован сканер безопасности «XSpider 7.8», Сертификат ФСТЭК России
№2530 (срок действия с 26.12.2011 по 26.12.2014).
Основные возможности:
 Данное СЗИ, работает под управлением ОС Windows и проверяет на
предмет наличия уязвимостей узлы, вне зависимости от их аппаратной
или программной платформы;
 XSpider позволяет анализировать защищенность серверов, хостов,
приложений на разном уровне, от системного - до прикладного.
Проводит анализ и идентификацию сервисов по всему диапазону
портов;
 Имеется возможность определения типов, имен серверов различных
типов, вне зависимости от ответа данных серверов, на стандартные
запросы;
 Кроссплатформенная
идентификация,
обработка
поиск
RPC-сервисов,
уязвимостей
и
детальное
их
полная
определение
конфигурации хоста;
 Оптимизированный
подбор
паролей
на
сервисы,
требующие
аутентификации, что позволяет определить пароли низкой степени
устойчивости;
 Имитация стандартных и нестандартных проверок на устойчивость к
DoS атакам;
 Осуществление поиска и анализа директорий, имеющих доступ для
просмотра, записи, чтения, редактирования, это позволяет определить
слабые места в конфигурации;
 Шаблон проверок системы на «отказ в обслуживании», берущий за
основу предыдущий опыт атак и различных хакерских методов;
22
 Постоянное обновление баз возможных уязвимостей и технологий их
проверок;
 Автоматизация работы, путем использования планировщика заданий;
 Одновременная работа с большим количеством хостов, их количество
как правило, ограниченно пропускной способностью сетевого канала;
 Хранение истории проверок, формирование отчетов с различными
параметрами.
Данный
сканер
безопасности
позволяет
автоматизировать
работу
специалиста по защите информации или лица ответственного за плановое
проведение
проверок
защищенности
сетевой
инфраструктуры
автоматизированной систем. На текущем рынке так же имеется другой сетевой
сканер «Ревизор сети 2.0», сертификат ФСТЭК №1455 до 05 сентября 2013 г.
Сетевой сканер «Ревизор сети 2.0» имеет характеристики, почти
аналогичные характеристикам сканера безопасности «XSpider 7.8», но в
отличии от него лицензия приобретается ежегодно и отсутствует возможность
автоматизации
работы,
путем
создания
заданий
на
проверку
автоматизированной систем. Цена на данные продукты сопоставима.
Из анализа полученной информации, для сканирования сети был выбран
сканер безопасности «XSpider 7.8».
23
2. ПРАКТИЧЕСКАЯ ЧАСТЬ
2.1.
АНАЛИЗ ИЗНАЧАЛЬНОЙ ИНФРАСТРУКТУРЫ ОБЪЕКТА
Изначально АС представляла собой разрозненный набор виртуальных
серверов, где виртуальные машины находились под управлением различных
vCenter, что являлась фактором, затрудняющим администрирование, кроме
того, данные сервера находились в разных подсетях.
Защита рабочих станций пользователей ограничивалась использование
групповых политик безопасности Active Directory и использованием
несертифицированного антивируса.
Каналы передачи данных не были защищены, что представляло собой
достаточно большую угрозу для заказчика, даже несмотря на то, что
передаваемые данные были зашифрованы посредствам ПО, разработанного
посредствам заказчика.
Парольные политики и разграничение полномочий пользователей были
соблюдены корректно.
24
2.2.
АНАЛИЗ ВНУТРЕННИХ ДОКУМЕНТОВ ПО
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Был проведен полный анализ внутренних документов по информационной
безопасности.
Далее представлена таблица с перечнем внутренних документов, с
пометками о соответствии данных документов требованиям законодательства
РФ в области информационной безопасности и актуальной инфраструктуре
полученной после внедрения СЗИ.
Пометки:
 Соответствует – документ в актуальном состоянии, полностью
соответствует
требованиям
информационной
законодательства
безопасности,
РФ
соответствует
в
области
полученной
защищенной инфраструктуре;
 Требует доработки – документ не в актуальном состоянии, полностью
или частично не соответствует требование законодательства РФ в
области информационной безопасности и полученной защищенной
инфраструктуре.
Таблица 2. Перечень и состояние ОРД.
Документ
Концепция обеспечения информационной безопасности
организации
Положение об информационной безопасности организации
Положение по защите конфиденциальной информации
организации
Методология оценки рисков информационной
безопасности
Положение о защите информационных ресурсов
организации от несанкционированного доступа
Положение о межсетевых экранах в организации
Положение по обеспечению безопасности удаленного
доступа к корпоративной сети организации
Положение о службе каталога active directory в
организации
Пометка
Требует доработки
Соответствует
Соответствует
Требует доработки
Соответствует
Требует доработки
Требует доработки
Соответствует
25
Положение о корпоративной почтовой (информационной)
системе организации
Положение по обеспечению информационной
безопасности организации при взаимодействии с сетью
интернет
Положение по антивирусной защите организации
Положение об установке обновлений программного
обеспечения в организации
Положение по управлению паролями в организации
Положение об управлении доступом к ресурсам
корпоративной сети в организации
Положение о программном обеспечении в организации
Положение о порядке предоставления доступа в
автоматизированные банковские системы организации
Положение о резервном копировании и восстановлении
данных организации
Положение об использовании средств криптографической
защиты в организации
Положение по обеспечению информационной
безопасности при работе пользователей в корпоративной
сети организации
Положение о порядке обработки персональных данных в
организации
Положение о порядке обработки и хранения данных
платежных карт в дополнительном офисе организации
Положение и порядке предоставления доступа в
автоматизированные системы организации
Регламент управления сетевой и системной
инфраструктурой дополнительного офиса организации
Регламент разработки, ввода в эксплуатацию и
модификации программного обеспечения выполняемого
специалистами управления автоматизации офиса
организации
Регламент резервного копирования информационных
систем дополнительного офиса организации
Регламент администрирования средств антивирусной
защиты в организации
Регламент предоставления прав доступа к процессинговым
системам дополнительного офиса организации
Регламент использования мобильных устройств в
организации
Регламент работы с цифровыми носителями
конфиденциальной информации в организации
Стандарт по настройке средств логирования событий в
информационных системах организации
Стандарт на антивирусное программное обеспечение
организации
Соответствует
Соответствует
Требует доработки
Соответствует
Соответствует
Соответствует
Требует доработки
Соответствует
Соответствует
Требует доработки
Соответствует
Требует доработки
Соответствует
Требует доработки
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
26
Стандарт назначения имен объектов в информационновычислительных системах организации
Стандарт конфигурирования маршрутизаторов и
коммутаторов организации
Стандарт настройки межсетевых экранов
Стандарт настройки систем обнаружения/предотвращения
вторжений (ids/ips)
Стандарт по настройкам безопасности для adsl-модема с
интегрированным маршрутизатором
Стандарт настройки модулей hsm в организации
Стандарт настройки сервера freebsd
Стандарт настройки сервера linux
Стандарт настройки сервера windows server 2003(2008)
Стандарт настроек рабочих станций на базе ос windows 7
Стандарт настроек рабочих станций на базе ос windows xp
Стандарт настройки сервера бд microsoft sql server
Стандарт настройки сервера бд oracle
Процедура планирования и реализации превентивных и
корректирующих мер по обеспечению информационной
безопасности в организации
Процедура выполнения записи(съема) информации на
внешние носители сотрудниками сторонних организаций,
проверяющих деятельность организации
Аварийные процедуры по предотвращению и ликвидации
последствий крупномасштабных аварий в организации
Процедура мониторинга событий безопасности журналов
аудита информационных систем организации
Процедура идентификации новых уязвимостей в
организации
Процедура сканирования корпоративной сети в
организации
Процедура восстановления сервера бд
Процедуры восстановления серверов
Процедуры восстановления серверов отдела технической
поддержки организации
Процедуры восстановления модулей hsm организации
Процедура внутреннего сканирования сети организации
(приложение 4 к регламенту управления сетевой
инфраструктурой организации)
Процедура внесения изменений в настройки межсетевых
экранов и списков доступа (приложение 6 к регламенту
управления сетевой инфраструктурой организации)
Процедура подключения внешних организаций к ресурсам
организации (приложение 7 к регламенту управления
сетевой инфраструктурой организации)
Соответствует
Соответствует
Требует доработки
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
27
Процедура копирования процессинговых серверов
(приложение №1 к регламенту резервного копирования
информационных систем дополнительного офиса
организации)
Процедура по хранению и обращению резервных копий
информационных систем организации (приложение №2 к
регламенту резервного копирования информационных
систем дополнительного офиса организации)
Порядок учета и хранения носителей информации в
организации
Инструкция действий пользователя по защите от
компьютерных вирусов
Инструкция по организации пропускного и
внутриобъектового режима в головном офисе организации
Инструкция по организации пропускного и
внутриобъектового режима в здании дополнительного
офиса организации
Инструкция по обнаружению и идентификацию
беспроводных точек
Инструкция по настройке, генерации, хранению и передаче
ssl-сертификатов для шифрации трафика pos-терминалов
План обеспечения непрерывности и восстановления
деятельности информационных систем организации
План обучения сотрудников организации информационной
безопасности на 2012 год
План реагирования на инциденты, связанные с
компрометацией клиентской базы данных организации
План снижения рисков для системы «мобильный банк»
Отчеты по результатам проверки сканирования сети банка
Результаты внешнего сканирования сети банка asv
вендором
Отчет по проверке подлежащих уничтожению данных
платежных карт организации
Отчет по проверке паролей административных учетных
записей организации
Отчет по проверке предоставленных прав доступа к
ресурсам сети организации
Отчет о проверке применения компенсационных мер к
хранению данных держателей карт
Отчет о тестировании на проникновение
Отчеты о проведении тестирования по реагированию на
инциденты информационной безопасности
Отчеты по результатам проверки сканирования wifi сетей
Реестр документов по стандартам безопасности данных,
разработанным платежными ассоциациями (pci dss).
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
28
Реестр подлежащих уничтожению данных платежных карт
организации
Реестр используемых сетевых протоколов/портов,
необходимых для функционирования бизнес-процессов
организации (приложение 5 к регламенту управления
сетевой инфраструктурой организации организации)
Реестр административных учетных записей организации
(приложение 8 к регламенту управления сетевой
инфраструктурой организации организации)
Реестр информационных активов
Перечень сведений, составляющих конфиденциальную
информацию организации
Перечень угроз и уязвимостей
Перечень компенсационных мер для ресурсов, содержащих
данные карт
Список разрешённого к использованию программного
обеспечения в организации
Списки реагирования на чрезвычайные события
Veritas netbackup. Security and encryption guide
Акты необходимости пересмотра документов
информационной безопасности организации
Вопросы для проведения тестирования по вопросам
информационной безопасности
Инвентаризация ресурсов организации
Карточки серверов
Модель нарушителя организации
Модель угроз безопасности данных платежных карт при их
обработке в информационных системах организации
Построение модели угроз и нарушителя
Приказ о вводе в действие нормативных актов
информационной безопасности организации
Приложение 1 к регламенту управления сетевой
инфраструктурой организации
Приложение 2 к регламенту управления сетевой
инфраструктурой организации распределение обязанностей
по управлению сетевой инфраструктурой
Программа тестирования плана обеспечения
непрерывности бизнеса
Протокол тестирования плана обеспечения непрерывности
бизнеса
Распоряжение о доступе в серверные, щитовые
Распоряжение о назначении ответственных за организацию
резервного копирования информационных ресурсов
организации
Распоряжения в рамках проведения обучения сотрудников
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Требует доработки
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
29
Распределение обязанностей по управлению системной
инфраструктурой организации (приложение 9 к регламенту
управления сетевой инфраструктурой организации
организации)
Риск воздействия на данные платежных карт (на ресурс)
Риск воздействия на локальный компьютер пользователя
Риск воздействия на почтовую систему
Служебная записка о результатах сканирования
Схема сети организации (приложение 3 к регламенту
управления сетевой инфраструктурой организации
организации)
Техническая документация система резервного
копирования данных veritasnetbackup 6.5
Технологическая схема выгрузки отчетов с данными
аудита из процессинговых систем на сервер сбора
информации департамента экономической безопасности
Требования нормативных актов по информационной
безопасности организации
Форма заявки на предоставление доступа для сервисов
организации (приложение 11 к регламенту управления
сетевой инфраструктурой организации организации)
Форма плана внесения изменений в сеть организации
(приложение 10 к регламенту управления сетевой
инфраструктурой организации организации)
Шаблон соглашения о конфиденциальности, заключаемого
с подрядчиками
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Требует доработки
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Соответствует
Доработка отмеченных документов проводилась непосредственно при
активном участии отдела безопасности заказчика, после продолжительной
работы, несоответствия были устранены.
30
2.3.
ОПРЕДЕЛЕНИЕ КЛАССА АВТОМАТИЗИРОВАННОЙ
СИСТЕМЫ
Совместно с заказчиком были произведены работы по определению класса
АС,
классификация
автоматизированной
системы
необходима
для
корректного определения необходимых мер, для достижения необходимого
уровня защиты информации.
Были выявлены основные признаки АС, необходимые для проведения
классификации и проведено их сравнение с классифицируемыми.
Кроме того, был проведен анализ следующих данных:
 Перечень защищаемых информационных ресурсов АС;
 Уровень конфиденциальности информационных ресурсов АС;
 Перечень лиц, имеющих доступ к основным средствам АС;
 Уровень полномочий лиц, имеющих доступ к основным средствам АС;
 Режим обработки конфиденциальных данных в АС.
По результатам данного анализа составлена матрица доступа субъектов
доступа к защищаемым ресурсам АС:
Таблица 3. Матрица доступа.
Наименование
информационных
ресурсов,
используемых в
автоматизированно
й системе
(логические диски,
каталоги,
программы,
устройства и т.п.)
HDD, С:\ДСП
Пользователи
АС «Обработки конфиденциальной информации»
Тип
доступа
Администрат
ор
Пользователи
системы «1»
Пользователи
системы «2»
Пользователи
системы «3»
Чтение
да
да
да
да
Запись
да
да
да
да
31
Прикладное и
общесистемное
программное
обеспечение
DVD-RW
ОС Windows
СЗИ «Secret Net 6»
(версия 6.5,
сетевой)
ПК «ViPNet
CUSTOM 3.1»
Выполне
ние
да
да
да
да
Чтение
да
да
да
да
Запись
да
да
да
да
Выполне
ние
да
да
да
да
Чтение
да
да
да
да
Запись
да
да
да
да
Выполне
ние
да
да
да
да
Полный
доступ
да
да
да
да
Полный
доступ
да
нет
нет
нет
Частичны
й доступ
нет
да
да
да
Доступ к
«ViPNet
Administr
ator»
да
нет
нет
нет
Доступ к
«ViPNet
Client»
нет
да
да
да
АС была классифицирована, как многопользовательская АС, а которой
одновременно происходит обработка и хранение информации различных
уровней конфиденциальности и не все пользователи имеют право доступа ко
всей информации АС.
Создан документ «Акт классификации автоматизированной системы,
предназначенной для обработки конфиденциальной информации», согласован
и утвержден комиссией по классификации АС. Учитывая условия её
эксплуатации, характер обрабатываемой информации и в соответствии с
32
руководящими документами Гостехкомиссии России «Автоматизированные
системы. Защита от несанкционированного
доступа
к информации.
Классификация автоматизированных систем и требования по защите
информации» и «Специальные требования и рекомендации по технической
защите конфиденциальной информации (СТР-К)», автоматизированной
системе присвоен класс защищенности – 1Г.
33
2.4.
ОБУЧЕНИЕ СОТРУДНИКОВ РАБОТЕ С СЗИ
В ходе установки и настройки СЗИ, присутствовали ответственные
сотрудники заказчика. Ввиду того, что у заказчика в штате имеются
специалисты по защите информации и они уже производили работы со всеми
СЗИ, кроме vGate, особое внимание уделялось обучению персонала по работе
с данным СЗИ.
Сотрудник заказчика присутствовал на всех этапах установки и настройки
СЗИ, принимал участие в решении проблем возникавших в ходе внедрения
СЗИ vGate.
По завершению работ, заказчику была предоставлена проектная
документация, описывающая полученную инфраструктуру с перечнем
проведенных работ, описанием основных моментов при работе с СЗИ vGate и
инструкциями, предусматривающими действия в критических ситуациях.
Представляю выдержки из проектной документации относящиеся к
действиям администраторов в критических ситуациях:
Замена основного сервера авторизации при сбое
Инструкция по введению в эксплуатацию РСА, при сбое основного СА:
1. Отключите питание на основном СА.
2. В консоли управления на РСА выберите функцию “Конфигурация”. В
области параметров нажмите кнопку “Назначить основным”.
3. В DNS откройте настройки псевдонима. Измените ссылку с полного
доменного имени (FQDN) основного сервера авторизации на полное
доменное имя резервного сервера авторизации.
Смена ролей серверов авторизации
Инструкция по введению в эксплуатацию РСА, при работоспособном
основном СА:
34
1. На основном сервере в разделе “Конфигурация” нажмите кнопку
“Назначить резервным”.
2. На резервном сервере в разделе “Конфигурация” нажмите кнопку
“Назначить основным”.
3. В DNS измените настройки псевдонима, настройте ссылку на полное
доменное имя нового сервера.
Во избежание проблем со сменой ролей серверов авторизации,
выполняйте инструкцию последовательно, не нарушая порядок пунктов.
Проблемы возникающие при смене ролей серверов авторизации и
методы их решения
1. Если
после
смены
ролей
серверов
авторизации
не
удается
авторизоваться в агенте vGate, перезагрузите операционную систему.
2. Если после смены ролей серверов авторизации не удается подключиться
к защищаемым серверам с помощью VMware vSphere Client,
перезагрузите операционную систему и авторизуйтесь в агенте
авторизации vGate.
3. При отсутствии удаленного доступа к виртуальным машинам, для
включения отключения серверов предлагается использовать консоль
ESXi:
 Получение списка виртуальных машин.
o Vim-cmd vmsvc/getallvms | grep <vm name>
 Проверка состояния виртуальной машины.
o Vim-cmd vmsvc/power.getstate <vmid>
 Включение виртуальной машины
o Vim-cmd vmsvc/power.on <vmid>
 Выключение виртуальной машины
o Vim-cmd vmsvc/power.off <vmid>
35
Удаление компонента защиты ESXi-серверов
1. На ESX-сервере откройте сервисную консоль и выполните команду
для вывода на экран номера версии агента vGate:
• Для ESX/ESXi Server версии 4.1 и ниже:
esxupdate query | grep SC-VGATE-AGENT
• Для ESXi Server 5.0 или 5.1:
esxcli software vib list | grep sc-vgate-agent
2. Выполните команду для удаления модулей защиты:
• Для ESX/ESXi Server версии 4.1 и ниже:
esxupdate -b SC-VGATE-AGENT_2.5.156.0 remove
• Для ESXi Server 5.0 или 5.1:
esxcli software vib remove –n sc-vgate-agent
Работа с журналом событий
В СЗИ имеется возможность производить аудит событий безопасности,
данные события регистрируются на всех ESXi-серверах, на которые был
установлен компонент защиты СЗИ, далее эти данные пересылаются на СА
для централизованного хранения. Просмотр журнала доступен через консоль
управления СЗИ.
Полная информация по настройке и просмотру событий безопасности
предоставлена в документации к дистрибутиву.
Имеется возможность автоматической подготовки отчетов различного
вида, данные для отчета предоставлены в документации к дистрибутиву.
36
Представляю выдержки из проектной документации относящиеся к
действиям главного администратора при создании администраторов АВИ и
АИБ:
Регистрация пользователей
Управление учетными записями может производиться только при
помощи
учетной
записи
главного
администратора
информационной
безопасности, которая создается при установке СА СЗИ.
Главный АИБ может зарегистрировать пользователей двух типов—
администратор
виртуальной
инфраструктуры
и
администратор
информационной безопасности.
Если управлением СЗИ занимаются несколько АИБ, то для каждого АИБ
следует настроить дополнительные учетные записи.
Возможные разрешения при создании учетных записей
администраторов:
Учетная запись VMware
По умолчанию поле пустое. Это означает, что в среду VMware vSphere
4, VMware vSphere 4.1, VMware vSphere 5 и VMware vSphere 5.1 данный
пользователь может входить под любой учетной записью. Для контроля
доступа пользователя к среде VMware эту учетную запись следует указать в
данном поле. После этого данный пользователь vGate сможет войти в среду
VMware только под указанной учетной записью.
Параметр полезен для настройки ограничения полномочий АИБ при
работе с виртуальной инфраструктурой. Для полноценного разделения
административных функций полномочия АИБ должны быть ограничены
только возможностью просмотра параметров. Таким образом, поле дает
37
возможность сопоставить для АИБ учетную запись в среде VMware с
ограниченными полномочиями
Администратор информационной безопасности
Отметьте это поле, если создается учетная запись АИБ
Срок действия пароля неограничен
Отметьте это поле для настройки неограниченного срока действия
пароля.
Если поле не отмечено, то по истечении заданного в политиках срока
действия пароля пользователю будет предложено сменить пароль
Отключить учетную запись
Отметьте это поле для временного отключения созданной записи.
Если учетная запись отключена, то вход под ней в систему невозможен
Сменить пароль при следующем входе в систему
По умолчанию это поле отмечено. Это означает, что при первом входе в
систему пользователю будет предложено сменить пароль
Разрешено скачивать файлы виртуальных машин
Отметьте это поле для настройки полномочий пользователя на
скачивание vmdk-файлов виртуальных машин.
Параметр следует настраивать только при создании учетной записи
пользователя (АВИ)
Разрешено создавать назначенные задания
Отметьте это поле для настройки полномочий пользователя на создание
назначенных заданий.
38
Параметр следует настраивать только при создании учетной записи
пользователя (АВИ).
Полная информация по работе с пользователями представлен в
документации к дистрибутиву СЗИ.
По окончанию работ была проведена устная беседа с лицами
ответственными
за
функционирование
построенной
защищенной
инфраструктуры, уровень их подготовки полностью позволяет производить
администрирование СЗИ в случае необходимости.
39
2.5.
УСТАНОВКА И НАСТРОЙКА ВЫБРАННЫХ СЗИ
Установка и настройка выбранных СЗИ проводилась при поддержке
специалистов заказчика и технической поддержки разработчиков СЗИ.
В рамках повышения квалификации мной был пройден курс
«Развертывание и администрирование СЗИ vGate». По результатам обучения
получен сертификат № V000000012 от 01.04.2013г. (Приложение А).
Конечный перечень установленного ПО:
1. «Secret Net 6»
 Сервер безопасности Secret Net 6;
 Secret Net 6 «Клиент».
2. «vGate R2»
 Сервер авторизации vGate;
 Резервный сервер авторизации vGate;
 Компонент защиты vCenter;
 Компонент защиты ESXi;
 Консоль управления АВИ;
 Консоль управления АИБ;
 Агент аутентификации.
3. «ViPNet»
 ViPNet Administrator;
 ViPNet Coordinator (Windows);
 ViPNet Client.
4. «Kaspersky»
40
 Kaspersky Endpoint Security 8 для Windows.
Рассмотрим типовое рабочее места пользователя с установленными СЗИ
и перечнем настроек выполненных для СЗИ:
1. Агент аутентификации vGate:
Устанавливается в том случае, если пользователь планирует получение
доступа к защищенным серверам посредствам удаленного доступа, если он
использует программное обеспечение для соединения типа «клиент-сервер»,
данное ПО для него не устанавливается.
2. Secret Net 6 «Клиент»:
Настроен для усиленной аутентификации пользователей, контроля
подключаемых носителей, контроля документов отправленных на печать,
контроля доступа пользователя к конфиденциальной информации. Настройки
данного СЗИ недоступны для пользователя.
3. ViPNet Client.
Настроен
для
создания
защищенного
канала
передачи
конфиденциальной информации.
4. Kaspersky Endpoint Security 8 для Windows.
Антивирусная защита, настроена для обновления и проверки рабочего
места по расписанию.
Рассмотрим компоненты СЗИ vGate на настройки безопасности:
1. Сервер авторизации vGate:
Сервер авторизации vGate был установлен на виртуальный сервер под
управлением ОС Microsoft Windows 2008 R2, данный сервер имеет два
виртуальных сетевых интерфейса, один сетевой интерфейс подключен к сети
41
администрирования инфраструктуры, второй сетевой интерфейс подключен к
сети внешнего периметра администрирования.
Настроен на выполнение следующих действий:
 Централизованное управление СЗИ vGate;
 Аутентификация пользователей и компьютеров;
 Разграничение доступа к средствам управления виртуальной
инфраструктурой;
 Регистрация событий безопасности;
 Хранение данных (учетной информации, журналов учета и
конфигурации СЗИ vGate);
 Репликация данных.
2. Резервный сервер авторизации vGate:
Резервный сервер авторизации vGate был установлен на виртуальный
сервер под управлением ОС Microsoft Windows 2008 R2, данный сервер имеет
два виртуальных сетевых интерфейса, один сетевой интерфейс подключен к
сети администрирования инфраструктуры, второй сетевой интерфейс
подключен к сети внешнего периметра администрирования.
Настроен на выполнение следующих действий:
 Репликация данных;
 Хранение настроек и списка пользователей;
 Возможность замены основного сервера при сбое;
3. Компонент защиты vCenter:
Компонент защиты vCenter был установлен на виртуальный сервер под
управлением ОС Microsoft Windows 2008 R2, данный сервер имеет один
42
виртуальный сетевой интерфейс подключений к сети администрирования
инфраструктуры. Данный компонент служит для установки агентов на ESXiсервера, защиты от НСД внутри сети администрирования инфраструктуры,
контроля сетевого трафика на vCenter.
4. Компонент защиты ESXi:
Компонент защиты ESXi был установлен на блэйд-сервер под
управлением EXSi 5.1, данный блэйд-сервер имеет два сетевых интерфейса,
один
сетевой
интерфейс
подключен
к
сети
администрирования
инфраструктуры, второй сетевой интерфейс подключен к сети внешнего
периметра администрирования.
Настроен на выполнение следующих действий:
 Контроль целостности и выполнение доверенной загрузки ВМ;
 Контроль целостности модулей и настроек;
 Регистрация событий безопасности;
 Контроль монтирования устройств;
 Обеспечение доверенной программной среды.
5. Метки безопасности:
Соответствующие метки безопасности были назначены:
 ESXi – серверам;
 Хранилищам виртуальных машин;
 Виртуальным машинам;
 Физическим сетевым интерфейсам.
Пользователи и администраторы согласно разрешенному уровню
доступа имеют или не имеют доступ к данным объектам.
43
Примерная схема полученной инфраструктуры представлена на Рис. 1.
Рисунок 1. Схема полученной инфраструктуры.
44
Настройки СЗИ были выполнены в соответствии с требованиями к
классу защищенности 1Г. Полная детализация настроек не приведена по
требованиям заказчика.
45
2.6.
АНАЛИЗ ЗАЩИЩЕННОСТИ ПОЛУЧЕННОЙ
ИНФРАСТРУКТУРЫ
Для анализа защищенности полученной инфраструктуры использовался
сканер безопасности «XSpider 7.8».
При сканировании, была получена следующая информация:
1. Список
открытых
соответствует
портов
правилам
на
сканируемом
доступа,
созданных
оборудовании
для
данного
оборудования.
2. На некоторых хостах обнаружена уязвимость в виде неочищаемой
виртуальной
памяти.
использоваться
Для
файл,
виртуальной
который
памяти
может
может
содержать
конфиденциальную информацию.
3. На одном из хостов удалось получить существенную информацию
для
возможного
злоумышленника,
был
получен
список
запущенных сервисов:
 AcrSch2Svc (Acronis Scheduler2 Service);
 AeLookupSvc (Информация о совместимости приложений);
 afcdpsrv (Служба Acronis Nonstop Backup);
 AudioEndpointBuilder
(Средство
построения
конечных
Windows Audio);
 AudioSrv (Windows Audio);
 BFE (Служба базовой фильтрации);
 BITS (Фоновая интеллектуальная служба передачи (BITS));
 BROWSER (Браузер компьютеров);
 cpcsp1 (КриптоПро CSP KC1);
точек
46
 CryptSvc (Службы криптографии);
 CxAudMsg (Conexant Audio Message Service);
 DcomLaunch (Модуль запуска процессов DCOM-сервера);
 Dhcp (DHCP-клиент);
 Dnscache (DNS-клиент);
 DPS (Служба политики диагностики);
 DsiWMIService (Dritek WMI Service);
 EapHost (Расширяемый протокол проверки подлинности (EAP));
 eventlog (Журнал событий Windows);
 EventSystem (Система событий COM+);
 fdPHost (Хост поставщика функции обнаружения);
 FontCache (Служба кэша шрифтов Windows);
 gpsvc (Клиент групповой политики);
 hidserv (Доступ к HID-устройствам);
 IAStorDataMgrSvc (Intel(R) Rapid Storage Technology);
 IconMan_R (IconMan_R);
 IKEEXT (Модули ключей IPsec для обмена ключами в Интернете и
протокола IP с проверкой подлинности);
 iphlpsvc (Вспомогательная служба IP);
 KeyIso (Изоляция ключей CNG);
 Live Updater Service (Live Updater Service);
 lmhosts (Модуль поддержки NetBIOS через TCP/IP);
47
 MMCSS (Планировщик классов мультимедиа);
 MpsSvc (Брандмауэр Windows);
 MsDtsServer100 (Службы SQL Server Integration Services 10.0);
 MSSQLServerOLAPService (Службы SQL Server Analysis Services
(MSSQLSERVER));
 ndsvc (NetDrive Service);
 NETLOGON (Сетевой вход в систему);
 Netman (Сетевые подключения);
 netprofm (Служба списка сетей);
 NlaSvc (Служба сведений о подключенных сетях);
 nsi (Служба интерфейса сохранения сети);
 nvsvc (NVIDIA Display Driver Service);
 nvUpdatusService (NVIDIA Update Service Daemon);
 PcaSvc (Служба помощника по совместимости программ);
 PlugPlay (Plug-and-Play);
 PolicyAgent (Агент политики IPsec);
 Power (Питание);
 ProfSvc (Служба профилей пользователей);
 ProtectedStorage (Защищенное хранилище);
 ReportServer
(Службы
SQL
Server
Reporting
(MSSQLSERVER));
 RpcEptMapper (Сопоставитель конечных точек RPC);
Services
48
 RpcSs (Удаленный вызов процедур (RPC));
 SamSs (Диспетчер учетных записей безопасности);
 SCardSvr (Смарт-карта);
 Schedule (Планировщик заданий);
 seclogon (Вторичный вход в систему);
 SENS (Служба уведомления о системных событиях);
 ShellHWDetection (Определение оборудования оболочки);
 SPOOLER (Диспетчер печати);
 SQLWriter (Модуль сервера SQL Server для записи VSS);
 SSDPSRV (Обнаружение SSDP);
 stisvc (Служба загрузки изображений Windows (WIA));
 SysMain (Superfetch);
 TrkWks (Клиент отслеживания изменившихся связей);
 UxSms (Диспетчер сеансов диспетчера окон рабочего стола);
 VMAuthdService (VMware Authorization Service);
 VMnetDHCP (VMware DHCP Service);
 VMUSBArbService (VMware USB Arbitration Service);
 W32Time (Служба времени Windows);
 wcncsvc (Немедленные подключения Windows - регистратор
настройки);
 WdiServiceHost (Узел службы диагностики);
 Web Assistant Updater (Web Assistant Updater);
49
 WinDefend (Защитник Windows);
 WinHttpAutoProxySvc (Служба автоматического обнаружения вебпрокси WinHTTP);
 Winmgmt (Инструментарий управления Windows);
 Wlansvc (Служба автонастройки WLAN);
 WMPNetworkSvc (Служба общих сетевых ресурсов проигрывателя
Windows Media);
 wscsvc (Центр обеспечения безопасности);
 WSearch (Windows Search);
 wuauserv (Центр обновления Windows);
 wudfsvc (Windows Driver Foundation - User-mode Driver Framework);
 и др.
После сканирования найденные уязвимости были устранены. Кроме
того, вручную были выполнены следующие неудачные попытки нарушения
безопасности:
 Использование
незарегистрированных
съемных
носителей
информации;
 Несанкционированное
повышение
полномочий
пользователя
Windows;
 Несанкционированный доступ к настройкам СЗИ;
 Несанкционированный доступ к виртуальной машине, имеющий
уровень
конфиденциальности,
внутреннего нарушителя;
выше
чем
уровень
доступа
50
 Несанкционированный доступ из внешней сети в защищенный
периметр;
 Несанкционированное отключение СЗИ;
 Несанкционированная попытка копирования виртуальной машины
АВИ;
 Несанкционированная попытка удаления виртуальной машины АВИ;
 Попытка подбора пароля других пользователей;
 Несанкционированная
попытка
непосредственно с блэйд-сервера.
входа
на
ESXi-сервер,
51
ЗАКЛЮЧЕНИЕ
Был проведен анализ инфраструктуры объекта, анализ внутренних
документов по информационной безопасности, в результате чего определен
необходимый класс защищенности объекта.
После выбора необходимых СЗИ, была произведена установка и
настройка СЗИ в соответствии с классом защищенности 1Г, составлена и
передана проектная документация для отдела безопасности заказчика.
Полученная инфраструктура выдержала проверку на уязвимости и
пригодна для эксплуатации в соответствии с требованиями законодательства.
Централизованное управление всеми СЗИ, является несомненным
преимуществом для администраторов информационной безопасности.
По результатам проделанной работы, компанией ООО «КБ-Информ»,
заказчику был выдан Аттестат соответствия на АС, на срок в три года.
52
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Руководящий документ "Автоматизированные системы. Защита от
несанкционированного
доступа
к
информации.
Классификация
автоматизированных систем и требований по защите информации.
Государственная техническая комиссия при Президенте Российской
Федерации
(Гостехкомиссия
России).
Утвержден
решением
председателя Государственной технической комиссии при Президенте
Российской Федерации от 30 марта 1992 г., М.: 1992.
2. "Специальные требования и рекомендации по технической защите
конфиденциальной информации (СТР-К)", М.: 2001.
3. «СЗИ
vGate
R2
Руководство
администратора»
//
ООО
«Код
Безопасности», 2011.
4. «ViPNet Coordinator 3.1 Руководство администратора» // ОАО
«ИнфоТеКС», 2012.
5. «СЗИ Secret Net 6.5 Руководство администратора» // ООО «Код
Безопасности», 2012.
6. «АПКШ Континент Руководство администратора» // ООО «Код
Безопасности», 2012.
7. «Kaspersky
Endpoint
Security
8
для
Windows
Руководство
администратора» // ЗАО «Лаборатория Касперского», 2011.
8. «СЗИ ОТ НСД Dallas Lock 7.7. Руководство по эксплуатации.» // ООО
"Конфидент" 2010.
9. Государственный реестр сертифицированных средств защиты
информации Системы сертификации средств защиты информации по
требованиям безопасности информации № РОСС RU.0001.01БИ00
53
10.Щеглов,
А.Ю.
Выбор
СЗИ
от
НСД.
«Information
Security/Информационная безопасность»: Журнал. [Электронная версия
журнала] Режим доступа http://www.itsec.ru/articles2/Inf_security/szichoice – Загл. с экрана.
54
ПРИЛОЖЕНИЕ А
Скачать