Контрольный пример реализации проекта и его описание

Установка средств защиты от НСД Secret Net студио выполняется во всех структурных подразделениях компании «Медсервис», включая компьютеры руководства.
СКЗИ VipNet Client устанавливаются всему руководящему составу (директору и его заместителям, работнику регистратуры второго филиала).
СКЗИ VipNet Administaror устанавливается начальнику отдела информационных технологий.
VipNet Сoordinator устанавливается на отдельно выделенный компьюетер.
Архитектура сети компании медсервис со средствами защиты, которые внедряются, представлена на рис. 36.
Рис. 36 Архитектура сети компани после внедрения средств защиты
Изменения в программной архитектуре компании «Медсервис», которые ведут к изменению процесса передачи информации и организации ее защиты представлены на рис. 37.
Файловый сервер
Протокол SMB
Рабочие станции
Windows 2008
Windows 7, MS office 2007, Secret Net
VipNet Client Деловая почта
Рабочие станции
Филиала1
 
Windows 7, MS office 2007, Secret Net

 
VipNet Client Деловая почта
Зашифрованный траффик инкапсулированный в UDP
Рабочие станции
Филиала 2
 
Windows 7, MS office 2007, Secret Net

 
VipNet Client Деловая почта
Зашифрованный траффик, инкапсулированный в UDP
 
 
VipNet Coordinator
 
Зашифрованный траффик, инкапсулированный в UDP
Зашифрованный траффик, инкапсулированный в UDP
Туннелируемый траффик для удаленного доступа к северу
Файловый сервер
Протокол SMB
Рабочие станции
Windows 2008
Windows 7, MS office 2007, Secret Net
VipNet Client Деловая почта
Рабочие станции
Филиала1
 
Windows 7, MS office 2007, Secret Net

 
VipNet Client Деловая почта
Зашифрованный траффик инкапсулированный в UDP
Рабочие станции
Филиала 2
 
Windows 7, MS office 2007, Secret Net

 
VipNet Client Деловая почта
Зашифрованный траффик, инкапсулированный в UDP
 
 
VipNet Coordinator
 
Зашифрованный траффик, инкапсулированный в UDP
Зашифрованный траффик, инкапсулированный в UDP
Туннелируемый траффик для удаленного доступа к северу
Рис. 37 Прогарммная архитектура сети компани «Медсервис» после внедрения средств защиты
Далее рассматриваются основные сценарии работы со средствами защиты. Работа с Secret Net Sudio ведется только работниками отдела информационных технологий и заключается в настройке защитных механизмов на местах пользователей и монтиринге за работой средств защиты, а также реагировании на возникающие инциденты.
Основные настройки СЗИ от НСД можно произвести через оснастку локальной политики безопасности Windows, куда встраиваются дополнительные разделы, связанные с настройкой Secret Net. Параметры настройки основных подсистем, представлены на рис. 38.
Рис. 38 Настройка основных парметров СЗИ от НСД в компании «Медсервис»
Наиболее важными для компании «Медсервис» параметрами здесь являются: число ошибок при аутнетификации и период неактивности компьютера, после которых компьютер блокируется, автоматическая блокировка компьютера при извлечении USB-идентифкатора, включение циклов затирания информации, смешанный режим аутентификации, позволяющий использовать не только пароль, но и аппартаный идентифкатор.
На вкладке ключей пользователя настраивается срок действия ключа не более года (рис. 39).
Рис. 39 Настройка срока действия ключей
В следующем разделе указываются привелигированные пользователи, в компании «Медсервис» только те, что входят в группу администраторы (рис. 40).
Рис. 40 Настройка привилегий
Далее указываются регистрируемые типы событий в журналах системы защиты, рекомендуется указать все типы, для их дальнейшего анализа (рис

. 41).
Рис. 41 Настройка подсистемы регистрации событий
На вкладке «Регистрация устройств» нужно настроить список разрешенных или запрщенных для подключения к компьютеру устройств (рис 42). При этом настройку можно производить как по конкретным устройствам, в том случае если они уже были подключены к системе или информация об этих устройствах была импортирвана в политику, так и по группам устройств, например, запретив извлекать или подключать жесткие диски, и разрешив изменять состав оперативной памяти.
При этом для настройки разрешения или запрета необходимо вызвать окно свойств группы или объекта (рис 43.).
Рис. 42 Настройка работы с устройствами
Устройства, которые были ранее подключены к компьютеру, но сейчас не присоединены, отображаются перечеркнутыми.
На рис. 43 представлен пример настройки прав на подключение USB накопителя SanDisk.
Рис. 43 Настройка разрешения на подключение съемного носителя
Через политику задаются настройки для всего компьютера, часть же настроек проводится для конкретного пользователся, в частности, аппаратные идентификаторы можно назначить пользователям через вызов их свойств из оснастки управления пользователями (рис. 44).
Рис. 44 Настройка свойств пользователя
Далее на вкладке «Идентификаторы» необходимо нажать кнопку «Добавить», после чего необходимо вставить в системный блок используемый идентификатор, например etoken, и назначить его пользователю (рис 45).
Рис. 45 Настройка идентифкаторов пользователя
Кроме того в случае необходимости через вкладку «Криптоплюч» пользователю может быть сгенерирован новый ключ, а на вкладке «Доступ» могут быть назначены категории конфиденциальности информации, к которой пользователь допущен в случае использования мандатного приниципа контроля доступа.
Кроме настроечных функций за работой системы защиты необходимо вести мониторинг, а также производить расследования инцидентов безопасности, анализ событий производится через оснастку «Журналы», которая доступна через меню «Пуск» - «Код безопасности» (рис 46).
Рис. 46 Просмотр событий в журнале Secret Net
По всем дополнительно возникающим вопросам настройки и работы Secret Net Studio админстратору средств защиты в компании «Медсервис» следует руководствоваться документацией, поставляемой со средством защиты, или обращаться в техническую поддержку компании «Код безопасности».
Первым сценарием работы адинистратора VipNet является работа по созданию структуры защищенной сети. В начале создается нужное число координаторов, при этом можно задать маску для формирования имени кординатора в автоматчиеском режиме, если координаторов будет несколько. Здесь же можно указать роли для координатора (рис. 47).
Рис. 47 Задание координаторов
Далее указывается число клиентов, которые будут управляться координатором. Для клиентов можно также задать маску автоматического формирования имени (далее в процессе администрирвоания имена клиентов могу быть изменены). При этом указываются возможности (роли), которые даются клинетам. В компании «Медсервис» необходимо использовать две основные роли: «VPN-клиент» и «Деловая почта» (рис. 48).
Первая роль позволит использовать туннелируемые соединения, а вторая -обмениваться защищенной почтой.
Рис. 48 Задание параметров клиентов
Далее можно указать, как узлы могут быть связаны между собой.
В компании «Медсервис» рекомендуется связаться все узлы между собой в автоматическом режиме