Курсовая работа: Разработка защиты на вход в компьютерную сеть

2.5  Программные средства по защите информации

2.5.1 Вход на рабочие станции

Методы биометрической идентификации, делятся на две группы статические и динамические.

Статистические методы основываются на уникальной физиологической (статической) характеристике человека, данной ему от рождения и неотъемлемой от него.

Статистические методы биометрической идентификации:

По отпечатку пальца. В основе этого метода – уникальность для каждого человека рисунка папиллярных узоров на пальцах. Отпечаток, полученный с помощью специального сканера, преобразуется в цифровой код (свертку), и сравнивается с ранее введенным эталоном.

Данная технология является самой распространенной по сравнению с другими методами биометрической идентификации.

По форме ладони. Данный метод, построен на геометрии кисти руки. С помощью специального устройства, состоящего из камеры и нескольких подсвечивающих диодов (включаясь по очереди, они дают разные проекции ладони), строится трехмерный образ кисти руки, по которому формируется свертка и распознается человек.

По расположению вен на лицевой стороне ладони. С помощью инфракрасной камеры считывается рисунок вен на лицевой стороне ладони или кисти руки, полученная картинка обрабатывается и по схеме расположения вен формируется цифровая свертка.

По сетчатке глаза. Способ идентификации по рисунку кровеносных сосудов глазного дна. Для того чтобы этот рисунок стал виден – человеку нужно посмотреть на удаленную световую точку, и таким образом подсвеченное глазное дно сканируется специальной камерой

По радужной оболочке глаза. Для сканирования радужной оболочки достаточно портативной камеры со специализированным программным обеспечением, позволяющим захватывать изображение части лица, из которого выделяется изображение глаза и рисунок радужной оболочки, по которому строится цифровой код для идентификации человека.

По форме лица. В данном методе идентификации строится трехмерный образ лица человека. На лице выделяются контуры бровей, глаз, носа, губ и т.д., вычисляется расстояние между ними и строится не просто образ, а еще множество его вариантов на случаи поворота лица, наклона, изменения выражения [11].

По термограмме лица. В основе данного способа лежит уникальность распределения на лице артерий, снабжающих кожу кровью и выделяющих тепло. Для получения термограммы, используются специальные камеры инфракрасного диапазона. В отличие от предыдущего метода – этот метод позволяет различать близнецов.

По ДНК. Преимущества данного способы очевидны, однако используемые в настоящее время методы получения и обработки ДНК – работают настолько долго, что такие системы используются только для специализированных экспертиз.

Другие методы. Существуют еще такие уникальные способы – как идентификация по подногтевому слою кожи, форме уха, запаху тела и т.д.

Динамические методы основываются на поведенческой (динамической) характеристике человека, то есть построены на особенностях, характерных для подсознательных движений в процессе воспроизведения какого-либо действия [11].

Динамические методы биометрической идентификации:

По рукописному почерку. Эта технология становится весьма популярной альтернативой росписи ручкой. Здесь используют или специальные ручки, или чувствительные к давлению планшеты, или их комбинацию. В зависимости от требуемой степени защиты алгоритм идентификации может быть простым (степень совпадения двух изображений) или усложненным, когда кроме изображений анализируются динамические признаки написания - степень нажима, скорость письма, распределение участков с большим и меньшим нажимом и т. п., то есть предметом биометрической идентификации можно считать «мышечную память».

По клавиатурному почерку. Не нужно никакого специального оборудования, кроме стандартной клавиатуры. Основной характеристикой, по которой строится свертка для идентификации – динамика набора кодового слова.

По голосу. Построения кода идентификации по голосу, как правило, это различные сочетания частотных и статистических характеристик голоса.

Другие методы. Существуют способы – как идентификация по движению губ при воспроизведении кодового слова, по динамике поворота ключа в дверном замке и т.д [11].

Учитывая высокую стоимость и сложность, биометрические системы идентификации в настоящее время используются исключительно для доступа на особо секретные объекты, где последствия несанкционированного доступа обходятся значительно дороже, чем затраты на сложное и дорогостоящее оборудование.

Так как в данной курсовой работе информация, которая циркулирует на объекте, имеет первый уровень, то целесообразно использование наиболее простого и дешевого, но не менее надежного статистического метода биометрической идентификации - по отпечатку пальца.

 Весь процесс идентификации занимает мало времени и не требует усилий от тех, кто использует данную систему доступа. Учитывая, что каждый человек имеет свои уникальные отпечатки пальцев, этот метод биометрии обеспечивает безопасность системы, предоставляя возможность доступа только лицам, зарегистрированным в данной системе и имеющим право доступа.

Известны три основных типа сканеров отпечатков пальцев :

- емкостные;

- прокатные;

- оптические.

Емкостные сканеры наиболее дешевы, однако не отличаются ни практичностью, ни долговечностью. Поскольку изображение отпечатка в этих сканерах формируется за счет разницы электрических потенциалов различных участков кожи, эти сканеры чрезвычайно чувствительны к остаточному статическому электричеству.

Они выходят из строя сразу же после того, как их коснулся человек, чьи руки были наэлектризованы, например, из-за ношения одежды из шерстяной или шелковой ткани. Кроме того, качество изображения отпечатков, формируемого емкостными сканерами, достаточно низкое.

Прокатные сканеры занимают среднее положение. В них изображение отпечатка формируется при «прокатывании» отпечатка через узкое окошко сканера, после чего целостное изображение идентификатора «сшивается» из отдельных кадров, полученных в ходе описанной процедуры. Поэтому от пользователя такого сканера требуется постоянно соблюдать единообразие в скорости и манере «прокатывания» отпечатков, что довольно сложно.

Оптические сканеры реализуют наиболее совершенную технологию идентификации по отпечаткам пальцев. Они несколько дороже сканеров других типов, но лишены их многочисленных недостатков, долговечны и потому экономичны, удобны и просты в использовании. Изображение отпечатков характеризуется высоким качеством [7].

Чтобы исключить возможность доступа посторонних лиц к рабочим станциям , используется сканер отпечатков пальцев MS 1300. Время, которое тратит биометрическая система на идентификацию одного человека, не превышает 1 секунды.

Сканер отпечатков пальцев позволяет осуществлять как идентификацию пользователей, так и верификацию их отпечатков пальцев с использованием ПК и собственной БД на 100 записей или БД компьютера.

Время, которое тратит биометрическая система на идентификацию одного человека, не превышает 1 секунды. Устройство оснащено оптическим чувствительным элементом с площадью сканирования 13х20 мм и разрешением 500 точек на дюйм, а также двумя портами USB и модулем флэш-памяти с собственной файловой системой.

2.5.2 Вход на сервер

Конфиденциальная информация хранится на сервере баз данных. Доступ к информации на сервере имеют: директор и все сотрудники бухгалтерии. Доступ к серверу КС осуществляется только при помощи использования смарт-карты. Если смарт-карта пользователя прошла аутентификацию, то он получает доступ к серверу.

Смарт-карты представляют собой пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления. Назначение смарт-карт - аутентификация пользователей, хранение ключевой информации и проведение криптографических операций в доверенной среде [7].

Смарт карты классифицируются по следующим признакам:

1)  тип микросхемы;

2)  способ считывания информации;

3)  соответствие стандартам;

4)  область применения.

Тип применяемых микросхем в смарт картах. В зависимости от встроенной микросхемы все смарт карты делятся на несколько основных типов, кардинально различающихся по выполняемым функциям:

·  карты памяти;

·  микропроцессорные карты;

·  карты с криптографической логикой.

Карты памяти предназначены для хранения информации. Память на

 таких типах карт может быть свободной для доступа или содержать логику контроля доступа к памяти карты для ограничения операций чтения и записи данных.

Микропроцессорные карты также предназначены для хранения информации, но в отличие обычных карт памяти они содержат в себе специальную программу или небольшую операционную систему, которая

позволяет преобразовывать данные по определенному алгоритму, осуществлять защиту информации хранящейся на карте при передаче, чтении и записи.

Карты с криптографической логикой используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой необходимой информации для работы системы.

Способы считывания информации со смарт карты. По методу считывания информации карты делятся на следующие:

·  Контактные;

·  Бесконтактные;

·  Со сдвоенным интерфейсом.

Контактные карты взаимодействуют со считывателем посредством непосредственного соприкосновения металлической контактной площадки карты и контактов считывателя. Данный метод считывания просто реализуем, но повышает износ карты при частом использовании.

Бесконтактные карты имеют встроенную катушку индуктивности, которая в электромагнитном поле считывателя обеспечивает питанием микросхему выдающую информационные радиосигналы. Такой метод считывания позволяет часто использовать карту без износа самой карты и

считывателя. Карты со сдвоенным интерфейсом имеют одновременно и контактную площадку и встроенную катушку индуктивности. Такие карты позволяют осуществлять работу с разными типами считывателей.

Стандарты на смарт-карты. Для смарт карт существует несколько международных стандартов, определяющих практически все свойства карт, начиная от размеров, свойств и типов пластика, и заканчивая содержанием информации на карточке, протоколов работы и форматов данных.

Стандарт ISO-7816 "Идентификационные карты - карты с микросхемой с контактами". Состоит из шести частей, регламентирующих физические характеристики, размер и расположение контактов, сигналы и протоколы, структуру файлов, адресацию и команды обмена.

Стандарт EMV (Europay, MasterCard & Visa). 1я и 2я части базируется на ISO-7816, в последующих добавлены определения обработки транзакций,

 спецификации терминалов и т.д.

Использование смарт-карт для проверки подлинности пользователей является самым надежным методом проверки подлинности в операционных системах семейства Windows Server 2003, поскольку вход пользователя в домен осуществляется с использованием криптозащиты и системы подтверждения владения. Злоумышленники, получившие чей-то пароль, могут воспользоваться им для доступа к сети. В случае использования смарт-карты злоумышленники должны получить не только саму смарт-карту пользователя, но и ее персональный идентификационный номер (PIN-код), чтобы работать в системе от имени пользователя. Очевидно, что такую защиту сложнее преодолеть, поскольку требуется дополнительная информация для работы от имени пользователя. Еще одним преимуществом является блокировка смарт-карты при неправильном вводе PIN-кода несколько раз подряд. Благодаря этому подбор данных становится очень сложным [2].

В целом, смарт-карты обеспечивают следующие возможности:

На данном предприятии для доступа к серверу КС используется смарт-карта Siemens CardOS v.4.3B-32Kb и карт-ридер ACR38U.

Основные характеристики смарт-карты CardOS v.4.3b 32Kb [8]:

·  аппаратный RSA-генератор ключевых пар;

·  аппаратно реализованные алгоритмы вычисления хэш-функций (SHA-1, MD5) и цифровой подписи - генерация и верификация подписи (RSA/1024, на заказ - 2048 бит)

·  аппаратно реализованные симметричные алгоритмы шифрования (DES, Triple DES);

·  32 КБ доступной энергонезависимой программируемой памяти для хранения сертификатов X.509, профилей пользователей и др.

Настольное устройство чтения/записи смарт-карт ACR38U представляет собой современное, компактное и удобное устройство для работы со смарт-картами.

Карт-ридер поддерживает все типы микропроцессорных и криптопроцессорных карт, а также большинство карт памяти всех известных производителей. Считыватель смарт карт соответствует стандартам: ISO 7816-1/2/3, EMV, Microsoft PC/SC и совместимо с большинством компьютерных платформ. Корпус устройства выполнен из белого глянцевого пластика (возможны другие цвета, нанесение логотипа).

2.5.3 Антивирусная защита

Задача любой антивирусной программы - не допустить заражения или же вылечить компьютер в случае, если это все-таки произошло.

Этим требованиям удовлетворяет подавляющее большинство продуктов, предлагаемых современным рынком, отличия заключаются лишь в нюансах: удобство использования, как проверки и лечение, скорости работы и объеме потребляемых вычислительных ресурсов.

ESET NOD32 Smart Security Bussiness Edition ESET NOD32 Smart Security предотвращает риск заражения компьютера, выявляет и удаляет вредные программы, обеспечивает защиту от рекламного ПЗ, ботов, шпионских программ, троянов, вирусов, червяков и других угроз из интернета. ESET NOD32 Smart Security выявляет и блокирует над 70% новых вредных программ, сигнатуры которых еще не содержатся в вирусных базах. Защита конфиденциальности. ESET NOD32 Smart Security предотвращает, выявляет и отключает шпионские программы. Повышенная безопасность. Двусторонний файервол со средствами выявления вторжений для защиты как входных, так и исходных подключений к интернету. Антиспам ESET NOD32 Smart Security Функция антиспам обеспечивает надежную защиту от раздражающего спама, а также защиту от угроз, связанных с электронной почтой, часто принимают формы, характерные для обычного спаму.

В системе антиспама используются правила на уровне клиента и сервера, что обеспечивают самую передовую защита, недоступную для других решений, которым нужно частая загрузка. Файервол ESET NOD32 Smart Security. Персональный файервол ESET NOD32 Smart Security обеспечивает двустороннюю защита со средствами выявления вторжения в трех рабочих режимах.

• Обычный режим. Обеспечивает ненавязчиво защиту для повседневного использования, не требует понимания технологии работы файервола или сложной настройки.

• Режим на основе политик. Позволяет администратору установить и применить для файервола настраивается конфигурацию политик (только для бизнес-выпуска). Все режимы обеспечивают фильтрацию протоколов. Мощным средством персонального файервола ESET NOD32 Smart Security является возможность замечать определенные программы как поддерживают сетевую работу, в добавление к веб-браузеров Microsoft Internet Explorer и Mozilla Firefox. Эта функция позволяет помечать любое дополнение, которое может викорис-користуватися в сети (например, Microsoft Word), для более строгой эвристический проверки сетевых подключений, что используются программой.

2.5.4 Программный фаервол

На данном предприятие установлен фаервол Outpost Firewall Pro 2009 котрорый, » позволяет защитить информационные ресурсы предприятия от возможных угроз и обеспечить безопасное функционирование системы.

Outpost Firewall Pro - это супер-арсенал защиты против хакерских проникновений и аттак, утечки информации и "слежки", троянов и т.д. Сильные стороны: безопасность, контроль, сохранность секретной информации и простота в использовании.

Проактивная защита

Упреждающая защита от угроз Outpost Firewall Pro обеспечивает первую линию обороны от вредоносного ПО, проактивно контролируя поведение и взаимодействие приложений на персональном компьютере и закрывая бреши в системе защиты. Локальная безопасность проактивно отслеживает и блокирует все виды изощренных методов взлома, используемых для кражи данных. Анализируя угрозы и отображая своевременные уведомления, Локальная безопасность останавливает новейшие атаки и защищает компьютер от несанкционированных действий, делая его заранее защищенным от таких угроз безопасности как компьютеры-зомби, руткиты и утечка данных.

Внутренняя защита Современные вредоносные программы часто пытаются остановить средство безопасности, чтобы облегчить процесс заражения компьютера. Осуществляя постоянную непроходимую защиту всех своих компонентов, Outpost Firewall Pro делает невозможным выключение защиты кем-либо кроме авторизованного пользователя программы.

Антишпион

Защита от шпионского ПО Модуль Антишпион защищает компьютер от всевозможных угроз шпионского ПО – от отображения рекламных объявлений до захвата стартовой страницы вашего браузера с целью кражи вашей конфиденциальной информации. Вредоносное ПО блокируется на всех возможных стадиях — при установке, активации, передаче информации и переустановке. Сканер вредоносных программ проверяет систему на предмет наличия следов деактивированного шпионского ПО и полностью истребляет их.

Сетевая безопасность и целостность

Безопасность соединений Двусторонний брандмауэр контролирует входящие и исходящие соединения вашего компьютера и предотвращает несанкционированные попытки локального и удаленного доступа. Брандмауэр скрывает порты доступа, делая присутствие компьютера в сети невидимым. Модуль Ethernet-безопасности защищает ваши локальные соединения и предотвращает вредительство в локальной сети, контролируя передачу данных. Это снижает вероятность того, что данные, передающиеся, например, в чат-окнах или сессиях браузера, будут доставлены по неверному адресу или перехвачены.

Контроль доступа приложений Брандмауэр контролирует список программ, которым разрешен доступ в Интернет, проактивно защищая ваш компьютер от новейших угроз и попыток вредоносных программ передать данные на «домашний» сервер.

Защита от вторжений Модуль "Детектор атак" автоматически отражает известные типы хакерских атак на ваш компьютер.

Конфиденциальность и онлайн-безопасность

IP Blocklist на страже Интернета Основанный на функциональности модуля BlockPost ранних версий программы, IP Blocklist позволяет запретить доступ к определенным сетевым доменам. Полезный инструмент в руках обеспокоенных родителей и чувствительных к контенту пользователей, IP Blocklist обезопасит Ваших детей от посещения недозволенных сайтов и заблокирует доступ к прочей нежелательной части Интернета.

Ограничение доступа к небезопасным сайтам Outpost может предупреждать и блокировать доступ к потенциально вредоносным или нежелательным сайтам на основе имеющегося списка адресов. Такая фильтрация гарантирует, что вы не станете жертвой случайного заражения вследствие загрузки вредоносных программ или фишинг-атак, целью которых является кража ваших паролей, учетных записей и другой критической информации.

Защита персональных данных Любая конфиденциальная информация – такая как номера банковских счетов и пароли, которую вы укажете в модуле Личные данные, защищена от утечки с вашего компьютера через каналы служб мгновенных сообщений, через веб или электронную почту. Это защитит вас от кражи личных данных, фишинг-атак, нацеленных на критическую информацию, такую как параметры учетных записей или информация о крединой карте.

Контроль и мониторинг

Слежение за сетевой активностью Монитор сетевой активности Outpost показывает каждое соединение вашего компьютера с другими компьютерами в Интернете и в локальной сети, так что вы всегда можете видеть, что происходит на вашем компьютере и быстро прекратить любое несанкционированное соединение.

Удобный просмотр событий Журнал Событий показывает историю прошлой активности на компьютере. New! Новый вид Журнала улучшает восприятие информации. Теперь события могут отображаться по категориям, с возможностью сортировки и фильтрации по обозначенному критерию.

2.5.5 Дублирование информации

Для блокирования случайных угроз безопасности информации в компьютерных системах должен быть решен комплекс задач. Дублирование информации является одним из самых эффективных способов обеспечения целостности информации. Оно обеспечивает защиту информации, как от случайных угроз, так и от преднамеренных воздействий. В зависимости от ценности информации, особенностей построения и режимов функционирования КС могут использоваться различные методы дублирования, которые классифицируются по различным признакам [3]:

1)  По времени восстановления информации, методы дублирования могут быть разделены на:

·  оперативные;

·  неоперативные.

К оперативным методам относятся методы дублирования информации, которые позволяют использовать дублирующую информацию в реальном масштабе времени.

2)  По используемым для целей дублирования средствам, методы дублирования можно разделить на методы, использующие:

·  дополнительные внешние запоминающие устройства (блоки);

·  специально выделенные области памяти на несъемных машинных носителях;

·  съемные носители информации.

3)  По числу копий, методы дублирования делятся на:

·  одноуровневые;

·  многоуровневые.

Как правило, число уровней не превышает трех.

4)  По степени пространственной удаленности носителей основной и дублирующей информации, методы дублирования могут быть разделены на следующие методы:

·  сосредоточенного дублирования;

·  рассредоточенного дублирования.

Целесообразно считать методами сосредоточенного дублирования такие методы, для которых носители с основной и дублирующей информацией находятся в одном помещении. Все другие методы относятся к рассредоточенным.

Страницы: 1, 2, 3, 4