Предназначение
Системата за информационна сигурност е предназначена да осигури изпълнение на изискванията на държавните и ведомствените нормативни документи по опазване на държавната и служебна тайна чрез защита на данните и ресурсите от случайно или преднамерено разкриване, модификация, неправомерно използване или унищожаване.
Обхват
Системата обхваща всички нива, звена (възли) и потребители.
Обекти на защита са:
-
Работните помещения;
-
Изчислителните ресурси – работни станции и сървъри;
-
Програмни и информационно осигуряване;
-
Комуникационната среда;
-
Криптографските средства.
Основни функции
Основните функции на системата за информационна сигурност са:
-
Идентификация и афтентификация;
-
Контрол на достъпа до ресурсите на системата;
-
Изграждане на защитни стени;
-
Изграждане на виртуални частни мрежи;
-
Отдалечен достъп до Интранет ресурси;
-
Предоставяне на криптографски услуги;
-
Защита на програмите и данните от копиране, разрушение и изменение;
-
Наблюдение и регистрация на извършваните дейностти;
-
Антивирусна защита и профилактика;
-
Защита от излъчване;
-
Контрол на трафика;
-
Анализ и откриване на пробивите на сигурността на Интранет на фирмата.
Сервизни функции
Системата поддържа и следните сервизни функции:
-
Контрол на състоянието на подсистемата;
-
Откриване и обработка на събитията, застрашаващи сигурността;
-
Тестване и самотестване на отделните елементи на подсистемата;
-
Отчетност на действията, свързани с работата на подсистемата.
3.1.2. Място на системата за информационна сигурност
СКС е една от основните подситеми. Обхваща всички обекти (сгради), в които са разположени изчислителните средства, мрежовото и специално оборудване, като интегрира вградените в закупеното техническо и програмно осигуряване възможности за защита със специализирани средства за целта, методи и технологии.
Информацията, обработвана в Интранет на фирмата, се класифицира по тип и степен на секретност, както следва:
-
некласифицирана информация;
-
чувствителна (конфигурационни файлове, файлове за права на достъп, системни дневници, както и изпълними програми, нямащи служебен или секретен характер, но влияещи върху работоспособността на системата);
-
за служебно ползване;
-
секретна и строго секретна.
Реализира се диференциран подход за защита в зависимост от типа и степента на секретност на информацията.
3.1.3 Връзка с други подсистеми
СКС е относително самостоятелен елемент на Интранет на Фирмата.
Във функционално отношение Системата има връзка и осигурява всички подсистеми от Интранет чрез предоставяне на следните услуги:
-
криптиране;
-
цифрова сигнатура;
-
електронен подпис;
-
управление на достъпа;
-
обмен и проверка на идентификатори.
3.1.4. Експлоатационни документи
За нормалното функциониране на СКСе необходимо да бъдат разработени следните експлоатационни документи:
-
План за защита;
-
Ръководство по защитата;
-
Документация с тестове;
-
Инструкция за Центъра за администриране и безопасност;
-
Инструкция за администратора по сигурността;
-
Инструкция за потребителя.
Планът документира съдържанието на техническото и програмно осигуряване на подсистемата и има за цел да помогне на разработчиците за реализация на политиката за сигурност, както и да докаже на оценяващите, че подсистемата удовлетворява напълно критериите за оценка.
Ръководството по защита е предназначено за системния администратор и/или администратора по безопасността.
Документацията с тестове трябва да съдържа план за тестване, допусканията за средата (обкръжението) на тестване,очакваните резултати и действителните резултати.
Инструкцията за Центъра за администриране и безопасност е предназначена за отговорниците в Центъра и служи за описание на работата със специфичните и програмни и технически средства за изпълнение на функционалните им задължения.
Инструкцията за отговорника по безопасност е за отговорниците по възлите на Интранет и служи за описание на работата със специфичните програмни и технически средства за изпълнение на функционалните им задължения.
Инструкцията за потребителя е предназначена за непривилегировани потребители и включва следните основни части: влизане в защитена система – идентификатор и парола, смяна на паролата, съобщения и използванто им; защита на файлове и друга информация; системни ограничения от гледна точка на безопасността.
3.1.5. Архитектура на системата за сигурност
Фуккционална структура
Функционалната структура на системата за информационна сигурност се изгражда в съответствие с функциите и услугите, които тя предоставя, а именно :
-
защита от електомагнитни излъчвания;
-
контрол на физическия достъп;
-
защита на сървърите и работните станции;
-
контрол на достъпа до ресурсите на сървърите и работните станции;
-
защита на комуникационната среда;
-
защита на данните „от край до край”;
-
защита на приложните процеси;
-
антивирусна защита и профилактика;
-
наблюдение и контрол.
-
Защита от електромагнитни излъчвания
Защитата от електромагнитни излъчвания (ЕМИ) трябва да се решава по два начина чрез използване на :
-
защитени (TEMPEST) компютри за основните длъжностни лица, обработващи секретна и строго секретна информация;
-
средства за активна защита от ЕМИ. Специфичните проблеми и способи при използването на тези средства определят относително самостоятелното разработване на този аспект в системата за информационната сигурност на фирмата.
-
Контрол на физическия достъп
Контролът трябва да се реализира чрез администраивно-организационни мероприятия, технически и програмни средства, като се цели да се ограничи достъпът до:
-
всички работни места;
-
сървърите иработните места, на които се работи със секретна и чувствителна за компанията информация;
-
принтерите;
-
мрежовите устройства (активни и пасивни);
-
структурната кабелна система (LAN);
-
устройствата за защита на информацията (криптиране).
Контролът за физическия достъп може да се разработи на базата на електронни носители, брави, видеокамери, монитори и специализирано програмно осигуряване.
Принципи на контрол на физическия достъп
Средата за контрол на физическия достъп (СКФД) в отделните поделения на Фирмата се явяват от една страна елемент на Интранет, а от друга страна – част от системата за охрана на територията (сградите). Изграждането на СКФД се обосновава от:
-
в Интранет ще се съхранява, обработва и обменя чувствителна (конфиденциална) за компанията и секретна (в много по-малък обмен) информация;
-
част от елементите са жизнено важни за функционирането на Интранет и услугите предоставяни от компанията;
-
възможно е използването на средства (програмни и технически) за криптографска защита.
Елементи на средата за контрол на физическия достъп
Средата за контрол на физическия достъп до елементите включва:
-
контрол на достъпа до помещенията;
-
вътрешна охрана;
-
контрол на достъпа до структурната кабелна система;
-
видео наблюдение;
-
контрол за наводнение;
-
пожароизвестяване.
Функционални възможности
Необходимо е средата да осигурява следните функционални възможности:
-
контрол на физическия достъп до различните типове помещения;
-
известяване на длъжностните лица от охраната и на Центъра за администриране и безопасност за регистрирани нарушения;
-
местна сигнализация;
-
местно и дистанционно управление на работните режими на СКФД;
-
непрекъснат контрол и диагностика на техническите средства на СКФД;
-
поддържа рхив за извършените действия.
Технически параметри
Възможните технически параметри на СКФД са:
-
захранва се от мрежовото напрежение 220 V и от резервното акумулаторно захранване;
-
време за работа от резервен токоизточник не по-малко от 12 часа;
-
време за реакция не повече от две секунди.
-
Защита на сървърите и работните станции
За защита на сървърите и работните станции, обработващи чувствителна информация, трябва да се използват средства, осигуряващи защита при:
-
стартиране;
-
съхраняване на данните върху магнитните носители;
-
проверка на правомощията и контрол на достъпа до ресурсите.
Възможнте проектни решения са:
-
използване на технически криптографски устройства. Тези устройства осигуряват защита при стартиране, контрол на достъпа до ресурсите, криптографска защита на данните върху магнитните носители на работните станции и на електронната поща;
-
разработване на програмен продукт с криптографски функии, подобни на изброените по-горе. Този продукт би следвало да работи във фонов режим, да осигурява криптиране на външните устройства на работните станции и на отделните ресурси (дирекория, файлове), като носители на паролите са специализирани бележници, а на ключовете – магнитни дискети.
-
Използването на административни и организационно-технически мероприятия.
-
-
Контрол на достъпа до ресурсите на сървърите и работните станции
Реализира се чрез използване на:
-
Функционалните възможности на операционните системи, мрежовото програмно осигуряване и системите за управление на базите данни;
-
Функционалните възможности на хъбовете, ключовете, концентраторите и мрежовите процесори;
-
Изграждане на защитни стени (Firewall), както за връзката между Интранет на Фирмата и Интернет, така и между различните й поделения;
-
Изграждане на виртуални частни мрежи (VPN), за различните функционални групи в Интранет на Фирмата;
-
Използване на сървъри за достъп до ресурсите;
-
Използване на цифрови сертификати при разработки, изградени на WWW – технологията;
Функции за достъп
Автентификация, авторизация и акаунтинг (ААА) е структура от три независими функции за осигуряване на сигурност при отдалечен достъп.
Автентификация – осигурява метод за идентифициране на потребителите включващ диалог за име и парола със запитване и отговор, съобщения и криптиране. Автентификацията е начин потребителят да се идентифицира преди да му е позволен достъп до мрежата и мрежовите услуги. Могат да се идентифицират различни методи за автентификация и да се използват на различни входни точки. В специализираната литература в този смисъл по-често се използва понятието идентификация, а понятието автентификация се използва за гарантиране, че данните или съобщенията не са променяни случайно, неправомерно или злонамерено.
Авторизация – осигурява метод за контрол на отдалечен достъп, включващ еднократна авторизация или авторизация за всяка услуга и за всеки потребител или потребителска група поотделно. Поддържа IP, IPX, ARA и Telnet.
Акаунтинг – осигурява метод за събиране и изпращане на информация , която може да се използва за таксуване, проверка, отчет. Информацията съдържа идентификация на потребителя, начало и край на сесията, изпълнени команди, брой пакети, брой байтове и т.н. Акаунтинга дава възможност както за проследяване на услугите, които потребителя ползва, така и обема на ресурсите, които той консумира.
Функциите за достъп обикновено се реализират от сървърите за достъп.
Сподели с приятели: |