Меры программно-технического уровня
Главная » Аудит ИБ » Разработка рекомендаций » Меры программно-технического уровня

Рекомендуемые меры программно-технического уровня

Программные и технические средства защиты призваны устранить недостатки организационных мер, поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить возможность неумышленных нарушений регламента со стороны персонала и пользователей системы.

Программно-технические меры защиты основаны на использовании раз-личных электронных устройств и специальных программ, входящих в состав АС и выполняющих функции защиты.

Рекомендуемые меры программно-технического уровня включают в себя:

  1. Установка камер видеонаблюдения;
  2. Установка новой пожарной сигнализаций;
  3. Установка несгораемых сейфов для хранения твердых копий документов;
  4. Сделать систему защищенного документооборота при работе с твердыми копиями и электронными документами с использование электронно цифровой подписи (ЭЦП);
  5. Установка программно-аппаратной системы защиты информации;
  6. Введение доменной структуры сети с контроллером домена;
  7. Введение групповых политик на сервере;
  8. Установка почтового сервера;
  9. Установка веб-сервера, сервера базы данных и прокси сервера;
  10. Установка DNS и DHCP серверов;
  11. Замена концентраторов класса 2 и сквозного коммутатора на один коммутатор с буферной памятью для предотвращения коллизий в локально-вычислительной сети компании;
  12. Введение полнодуплексного режима обмена пакетами между абонентами локально-вычислительной сети;
  13. Установка стойких паролей;
  14. Установка кластера на сервере;
  15. Использовать встроенную в BIOS систему разграничения доступа при загрузке;
  16. Использовать встроенные в операционную систему средства блокировки сеанса пользователя;
  17. Программное или техническое отключение возможности загрузки операционной системы с внешнего носителя;
  18. Установка металлических дверей с замком в помещения с ценной информацией;
  19. Использование резервного канала передачи данных;
  20. VPN соединение должно быть защищено с помощью SSL/TSL;
  21. Запрет cookie и cache веб-содержимого;
  22. Хеширование всех паролей перед их сохранением;
  23. Шифровка ценных данных и телефонных разговоров.

Топология локально-вычислительной сети компании ООО «Триалта» на рис.2, принимая во внимание все рекомендуемые контрмеры программно-технического уровня, примет вид как показано на рис.13.

Практически любая ЛВС компании не может нормально функционировать и предоставлять необходимый уровень безопасности без использования доменной структуры. Никакой другой способ работы сети не может обеспечить нормального уровня контроля пользователей и всего, что происходит в сети. По этой причине установка контроллера домена – просто необходимая мера обеспечения работоспособности локально-вычислительной сети.

Изменённая ЛВС компании

Рис.13. Изменённая ЛВС компании ООО «Триалта»

На рис.13 представлена топология ЛВС компании ООО «Триалта» основанная на доменной структуре, где есть один компьютер сервер с серверной операционной системой Windows Server 2008, а на нём установлены такие роли как:

  1. Контроллер домена Active Directory ,позволяющий создавать и хранить данные об учётных записях сетевых пользователей, обеспечивать им доступ к ресурсам сети компании ООО «Триалта» на основе определяемых прав;
  2. Веб сервер IIS7, система развёртывания веб-приложений и обеспечения доступа к ним с применением существующих механизмов;
  3. Прокси сервер управляющий входящим и исходящим трафиком интернета в локально-вычислительной сети;
  4. Почтовый сервер обеспечивающий прием и передачу электронных писем сотрудников компании ООО «Триалта»;
  5. Сервер базы данных, обслуживающий базу данных и отвечающий за целостность и сохранность данных, а также обеспечивающий операции ввода-вывода при доступе сотрудников компании ООО «Триалта» к информации;
  6. DNS сервер, доменная система имен предназначена для преобразования доменных имен в IP-адреса, либо наоборот - IP-адресов в доменные имена;
  7. DHCP сервер, с помощью которого настраивается система динамической IP-адресации, а также правила выдачи IP-адресов согласно существующим спискам или диапазонам;
  8. Файловый сервер, система хранения и доступа к общим файловым ресурсам, которая даёт возможность производить синхронизацию содержимого разных копий и поиск файлов, управлять общими папками.

Доменная структура подразумевает наличие опытного системного администратора, который будет нести ответственность за состояние ЛВС, сервера и компьютеров пользователей. При приме на работу такого человека нужно в письменном виде зафиксировать его должностные обязанности, права и ответственность за неисполнение или ненадлежащее исполнение своих должностных обязанностей.

Как видно на рис.13 два концентратора и сквозной коммутатор были заменены на коммутатор с буферной памятью (см. приложение, рис.20 ), отличие заключается в том что предыдущие устройства использовали широковещательный метод передачи пакетов в ЛВС.

Чтобы избежать коллизии, нужно ввести полнодуплексную систему передачи пакетов в ЛВС, когда пользователи смогут одновременно принимать и отдавать пакеты в ЛВС.

Для предотвращения перехвата трафика и сетевых атак нужно установить сетевые экраны, т.е. программно-аппаратную систему защиты в ЛВС. Все ценные данные нужно зашифровывать. Все пароли нужно хранить не в явном виде, а сначала их хешировать, кроме того групповой политикой должно быть определена стойкость пароля. Групповая политика должна чётко определить круг лиц, которым разрешен или запрещён доступ к той или иной информации, а также ресурсам ЛВС компании ООО «Триалта».


Поиск информации на сайте Пожалуйста, введите запрос и нажмите «Найти!»