„управление и защита на корпоративни информационни системи


Предназначение, обхват и функции



Изтегляне 1.15 Mb.
страница9/14
Дата28.10.2018
Размер1.15 Mb.
#103013
ТипПрограма
1   ...   6   7   8   9   10   11   12   13   14

3.1.1 Предназначение, обхват и функции


Предназначение

Системата за информационна сигурност е предназначена да осигури изпълнение на изискванията на държавните и ведомствените нормативни документи по опазване на държавната и служебна тайна чрез защита на данните и ресурсите от случайно или преднамерено разкриване, модификация, неправомерно използване или унищожаване.



Обхват

Системата обхваща всички нива, звена (възли) и потребители.

Обекти на защита са:


  • Работните помещения;

  • Изчислителните ресурси – работни станции и сървъри;

  • Програмни и информационно осигуряване;

  • Комуникационната среда;

  • Криптографските средства.

Основни функции

Основните функции на системата за информационна сигурност са:



  • Идентификация и афтентификация;

  • Контрол на достъпа до ресурсите на системата;

  • Изграждане на защитни стени;

  • Изграждане на виртуални частни мрежи;

  • Отдалечен достъп до Интранет ресурси;

  • Предоставяне на криптографски услуги;

  • Защита на програмите и данните от копиране, разрушение и изменение;

  • Наблюдение и регистрация на извършваните дейностти;

  • Антивирусна защита и профилактика;

  • Защита от излъчване;

  • Контрол на трафика;

  • Анализ и откриване на пробивите на сигурността на Интранет на фирмата.

Сервизни функции

Системата поддържа и следните сервизни функции:



  • Контрол на състоянието на подсистемата;

  • Откриване и обработка на събитията, застрашаващи сигурността;

  • Тестване и самотестване на отделните елементи на подсистемата;

  • Отчетност на действията, свързани с работата на подсистемата.

3.1.2. Място на системата за информационна сигурност


СКС е една от основните подситеми. Обхваща всички обекти (сгради), в които са разположени изчислителните средства, мрежовото и специално оборудване, като интегрира вградените в закупеното техническо и програмно осигуряване възможности за защита със специализирани средства за целта, методи и технологии.

Информацията, обработвана в Интранет на фирмата, се класифицира по тип и степен на секретност, както следва:



  • некласифицирана информация;

  • чувствителна (конфигурационни файлове, файлове за права на достъп, системни дневници, както и изпълними програми, нямащи служебен или секретен характер, но влияещи върху работоспособността на системата);

  • за служебно ползване;

  • секретна и строго секретна.

Реализира се диференциран подход за защита в зависимост от типа и степента на секретност на информацията.

3.1.3 Връзка с други подсистеми


СКС е относително самостоятелен елемент на Интранет на Фирмата.

Във функционално отношение Системата има връзка и осигурява всички подсистеми от Интранет чрез предоставяне на следните услуги:



  • криптиране;

  • цифрова сигнатура;

  • електронен подпис;

  • управление на достъпа;

  • обмен и проверка на идентификатори.

3.1.4. Експлоатационни документи


За нормалното функциониране на СКСе необходимо да бъдат разработени следните експлоатационни документи:

  • План за защита;

  • Ръководство по защитата;

  • Документация с тестове;

  • Инструкция за Центъра за администриране и безопасност;

  • Инструкция за администратора по сигурността;

  • Инструкция за потребителя.

Планът документира съдържанието на техническото и програмно осигуряване на подсистемата и има за цел да помогне на разработчиците за реализация на политиката за сигурност, както и да докаже на оценяващите, че подсистемата удовлетворява напълно критериите за оценка.

Ръководството по защита е предназначено за системния администратор и/или администратора по безопасността.

Документацията с тестове трябва да съдържа план за тестване, допусканията за средата (обкръжението) на тестване,очакваните резултати и действителните резултати.

Инструкцията за Центъра за администриране и безопасност е предназначена за отговорниците в Центъра и служи за описание на работата със специфичните и програмни и технически средства за изпълнение на функционалните им задължения.

Инструкцията за отговорника по безопасност е за отговорниците по възлите на Интранет и служи за описание на работата със специфичните програмни и технически средства за изпълнение на функционалните им задължения.

Инструкцията за потребителя е предназначена за непривилегировани потребители и включва следните основни части: влизане в защитена система – идентификатор и парола, смяна на паролата, съобщения и използванто им; защита на файлове и друга информация; системни ограничения от гледна точка на безопасността.

3.1.5. Архитектура на системата за сигурност


Фуккционална структура

Функционалната структура на системата за информационна сигурност се изгражда в съответствие с функциите и услугите, които тя предоставя, а именно :



  • защита от електомагнитни излъчвания;

  • контрол на физическия достъп;

  • защита на сървърите и работните станции;

  • контрол на достъпа до ресурсите на сървърите и работните станции;

  • защита на комуникационната среда;

  • защита на данните „от край до край”;

  • защита на приложните процеси;

  • антивирусна защита и профилактика;

  • наблюдение и контрол.

    1. Защита от електромагнитни излъчвания

Защитата от електромагнитни излъчвания (ЕМИ) трябва да се решава по два начина чрез използване на :

  • защитени (TEMPEST) компютри за основните длъжностни лица, обработващи секретна и строго секретна информация;

  • средства за активна защита от ЕМИ. Специфичните проблеми и способи при използването на тези средства определят относително самостоятелното разработване на този аспект в системата за информационната сигурност на фирмата.




    1. Контрол на физическия достъп

Контролът трябва да се реализира чрез администраивно-организационни мероприятия, технически и програмни средства, като се цели да се ограничи достъпът до:

  • всички работни места;

  • сървърите иработните места, на които се работи със секретна и чувствителна за компанията информация;

  • принтерите;

  • мрежовите устройства (активни и пасивни);

  • структурната кабелна система (LAN);

  • устройствата за защита на информацията (криптиране).

Контролът за физическия достъп може да се разработи на базата на електронни носители, брави, видеокамери, монитори и специализирано програмно осигуряване.

Принципи на контрол на физическия достъп

Средата за контрол на физическия достъп (СКФД) в отделните поделения на Фирмата се явяват от една страна елемент на Интранет, а от друга страна – част от системата за охрана на територията (сградите). Изграждането на СКФД се обосновава от:



  • в Интранет ще се съхранява, обработва и обменя чувствителна (конфиденциална) за компанията и секретна (в много по-малък обмен) информация;

  • част от елементите са жизнено важни за функционирането на Интранет и услугите предоставяни от компанията;

  • възможно е използването на средства (програмни и технически) за криптографска защита.

Елементи на средата за контрол на физическия достъп

Средата за контрол на физическия достъп до елементите включва:



  • контрол на достъпа до помещенията;

  • вътрешна охрана;

  • контрол на достъпа до структурната кабелна система;

  • видео наблюдение;

  • контрол за наводнение;

  • пожароизвестяване.

Функционални възможности

Необходимо е средата да осигурява следните функционални възможности:



  • контрол на физическия достъп до различните типове помещения;

  • известяване на длъжностните лица от охраната и на Центъра за администриране и безопасност за регистрирани нарушения;

  • местна сигнализация;

  • местно и дистанционно управление на работните режими на СКФД;

  • непрекъснат контрол и диагностика на техническите средства на СКФД;

  • поддържа рхив за извършените действия.

Технически параметри

Възможните технически параметри на СКФД са:



  • захранва се от мрежовото напрежение 220 V и от резервното акумулаторно захранване;

  • време за работа от резервен токоизточник не по-малко от 12 часа;

  • време за реакция не повече от две секунди.

    1. Защита на сървърите и работните станции

За защита на сървърите и работните станции, обработващи чувствителна информация, трябва да се използват средства, осигуряващи защита при:

  • стартиране;

  • съхраняване на данните върху магнитните носители;

  • проверка на правомощията и контрол на достъпа до ресурсите.

Възможнте проектни решения са:

  • използване на технически криптографски устройства. Тези устройства осигуряват защита при стартиране, контрол на достъпа до ресурсите, криптографска защита на данните върху магнитните носители на работните станции и на електронната поща;

  • разработване на програмен продукт с криптографски функии, подобни на изброените по-горе. Този продукт би следвало да работи във фонов режим, да осигурява криптиране на външните устройства на работните станции и на отделните ресурси (дирекория, файлове), като носители на паролите са специализирани бележници, а на ключовете – магнитни дискети.

  • Използването на административни и организационно-технически мероприятия.



    2. Контрол на достъпа до ресурсите на сървърите и работните станции

Реализира се чрез използване на:

  • Функционалните възможности на операционните системи, мрежовото програмно осигуряване и системите за управление на базите данни;

  • Функционалните възможности на хъбовете, ключовете, концентраторите и мрежовите процесори;

  • Изграждане на защитни стени (Firewall), както за връзката между Интранет на Фирмата и Интернет, така и между различните й поделения;

  • Изграждане на виртуални частни мрежи (VPN), за различните функционални групи в Интранет на Фирмата;

  • Използване на сървъри за достъп до ресурсите;

  • Използване на цифрови сертификати при разработки, изградени на WWW – технологията;

Функции за достъп

Автентификация, авторизация и акаунтинг (ААА) е структура от три независими функции за осигуряване на сигурност при отдалечен достъп.



Автентификация – осигурява метод за идентифициране на потребителите включващ диалог за име и парола със запитване и отговор, съобщения и криптиране. Автентификацията е начин потребителят да се идентифицира преди да му е позволен достъп до мрежата и мрежовите услуги. Могат да се идентифицират различни методи за автентификация и да се използват на различни входни точки. В специализираната литература в този смисъл по-често се използва понятието идентификация, а понятието автентификация се използва за гарантиране, че данните или съобщенията не са променяни случайно, неправомерно или злонамерено.

Авторизация – осигурява метод за контрол на отдалечен достъп, включващ еднократна авторизация или авторизация за всяка услуга и за всеки потребител или потребителска група поотделно. Поддържа IP, IPX, ARA и Telnet.

Акаунтинг – осигурява метод за събиране и изпращане на информация , която може да се използва за таксуване, проверка, отчет. Информацията съдържа идентификация на потребителя, начало и край на сесията, изпълнени команди, брой пакети, брой байтове и т.н. Акаунтинга дава възможност както за проследяване на услугите, които потребителя ползва, така и обема на ресурсите, които той консумира.

Функциите за достъп обикновено се реализират от сървърите за достъп.




Каталог: files -> files
files -> Р е п у б л и к а б ъ л г а р и я
files -> Дебелината на армираната изравнителна циментова замазка /позиция 3/ е 4 см
files -> „Европейско законодателство и практики в помощ на добри управленски решения, която се състоя на 24 септември 2009 г в София
files -> В сила oт 16. 03. 2011 Разяснение на нап здравни Вноски при Неплатен Отпуск ззо
files -> В сила oт 23. 05. 2008 Указание нои прилагане на ксо и нпос ксо
files -> 1. По пътя към паметник „1300 години България
files -> Георги Димитров – Kreston BulMar
files -> В сила oт 13. 05. 2005 Писмо мтсп обезщетение Неизползван Отпуск кт

Изтегляне 1.15 Mb.

Сподели с приятели:
1   ...   6   7   8   9   10   11   12   13   14



©obuch.info 2024
отнасят до администрацията
    Начална страница
Автореферат
Анализ
Бизнес-план
Биография
Глава
Диплом
Доклад
Задача
Закон
Занятие
Заседание