|
|
@@ -0,0 +1,222 @@
|
|
|
+# **2.5.100 Установка и настройка СЗИ от НСД.**
|
|
|
+## **Общая характеристика и классификация мер и средств защиты информации от НСД.**
|
|
|
+
|
|
|
+Меры по защите информации от НСД можно разделить на группы:
|
|
|
+
|
|
|
+-идентификация и аутентификация субъектов доступа и объектов доступа;
|
|
|
+
|
|
|
+-управление доступом субъектов доступа к объектам доступа;
|
|
|
+
|
|
|
+-ограничение программной среды;
|
|
|
+
|
|
|
+-защита машинных носителей информации;
|
|
|
+
|
|
|
+-регистрация событий безопасности;
|
|
|
+
|
|
|
+-антивирусная защита;
|
|
|
+
|
|
|
+-обнаружение (предотвращение) вторжений;
|
|
|
+
|
|
|
+-контроль (анализ) защищенности информации;
|
|
|
+
|
|
|
+-обеспечение целостности ИС и информации;
|
|
|
+
|
|
|
+-обеспечение доступности информации;
|
|
|
+
|
|
|
+-защита среды виртуализации;
|
|
|
+
|
|
|
+-защита технических средств;
|
|
|
+
|
|
|
+-защита ИС, ее средств, систем связи и передачи данных.
|
|
|
+
|
|
|
+ 
|
|
|
+
|
|
|
+Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать:
|
|
|
+
|
|
|
+-присвоение субъектам и объектам доступа уникального признака (идентификатора);
|
|
|
+
|
|
|
+-сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов;
|
|
|
+
|
|
|
+-проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора.
|
|
|
+
|
|
|
+Идентификация и аутентификация являются первым эшелоном защиты от несанкционированного доступа и необходимо понимать разницу между этими понятиями.
|
|
|
+
|
|
|
+## **Средства защиты от НСД можно разделить на следующие группы:**
|
|
|
+
|
|
|
+**-Технические средства.** Это различные по типу устройства (механические, электромеханические, электронные и др.),
|
|
|
+которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось,
|
|
|
+доступу к информации,
|
|
|
+в том числе с помощью ее маскировки.
|
|
|
+
|
|
|
+**-Программные средства** включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной информации типа временных файлов,
|
|
|
+тестового контроля системы защиты и др.
|
|
|
+
|
|
|
+**-Смешанные аппаратно-программные средства** реализуют те же функции, что аппаратные и программные средства в отдельности.
|
|
|
+
|
|
|
+**-К организационным средствам** можно отнести разработку документов, определяющих правила и процедуры, реализуемые для обеспечения защиты информации в ИС,
|
|
|
+ограничение доступа в помещения, назначение полномочий по доступу и т.п.
|
|
|
+
|
|
|
+**-Криптографические средства** - средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования,
|
|
|
+средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства.
|
|
|
+
|
|
|
+Прежде, чем выбирать средства защиты от НСД, необходимо определить перечень мер, которые они должны реализовывать.
|
|
|
+Перечень мер определяется на основе требований нормативных документов и исходя из модели угроз конкретной ИС.
|
|
|
+
|
|
|
+Для предварительного конфигурирования СЗИ от НСД с целью создания замкнутой программной среды на рабочих станциях могут быть использованы перечни исполняемых модулей прикладного и системного ПО,
|
|
|
+приведенные в Приложении. В нем приведены отдельные перечни модулей, исполняемых на серверных установках подсистем и рабочих станциях пользователей.
|
|
|
+
|
|
|
+Однако следует учитывать, что приведенные перечни не могут претендовать на актуальность и исчерпываемость, поскольку они определялись в конкретных условиях определенной аппаратной и системной конфигурации
|
|
|
+и конкретных версий прикладного и системного программного обеспечения.
|
|
|
+
|
|
|
+Кроме того, порядок взаимодействия компонентов операционных систем, а также, остального применяемого системного ПО
|
|
|
+в значительной степени недокументирован и может изменяться с выходом новых версий или после применения сервисных пакетов.
|
|
|
+
|
|
|
+В связи с этим, настройка замкнутой программной среды на рабочих станциях и серверах подсистем в отношении системных исполняемых модулей может быть рекомендована только при применении СЗИ от НСД,
|
|
|
+предоставляющих возможность предварительного тестирования функционального программного обеспечения в режиме так называемого «мягкого разграничения доступа».
|
|
|
+
|
|
|
+Включение рабочего режима разграничения доступа по отношению к системным компонентам ПО может допускаться только после тщательного анализа журналов СЗИ от НСД,
|
|
|
+полученных по результатам полнофункционального тестирования защищаемой установки в режиме «мягкого разграничения доступа». Предварительное тестирование системы проводится в режиме «мягкого разграничения доступа».
|
|
|
+
|
|
|
+## **Установка СЗИ от НДС.**
|
|
|
+
|
|
|
+Рассмотрим установку на примере программы Dallas Lock 8.0.
|
|
|
+
|
|
|
+ 
|
|
|
+
|
|
|
+ **Предварительная подготовка:**
|
|
|
+
|
|
|
+Перед установкой системы защиты Dallas Lock 8.0 необходимо выполнить следующие
|
|
|
+действия:
|
|
|
+
|
|
|
+1.Если на компьютере уже установлена система защиты, её необходимо удалить.
|
|
|
+
|
|
|
+2.Необходимо убедиться, что на диске C имеется необходимое свободное
|
|
|
+пространство для установки системы защиты.
|
|
|
+
|
|
|
+3.Проверить состояние жёстких дисков компьютера.
|
|
|
+
|
|
|
+4.Рекомендуется произвести дефрагментацию диска.
|
|
|
+
|
|
|
+5.Проверить компьютер на отсутствие вирусов.
|
|
|
+
|
|
|
+6.Перед установкой системы защиты необходимо выгрузить из памяти все
|
|
|
+резидентные антивирусы.
|
|
|
+
|
|
|
+7.Закрыть все запущенные приложения.
|
|
|
+
|
|
|
+Также рекомендуется отключить кэширование записи для всех дисков.
|
|
|
+
|
|
|
+**Установка системы защиты:**
|
|
|
+
|
|
|
+1.Для установки СЗИ НСД Dallas Lock 8.0 необходимо запустить установочный файл.
|
|
|
+
|
|
|
+2.При установке системы защиты будет выведено окно для подтверждения операции, для подтверждения нажать далее.
|
|
|
+
|
|
|
+3.Для защиты от нелегального использования продукта необходимо ввести номер лицензии.
|
|
|
+
|
|
|
+4.В том случае, когда необходимо ввести компьютер в домен безопасности, в процессе
|
|
|
+установки системы необходимо поставить флаг «Ввести компьютер в домен безопасности».
|
|
|
+
|
|
|
+5.Опционально указать файл конфигурации.
|
|
|
+
|
|
|
+6.Далее наблюдать за процессом установки.
|
|
|
+
|
|
|
+ 
|
|
|
+
|
|
|
+Во время первого входа на защищённый компьютер после загрузки ОС появится всплывающее сообщение о том, что данный компьютер защищён.
|
|
|
+
|
|
|
+После установки системы защиты и перезагрузки компьютера появится ярлык оболочки администратора СЗИ НСД Dallas Lock 8.0.
|
|
|
+
|
|
|
+**Настройка:**
|
|
|
+
|
|
|
+Подразумевает подготовку к работе следующих подсистем:
|
|
|
+
|
|
|
+1. Программное ядро (Драйвер защиты). Является ядром системы защиты и выполняет
|
|
|
+основные функции СЗИ.
|
|
|
+
|
|
|
+2. Подсистема администрирования. Обеспечивает возможности по управлению
|
|
|
+СЗИ, аудиту и настройке параметров, просмотру, фильтрации и очистке журналов.
|
|
|
+
|
|
|
+3. Подсистема управления доступом. Осуществляет работу с различными типами
|
|
|
+аппаратных идентификаторов.
|
|
|
+
|
|
|
+4. Подсистема регистрации и учета. Обеспечивает ведение аудита и хранение информации событий в журналах.
|
|
|
+
|
|
|
+5. Подсистема идентификации и аутентификации. Обеспечивает идентификацию и
|
|
|
+аутентификацию локальных, доменных, терминальных и удаленных пользователей на этапе
|
|
|
+входа в ОС.
|
|
|
+
|
|
|
+6. Подсистема гарантированной зачистки информации. Обеспечивает зачистку остаточной
|
|
|
+информации.
|
|
|
+
|
|
|
+7. Подсистема преобразования информации.
|
|
|
+
|
|
|
+8. Подсистема контроля устройств. Обеспечивает возможность разграничения доступа к
|
|
|
+подключаемым на ПК устройствам для определенных пользователей или групп пользователей
|
|
|
+и ведения аудита событий данного доступа.
|
|
|
+
|
|
|
+9. Подсистема межсетевого экранирования. Обеспечивает контроль, а также фильтрацию
|
|
|
+потоков информации, поступающих в АС и выходящих за ее пределы.
|
|
|
+
|
|
|
+10.Подсистема обнаружения вторжений. Обеспечивает обнаружение и блокирование основных
|
|
|
+угроз безопасности.
|
|
|
+
|
|
|
+11.Подсистема контроля целостности. Обеспечивает контроль целостности ФС, программноаппаратной среды и реестра, периодическое тестирование СЗИ.
|
|
|
+
|
|
|
+12.Подсистема восстановления после сбоев.
|
|
|
+
|
|
|
+13.Подсистема развертывания (установочные модули).
|
|
|
+
|
|
|
+14.Подсистема централизованного контроля конфигураций. Обеспечивает централизованный
|
|
|
+сбор, передачу и контроль информации о состоянии программной среды.
|
|
|
+
|
|
|
+15.Подсистема резервного копирования. Модуль резервного копирования позволяет
|
|
|
+восстанавливать безвозвратно модифицированные или удаленные файлы.
|
|
|
+
|
|
|
+## **Вывод:**
|
|
|
+
|
|
|
+Установка и настройка СЗИ от НСД на рабочих станциях и серверах выполняется администраторами информационной безопасности объектов автоматизации
|
|
|
+в соответствии с эксплуатационной документацией на СЗИ от НСД и требованиями, разработанными подразделением технической защиты информации.
|
|
|
+
|
|
|
+Рекомендуется установку и настройку СЗИ от НСД выполнять на завершающем этапе настройки программного обеспечения подсистемы.
|
|
|
+
|
|
|
+**Вопросы**
|
|
|
+1. На сколько групп разделяются СЗИ от НСД?
|
|
|
+
|
|
|
+3).
|
|
|
+
|
|
|
+5).
|
|
|
+
|
|
|
+13).
|
|
|
+
|
|
|
+Ответ: **13).**
|
|
|
+
|
|
|
+2. Что делать если, при установке новой системы на компьютере уже до этого была установлена СЗИ от НДС?
|
|
|
+
|
|
|
+Удалить старую.
|
|
|
+
|
|
|
+Отключить анивирус.
|
|
|
+
|
|
|
+Продолжить установку.
|
|
|
+
|
|
|
+Ответ: **Удалить старую.**
|
|
|
+
|
|
|
+3. Что нужно определить перед установкой СЗИ от НДС?
|
|
|
+
|
|
|
+Перечень мер, которые они должны реализовывать.
|
|
|
+
|
|
|
+Требования ПК.
|
|
|
+
|
|
|
+Наличие дополнительного ПО.
|
|
|
+
|
|
|
+Ответ: **Перечень мер, которые они должны реализовывать**
|
|
|
+
|
|
|
+4. В каком режиме проводится тестирование СЗИ от НДС?
|
|
|
+
|
|
|
+Нагрузки на ОС.
|
|
|
+
|
|
|
+«Мягкого разграничения доступа».
|
|
|
+
|
|
|
+Тестирования.
|
|
|
+
|
|
|
+Ответ: **«Мягкого разграничения доступа»**
|
