• Дисциплины
• Виды работ

Анализ и реинжиниринг системы информационной безопасности на предприятии ГУ Банка России

Курсовой проект - Компьютеры, программирование

Другие курсовые по предмету Компьютеры, программирование

»ьных установок УБР, ТЦОИ и КЦОИ для неиспользуемых в РАБИС-НП и ИСУ ТИР сервисов и приложений, тем выше уровень информационной безопасности.

На объектах автоматизации должны выполняться следующие требования:

1. cерверные вычислительные установки (центральные серверы подсистем обработки информации КЦОИ, серверы доступа, серверы контроля, серверы подсистем УБР и ТУ, серверы средств телекоммуникаций и т.п.) должны располагаться в отдельных помещениях, доступ в которые должен быть максимально ограничен организационно-техническими мерами;
2. для регламентации сетевого доступа к серверам и рабочим станциям подсистем РАБИС-НП должна использоваться сегментация локальных вычислительных сетей соответствующих учреждений и подразделений Банка России (рекомендации по отделению платежных сегментов от других сегментов ЛВС УБР, ТУ, ТЦОИ и КЦОИ);
3. средства управления маршрутизацией должны быть сконфигурированы для маршрутизации только необходимых для функционирования приложений РАБИС-НП и РЗ ИСУ ТИР сетевых сервисов; сетевые пакеты других сетевых служб и протоколов должны отвергаться;
4. работа пользователей, имеющих особые привилегии (администраторов операционной системы, администраторов СУБД, администратора ПО - пользователя xpress, администратора информационной безопасности пользователя security) должна организационно допускаться только с определенных рабочих станций, защищенных средствами защиты информации от НСД с активизированными средствами регистрации;
5. доступ к консолям серверов должен быть ограничен организационно-техническими мерами;
6. на рабочих станциях пользователей, работающих со средствами криптографической защиты информации, должны использоваться средства защиты информации от НСД;
7. на рабочих станциях пользователей должна быть создана изолированная программная среда, позволяющая пользователям выполнять только функции, регламентированные технологическим процессом.

Администраторы ОС USS zOS вычислительных установок, на которых функционируют подсистемы ОИТУ КЦОИ должны обеспечивать выполнение следующих требований:

1. использование служб управления паролями операционной системы и СУБД с обеспечением установленных Банком России требований к парольной защите (длина пароля на менее 8 символов, обязательное наличие букв нижнего и верхнего регистров, цифр и специальных символов, проверка вновь устанавливаемого значения пароля на отличие от ранее использованных значений, срок действительности не более 1 месяца, и т.д.);
2. ограничение списка каталогов, включаемых в переменную окружения PATH, и периодическую проверку всех программ, доступных по этому пути. Особенно тщательно должны быть проверены программы, использующие s-бит. Наличие доступных пользователям прикладных suid- программ, владельцем которых является root, является абсолютно недопустимым;
3. настройку операционной системы UNIX для разграничения доступа групп пользователей в стиле Berkeley;
4. использование в файлах настройки (профайлах) пользователей АРМ КЦОИ, функционирующих в терминальном режиме, маски прав доступа для вновь создаваемых файлов (permission mask) со значением umask=006;
5. ограничение списка доверенных хостов сети (в файлы host-эквивалентности: $HOME/.rhosts, /etc/hosts.equiv могут включаться только установки тестового и технологического комплексов сопровождения ПО);
6. предотвращение возможности выхода пользователя в режим командной строки и возможности одновременной работы двух и более пользователей с одним и тем же именем в операционной системе (обеспечивается включением процедуры singlelogin.sh, поставляемой в составе ТПК РАБИС-НП, в профайлы пользователей терминальных АРМ в качестве последней процедуры, выполняемой при входе пользователя в систему).

При эксплуатации подсистемы КЦОИ следует также учитывать рекомендации, изложенные в отчетных материалах по НИР Применение инструментальных средств управления доступом RACF для построения защищенной среды эксплуатации технико-программного комплекса РАБИС-НП, функционирующего на платформе IBM MP 3000 H50/OS390/Oracle в ГУ Банка России по Нижегородской области, выполненной Институтом проблем информатизации Российской Академии Наук в 2002 году.

1. Применение средств защиты информации от НСД на рабочих станциях пользователей и серверах РАБИС-НП

Для защиты от несанкционированного доступа к ПЭВМ рабочих станций и Intel- серверов подсистем РАБИС-НП, должны использоваться СЗИ от НСД типов: "Аккорд" (ОКБ САПР), "Dallas Lock" (Конфидент) или "Secret Net" (АО Информзащита), или иных, при наличии у них сертификатов, подтверждающих соответствие классу защищенности не ниже четвертого для средств вычислительной техники в среде используемой операционной системы, выданных сертифицирующими органами ФСТЭК России.

В связи с тем, что различные типы СЗИ от НСД используют отличающиеся механизмы реализации сервисов защиты и разные способы администрирования этих сервисов, в настоящем разделе приводятся лишь общие рекомендации по использованию важнейших сервисов защиты, которые предоставляются всеми из указанных выше типов СЗИ от НСД. Конкретные требования к настройке применяемых на объектах автоматизации типов СЗИ от НСД должны разрабатываться подразделениями технической защиты информации региональных УБиЗИ.

В минимальной конфигурации СЗИ от НСД должны обеспечивать:

1. аутентификацию пользователя и предоставление доступа ?/p>
   • Назад
   • 1
   • 2
   • 3
   • 4
   • 5
   • 6
   • 7
   • 8
   • 9
   • 10
   • 11
   • 12
   • 13
   • Далее
   • На последнюю страницу