Разработка защиты персональных данных в медицинской организации
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
трафика из одной сети в другую определяется набором правил политики. Если правило не разрешает явным образом определенный трафик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном. Основными возможностями является регламентация доступа пользователей к различным сетевым ресурсам, контроль IP-трафика, проходящий через каждый сетевой интерфейс сервера.
Основной функцией ViPNet Office Firewall является перехват и фильтрация (пропуск или блокирование) любых IP-пакетов, проходящих через каждый интерфейс (сетевой адаптер) сервера. Настройка ViPNet Office Firewall Linux заключается в выборе для каждого адаптера типового правила фильтрации (называемого режимом безопасности) и модификации его с помощью дополнительных фильтров для конкретных протоколов, адресов и портов. Кроме того, ViPNet Office Firewall поддерживает трансляцию сетевых адресов (NAT).
Для хранения ПДн о сотрудниках используется сервер под управлением сертифицированной Windows Server 2008 с терминальным доступом. На нём установлена 1C Предприятие 8.2 с конфигурацией Бухгалтерия, Зарплата и управление персоналом. Для защиты терминальных сессий используется шифрование канала с помощью SSL на основе российских стандартов шифрования. Использование 1С Предприятия обусловлено его широким распространением и на территории РФ, данное ПО является стандартом в области учёта бизнес-процессов. По сравнению с предыдущими версиями в 8.2 реализованы механизмы идентификации и аутентификации, аудита, а также защита данных.
Для обнаружения сетевых атак целесообразно развернуть систему обнаружения вторжений(NIDS). Они функционируют на сетевом уровне по модели OSI и проводят контроль устанавливаемых соединений, анализ структуры и содержимого сетевых пакетов. Система NIDS анализирует весь проходящий трафик, как на отдельном компьютере, так и на выделенном сервере (шлюз, маршрутизатор).
В качестве системы обнаружения вторжений используется Honeypot Manager. Honeypot Manager имитирует систему хранения данных (СУБД Oracle или файловый сервер) с помощью специальных ловушек (сенсоров), отслеживает активность на ней и уведомляет о фактах НСД к этим данным (рисунок 3.2).
Рисунок 3.2 - Принцип работы IDS Honeypot Manager
дминистратор безопасности владеет информацией о том, кто пытается получить доступ к системе и пытается в настоящее время, а также может определить, перепутал ли сотрудник имя реального сервера и случайно попал на ловушку или действовал преднамеренно и в сети действительно есть нарушители, пытающиеся найти сервера или службы, работающие с данными, представляющими ценность для компании.
Основными функциями продукта являются:
имитация реальных систем хранения данных;
обнаружение и регистрация фактов НСД к данным, имитируемым системой;
оповещение заинтересованных лиц о попытках НСД к этим данным;
возможность восстановления модифицированной нарушителем системы к исходному состоянию;
генерация отчетов о работе системы за определенные периоды времени;
централизованное управление несколькими ловушками (сенсорами);
авторизация и контроль доступа к управлению системой;
механизм контроля работоспособности (диагностика);
гибкая настройка правил реагирования на попытки НСД;
генерация имитационных данных, которые выглядят как реальные;
периодическая смена IP-адресов ловушек (сенсоров). [19].
Для повышения надежности защиты необходимо контролировать всю архитектуру сети, размещая зонды (компьютеры с NIDS) в каждом сегменте сети. Эти компьютеры необязательно должны быть серверами, система NIDS может быть установлена на обычной рабочей станции.
Зонд 1 расположен в зоне максимальной потенциальной сетевой опасности. Здесь анализируется весь входящий и исходящий трафик и велика вероятность большого числа ложных срабатываний. При повышенной нагрузке на сеть возможно возникновение такой ситуации, когда NIDS не сумеет обработать весь поток трафика и произойдет огрубление методов анализа, например, за счет уменьшения числа проверяемых сигнатур.
Зонды 2,3,4 анализируют трафик локальной сети, теоретически являющейся наиболее защищенной зоной. Следует обращать внимание на любую сетевую активность, отличную от обычной. Число ложных срабатываний в этой зоне должно быть наименьшим и потому следует уделять большее внимание сообщениям зондов [19].
3.2 Программные и аппаратные средства защиты ПЭВМ
Для обмена информацией с вышестоящими организациями будет использоваться ViPNet Client, для доступа к защищённой сети медицинских учреждений. ViPNet Client - это программный комплекс для ОС семейства Windows, выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования. Выбор данного средства защиты обусловлен приказом ФОМС, на базе сети которого создаётся защищённая сеть медицинских учреждений.
Клиент состоит из набора взаимосвязанных программных модулей: [Монитор] - совместно с низкоуровневым драйвером шифрования и фильтрации трафика отвечает за реализацию функций:
Персонального сетевого экрана - надежно защищает рабочую станцию/сервер от возможных сетевых атак, как из глобальной (Интернет), так и из локальной сети. При этом:
Осуществляется фильтрация защищенного и открытого трафиков по множеству параметров (белый и черный списки IP