Введение. Использование компьютеров и автоматизированных технологий в сетях связи специального назначения (СССН) усложняет задачу по обеспечению защиты от несанкционированного доступа (НСД). Компьютеры, объединенные в инфокоммуникационную сеть, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому возникает необходимость обеспечения безопасности информации и снижении или исключении рисков, связанных с предоставлением прав доступа пользователей сети к конфиденциальным, персональным или другим критическим данным.
Цель работы. Целью нашей научной работы является разработка сетевой защиты от НСД которая позволит существенно снизить уязвимость обрабатываемой информации от несанкционированных воздействий пользователей.
В настоящей статье решается задача разработки наиболее оптимальной защиты информации от несанкционированного доступа к данным и хакерским атакам в сетях связи специального назначения с использованием сертифицированных средств защиты информации, на основе фрагмента корпоративной сети СПБГУТ, обеспечивающей подключение ЛВС Института Военного Образования.
Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Защита информации от НСД включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.
Рис. 1. Типовая сеть передачи данных
На рис. 1 представлена типовая сеть передачи данных. Данная сеть предоставляет возможность файлового обмена информацией, а также все виды высокотехнологичных услуг связи.
Для достижения цели нашей работы, мы рассмотрим данную сеть на предмет уязвимостей к несанкционированному доступу к информационным ресурсам сети.
Такое типовое построение сети имеет ряд существенных недостатков:
-
Информационные ресурсы сети хранятся на компьютерах пользователей.
-
Отсутствует единая система идентификации и аутентификации пользователей.
-
Отсутствует контроль за подключением периферийных устройств.
-
Отсутствует контроль за интернет трафиком.
-
Отсутствует единая антивирусная защита.
-
Нет разграничения допуска пользователей к файлам различной степени секретности.
-
Отсутствует контроль за информацией, выводимой на печать.
-
Не ведётся журнал событий СПД.
-
Отсутствует возможность создания замкнутой программной среды.
-
Не ведется контроль над аппаратной составляющей рабочих станций.
В ходе анализа существующих методов защиты информации от НСД был выбран метод построения защиты с применением аппаратно-программного комплекса, представленного на рисунке 2, включающего в себя:
-
Контроллер домена Active Directory,
-
Сервер Secret Net и Zlock RV,
-
Сервер антивирусной защиты.
Рис. 2. Программно-аппаратный комплекс защиты от НСД
Active Directory («Активный каталог», AD) – Данное программное средство будет использовано, в первую очередь, для создания единой системы авторизации и контроля за учётными записями пользователей, а также для управления возможностями пользователей, посредством групповых политик, помимо этого посредством AD возможен контроль за программным обеспечением пользователей, его установкой или удалением[4].
Secret Net – Специальное программное обеспечение (СПО), которое является средством защиты информации (СЗИ) от НСД. СПО предназначено для разграничения доступа к защищаемым информационным ресурсам СССН, обеспечения контроля их целостности, а также регистрации и учета фактов НСД[2].
Zlock RV – СПО, предназначеное для разграничения доступа к аппаратным ресурсам сети, а также контроля действий пользователей сети с файлами на флеш- и USB-запоминающих устройствах, а так же печати документов.
Сервер антивирусной защиты – Представляет собой комплекс СПО, состоящий из СПО серверной части – Kaspersky Security Center и СПО клиентской части – Kaspersky Endpoint Security Center который предназначен для защиты от вирусных угроз в СССН[1].
Центр хранения и обработки данных – является серверной машиной, доступ к данным на которой предоставляется только авторизированным пользователям, согласно их уровню допуска.
Использование ЦХОД позволяет централизовать доступ пользователей к охраняемым информационным ресурсам сети, при введении системы двойной авторизации степень защищённости данных, имеющих уровень доступа значительно возрастает. Хранение данных таким образом значительно упрощает защиту от НСД.
Вариант построения СПД с интегрированным модулем защиты от НСД и централизованной системой хранения данных (ЦСХД) реализован и опробован на фрагменте корпоративной сети СПБГУТ, обеспечивающей подключение ЛВС Института военного образования. Вариант построения СПД с интегрированным модулем защиты от НСД и ЦСХД представлен на рис. 3.
Рис. 3. СПД с интегрированным модулем защиты от НСД и ЦСХД
Результаты. Выбранная нами схема построения сетевой защиты от НСД пользователей позволяет обеспечить практически полный контроль за действиями пользователей в сети, заранее предотвратить факты несанкционированного доступа, следить за изменением и перемещением информации внутри сети, ограничить доступ пользователям к информации в зависимости от степени её важности, выявлять случаи применения запоминающих флеш и USB устройств.
Вывод. Применение данной схемы построения сети обеспечивает высокую степень защиты данных в сети от НСД, не требует больших аппаратных мощностей, является удобной в управлении и обслуживании.
Библиографический список
- Kaspersky.ru [электронный ресурс] Спецификация и возможности поставляемого ПО. – Режим доступа: http://www.kaspersky.ru/security-center
- Securitycode.ru [электронный ресурс] Спецификация и возможности поставляемого ПО. – Режим Доступа: http://www.securitycode.ru/products/secret_net/
- Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации Классификация по уровню контроля отсутствия недекларированных возможностей. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114
- microsoft.com [электронный ресурс] Спецификация и возможности поставляемого ПО. – Режим доступа: https://technet.microsoft.com/ru-ru/windowsserver/dd448614.aspx