Курсовая работа: Анализ и реинжиниринг системы информационной безопасности на предприятии ГУ Банка России
Рис.
1.
Важнейшие направления обеспечения информационной безопасности РАБИС-НП
Обеспечение
информационной безопасности рабочих подсистем РАБИС-НП в процессе их
эксплуатации является сферой ответственности администраторов программного
обеспечения и, в первую очередь, администраторов информационной безопасности
этих подсистем, выполняющих свои функции с помощью соответствующих АРМ
подсистемы. Важнейшими функциями администраторов программного обеспечения
являются: настройка АРМ и параметров программного комплекса, применение пакетов
модификации ТПК «РАБИС-НП», запуск, мониторинг и остановку серверных процессов,
и т.п. Важнейшими функциями администраторов информационной безопасности
являются: управление пользователями подсистемы, управление их доступом к
ресурсам РАБИС-НП, контроль целостности программного обеспечения подсистемы,
анализ регистрационных журналов программного комплекса.
Важнейшим
направлением обеспечения информационной безопасности рабочих подсистем РАБИС-НП
является защита их электронного документооборота, включающая применение
криптографических средств электронной цифровой подписи (ЭЦП, КА, ЗК) для защиты
и аутентификации электронных документов, ведение архивов входящих и исходящих
электронных сообщений системы, использование средств технологического контроля
электронных документов и т.д.
3.
ТРЕБОВАНИЯ К ЗАЩИТЕ АППАРАТНЫХ И СИСТЕМНЫХ СРЕДСТВ
подсистем РАБИС-НП
3.1. Требования к организационно-техническим мероприятиям по
обеспечению защиты инфраструктуры локальных сетей, телекоммуникаций и серверов подсистем РАБИС-НП
Безопасность
автоматизированной системы в значительной степени определяется конфигурацией
системных средств объектов автоматизации – операционных систем, СУБД и сетевых
сервисов. Чем сильнее «закрыты» локальные сети, операционные системы и СУБД
вычислительных установок УБР, ТЦОИ и КЦОИ для неиспользуемых в РАБИС-НП и ИСУ
ТИР сервисов и приложений, тем выше уровень информационной безопасности.
На
объектах автоматизации должны выполняться следующие требования:
– cерверные
вычислительные установки (центральные серверы подсистем обработки информации
КЦОИ, серверы доступа, серверы контроля, серверы подсистем УБР и ТУ, серверы
средств телекоммуникаций и т.п.) должны располагаться в отдельных помещениях,
доступ в которые должен быть максимально ограничен организационно-техническими
мерами;
– для
регламентации сетевого доступа к серверам и рабочим станциям подсистем РАБИС-НП
должна использоваться сегментация локальных вычислительных сетей
соответствующих учреждений и подразделений Банка России (рекомендации по
отделению платежных сегментов от других сегментов ЛВС УБР, ТУ, ТЦОИ и КЦОИ);
– средства
управления маршрутизацией должны быть сконфигурированы для маршрутизации только
необходимых для функционирования приложений РАБИС-НП и РЗ ИСУ ТИР сетевых сервисов;
сетевые пакеты других сетевых служб и протоколов должны отвергаться;
– работа
пользователей, имеющих особые привилегии (администраторов операционной системы,
администраторов СУБД, администратора ПО - пользователя «xpress»,
администратора информационной безопасности – пользователя «security»)
должна организационно допускаться только с определенных рабочих станций,
защищенных средствами защиты информации от НСД с активизированными средствами
регистрации;
– доступ
к консолям серверов должен быть ограничен организационно-техническими мерами;
– на
рабочих станциях пользователей, работающих со средствами криптографической
защиты информации, должны использоваться средства защиты информации от НСД;
– на
рабочих станциях пользователей должна быть создана изолированная программная
среда, позволяющая пользователям выполнять только функции, регламентированные технологическим
процессом.
Администраторы ОС USS
zOS вычислительных установок, на
которых функционируют подсистемы ОИТУ КЦОИ должны обеспечивать выполнение
следующих требований:
– использование
служб управления паролями операционной системы и СУБД с обеспечением
установленных Банком России требований к парольной защите (длина пароля на
менее 8 символов, обязательное наличие букв нижнего и верхнего регистров, цифр
и специальных символов, проверка вновь устанавливаемого значения пароля на
отличие от ранее использованных значений, срок действительности не более 1
месяца, и т.д.);
– ограничение
списка каталогов, включаемых в переменную окружения PATH,
и периодическую проверку всех программ, доступных по этому пути. Особенно
тщательно должны быть проверены программы, использующие s-бит.
Наличие доступных пользователям прикладных suid-
программ, владельцем которых является root,
является абсолютно недопустимым;
– настройку
операционной системы UNIX
для разграничения доступа групп пользователей в стиле Berkeley;
– использование
в файлах настройки (профайлах) пользователей АРМ КЦОИ, функционирующих в
терминальном режиме, маски прав доступа для вновь создаваемых файлов (permission
mask) со значением umask=006;
– ограничение
списка «доверенных хостов» сети (в файлы host-эквивалентности:
$HOME/.rhosts,
/etc/hosts.equiv
могут включаться только установки тестового и технологического комплексов
сопровождения ПО);
– предотвращение
возможности выхода пользователя в режим командной строки и возможности
одновременной работы двух и более пользователей с одним и тем же именем в
операционной системе (обеспечивается включением процедуры singlelogin.sh,
поставляемой в составе ТПК РАБИС-НП, в профайлы пользователей терминальных АРМ
в качестве последней процедуры, выполняемой при входе пользователя в систему).
При
эксплуатации подсистемы КЦОИ следует также учитывать рекомендации, изложенные в
отчетных материалах по НИР «Применение инструментальных средств управления
доступом RACF для построения
защищенной среды эксплуатации технико-программного комплекса РАБИС-НП, функционирующего
на платформе IBM
MP 3000 H50/OS390/Oracle
в ГУ Банка России по Нижегородской области», выполненной Институтом проблем
информатизации Российской Академии Наук в 2002 году.
Для
защиты от несанкционированного доступа к ПЭВМ рабочих станций и Intel-
серверов подсистем РАБИС-НП, должны использоваться СЗИ от НСД типов:
"Аккорд" (ОКБ САПР), "Dallas Lock" (Конфидент) или
"Secret Net" (АО Информзащита), или иных, при наличии у них
сертификатов, подтверждающих соответствие классу защищенности не ниже
четвертого для средств вычислительной техники в среде используемой операционной
системы, выданных сертифицирующими органами ФСТЭК России.
В
связи с тем, что различные типы СЗИ от НСД используют отличающиеся механизмы
реализации сервисов защиты и разные способы администрирования этих сервисов, в
настоящем разделе приводятся лишь общие рекомендации по использованию важнейших
сервисов защиты, которые предоставляются всеми из указанных выше типов СЗИ от
НСД. Конкретные требования к настройке применяемых на объектах автоматизации
типов СЗИ от НСД должны разрабатываться подразделениями технической защиты
информации региональных УБиЗИ.
В
минимальной конфигурации СЗИ от НСД должны обеспечивать:
– аутентификацию
пользователя и предоставление доступа к ресурсам компьютера только по
предъявлению его личного идентификатора (Touch-memory
или Smart-card),
с дополнительным вводом пароля;
– контроль
целостности операционной системы до ее загрузки;
– разграничение
доступа к каталогам и файлам, обеспечивающее защиту от подмены или модификации
системного программного обеспечения, программного обеспечения средств
криптографической защиты информации, а также иного критичного программного
обеспечения, локально установленного на данной вычислительной установке;
– создание
изолированной программной среды для каждого пользователя (обеспечивающей запуск
только определенного администратором информационной безопасности набора
программ или процессов).
Дополнительно,
СЗИ от НСД могут быть использованы в следующих целях:
– для
контроля целостности важнейших системных и прикладных файлов программ и данных,
размещаемых локально (например, ПО и ключевых справочников средств подписи и
т.п.);
– для
дополнительной независимой регистрации попыток входов в систему и попыток
доступа к важнейшим объектам локальной файловой системы.
Установка
и настройка СЗИ от НСД на рабочих станциях и Intel-
серверах подсистем РАБИС-НП выполняется администраторами информационной
безопасности объектов автоматизации в соответствии с эксплуатационной
документацией на СЗИ от НСД и требованиями, разработанными подразделением
технической защиты информации. Рекомендуется установку и настройку СЗИ от НСД
выполнять на завершающем этапе настройки программного обеспечения подсистемы.
В
перечень файлов, целостность которых контролируется СЗИ от НСД, рекомендуется
включать исполняемые, библиотечные и конфигурационные файлы средств подписи,
файлы справочника сертификатов открытых ключей подписи, а также
конфигурационные файлы прикладного ПО РАБИС-НП, размещаемые локально на рабочей
станции.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11 |
