Система идентификации и аутентификации в программно-аппаратных комплексах

Содержание
Введение 3
1.Назначение и цели автоматизированной системы защиты информации 6
1.1. Анализ нормативных документов в области защиты информации 6
1.2. Общие положения классификации систем защиты информации 15
1.3.Описание целей и задач проектирования 23
2.Описание предметной области 25
2.1. Общая характеристика предприятия 25
2.2. Характеристика структуры автоматизированной системы ООО "Траскон Текнолоджи" 29
2.3. Анализ системы информационной безопасности ООО "Траскон Текнолоджи" 37
2.4. Существующая технология авторизации и аутентификации в условиях «Траскон Текнолоджи» 44
3. Проектная часть 47
3.1. Внедрение системы аутентификации с использованием электронных ключей 47
3.2. Совершенствование системы авторизации и аутентификации с использованием КСЗИ «Панцирь-К» 54
Заключение 60
Список использованных источников 62
 

Ответственность за нарушение требований защиты информации в отделеСпециалист отделаКонтроль за выполнением требований защиты информации на рабочем местеОтветственность за нарушение требований защиты информацииДля ознакомления пользователей с требованиями защиты информации под роспись предлагаются следующие документы:Временная инструкция по авторизации пользователей регионального сегмента АИС ООО «Траскон технолоджи»Памятка пользователям информационной системы ООО «Траскон технолоджи» по вопросам информационной безопасности.Памятка руководителям структурных подразделений ООО «Траскон технолоджи» по вопросам информационной безопасности.Инструкция о порядке учёта, хранения и обращения машинных носителей информации в подразделениях ООО «Траскон технолоджи».Положение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях ООО «Траскон технолоджи».Инструкция о пропускном и внутриобъектовом режиме охраны здания и внутренних помещений в подразделениях ООО «Траскон технолоджи».Положение о работе с персональными данными работников в подразделениях ООО «Траскон технолоджи».Положение о порядке отнесения информации в подразделениях ООО «Траскон технолоджи» к конфиденциальной.Реестр документов, образующихся в деятельности в подразделениях ООО «Траскон технолоджи», относящихся к утвержденному перечню сведений конфиденциального характера.Листы ознакомления с данными документами передаются специалисту отдела кадров.При приеме на работу специалист, выполняющий работу с конфиденциальными данными, подписывает «Обязательство о неразглашении».Перечень документов, регламентирующих деятельность предприятия в области защиты персональных данных, приведен в таблице 2.6. Таблица 2.6 - Перечень документов, регламентирующих деятельность ООО «Траскон технолоджи» в области персональных данныхНаименование документаГде издано«Инструкция по пропускному и внутриобъектовому режиму»Руководство ООО«Инструкция по авторизации пользователей»Руководство ОООПоложение о порядке отнесения информацииООО «Траскон технолоджи» к конфиденциальнойРуководство ОООПеречень сведений конфиденциального характера, образующихся в результате деятельности ООО «Траскон технолоджи»подразделения ОООПеречень защищаемых информационных и коммуникационных ресурсовлокальной вычислительной сети подразделения ООО «Траскон технолоджи»подразделения ОООПоложение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях ООО «Траскон технолоджи»подразделения ОООПоложение по защите информационных ресурсов от несанкционированного доступа (НСД) в подразделениях ООО «Траскон технолоджи»подразделения ОООПамятка пользователям информационной системы по вопросам информационной безопасностиподразделения ОООПоложение о работе с персональными данными работников ООО «Траскон технолоджи»подразделения ОООДля технологического обеспечения требований защиты конфиденциальности информации в подразделениях ООО «Траскон технолоджи» используются средства автоматизации, описание которых приведено в таблице 2.6. Введение в эксплуатацию каждого из программно-технических средств определяется локальным документом. Таблица 2.6 - Описание технологических средств защиты информацииНазвание программно-технического средстваФункцияРегламентирующий документЭлектронный ключ eTokenЗащита автоматизированной системы от несанкционированного доступа, средство аутентификации пользователя, парольный менеджер«Положение об использовании электронных ключей в подразделениях ООО «Траскон технолоджи»Средства криптозащиты (Verba, VipNet)Защита данных при передаче по каналам связи, использование электронно-цифровой подписи«Положение об использовании средств криптографической защиты информации в подразделениях ООО «Траскон технолоджи», «Акты ввода в эксплуатацию криптосредства»ПО «Учет объектов защиты информации»Ведение учета объектов защиты информации«Положение об использовании средств криптографической защиты информации в подразделениях ООО «Траскон технолоджи»Биометрический сканер BioLinkЗащита от несанкционированного доступа на уровне сканирования отпечатка пальцев«Положениепо защите информационных ресурсов от несанкционированного доступа (НСД) в подразделениях ООО «Траскон технолоджи»Ежегодно специалистами отдела по защите информации проводится обучение пользователей информационной системы технологии работы по соблюдению конфиденциальности информации с использованием программных средств с последующим проведением тестирования. Данные мероприятия регламентируются «Порядком организации занятий с сотрудниками ООО «Траскон технолоджи», по вопросам защиты информации».2.4. Существующая технология авторизации и аутентификации в условиях «Траскон Текнолоджи»Авторизация – предоставление доступа к защищаемому ресурсу в соответствии с уровнем полномочий.Аутентификация – процесс проверки принадлежности субъекту доступа предъявленного им идентификатора; т.е. проверка подлинности пользователя с помощью предъявляемого им аутентификатора.Аутентификатор – 1) отличительный, никому более не присущий признак субъекта доступа (пользователя); 2) техническое устройство индивидуального использования, служащее для хранения и ввода в ПК отличительного признака (аутентификатора) субъекта доступа [7, c.95].Рассмотрим существующую технологию авторизации и авторизации пользователей в информационной системе ООО «Траскон технолоджи».В таблице 2.7 приведено описание технологии авторизации пользователей ООО «Траскон технолоджи».№Уровень авторизацииТип авторизацииСфера использования1Вход в BIOSПарольНастройка рабочих станций2Вход в доменПарольРабочие станции пользователей3Вход в программные комплексыПарольРабочие станции пользователей4Авторизация в криптографических системахПин-кодРабочие станции пользователей, работающих с криптографическими системами5Авторизация на сервере (терминальный доступ)ПарольРабочие станции пользователей 1С, ИТ-специалистов6Авторизация в системе администрирования системы видеонаблюдения, СКУДПарольРабочие станции ИТ-специалистов7Вход в настройки антивирусного ПОПарольРабочие станции пользователей, ИТ-специалистовВ ходе анализа существующей технологии авторизации и аутентификации были отмечены следующие недостатки:- многофакторная аутентификация. Каждому пользователю приходится набирать множество паролей в каждый из используемых программных комплексов, а также для входа в домен;- отмечены случаи передачи пользовательских паролей между специалистами (на период отсутствия основного специалиста замещающие входят в систему под паролем отсутствующего пользователя, что является грубым нарушением требований конфиденциальности и показателем формального отношения пользователей к требованиям информационной безопасности);- отсутствие контроля сроков действия паролей, что приводит к компрометации паролей и снижает общую защищенность системы;- отсутствие контролей сложности паролей (зачастую пользователи устанавливают себе пароли, соответствующие дате рождения или просто в виде имен или цифровых значений);- отсутствие контроля оборота парольной документации. Вследствие многочисленности паролей пользователи хранят парольные карточки на видном месте, тем самым значительно повышая уязвимость системы;- возможность авторизации пользователей на рабочих станциях, где их не предусмотрена их технология работы, что повышает уязвимость системы от инсайдерской активности;- не отключена учетная запись Гостя, отсутствие пароля на вход локального администратора;- доменные имена и учетные записи пользователей не формализованы, что затрудняет процесс анализа активности пользователей;- отсутствие усиленной авторизации на серверах.Таким образом, в условиях ООО «Траскон текнолоджи» хоть и присутствует система парольной защиты, обеспечивающая возможность авторизации пользователей, но ее работу нельзя признать эффективной, так как не обеспечивается полномерное выполнение задач, для которых она предназначена. Система является достаточно уязвимой перед нарушителями – инсайдерами, нарушителями – сторонними пользователями и необходимо принятие мер по совершенствованию технологии авторизации и аутентификации. 3.Проектная часть3.1. Внедрение системы аутентификации с использованием электронных ключейВ рамках совершенствования технологии авторизации и аутентификации пользователей предлагается использование аппаратных аутентификаторов – электронных ключей eToken.Использование электронных ключей позволит решить следующие проблемы:- все пользовательские пароли хранятся на ключе, для входа в систему пароль приходится набирать только один раз - к самому ключу;- электронные ключи управляются централизованно и, при отсутствии пользователя могут быть централизованно заблокированы, что исключает проблему передачи паролей между пользователями;- централизованное управление ключами также позволяет управлять их содержимым –устанавливать сроки действия паролей, степень их сложности;- возможность протоколирования работы пользователя с системой, что позволит анализировать инциденты, связанные с нарушениями требований аутентификации;- пользователь несет персональную ответственность за работу с электронным ключом и обязан обеспечить его хранения в недоступном месте, факт передачи электронного ключа должен расследоваться с принятием соответствующих управленческих решений (факты передачи электронного ключа, в отличие от передачи парольной карточки, можно легко расследовать, так как на сервере управления ключами ведутся протоколы активности пользователей);- возможность хранения закрытых ключей ЭЦП на электронном ключе также повышает защищенность системы от угроз компрометации.eToken – персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭЦП. eToken выпускается в форм-факторе USB-ключа. eToken обладает защищённой энергонезависимой памятью и используется в качестве портативного хранилища секретных данных (ключей шифрования, имён пользователя, паролей, учётных записей, сертификатов и пр.).Для получения доступа к защищённым данным, хранящимся в памяти eToken, требуется ввести PIN_код (Personal Identification Number, eToken password), являющийся аналогом пароля. PIN_код должен содержать последовательность из восьми или более символов, включающую буквы, цифры и специальные символы. Русские буквы и пробелы в PIN_код включать не рекомендуется.Для использования eToken персональный компьютер должен удовлетворять следующим минимальным требованиям:установленная операционная система Windows XP/7/8 или Windows Server 2003/2008;10 МБ свободного места на жёстком диске;наличие свободного работающего порта USB;Рассмотрим основные режимы работы с настройками электронных ключей.Программное обеспечение, используемое для управления электронными ключами - IndeedID. На рис.3.1. приведена схема централизованного управления. Как показано на рис.3.1, в случае утери ключа информация, содержащаяся на нем не теряется, так как физически она хранится на сервере управления Indeed-ID, а eToken служит только для авторизации и получения информации с данного сервера. Технологическая схема смены паролей с использованием технологии электронных ключей показана на рис.3.2.Рис.3.1. Схема управления электронными ключамиРис.3.2. Технологическая схема смены паролей с использованием технологии электронных ключейКак показано на рис.3.2, в предлагаемой технологии исключена возможность аутентификации в программном комплексе без электронного ключа, так как пользователь не будет знать своих паролей в программных комплексах.Далее рассмотрим режимы настройки работы электронного ключа. На рис.3.3 показан режим пользовательских учетных записей.Рис.3.3. Режим пользовательских учетных записейКак показано на рис.3.3, в данном случае на электронном ключе хранится 5 профилей к различным прикладным программным решениям. На рис.3.4 показаны настройки электронного ключаРис.3.4. Настройки электронного ключаКак показано на рис.3.5, программное обеспечение по управлению электронными ключами позволяет управлять параметрами паролей: сложностью, сроком действия, повторяемостью, учета символов в различно регистре.Рис.3.5. Расширенные настройки электронного ключаНа рис.3.6 показан режим настройки профиля программного обеспечения текущего пользователя.Рис.3.6. Настройка профиля программного обеспеченияКроме того, для формализации пользовательских учетных записей предлагается ввести требования к кодировке имен входа:uXX_NN, XX – код отдела, NN – номер специалиста в отделе.Например, логин руководителя будет иметь вид u01_01, главного бухгалтера – u02_01, начальника отдела информационной безопасности – u08_01.Таким образом, использование электронных ключей позволит совершенствовать систему аутентификации пользователей в программных комплексах.3.2. Совершенствование системы авторизации и аутентификации с использованием КСЗИ «Панцирь-К»При всех достоинствах использования электронных ключей их применение не решает следующих проблем:- невозможно предотвратить вход с действующим электронным ключом на рабочую станцию, которая не предусмотрена технологией работы специалиста, что предполагает необходимость защиты от активности инсайдеров;- невозможно предотвратить вход с учетными записями локального администратора или гостя.Наличие активных учетных записей Гостя и Администратора опасно также тем, что их может использовать вредоносное программное обеспечение. Защиту от данных типов угроз предполагается реализовать с использованием КСЗИ «Панцирь-К».Основные функции КСЗИ «Панцирь-К»:- настройки авторизации пользователей на рабочих станциях, то есть на каждом из компьютеров можно включить возможность авторизации только определенных пользователей;- протоколирование работы пользователей, в том числе с автоматическим сохранением снимков экрана и протоколированием работы клавиатуры;- контроль функционирования и модификации системных файлов;- возможность централизованно завершить сеанс пользователя в случае необходимости (например, в случае несанкционированного входа в систему);- защита установленного ПО от несанкционированного удаления (то есть пользователь самостоятельно даже с правами администратора не сможет удалить КСЗИ «Панцирь-К», а также программные продукты, определенные администратором системы).На рисунке 3.7 приведено окно запуска системы КСЗИ «Панцирь-К». Рисунок 3.7. Окно запуска КСЗИ «Панцирь-К»Рисунок 3.8. Настройки контроля целостностиРисунок 3.9. Настройка аудита действий пользователяТаким образом, в случае возникновения инцидентов, связанных с нарушением требований к аутентификации, существует возможность предъявления протоколов его действий.Настройка контроля учетных записей пользователей приведена на рисунке 3.10. В данном режиме есть возможность контроля типов авторизации – с использованием вода пароля с консоли или использования смарт-карт, контролировать активность встроенных учетных записей, которые зачастую используются вредоносным ПО.Таким образом, даже в случае вирусного заражения, активность вредоносного ПО, использующего учетные записи локального администратора или гостя, блокируется.Рисунок 3.10. Настройка контроля учетных записей пользователейТакже использование данного ПО позволяет управлять доступом:- к сетевым ресурсам;- к буферу обмена;- к подключенным устройствам;- к файловой системе;- другим ресурсам.Данные сервисы позволяют блокировать активность вредоносного ПО, функционал которого связан с указанными ресурсами.Рисунок 3.11. Настройка управления доступомТакже использование данного КСЗИ позволяет контролировать использование файла подкачки, который также может использоваться вредоносным ПО.Рисунок 3.12. Дополнительные настройкиТаким образом, сформулированные в рамках данной работы проблемы технологии аутентификации пользователей в условиях ООО «Траскон Текнолоджи», могут быть минимизированы при использовании электронных ключей и КСЗИ «Панцирь-К».Однако при проектировании любой системы информационной безопасности является человеческий фактор и, для обеспечения гарантий информационной безопасности в первую очередь, необходимо обеспечить дисциплину работы среди специалистов.ЗаключениеПолитика информационной безопасности в информационных системах предприятий имеет множество аспектов и в рамках одной дипломной работы невозможно охарактеризовать ее в полном объеме.В рамках данной работы рассмотрены анализа системы авторизации и аутентификации в условиях информационной системы ООО «Траскон Технолоджи».В ходе работы над проектом был проведен анализ архитектуры системы информационной безопасности предприятия. Показано, что комплексная система защиты информации включает в себя организационных и технологические решения. Пренебрежение каким-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом. Аудит информационной системы показал, что существующая система относится к классу К3, и требования к защите системы должны соответствовать данному стандарту.Далее был проведен анализ системы авторизации и аутентификации в условиях информационной системы предприятия. Показано, что в существующей системе технология авторизации хоть и является удовлетворительной, но отмечаются системные проблемы, связанные с наличием ряда уязвимостей. Показано, что в существующей системе существует многофакторная аутентификация. В среднем на каждого пользователя приходится по 5-6 паролей, отмечаются многочисленные факты передачи паролей между пользователями, нарушения режима хранения парольных карточек, отсутствует контроль сроков смены паролей, а также их сложности, не отключены встроенные локальные учетные записи. Все перечисленные недостатки в сумме повышают уязвимость системы информационной безопасности предприятия. В качестве мер совершенствования системы антивирусной защиты были предложены:- использование персональных аутентификаторов – электронных ключей, что позволит решить проблемы многофакторной аутентификации, дает возможности централизованного управления учетными записями и самими электронными ключами;- использование системы КСЗИ «Панцирь-К» для совершенствования системы информационной безопасности в части управления процессом аутентификации (администратор определяет только тех пользователей, которые могут работать с указанной рабочей станцией), а также ряд других возможностей.Список использованных источниковБаймакова, И.А.. Обеспечение защиты персональных данных– М.: Изд-во 1С-Паблишинг, 2010. – 216 с.Гашков С.Б., Применко Э.А., Черепнев М.А. Криптографические методы защиты информации. – М.: Академия, 2010. – 304 с.Герасименко В.А., Малюк А.А. Основы защиты информации. - М.: МИФИ, 1997. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. – М.: Академия, 2009. – 416 с.Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.Демин, Ю.М. Делопроизводство, подготовка служебных документов - С-Пб, 2003. – 201 с.Дудихин В.В., Дудихина О.В. Конкурентная разведка в Internet. Советы аналитика – М:. ДМК Пресс, 2002. – 192 с.Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.Защита информации в системах мобильной связи. Учебное пособие. – М.: Горячая Линия - Телеком, 2005. – 176 с.Комплексная система защиты информации на предприятии. Часть 1. – М.: Московская Финансово-Юридическая Академия, 2008. – 124 с.Корнеев И.К, Степанов Е.А. Защита информации в офисе. – М.: ТК Велби, Проспект, 2008. – 336 с.Кузьмин, И. Внимание! Сведения конфиденциальные // Российская юстиция. 2002 - 4Куракин П.В. Контроль защиты информации // Кадровое дело. 2003 - 9Максименко В.Н., Афанасьев, В.В. Волков Н.В. Защита информации в сетях сотовой подвижной связи. – М.: Горячая Линия - Телеком, 2007. – 360 с.Малюк А.А, Пазизин С.В, Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая Линия - Телеком, 2011. – 146 с.Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие. – М.: Горячая Линия - Телеком, 2004. – 280 с.Петраков А.В. Основы практической защиты информации. Учебное пособие. – М.: Солон-Пресс, 2005. – 384 с.Проектирование экономических систем: Учебник / Г.Н. Смирнова, А. А.Сорокин, Ю. Ф. Тельнов – М.: Финансы и статистика, 2003. Ситникова, Е. Дисциплинарная ответственность работника // Кадровое дело. 2003 - 1 Степанов, Е. Защита информации при работе с ЭВМ // Кадровое дело. 2001 - 2Сурис М.А., Липовских В.М. Защита трубопроводов тепловых сетей от наружной коррозии. – М.: Энергоатомиздат, 2003. – 216 с.Трудовой кодекс Российской Федерации: федер. закон от 30дек. 2001 г. № 197-ФЗ (ред. от 30.12.2006)//СЗРФ.—2002.—№ 1 (ч. 1).—Ст. 3Федоров А. В. Проектирование информационных систем. М.: Финансы и статистика, 2003.Хорев П.Б. Методы и средства защиты информации в компьютерных системах. – М.: Академия, 2008. – 256 с.Хорев П.Б. Программно-аппаратная защита информации. – М.: Форум, 2009. – 352 с.Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. – М.: Форум, Инфра-М, 2010. – 592 с.