Анотація

В даній роботі були досліджені основні аспекти побудови та оцінки системи захисту інформації. Було розроблено інструмент мережевого налаштування локальної політики безпеки.

The main aspects of developing and elimenating of the information security system were investigated in this work. There was developed tools to manipulate the local security policy using network.

Зміст

Анотація 2

Вступ 4

1 Аспекти побудови політики безпеки 5

1.1 Види політики безпеки 6

1.1.1 Виборча політика безпеки 6

1.1.2 Повноважна політика безпеки 6

1.2 Організаційно-технічні заходи 7

1.3 Захист даних адміністративними методами 8

1.4 Політики безпеки для Internet 9

1.4.1 Рівні політики безпеки 10

2 Програмно-технічні засоби СЗІ 12

2.1 Служби й механізми захисту 12

2.1.1 Методи ідентифікації та аутентифікації 13

2.1.2 Управління доступом 13

2.1.3 Конфіденційність даних і повідомлень 15

2.1.4 Забезпечення цілісності даних і повідомлень 15

2.1.5 Реєстрація й спостереження (аудит) 16

2.1.6 Контроль учасників взаємодії 16

2.1.7 Метод парольного захисту і його модифікації 17

2.1.8 Підсистема керування ключами 17

2.1.9 Біометричні засоби аутентифікації й контролю доступу 18

2.1.10 Метод автоматичної генерації зворотного виклику 18

2.1.11 Метод перехресного впізнавання 19

2.1.12 Перевірка адреси кореспондента 19

2.1.13 Перевірка зворотного коду 19

2.1.14 Схема рукостискання 19

2.1.15 Контроль доступу користувачів до ресурсів ІС 20

2.1.16 Методи запобігання повторного використання об'єктів 20

2.1.17 Аналізатори протоколів 20

2.1.18 Інструментальні засоби тестування системи захисту 22

2.1.19 Міжмережеві екрани 22

2.2 Висновок пункту 2 23

3 Аналіз якості СЗІ 25

3.1 Блоки показників оцінки СЗІ 25

3.1.1 Блок показників „ОСНОВИ” 25

3.1.2 Блок показників „НАПРЯМОК” 25

3.1.3 Блок показників „ЕТАПИ” 25

3.2 Структура моделі оцінки СЗІ 26

3.3 Методика оцінки якості СЗІ на основі матриці знань 28

3.4 Методика оцінки якості СЗІ на аналізу профілю безпеки. 31

4. Розробка інструментів мережевого налаштування локальної політики безпеки 32

Висновки 33

Список використаної літератури 34

Додаток А 35

Вступ

Під час проходження літньої практики в НБУ (кінець 3-го курсу) переді мною була поставлена задача розібратися в роботі продукції компанії ISS, яка спеціалізується на розробці програмно-технічних засобів захисту інформації. В ході вивчення даних систем було сформовано ряд нових задач, однією з яких було розробити програмне забезпечення, яке могло б коректувати параметри локальної політики безпеки на комп’ютерах співробітників банку. Крім того, для більш досконалого пізнання продуктів компанії ISS, мені було запропоновано дослідити основи розробки СЗІ ІС, тобто підійти до питання безпеки інформації різносторонньо.

1 Аспекти побудови політики безпеки

Політика безпеки визначається як сукупність документованих адміністративних рішень, які направлені на захист інформації та асоційованих в ній ресурсів. При розробці і втіленні її в дію доцільно керуватися наступними принципами:

1. Неможливість обійти захисні засоби

2. Посилення слабких місць

3. Недопустимість переходу в відкритий стан

4. Мінімізація привілегій

5. Розділення обов’язків

6. Багаторівневий захист

7. Різноманіття захисних засобів

8. Простота та маніпульованість інформаційних систем

9. Забезпечення загальної підтримки мір безпеки

1. Принцип неможливості минати захисні засоби означає, що всі інформаційні потоки в мережу, що захищається, і з неї повинні проходити через СЗІ. Не повинно бути "таємних" модемних входів або тестових ліній, що йдуть в обхід екрана.

2. Надійність будь-який СЗІ визначається самою слабкою ланкою. Часто такою ланкою виявляється не комп'ютер або програма, а людина, і тоді проблема забезпечення інформаційної безпеки здобуває нетехнічний характер.

3. Принцип неприпустимості переходу у відкритий стан означає, що при будь-яких обставинах (у тому числі позаштатних), СЗІ або цілком виконує свої функції, або повинна цілком блокувати доступ.

4. Принцип мінімізації привілеїв пропонує виділяти користувачам і адміністраторам тільки ті права доступу, що необхідні їм для виконання службових обов'язків.

5. Принцип поділу обов'язків припускає такий розподіл ролей і відповідальності, при якому одна людина не може порушити критично важливий для організації процес. Це особливо важливо для запобігання зловмисних або некваліфікованих дій системного адміністратора.

6. Принцип багаторівневого захисту пропонує не покладатися на один захисний рубіж, яким би надійним він ні здавався. За засобами фізичного захисту повинні випливати програмно-технічні засоби, за ідентифікацією й аутентифікацією — керування доступом і, як останній рубіж, — протоколювання й аудит. Ешелонована оборона здатна принаймні затримати зловмисника, а наявність такого рубежу, як протоколювання й аудит, істотно утрудняє непомітне виконання злочинних дій.

7. Принцип розмаїтості захисних засобів рекомендує організовувати різні за своїм характером оборонні рубежі, щоб від потенційного зловмисника було потрібно оволодіння різноманітними і, по можливості, несумісними між собою навичками подолання СЗІ.

8. Принцип простоти і керованості інформаційної системи в цілому і СЗІ особливо визначає можливість формального або неформального доказу коректності реалізації механізмів захисту. Тільки в простій і керованій системі можна перевірити погодженість конфігурації різних компонентів і здійснити централізоване адміністрування.

9. Принцип загальної підтримки мір безпеки носить нетехнічний характер. Рекомендується із самого початку передбачити комплекс мір, спрямований на забезпечення лояльності персоналу, на постійне навчання, теоретичне і, головне, практичне.

1.1 Види політики безпеки

Основу політики безпеки складає спосіб керування доступом, що визначає порядок доступу суб'єктів системи до об'єктів системи. Назва цього способу, як правило, визначає назва політики безпеки.

Для вивчення властивостей способу керування доступом створюється його формальний опис — математична модель. При цьому модель повинна відбивати стан всієї системи, її переходи з одного стану в інше, а також враховувати, які стани і переходи можна вважати безпечними в змісті даного керування. Без цього говорити про які-небудь властивості системи, і тим більше гарантувати їх, щонайменше некоректно.

В даний час найкраще вивчені два види політики безпеки: виборча і повноважна, засновані, відповідно на виборчо

Список використаної літератури

1. В.В. Домарев. Безопасность информационных технологий. К.:ДиаSoft, 2002.

2. А.Я. Архангельський. Программирование в C++ Builder 6. М.:Бином, 2003.

3. Д.М. Харт. Системное програмирование в среде Windows (3-е издание). К.:Вильямс, 2005.

4. М.Е. Фленов. Программирование на С++ глазами хакера. С.-П.:БХВ-Петербург, 20050

5. Ресурсы портала www.domarev.kiev.ua

Примечаний нет.