Эффективность систем защиты. Оценка экономической эффективности систем защиты

Министерство науки и образования РФ

ФГБОУ ВПО «Шадринский государственный педагогический институт»

Кафедра Программирования и сетевых технологий

Эффективность систем защиты. Оценка экономической эффективности систем защиты

Курсовая работа по дисциплине

«Методы и средства защиты компьютерной информации»

Специальность 230105 -

Программное обеспечение вычислительной техники и

автоматизированных систем

Выполнил:

студент 488(б) группы

факультета информатики

Гиззатов Ильшат Ильдарович

Руководитель:

канд.пед.наук,

старший преподаватель

Парфёнов Сергей Юрьевич

Оценка:

___________________

Подпись руководителя

___________________

Шадринск 2011г

Оглавление

Введение…………………………………………………………………….……..3

1.Электронный замок "СОБОЛЬ"……………………………..…………………4

2. Система защиты информации "Secret Net 4.0"…………………..…………...8

3. "Аккорд 1.95"………………………………………………………..………...11

4. "ГРИМ-ДИСК"…………………………………………………...……………12

5. СКЗИ "Верба - ОW"……………………………………………..……………13

6. Устройства криптографической защиты данных (УКЗД) серии   КРИПТОН………………………………………………………………..………20

6.1. КРИПТОН-ЗАМОК/PCI аппаратно-программный модуль доверенной загрузки…………………………………………………………………………..23

Заключение…………………………………………………………..…………...24

Список используемой литературы……………………………………………...25
Введение

В данной курсовой работе  проанализированы наиболее распространённые  программно – аппаратные комплексы.

Обеспечение защиты информации на практике происходит в условиях случайного воздействия самых разных факторов. Некоторые из них систематизированы в стандартах, некоторые заранее неизвестны и способны снизить эффективность или даже скомпрометировать предусмотренные меры. Оценка эффективности защиты должна обязательно учитывать как объективные обстоятельства, так и вероятностные факторы.

Факторы, влияющие на уровень защиты информации, систематизированы в ГОСТ Р 51275-99. Однако, независимо от воли и предвидения разработчиков возникают и иные, заранее неизвестные при проектировании систем защиты информации (СЗИ) обстоятельства, способные снизить эффективность защиты или полностью скомпрометировать предусмотренные проектом меры информационной безопасности. Оценка эффективности защиты информации должна обязательно учитывать эти объективные обстоятельства, а ее характеристики, как это следует из ГОСТ Р 50922-96[4], должны иметь вероятностный характер. Развитие подобной методологии, включая систему нормативных документов, содержащих количественные, измеримые показатели эффективности СЗИ, обеспечит интересы как заказчиков, так и проектировщиков. Особую важность приобретает обоснование оптимальных значений показателей эффективности, учитывающее целевое предназначение информационной системы.

Для решения рассматриваемой проблемы предлагается использовать системный подход. Идея количественного определения эффективности с полным правом может рассматриваться как поворотный пункт истории науки.

При  аттестации  до  и  после  установки  средств защиты  информации  (СЗИ)  требуется  проведение  целого  ряда  специальных измерений. 

Данная  работа  посвящена  программно-аппаратным  комплексам,

предназначенным для проведения таких измерений при оценке экономической эффективности систем защиты  от  утечки  информации .

В  настоящее  такие  комплексы  выпускаются  рядом  предприятий,  однако наиболее  распространены  комплексы  «СОБОЛЬ», «Secret Net», «Аккорд», «ГРИМ-ДИСК», «Верба - ОW», «КРИПТОН».

Рис. 1.1.

1.ЭЛЕКТРОННЫЙ ЗАМОК "СОБОЛЬ"

Электронные замки «Соболь» (Рис. 1.2.), и «Соболь-PCI» (Рис. 1.1.), разработаны научно-инженерным предприятием «ИНФОРМЗАЩИТА» и предназначены для защиты ресурсов компьютера от не санкционированного доступа.

Рис. 1.2.

Электронные замки «Соболь» и «Соболь-PCI» сертифицированы Федеральным агентством правительственной связи и информации России. Сертификаты ФАПСИ № СФ/122-0305 и № СФ/022-0306 от 10.02.2000, а также и сертификат № СФ/527-0553 от 01.07.2002 позволяют применять данные средства для защиты информации, составляющую коммерческую или государственную тайну.

Кроме того, электронный замок «Соболь-PCI» сертифицирован Гостехкомиссией России. Сертификат №457 от 14.05.2001 г. подтверждает соответствие данного изделия требованиям Руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и позволяет использовать данный продукт при разработке систем защиты для автоматизированных систем с классом защищенности до 1В включительно.

Применение

Электронный замок «Соболь»/«Соболь-PCI» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Система защиты Электронный замок «Соболь»/«Соболь-PCI» обладает следующими возможностями:

Идентификация и аутентификация пользователей.

Регистрация попыток доступа к ПЭВМ.

Запрет загрузки ОС со съемных носителей.

Контроль целостности программной среды.

Возможности по идентификации и аутентификации пользователей, а также регистрация попыток доступа к ПЭВМ не зависят от типа использующейся ОС.

Идентификация и аутентификация пользователей.

Каждый пользователь компьютера регистрируется в системе электронный замок «Соболь»/«Соболь-PCI», установленной на данном компьютере. Регистрация пользователя осуществляется администратором и состоит в определении имени регистрируемого пользователя, присвоении ему персонального идентификатора и назначении пароля.

Действие электронного замка «Соболь»/«Соболь-PCI» состоит в проверке персонального идентификатора и пароля пользователя при попытке входа в систему. В случае попытки входа в систему не зарегистрированного пользователя электронный замок «Соболь» регистрирует попытку НСД и осуществляется аппаратная блокировка до 4-х устройств, например: FDD, CD-ROM, ZIP, LPT, SCSI-порты (электронный замок «Соболь-PCI» позволяет блокировать до 3-х устройств).

В электронном замке используются идентификаторы Touch Memory фирмы Dallas Semiconductor. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного идентификатора. Служебная информация о регистрации пользователя (имя, номер присвоенного персонального идентификатора и т.д.) хранится в энергонезависимой памяти электронного замка.

Регистрация попыток доступа к ПЭВМ.

Электронный замок «Соболь»/«Соболь-PCI» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти.

Электронный замок фиксирует в системном журнале вход пользователей, попытки входа, попытки НСД и другие события, связанные с безопасностью системы.

В системном журнале хранится следующая информация: дата и время события, имя пользователя и информация о типе события, например:

Факт входа пользователя;

Введение неправильного пароля;

Предъявление не зарегистрированного идентификатора пользователя;

Превышение числа попыток входа в систему;

Другие события.

Таким образом, электронный замок «Соболь» предоставляет информацию администратору о всех попытках доступа к ПЭВМ.

Контроль целостности программной среды и запрет загрузки со съемных носителей

Подсистема контроля целостности расширяет возможности электронного замка «Соболь»/«Соболь-PCI». Контроль целостности системных областей дисков и наиболее критичных файлов производится по алгоритму ГОСТ 28147-89 в режиме имитовставки (Рис. 1.3.). Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов.

Рис. 1.3.

Подсистема запрета загрузки с гибкого диска и CD ROM диска обеспечивает запрет загрузки операционной системы с этих съемных носителей для всех пользователей компьютера, кроме администратора. Администратор может разрешить отдельным пользователям компьютера выполнять загрузку операционной системы со съемных носителей.

Подсистемы контроля целостности и подсистемы запрета загрузки со съемных носителей функционируют под управлением следующих ОС:

MS DOS версий 5.0-6.22;

ОС семейства Windows’9x (FAT12, FAT16 или FAT32);

Windows NT версий 3.51 и 4.0 с файловой системой NTFS;

Windows 2000 с файловой системой NTFS (только «Соболь-PCI»);

UNIX FreeBSD (только «Соболь-PCI»).

Возможности по администрированию

Для настройки электронного замка «Соболь» администратор имеет возможность:

Определять минимальную длину пароля пользователя;

Определять предельное число неудачных входов пользователя;

Добавлять и удалять пользователей;

Блокировать работу пользователя на компьютере;

Создавать резервные копии персональных идентификаторов.

Другие возможности и преимущества

Самая низкая по сравнению с аналогичными продуктами цена - 190 долларов «Соболь» для стандарта ISA и 230 долларов «Соболь-PCI»;

Датчик случайных чисел, соответствующий требованиям ФАПСИ.

Простота установки, настройки и администрирования.

Современная элементная база, обеспечивающая высокую надежность и долговечность.

Возможность установки в любой IBM-совместимый персональный компьютер, имеющий свободный разъем стандарта ISA или PCI.

Использование в Secret Net и Континент-К

Электронный замок «Соболь»/«Соболь-PCI» может применяться в составе системы защиты информации Secret Net для генерации ключей шифрования и электронно-цифровой подписи. Кроме того, при использовании электронного замка в составе СЗИ Secret Net обеспечивается единое централизованное управление его возможностями. С помощью подсистемы управления Secret Net администратор безопасности имеет возможность управлять статусом персональных идентификаторов сотрудников: присваивать электронные идентификаторы, временно блокировать, делать их недействительными, что позволяет управлять доступом сотрудников к компьютерам автоматизированной системы организации. Также «Соболь»/«Соболь-PCI» применяется в составе аппаратно-программного комплекса «Континент-К» для идентификации и аутентификации администратора криптографического шлюза, формирования ключей шифрования и контроля целостности программного обеспечения комплекса. А также совместно с криптопровайдером КриптоПРО CSP (для обеспечения хранения сертификатов пользователя на электронных идентификаторах и в качестве средства формирования ключей электронной цифровой подписи).

Комплектация

В базовый комплект электронного замка «Соболь»/«Соболь-PCI» входит:

Контроллер «Соболь»/«Соболь-PCI»;

Считыватель Touch Memory;

2 идентификатора DS-1992;

Интерфейс для блокировки загрузки с FDD;

Интерфейс для блокировки загрузки с CD-ROM;

Программное обеспечение формирования списков контролируемых программ;

Документация.

2. Система защиты информации "Secret Net 4.0"

                                                                                       Рис. 2.1.

Назначение:
Программно-аппаратный комплекс для обеспечения информационной безопасности в локальной вычислительной сети, рабочие станции и сервера которой работают под управлением следующих операционных систем: Windows'9x (Windows 95, Windows 98 и их модификаций); Windows NT версии 4.0; UNIX MP-RAS версии 3.02.00.

Безопасность рабочих станций и серверов сети обеспечивается с помощью всевозможных механизмов защиты:

усиленная идентификация и аутентификация,

полномочное и избирательное разграничение доступа,

замкнутая программная среда,

криптографическая защита данных,

другие механизмы защиты.

Администратору безопасности предоставляется единое средство управления всеми защитными механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности.

Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журнале регистрации. О попытках свершения пользователями неправомерных действий администратор безопасности узнает немедленно.

Существуют средства генерации отчетов, предварительной обработки журналов регистрации, оперативного управления удаленными рабочими станциями.  Схема система защиты информации "Secret Net 4.0" представлена на Рис. 2.1.

Компоненты Secret Net

Система Secret Net состоит из трех компонент:
Клиентская часть Сервер безопасности Подсистема управления Особенностью системы Secret Net является клиент-серверная архитектура, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.

Клиентская часть системы защиты

Клиент Secret Net (как автономный вариант, так и сетевой) устанавливается на компьютер, содержащий важную информацию, будь то рабочая станция в сети или какой-либо сервер (в том числе и сервер безопасности).

Основное назначение клиента Secret Net:
Защита ресурсов компьютера от несанкционированного доступа и разграничение прав зарегистрированных пользователей. Регистрация событий, происходящих на рабочей станции или сервере сети, и передача информации на сервер безопасности. Выполнение централизованных и децентрализованных управляющих воздействий администратора безопасности.

Клиенты Secret Net оснащаются средствами аппаратной поддержки (для идентификации пользователей по электронным идентификаторам и управления загрузкой с внешних носителей).

Сервер безопасности

Сервер безопасности устанавливается на выделенный компьютер или контроллер домена и обеспечивает решение следующих задач:
Ведение центральной базы данных (ЦБД) системы защиты, функционирующую под управлением СУБД Oracle 8.0 Personal Edition и содержащую информацию, необходимую для работы системы защиты. Сбор информации о происходящих событиях со всех клиентов Secret Net в единый журнал регистрации и передача обработанной информации подсистеме управления. Взаимодействие с подсистемой управления и передача управляющих команд администратора на клиентскую часть системы защиты.

Подсистема управления Secret Net