  
|
|
Разработка средств защиты информации
ООО «М-СТАНДАРТ холдинг» на основании полученных лицензий Министерства Обороны Российской Федерации и Федеральной службы по техническому и экспортному контролю осуществляет разработку и производство средств защиты информации ограниченного доступа.
Опыт, полученный нами как соисполнителями ряда опытно-конструкторский работ, проводимых в Министерстве Обороны Российской Федерации в части создания подсистем защиты информации комплексов средств автоматизации, позволил не только лучше понять цели, задачи и функциональность средств и комплексных систем защиты информации, но и осуществить их реализацию и внедрение.
Учитывая особенности защищаемых комплексов средств автоматизации (КСА), мы уделили внимание безопасности их функционирования, рассматривая следующие дестабилизирующие факторы:
- технические отказы внешней аппаратуры и искажения исходной информации, получаемой от объектов внешней среды или от потребителей систем, а также искажения обработанной информации;
- случайные отказы, сбои и физические разрушения элементов и компонентов аппаратных средств вычислительных комплексов и средств телекоммуникации;
- дефекты и ошибки в комплексах программ обработки информации и в данных;
- пробелы и недостатки в средствах обнаружения опасных отказов и оперативного восстановления работоспособного состояния систем, программ и данных.
Нами была в соответствии с руководящим документом Гостехкомиссии России "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации" определена следующая модель нарушителя:
- в качестве нарушителя рассматривается субъект (пользователь), имеющий доступ к работе со штатными средствами КСА и СВТ как части КСА;
- Нарушитель классифицируется как соответствующий третьему уровню (имеет возможность управления функционированием КСА, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования);
- В своем уровне нарушитель является специалистом высшей квалификации, знает все о КСА и, в частности, о системе и средствах ее защиты.
Нами были выделены следующие основные способы несанкционированного доступа (НСД) к информации:
- непосредственное обращение к объектам доступа;
-
создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
- модификация средств защиты, позволяющая осуществить НСД;
- внедрение в технические средства СВТ или КСА программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или КСА и позволяющих осуществить НСД.
Разработанный нами комплекс средств защиты информации «Океан» обеспечивает безопасность информации на следующих уровнях КСА:
- уровень взаимодействия со смежными системами;
- уровень локальной вычислительной сети;
- уровень АРМ и серверов;
- уровень операционной системы;
- уровень функционального программного обеспечения.
Обеспечивается выполнение следующих требований, предъявляемых к комплексу средств защиты информации:
- комплекс средств защиты информации должен осуществлять защиту КСА, построенных по архитектуре клиент/сервер;
- в распределенной среде должны поддерживаться централизованные конфигурирование и аудит, устойчивые по отношению к сетевым угрозам;
- сервисы безопасности должны интегрироваться с подсистемами управления КСА;
- сервисы безопасности по возможности должны быть прозрачными, вызываемые ими накладные расходы и неудобства - минимальными;
- сервисы безопасности должны иметь удобный, детально описанный программный интерфейс, поддержанный разработчиками программного обеспечения.
При разработке комплекса средств защиты информации были решены следующие задачи обеспечения безопасности информации КСА:
| Уровень КСА |
Задачи подсистемы защиты |
| Уровень взаимодействия со смежными системами |
Обеспечение фильтрации межсетевого потока данных;
Организация защищенных соединений (VPN-каналов) поверх существующих каналов связи;
Защита удаленного мобильного доступа к ресурсам КСА.
|
| Уровень локальной вычислительной сети |
Защита от вредоносных программ;
Контроль целостности программной среды;
Предотвращение вторжений (IDS/IPS);
Управление конфигурацией, в том числе настройками средств защиты информации;
Резервное копирование системных настроек средств защиты информации;
Аудит безопасности (состояния защищенности ресурсов и действий пользователей);
Выявление, регистрация и реагирование на попытки несанкционированного доступа к информационным ресурсам;
Контекстный анализ входящего и выходящего трафика сети КСА по протоколам прикладного уровня.
|
| Уровень АРМ и серверов |
Блокировка загрузки с отчуждаемых носителей (FDD, CD-ROM, ZIP Drive) и прерывания контрольных процедур с клавиатуры;
Выполнение режима доверенной загрузки;
Контроль доступа к техническим средствам и их внутреннему монтажу;
Экстренное уничтожение информации;
Антивирусная защита информационных ресурсов содержащихся на серверах и АРМ.
|
| Уровень операционной системы |
Сопоставление пользователя с устройством;
Защита ввода и вывода на отчуждаемый физический носитель информации;
Идентификация и аутентификация пользователей;
Регистрация контролируемых событий;
Тестирование средств защиты информации;
Разграничение доступа;
Управление информационными потоками;
Контроль целостности программных средств, в том числе средств защиты информации;
Защита данных пользователя, в том числе при их экспорте и импорте;
Криптографическая защита данных при их передаче по сети;
Защита функций безопасности подсистемы защиты информации;
Управление распределением ресурсов (доля дискового пространства и доля системной памяти, которые индивидуальные пользователи могут использовать в данное время).
|
| Уровень функционального программного обеспечения |
Идентификация и аутентификация;
Управление доступом;
Регистрация контролируемых событий;
Маркировка документов при их выводе на печать;
Тестирование средств защиты информации;
Разграничение доступа;
Контроль целостности данных.
|
|
|
|
|
|
|
