3.4 Описание средств защиты информации

Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:

-  единая регистрация в сети — пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам и службам (службы сетевой инфраструктуры, службы файлов и печати, серверы приложений и баз данных и т.д.);

-  безопасность информации — средства аутентификации и управления доступом к ресурсам, встроенные в службу AD, обеспечивают централизованную защиту сети;

-  централизованное управление — администраторы могут централизованно управлять всеми корпоративными ресурсами;

-  администрирование с использованием групповых политик — при загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик и применяются ко всем учетным записям пользователейи компьютеров, расположенных в сайтах, доменах или организационных подразделениях;

-  интеграция с Domain Name System (далее — DNS) — функционирование служб каталогов полностью зависит от работы службы DNS. В свою очередь серверы DNS могут хранить информацию о зонах в базе данных (далее – БД) AD;

-  расширяемость каталога — администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам;

-  масштабируемость — служба AD может охватывать как один домен, таки множество доменов, объединенных в дерево доменов, а из нескольких деревьев доменов может быть построен лес;

-  репликация информации — в службе AD используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать БД AD на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки;

-  гибкость запросов к каталогу — БД AD может использоваться для быстрого поиска любого объекта AD,используя его свойства (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.);

-  стандартные интерфейсы программирования для разработчиков программного обеспечения служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API).

В AD может быть создан широкий круг различных объектов. Объект представляет собой уникальную сущность внутри каталога и обычно обладает многими атрибутами, которые помогают описывать и распознавать его. Учетная запись пользователя является примером объекта. Этот тип объекта может иметь множество атрибутов, таких как имя, фамилия, пароль, номер телефона, адрес имногие другие. Таким же образом общий принтер тоже может быть объектом в AD и его атрибутами являются его имя, местоположение и т.д. Атрибуты объекта нетолько помогают определить объект, но также позволяют искать объекты внутри каталога.

 3.4.2 Групповые политики Active Directory

Механизм групповых политик позволяет автоматизировать данный процесс управления. С помощью групповых политик можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD,домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управленияучетными записями, аудита доступа к сетевым ресурсам, управления сертификатамии т.д.), развертывания приложений и управления их жизненным циклом.

Каждый объект групповых политик (GPO, Group Policy Object) состоитиз двух частей: контейнера групповых политик (GPC, Group Policy Container) хранящегося в БД AD, и шаблона групповых политик (GPT, Group Policy Template), хранящегосяв файловой системе контроллера домена, в подпапках папки SYSVOL. Место, вкотором хранятся шаблоны политик, — это папка %systemroot%\SYSVOL\sysvol\<имя домена>\Policies, и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.

Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.

Каждый объект политик может быть привязан к тому или иному объекту AD — сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).

При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:

-  локальная политика;

-  политики сайта AD;

-  политики домена;

-  политики организационных подразделений.

Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.

Кроме применения политик в момент загрузки компьютера или входа пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры(и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут.

 3.4.3 ПО Event Viewer

Event Viewer отображает события, регистрируемые системой при выполнении различных операций. На компьютерах Windows по умолчанию имеются следующие журналы:

-  Application (журнал приложений) —содержит события, записываемые программами. Приложение определяет типы записываемых событий и язык сообщения;

-  Security (журнал безопасности) —содержит события, относящиеся к безопасности компьютера, такие как попытки регистрациив системе или манипуляции с файлами.

-  System (журнал системы) — содержит события, записываемые компонентами Windows.

Event Viewer отображает типы событий, каждое из которых имеет собственный уровень важности и собственную пиктограмму в журнале. Например:

-  Error (ошибка) — сигнализирует об актуальной проблеме, которая может касаться потери функциональности, такой как нарушение корректного запуска служб и драйверов;

-  Warning (предупреждение) — указываетна проблему, которая в последствии может стать серьезной, если не обращать внимания на предупреждение. Предупреждения сугубо информативны и несвидетельствуют о наличии проблемы в настоящем или обязательном ее появлении вбудущем;

-  Success Audit (аудит успехов) — это событие, имеющее отношение к системе безопасности, которое произошло и записывается потому, что система или администратор включили аудит данного события;

-  Failure Audit (аудит отказов) — это событие, имеющее отношение к системе безопасности, которое не произошло, но запись о нем делается потому, что система или администратор включили аудит данного события.

Информация, отображаемая в Event Viewer, включает дату и время,когда произошло событие, источник события (то есть служба, драйвер устройства или приложение, записавшее событие в журнал), категорию события, ID события,имя пользователя, который был зарегистрирован в системе, когда событиепроизошло и имя компьютера, на котором произошло событие. Для того чтобы просматривать журнал Security, необходимо иметь права администратора.

 3.4.4 Система антивирусной защиты Kaspersky Business Space Security

Система антивирусной защиты СЗПДн будет строиться на базе ПО компании «Лаборатория Касперского»Kaspersky Business Space Security, включающего в себя средства для защиты рабочих станций, серверов, а также средства централизованного администрирования.

В состав системы антивирусной защиты Kaspersky Business Space Security входят Антивирус Касперского для Windows Workstation, Антивирус Касперского для Windows Server и средство централизованного управления Kaspersky Administration Kit.

Антивирус Касперского для Windows Workstation предназначен для защиты рабочих станций в ЛВСи за ее пределами от всех видов вредоносных и потенциально опасных программ и сетевых атак.

Антивирус Касперского для WindowsServer используется для защиты файловых серверов под управлением операционных систем Windows от всех типов вредоносных программ. Решение разработано с учетом повышенных требований к серверам, работающим в условиях высоких нагрузок.

KasperskyAdministration Kit позволяет организовать и контролировать централизованнуюзащиту всей компании, объединяющую в единую систему разные уровни защиты.

В состав Kaspersky Administration Kit входят следующие компоненты:

-  сервер администрирования;

-  агент администрирования;

-  консоль администрирования.

Сервер администрирования осуществляет функции централизованного хранения информации об установленных в сети предприятия программах «Лаборатории Касперского» и управления ими.

Агент администрирования осуществляет взаимодействие между Сервером администрирования и программами «Лаборатории Касперского», установленными на конкретном сетевом узле (рабочей станции или сервере);

Консоль администрирования предоставляет пользовательский интерфейс к административным службам Сервера и Агента.

Система антивирусной защиты Kaspersky Business Space Security выполняет следующие функции:

-  Комплексная защита файловых серверов под управлением Windows;

-  Расширенная проактивная защита от новых вредоносных программ;

-  Антивирусная защита в режиме реального времени;

-  Проверка файловых хранилищ по расписанию;

-  Проверка критических областей системы;

-  Изоляция зараженных рабочих станций;

-  Оптимальное использование ресурсов компьютера;

-  Распределение нагрузки между процессорами сервера;

-  Полноценная поддержка 64-битных платформ;

-  Удаленная централизованная установка и удаление ПО;

-  Удаленное централизованное управление;

-  Автоматическое обновление баз имодулей ПО;

-  Система получения отчетности;

-  Механизм оповещения о событиях в работе ПО;

-  Управление лицензиями.

 3.4.5 ПО Microsoft InternetSecurity and Acceleration Server 2010

ISA Server 2010 представляет из себя полнофункциональный межсетевой экран (далее — МЭ) уровня приложений,обеспечивающий защиту ЛВС от внутренних и внешних атак. Выступая в качестве МЭ предприятия, ISA Server 2010 реализует следующие функции:

-  многоуровневый межсетевой экран — для достижения максимального уровня безопасности ЛВС используется фильтрация пакетов, фильтрация каналов и фильтрация потока данных приложений. Динамическая фильтрация пакетов выявляет пакеты, которые будут пропущены в защищенные области сети, а также к прокси-службам прикладного уровня. При этом по мере необходимости автоматически выполняется открытие (а по завершении сеанса связи— закрытие) соответствующих портов. Фильтрация каналов обеспечивает прозрачный для приложений шлюз для межплатформенного доступа к telnet, RealAudio, WindowsMedia, IRC (Internet Relay Chat), а также ко многим другим протоколам.Фильтрация каналов в ISA Server 2010 работает совместно с динамической фильтрацией пакетов, что упрощает ее использование и повышает общуюбезопасность работы сети. Фильтрация и динамическая проверка данных приложений способна распознавать команды протоколов (например, НТТР, FTP и Gopher),поступающие от клиентских компьютеров. Сервер ISA Server имперсонирует во внутренней сети клиентские компьютеры, скрывая от внешней среды внутреннюю топологию сети и IP-адреса ЛВС.

-  динамическая проверка данных приложений- ISA Server 2010 динамически проводит интеллектуальную проверку на уровне приложений потока данных, проходящего через МЭ. Во избежание возможных разрывов подключения или нарушения системы безопасности это делается с учетом контекста данных приложения и состояния подключения.

-  интеллектуальная фильтрация данных приложений — помимо базовой фильтрации данных, сервер ISA Server 2010 контролирует поток данных приложений, распознавая в нем данные и команды при помощи специальных фильтров. Средства интеллектуальной фильтрации позволяют наоснове анализа содержания потока данных пропускать, блокировать, перенаправлять или изменять данные протоколов HTTP, FTP, SMTP, POP3, DNS, данных конференцийпо протоколу H.323, потокового мультимедиа, удаленного вызова процедур.

-  безопасная публикация — механизм безопасной публикации серверов позволяет защитить от внешних атак Web-серверы,почтовые серверы и приложения электронной торговли. ISA Server способен выдавать себя за опубликованный сервер, реализуя дополнительный уровень защиты.Для защиты внутренних серверов в правилах публикации можно определить доступные компьютеры, а правила публикации средств управления сервером защищают внутренние серверы от незаконного доступа со стороны внешних пользователей.Кроме того, опубликованные серверы защищены от атак извне с помощью интеллектуальной фильтрации данных приложений.

-  обнаружение вторжений — интегрированный компонент обнаружения вторжений (разработанный на основе технологии компании Internet Security Systems) уведомляет пользователя и предпринимает необходимые действия в случае обнаружения попытки незаконного проникновения в сеть (например, сканирования портов, использования средств WinNuke или Ping of Death).

-  прозрачность межсетевого экрана — механизм SecureNAT путем замены внутреннего IP-адреса на внешний предоставляет прозрачный доступ к межсетевому экрану и защиту для всех IP-клиентов(независимо от конфигурации клиента и не требуя специального ПО). Сложные фильтры прикладного уровня, которые служат для управления подключением,предоставляют комплексную поддержку клиентам SecureNAT

 3.4.6 Адаптивный генератор виброакустической помехи «Кедр»

Адаптивный генератор виброакустической помехи «Кедр» предназначен для защиты выделенных помещений от утечки акустической информации по вибрационному и акустическому каналам. Его принцип действия основан на маскировании речи шумовой помехой,которая создаётся с помощью виброизлучателей. Противодействие прослушиванию заключается в излучении шумовой помехи в элементы строительных конструкций здания. Прибор предотвращает возможность прослушивания переговоров с помощью акустических, вибрационных датчиков, лазерных устройств съёма информации,аппаратуры прослушивания через стены, потолки, перекрытия, окна, воздуховоды,трубы отопления и т. п.

«Кедр»анализирует акустическую обстановку в помещении и на основании результатов анализа, по встроенному алгоритму, формирует сигнал управления, функционально связанный с огибающей акустического (речевого) сигнала. Сформированный сигналуправляет параметрами генератора шума на основе 64 разрядной двоичной псевдослучайной последовательности, как во временной области, так и по амплитуде. Это позволяет локализовать виброакустическую помеху во время произнесения слов и повысить ее спектральную плотность.

Устройство реализует распределенную виброакустическую защиту помещения через сеть излучателей малой мощности, что позволяет надёжно закрыть локальные области утечки информации по виброакустическому каналу (микротрещины, полости и. т.п.), а также снизить общий уровень акустического фона в защищаемом помещении.

Прибор может работать в двух режимах «1» адаптивный, «2» непрерывный. При работе врежиме «1» обеспечивается оптимальное перекрытие уровня речи уровнем помехи в строительных конструкциях, а также минимальное излучение шума в самом помещении. В режиме «2» прибор работает в непрерывном режиме. К устройству могут подключаться до 20 излучателей типа «ПКИ-1» (для зашумления строительных конструкций), по 10 излучателей на каждый канал, а также до 4 электромагнитных излучателя типа «ЭМ-1» для зашумления воздуховодов. Все три канала подключения имеют независимую регулировку, что позволяет выставлять необходимый для защиты уровень шума на стенах, на окнах,трубах отопления.

В каждом канале генератора имеется цифровой 5-полосный графический эквалайзер, позволяющий проводить настройку канала под конкретные условия (стена, окно и т.п.) и различные виды вибродатчиков. Наличие встроенный памяти позволяет запоминать до16 вариантов амплитудно-частотных характеристик эквайлайзера (по 4 на каждыйканал). Система акустопуска и наличие дистанционного управления (проводного илипо радиоканалу) дает возможность осуществлять гибкое управление процессом генерации помехи.

В устройстве имеется встроенная система контроля состояния каналов, позволяющая определить как перегрузку любого из них, так и отсутствие подключенных датчиков.

 3.4.7 Система «Универсальный офис» Legos

«Универсальный Офис»представляет собой комплекты системы контроля управления доступом на 1 дверь с функциями учета рабочего времени, фотоидентификации и охранной сигнализации.

Комплект включает в себя всё необходимое для подключения системы контроля и управления доступом в офисе,рассчитанном до 150 человек.

Позволяет реализовать следующие функции:

-  Управление доступом в офис;

-  Контроль и учет рабочего временисотрудников.

Acronis TrueImage Enterprise Server позволяет:

-  создавать точные образы дисковсерверов на базе Windows или Linux, включая операционную систему, базы данных и приложения;

-  производить миграцию систем междувиртуальными и физическими серверами.

Acronis True Image Enterprise Server позволяет в случае сбоя системы произвести полное восстановление сервера. Полное восстановление системы может производиться как на существующих, так и на новых машинах, использующих различное оборудование, а также на виртуальных серверах (необходим дополнительный модуль AcronisUniversal Restore).

Консоль управления Acronis, поставляемая вместе с Acronis True Image Enterprise Server, дает удобный способ управления задачами по резервному копированию на нескольких удаленных серверах.

Основанное на технологии создания слепков дисков Acronis, приложение Acronis True Image Echo Enterprise Server позволяет создавать резервные образы дисков серверов, не прерывая работу серверов, что обеспечивает их бесперебойную работу.

Acronis TrueImage Echo Enterprise Server включает в себя следующие компоненты:

-  Консоль управления Acronis –инструмент для удаленного доступа к компонентам Acronis. С помощью консоли администратор удаленно устанавливает и конфигурирует компоненты и управляет их работой;

-  Агент Acronis True Image –приложение, устанавливаемое на сетевом компьютере и выполняющее операции по сохранению или восстановлению файлов. Acronis True Image Echo Enterprise Server включает в себя Агент Acronis True Image для Windows (устанавливается накомпьютеры, работающие под Windows) и Агент Acronis True Image для Linux(устанавливается на платформу Linux);

-  Acronis Group Server – инструмент,дающий возможность планирования групповых операций резервного копирования,управления и наблюдения за ходом их выполнения. Он выставляет общие задачи агентам, запрашивает у них статус выполнения работ и предоставляет администратору сводку состояния по всей сети;

-  Acronis Backup Server – приложение для централизованного хранения и управления корпоративным архивом резервных копий. Администратор может задавать квоты и правила резервного копирования, а также составлять график проверок на соответствие квотам. В случае выявленного нарушения политики квотирования архивы могут быть объединены для максимально эффективного использования объема хранилища. Acronis Backup Server позволяет пользователям обращаться к библиотеке ленточных накопителей, подключенной ксерверу;

-  Acronis True Image Echo EnterpriseServer (локальная версия) – компонент для установки на один сервер Windows. Он имеет дополнительные функции по сравнению с Агентом Acronis True Image. То есть кроме возможностей локального управления резервным копированием/восстановлением данных сервера, также обеспечивается просмотр содержимого архивов, подключение образов как виртуальных дисков, клонирование жестких дисков, создание разделовна новых жестких дисках, создание динамических дисков, режим командной строки,исполнение сценариев;

-  Acronis Universal Restore – отдельно продаваемый программный модуль, позволяющий восстановить и загрузить операционную систему Windows из образа, созданного на компьютере с другими аппаратными средствами, что позволяет запустить систему и начать работу без потери времени;

-  Acronis Bootable Rescue Media Builder– компонент для создания загрузочных носителей, их ISO образов или пакетов длязагрузки с RIS-сервера, позволяющих восстановить данные на машине с отсутствующей, поврежденной или отличной от Windows операционной системой.

 3.4.9 Массив RAID 5

RAID контроллер представляет собой элемент вычислительной системы, обеспечивающий отказоустойчивость в случае отказа дискового накопителя, а также увеличение быстродействия дисковой подсистемы.

Массив RAID 5 представляет из себя отказоустойчивый массив независимых дисков с распределенной четностью и является самым распространенным на сегодняшний день. Блоки данных и контрольные суммы в нем циклически записываются на все диски массива,отсутствует выделенный диск для хранения информации о четности, нет асимметричности конфигурации дисков.

В случае RAID 5 все диски массива имеют одинаковый размер — но один из них невидим для операционной системы. В общем случае полезная емкость массива из N дисков равна суммарной емкости N–1 диска.

Преимущества RAID 5:

-  высокая скорость записи данных;

-  достаточно высокая скорость чтения данных;

-  высокая производительность прибольшой интенсивности запросов чтения/записи данных;

-  высокий коэффициент использования дискового пространства.

Недостатки RAID 5:

-  низкая скорость чтения/записи данных малого объема при единичных запросах;

-  достаточно сложная реализация;

-  сложное восстановление данных.

В случае если аппаратноеобеспечение серверов хранения данных не поддерживает программную реализацию RAID-5, то будет использоваться внешний программно-аппаратный RAID-контроллер Adaptec ASR-3405, который устанавливается в разъем PCI Express, поддерживает SATA/SAS жесткие диски, массивы RAID 0, 1, 10, 5, 6, и т.д.

 3.4.10 ИБП UPS 3000VA Ippon SmartWinner 3000

IPPON Smart Winner 3000 –ИБП линейно-интерактивного типа с синусоидальной формой выходного напряжения.Надежно обеспечивает стабилизированное питание для компьютерной техники (ПК,сервера, сетевого оборудования) и другого чувствительного к качеству электропитания оборудования. Одно из основных преимуществ IPPON Smart Winner — это уникальный дизайн корпуса «три в одном». ИБП можно разместить горизонтально, вертикально или в стойке, что позволяет наиболее рационально использовать рабочее пространство. Модель отличается возможностью использования дополнительных батарейных модулей, в результате увеличивается время автономной работы и существенно повышается степень защиты подключенного оборудования.Лицевая панель IPPON Smart Winner максимально информативна: кнопки управления инастройки позволяют выбрать и установить правильные параметры внешней сети и самого ИБП; блоки светодиодных индикаторов помогают отслеживать и контролировать установленные параметры, своевременно информируя обо всех изменениях (индикация уровня нагрузки и остаточного заряда батарей, режим работы, аварийная сигнализация и т.д.). Источник бесперебойного питания IPPONSmart Winner многофункционален — оснащён интерфейсными портами для подключения к сетевому серверу или другому управляющему компьютеру; поддержка протокола SNMP позволяет пользователю осуществлять управление и мониторинг параметров ИБП дистанционно. Эффективная мощность ИБП IPPON Smart Winner 3000 составляет 2,1кВт.

 3.4.11 ИБП UPS 600VA PowerCom BNT 600A

ИБП PowerCom BNT-600A — это устройство, позволяющее оборудованию некоторое время работать отаккумулятора самого ИБП при каких-либо проблемах с напряжением или сбоями в сети. Кроме того, ИБП PowerCom BNT-600A способен корректировать параметры –напряжение и частоту – электропитания. PowerCom BNT-600A имеет следующиетехнические характеристики: максимальная мощность устройств (Вт) — 360Вт;

-  выходная мощность (VA) — 600VA;

-  количество входных розеток — 1;

-  количество выходных розеток IEC 320 C13- 3;

-  коммуникационные интерфейсы — Нет;

-  защита телефонной линии — Нет;

-  высота монтажа в 19" стойку(юнитов) — 0.

Компактные Line-interactive ИБП серии Black Knight предназначены для защиты персональных компьютеров и небольших рабочих станций от основных неполадок с электропитанием: высоковольтных выбросов, электромагнитных и радиочастотных помех, понижений, повышений и полного исчезновения напряжения в электросети.