Для решения задачи по защите от вредоносного ПО используется антивирусное программное обеспечение производства Лаборатории Касперского Kaspersky Endpoint Security.
В целях предоставления единой точки обновлений антивирусного ПО без необходимости выхода в сеть Интернет защищаемых ресурсов, внутри ЛВС развернуто ПО Kaspersky Security Center из состава пакета Kaspersky Endpoint Security (Стандартный). В качестве платформы для этого продукта используется сервер общего назначения под управлением ОС Windows 7.
Антивирусную защиту серверов и рабочих станций осуществляет ПО Kaspersky Endpoint Security (Стандартный).
В режиме расширенной антивирусной защиты приложение выявляет и удаляет как однозначно вредоносные, так и потенциально опасные программы.
Управление работой приложения происходит удалённо, с использованием веб-интерфейса, а также традиционно Ї через единый конфигурационный файл.
В случае детектирования инфицированного объекта он блокируется, и пользователь получает уведомление в виде уведомления, содержание, формат и язык которого задает администратор системы.
Приложение позволяет создавать статистические отчеты, с помощью которых администратор может находить вирусную активность и контролировать работу приложения.
Защита от утечек информации, аппаратных сбоев, ошибок ввода-вывода и необрабатываемых сбоев обеспечивает стабильную работу и высокую производительность приложения.
Подсистема разграничения доступа
Подсистема разграничения доступа обеспечивает защиту технических средств системы от различных видов физического и логического несанкционированного доступа.
Для построения подсистема разграничения доступа используется средство защиты информации от несанкционированного доступа (далее - СЗИ от НСД) Dallas Lock 8. 0-K для защиты рабочих станций.
Архитектура СЗИ от НСД Dallas Lock 8. 0-K предусматривает наличие клиентской части и средства централизованной настройки и управления.
Основными функциональными характеристиками СЗИ от НСД Dallas Lock 8. 0-K являются:
регистрация различных пользователей: локальных, доменных, сетевых. Определение количества одновременных сеансов для пользователя;
идентификация и проверка подлинности пользователей при входе в операционную систему. Возможность двухфакторной идентификации по паролю и аппаратному идентификатору. Возможность записи авторизационных данных в идентификатор;
реализация настроек сложности паролей и механизм генерации пароля, соответствующего настройкам;
реализация независимого от ОС механизма разграничения прав доступа к объектам файловой системы, к запуску программ и к печати документов;
предотвращение утечки информации с использованием сменных накопителей. Разграничение доступа к отдельным типам накопителей и к конкретным экземплярам;
дискреционный принцип контроля доступа, который обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списками пользователей (групп) и их правами доступа (матрица доступа) ;
регистрация и учет (аудит) действий пользователей, независимыми от ОС средствами (вход/выход пользователей, доступ к ресурсам, печать документов с возможностью добавления штампов и сохранение теневых копий распечатываемых документов, запуск\остановка процессов, администрирование). Возможность организации замкнутой программной среды (ЗПС) и различные способы её организации;
возможность локального и удалённого администрирования (управление пользователями, политиками безопасности, правами доступа, аудитом, просмотр журналов) ;
возможность контроля целостности программно-аппаратной среды при загрузке ПЭВМ, по команде администратора и по расписанию. А также контроль целостности файлов при доступе и блокировка входа в ОС при выявлении изменений;
очистка остаточной информации (освобождаемого дискового пространства, зачистку определённых файлов и папок по команде пользователя), а также возможность полной зачистки дисков и разделов. Запрет смены пользователей без перезагрузки;
возможность сохранения теневых копий распечатываемых документов;
централизованное управление защищёнными рабочими станциями при помощи специального модуля. С помощью этого модуля осуществляется централизованное управление учётными записями пользователей, политиками, правами пользователей. периодический сбор журналов со всех защищённых рабочих станций;
блокировка доступа к файлам по расширению;
преобразование данных в файл-контейнер для хранения их на внешних носителях либо для передачи по различным каналам связи. Возможность использования встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера;
возможность подключения аппаратных средств считывания индивидуальных идентификаторов пользователей, включая идентификаторы USB-flash-накопители, Touch Memory (iButton), eToken Pro/Java (в том числе смарт-карты eToken), JaCard, Rutoken, Rutoken ЭП.
СЗИ от НСД Dallas Lock 8. 0-K имеет сертификат ФСТЭК России №2720 от 25. 09. 2012г. до 25. 09. 2015г. на соответствие требованиям, предъявляемым к СВТ (средствам вычислительной техники) 5 класса защищенности и отсутствие недекларированных возможностей 4 уровня.
Подсистема контроля защищённости осуществляет контроль системного и прикладного ПО информационной системы на наличие уязвимостей и на предмет правильности настроек безопасности. В перечень объектов контроля входят операционные системы рабочих станций и серверов, СУБД, а также коммуникационное оборудование и средства защиты информации.
Решение по управлению уязвимостями сетевых узлов реализовано на базе средства анализа защищенности RedCheck производства компании «АлтексСофт», обеспечивающего выполнение следующих функций:
идентификация уязвимости в приложениях, СУБД и операционной системе;
аудит установленных обновлений;
инвентаризации локальной вычислительной сети;
проверка сложности пароля;
проверку хранимых процедур и настроек безопасности СУБД Microsoft SQL Server 2005/2008/2012 касающиеся сетевого взаимодействия СУБД, систем аутентификации, механизмов разграничения доступа, прав и привилегии пользователей.
RedCheck имеет сертификат ФСТЭК России №3172 от 23. 06. 2014г. до 23. 06. 2017г. на отсутствие не декларированных возможностей 4 уровня и может применяться в информационных системах персональных данных, требующих обеспечения 1-го уровня защищённости, а также государственных информационных системах 1 класса.
3. 3. 6. Подсистема регистрации и учета
Подсистема регистрации и учета предназначена для регистрации информации о событиях ИБ от различных сетевых узлов информационной системы системы112, в том числе от сетевых средств защиты информации в соответствии с требованиями действующего законодательства РФ в области защиты информации.
В целях оптимизации финансовых затрат для решения указанных задач используются встроенные в СЗИ средства регистрации и учета.
Подсистема управления информационной безопасностью
Для управления программно-аппаратным комплексом ViPNet Coordinator HW 1000 и VipNet IDS1000 используется ПО ViPNet Administrator. ViPNet Administrator служит для создания VPN-сети на основе ПО ViPNetCUSTOM и для управления этой сетью (добавление, удаление, изменение объектов сети, настройка их параметров работы, контроль их работоспособности и др.), включающий в себя:
ViPNet NCC (Центр Управления Сетью, ЦУС) Ї ПО, предназначенное для конфигурирования и управления защищенной сетью ViPNet;
ViPNet KC & CA (Удостоверяющий и Ключевой Центр, УКЦ) Ї ПО, выполняющее функции центра выработки ключей шифрования и персональных ключей пользователей.
Для управления СЗИ от НСД используется ПО Сервер Безопасности Dallas Lock.
Для управления антивирусным ПО используется Kaspersky Security Center.
Дополнительно для защиты АРМ инженера по информационной безопасности в техническом решении применен «Электронный замок «Соболь» (ПАК «Соболь» версии 3. 0.), описание которого приведено в томе НСВТ. 425790. 103. П9. «Описание КТС»
3. 4. Взаимосвязь с внешними подсистемами
К внешним системам относятся:
внешние сети передачи данных;
телекоммуникационное оборудование;
система электропитания и заземления.
Защита ИСПДн при подключении к открытой сети, внешним сетям передачи данных осуществляется только при установке средств межсетевого экранирования.
Электропитание оборудования должно осуществляться от однофазной (трехфазной) сети переменного тока 220 В, 50 Гц.
Для бесперебойного питания оборудования должны использоваться источники бесперебойного питания.
Рисунок 3. 1 - Схематичная структура взаимодействия систем защиты информации
ОСОБЕННОСТИ РАЗВОРАЧИВАНИЯ И ВНЕДРЕНИЯ СРЕДСТВ ЗАЩИТЫ
Настройка и отладка
Перед установкой Kaspersky Security Center 10 требуется отключить Firewall, убедитесь, что порт 1433 открыт для подключения к удаленному MS SQL.
Запустить установку, в компонентах установки выбрать установку Сервера Администрирования, выберать более 100 компьютеров на шаге выбора размера сети. На вкладке Пользователи выбрать Аккаунт пользователя. Указать установку Microsoft SQL Server. На шаге Настройки соединения выберите выбрать существующий и укажите Имя SQL сервера: sql-server и Имя базы данных: KAV12.
VipNet Custom
Координаторы подключаются кластером в разрыв сети образовывая VPN-сеть. Характеристики прописываются согласно инфраструктуры.
VipNet ids
Подключается в сеть для мониторинга возможной не лигитимной активности в сети
JMS
При установке JMS устанавливается SQL база, центр сертификации, веб-сервер для работы с центром сертификации, в виду особенности инфраструктуры дополнительно устанавливается модуль симуляции базы пользователей AD.
Во время установки создается супер-пользователь с привязкой мастера ключа для монтирования криптохранилища.
Dallas Lock
Для установки Сервера безопасности необходимо:
1. На рабочей станции на которой устанавливается сервер безопасности, должно быть установлено СЗИ НСД Dallas Lock 8. 0 (соответственно в редакции «К» или «С») ;
2. Пользователь под которым ведется установка должен иметь права администратора ОС СБ;
3. Сервер не является контроллером домена;
4. Должны быть открыты TCP/IP порты, используемые СБ для обмена данными с клиентами (17491, 17492, 17493, 17494, 17496, 17501) ; 5. должен быть установлен драйвер аппаратного идентификатора; 6. к компьютеру должен быть подключен аппаратный идентификатор, содержащий информацию о лицензии на СБ и количестве поддерживаемых клиентов СБ.
После установки требуется завести администратора безопасности и создать домен безопасности, и настроить политики внутри домена.
RedChek
На хостах, предназначенных для развертывания RedCheck и агентов RedCheck должен быть установлен компонент. Net Framework 4 full. Дистрибутив данного компонента доступен на странице Центра загрузок корпорации Microsoft.
Для работы RedCheck необходимо наличие СУБД Microsoft SQL Server 2012 и выше. При инсталляции RedCheck с дистрибутива через файл setup. exe автоматически производится установка и настройка всех необходимых параметров СУБД Microsoft SQL Server 2012 SP1 Express, включенной в состав дистрибутива.
Запустите исполняемый файл Setup. exe. Дождитесь появления окна приветствия. Если вам необходимо установить на компьютер СУБД, то выберите пункт: «Установить и использовать в качестве СУБД SQL SERVER EXPRESS 2012» и нажмите кнопку «Далее».
Если был выбран пункт «Установить и использовать в качестве СУБД SQL SERVER EXPRESS 2012», то программа выполнит установку СУБД. Все последующие шаги установки программы, как с дистрибутива Setup. exe, так и с дистрибутива RedCheck. msi идентичны. В появившемся окне инсталлятор предложит ознакомиться с лицензионным соглашением. После ознакомления с содержимым выберете: «Я принимаю условия данного лицензионного соглашения» и нажмите кнопку «Далее». В появившемся окне введите лицензионный ключ, и нажмите кнопку «Далее». Укажите каталог, в который будут установлены файлы программы.
Введите имя базы данных для RedCheck. Если у Вас уже есть ранее созданная БД, то вы можете выбрать пункт «Подключиться к существующей», в противном случае выберите пункт «Создать БД». Для правильной работы программы необходимо, чтобы пользователь входил в группу «REDCHECK_ADMINS», в противном случае, если группа не создана или пользователь в ней отсутствует, будет предложено диалоговое окно с выбором пунктов «Создать группу …» и «Добавить текущего пользователя в группу …», если данные опции выбраны, инсталлятор создаст соответствующую группу и добавит в нее текущего пользователя автоматически, для применения этих настроек необходимо выйти из системы и войти в нее заново либо перезагрузить систему после окончания процесса установки. Предварительная настройка завершена и после нажатия кнопки «Далее», появится статусная строка установочного процесса. По окончании процесса установки появится соответствующее окно. Установка RedCheck завершена.