Горизонтальная модель сети

В соответствии с данным классом защищенности, необходимо обеспечить доступность и целостность всех информационных ресурсов и поддерживающей инфраструктуры. Для этого необходимо предусмотреть надежную защиту всех типов ресурсов предприятия от максимально возможного количества потенциальных угроз, которые могут стать причиной нарушения требований, предъявляемых к системам класса защищенности 1Г.

Таким образом, в соответствии с требованиями класса 1Г определим перечень потенциальных угроз и способы защиты от них.

1) Подсистема управления доступом

Требования:

a) Идентификация, проверка подлинности и контроль доступа субъектов:

­ в систему;

­ к терминалам ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;

­ к программам (процессам);

­ к томам, каталогам, файлам, записям, полям записей.

Угрозы:

Несанкционированный доступ (НСД) в систему:

­ Использование идентификации/аутентификации – ввод имени и пароля для получения доступа в систему (в данном случае в качестве средства аутентификации сетевых пользователей в домене Active Directory на компьютерах с операционной системой Windows Server 2003 используется протокол Kerberos 5).

­ Блокировка рабочего стола при отсутствии пользователя (если компьютер включен, но при этом пользователь отсутствует, необходимо перевести компьютер в режим ожидания, т.е. включить хранитель экрана (screen-saver) c опцией ввода пароля при выходе из этого режима).

­ Пароли на BIOS.

­ Физическая защита помещения с целью предотвращения присутствия в нем посторонних лиц (проверка пропусков на вахте корпуса, доступ в помещение только определенных лиц).

­ Для администрирования необходимо иметь отдельную учетную запись.

­ Политика разграничения прав доступа, а именно при вводе нового субъекта, перемещении или увольнении, а также при временном замещении одного субъекта другим (ОРМ).

­ Повышение требований на использование паролей (ОРМ).

­ Удаление из конфигурации системного блока пользователей дисковода и CD-ROMа, опечатывание USB-портов на пользовательских рабочих станциях. Использование только при необходимости инсталляции программных продуктов строго под контролем администратора.

­ Наличие одной точки информационного входа в периметр безопасности и её защита при помощи Proxy-сервера и фаервола PIX (именно через прокси-сервер организовывается выход в интернет и городскую сеть). На межсетевом экране строго расписать что, куда и откуда разрешено, остальное запретить. Создать список закрытых/открытых портов и список запрещенных сайтов в Интернете. Вести аудит перемещений. Рекомендуется установить систему обнаружения атак на прокси-сервер.

­ Включение брандмауэров на каждом компьютере в сети (для предотвращения распространения сетевых червей).

­ Использование возможности обозревателя (например, Internet Explorer) – антифишинга, позволяющего обнаруживать поддельные веб-узлы.

­ Антивирусная защита (в данном случае это антивирус Касперского). Чтобы противостоять новым вирусам (заметим, что их проникновение возможно, например, через сообщения электронной почты, так как брандмауэр не может определить содержание сообщений электронной почты и поэтому не может защитить от этого типа вирусов), антивирусную программу следует постоянно обновлять. Обновление антивирусного ПО на пользовательских компьютерах происходит через ftp-сервер (сначала обновление закачивается на proxy-сервер, затем с proxy-сервера загружаются файлы на ftp-сервер, а затем с него при помощи FTP загружаются на компьютеры). Необходимо предусмотреть ОРМ на режим запуска обновлений.

­ Организация VLAN: данная технология позволит поставить барьер на пути широковещательных запросов (разгрузить сеть). Для этого необходимо каждый порт коммутаторов уровня распределения (сервиса) приписать к определенному VLAN, а взаимосвязь различных VLAN между собой организовать на маршрутизаторах. Структура VLAN рекомендуется следующая: уровень ядра системы (сервера) и уровень распределения выделить в отдельные VLAN, уровень доступа подразделить на VLAN в соответствии с обрабатываемой информацией. Учебные компьютерные классы не должны иметь доступа к серверу БД (и к системе).

НСД к основному оборудованию (коммутаторы, маршрутизаторы, серверы, являющиеся точками отказа):

­ Обеспечение физической защиты: основное оборудование держать в отдельном помещении или в монтажном шкафу с вытяжкой (требуется наличие кондиционера и увлажнителя воздуха).

­ Использование идентификации/аутентификации – ввод имени и пароля для получения доступа на сервер БД.

­ Настройка общесистемных паролей на сервере (аутентификация Windows).

­ Для администрирования не использовать протоколы, передающие атрибуты доступа в открытом виде

­ Настройка ОС сервера должна проводиться вручную с включением только необходимых сервисов

­ Отключить на серверах (в том числе и на DNS-сервере), а также на фаерволах PIX, службу DHCP (протокол динамического конфигурирования хостов), автоматизирующую процесс конфигурирования сетевых интерфейсов (назначение IP-адресов и конфигурационных параметров)

­ Использование СОА на сервере (производить блокирование акаунта, если атака производится N-ое количество раз)

­ Неиспользуемые порты закрыть (состояние disable)

­ Очень важно, чтобы функционирующие коммутаторы и маршрутизаторы были правильно сконфигурированы и настроены (включая листы доступа).

­ Антивирусная защита.

­ VLAN.

НСД к программам:

­ Наличие эталонных копий на неизменяемые части.

­ Ограничение доступа к программным модулям посредством авторизации.

­ Обновление функционирующего ПО (производится администратором вручную).

­ Реализация правил разграничения доступа субъектов и их процессов к программам.

­ Поддержание привязки субъекта к процессу, выполняемому для него.

­ Использование «хранителей экрана».

­ Антивирусная защита.

НСД к файлам, записям, полям записей:

­ Составление матрицы доступа к данным и описание ролей пользователей;

­ Контроль подключений к серверу БД.

­ Контроль доступа к записям на уровне клиента посредством использования представлений БД.

­ Подключение сервера БД, Web-сервера, контроллера домена (в данном случае контроллера домена ist) к фаерволу PIX (ASA), позволяющего настроить защиту от SQL-inj запросов (атак). Для предотвращения возможных DOS-атак рекомендуется определить лимит на количество активных соединений.

­ Использование «хранителей экрана».

­ Очистка оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными.

­ ОРМ на распечатку конфиденциальных данных.

­ Антивирусная защита.

НСД к линиям связи (прослушивание сетевого трафика):

­ На межсетевом экране строго расписать что, куда и откуда разрешено, остальное запретить. Создать список закрытых/открытых портов и список запрещенных сайтов в Интернете. Вести аудит перемещений.

­ Ограничения физического доступа к каналам связи посредством коробов и пломбирования неиспользуемых точек подключения.

­ Настройка листов доступа на коммутаторах и маршрутизаторах. При этом осуществить связь каждого порта коммутатора с определенным MAC-адресом, все свободные порты блокировать.

­ Использовать кодирование при передаче данных по беспроводным линиям связи (Протокол WРА - Wi-Fi Protected Access. Главной особенностью этого стандарта является технология динамической генерации ключей кодирования данных, построенная на базе протокола TKIP (Temporal Key Integrity Protocol), представляющего собой дальнейшее развитие алгоритма шифрования RC 4).

­ Антивирусная защита.

2) Подсистема регистрации и учета (аудит)

Требования:

a) Регистрация и учет:

­ входа/выхода субъектов доступа в/из системы (узла сети).

­ выдачи печатных (графических) выходных документов.

­ запуска/завершения программ и процессов (заданий, задач).

­ доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи.

­ доступа программ, субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, програм­мам, томам, каталогам, файлам, записям, полям записей.

b) Учет носителей информации.

c) Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.

Угрозы:

Угроза целостности данных

­ Аудит выполнения операций модификации, удаления, вставки записей в основные таблицы системы. Для этого используются триггеры, которые при выполнении этих операций записывают данные о них в «Журнал событий» (какая таблица модифицировалась, когда и каким пользователем). Клиент должен предоставлять администратору возможность просмотра журнала событий.

­ Аудит регистрации в системе. Производится на уровне Active Directory.

НСД к файлам, записям, полям записей.

­ Аудит выдачи выходных документов. Экспорт отчетов из системы в MS Excel (или другой редактор) должен сопровождаться соответствующей записью в Журнале выдачи отчетов (который хранится в БД).

­ Очистка оперативной памяти ЭВМ после окончания работы пользователя с системой (перезагрузка системы, ОРМ). Очистка оперативной памяти серверов требует установления специального программного обеспечения (предполагается рассмотрение следующих альтернативных программ: SuperRam, Free Memory, WinRamTurbo, RamGuard).

НСД к основному оборудованию (коммутаторы, маршрутизаторы, серверы).

­ Аудит подключений к серверу БД.

Угроза НС копирования

­ Аудит копирования на сменные носители не требуется, так как произведено удаление из конфигурации системного блока пользователей дисковода и CD-ROMа, опечатывание USB-портов на пользовательских рабочих станциях. Используются только при необходимости инсталляции программных продуктов строго под контролем администратора.

3) Подсистема обеспечения целостности

Требования:

a) Обеспечение целостности программных средств и обрабатываемой информации.

b) Физическая охрана средств вычислительной техники и носителей информации.

c) Периодическое тестирование СЗИ от НСД.

d) Наличие средств восстановления СЗИ-НСД.

Угрозы:

Угроза целостности программных средств

­ Использование сертифицированного ПО;

­ Использование антивирусного обеспечения (Касперский 6), которое должно своевременно обновляться. Для этого базу антивируса рекомендуется обновлять на прокси-сервере, затем скачивать обновление на отдельный ftp-сервер, а антивирусы остальных ПК настроить таким образом, чтобы они по умолчанию скачивали обновления с данного ftp-сервера. Рекомендуется также настроить компьютеры пользователей таким образом, чтобы они скачивали обновления по расписанию в разное время. Иначе может возникнуть перегрузка сети, если все компьютеры одновременно начнут скачивать обновление.

­ Разработка системы должна вестись только на специально предоставленных рабочих местах разработчиков.

­ Устранение ошибок в системе и в СЗИ путем тестирования (тестирование ИС производится на сервере testlab с последующим переносом необходимых изменений в структуре СЗИ на промышленный сервер).

­ Программные модули не должны находиться на компьютерах пользователей.

­ Администраторы периодически (один раз в месяц) должны сверять эталонную копию приложения клиента с приложением, установленным на ПК пользователей.

Угроза целостности данных

­ Ежедневно (в конце дня) должны создаваться резервные копии БД, которые должны записываться ответственным лицом на CD диск (ОРМ). Всегда должно быть в резерве не менее 3 копий БД.

­ На CD дисках должны сохраняться, по меньшей мере, по 2 эталонные копии двух выпущенных последних обновлений системы.

Угроза выхода из строя активного оборудования

В нашей системе точками отказа являются сервер БД, WEB-сервер, коммутатор 4 и точки доступа (см. Рисунок 4.1). Контроллер домена не является точкой отказа, так как в системе в горячем резерве используется 4 контроллера домена.

­ Между уровнем распределения и уровнем ядра (между коммутатором 4, PIX, сервером БД и WEB-сервером, между коммутатором 4 и точкой доступа 1, между точкой доступа 1 и маршрутизатором) нужно создать транковые соединения (соответственно повысится и пропускная способность), так как если выйдет из строя сервер БД, коммутатор 4 или линии связи между ними, то доступ к системе не сможет получить никто.

­ Внутри уровня распределения также нужно использовать транковые соединения (при соединении между собой корпусов, особенно Е и В, маршрутизаторов и точек доступа), так как если выйдет из строя линия связи между ними, то доступ к системе не получит один или несколько корпусов.

­ На сервере БД и на WEB-сервере используются RAID-массивы: на сервере БД RAID 0+1 уровня (зеркалирование и страйпинг), на WEB-сервере RAID 5 уровня (контроль четности и страйпинг). Поэтому если выйдет из строя один жесткий диск сервера БД, то его можно будет заменить копией. Если же выйдет из строя жесткий диск WEB-сервера, то его можно будет восстановить по диску контрольной четности. Для этого необходимо в холодном резерве всегда иметь по 1 жесткому диску для каждого из этих серверов.

­ Использование для каждого сервера UPS с рассчитанной мощностью.

НСД к основному оборудованию (коммутаторы, маршрутизаторы, серверы).

­ В корпусах университета организован вход по пропускам и студенческим билетам (охрана).

­ Доступ к серверам, коммутаторам, маршрутизаторам должен быть ограничен путем содержания их в отдельных помещениях и в монтажных шкафах (ключ от которых должен предоставляться только ответственным лицам).

В нерабочее время (или при отсутствии сотрудников) все аудитории и кабинеты университета должны запираться на ключ (ОРМ).