Угроза несанкционированного доступа (НСД)

для пользователей:

Защита от НСД

Использование идентификации/аутентификации – ввод имени и пароля для получения доступа на сервер, в БД, на рабочей станции, на коммуникациях при соединениях

Использованию «хранителей экрана»

Физическая защита помещения, системного блока

для коммуникаций:

Обеспечение физической защиты

Не использовать для удаленного доступа протоколы, передающие имена и пароли в открытом виде. Закрыть возможность обращения к портам мониторинга при помощи листов доступа

Отдельный VLAN для работы с конфиденциальной информацией

для сервера:

Обеспечение физической защиты

Настройка ОС сервера должна проводиться мануально с включением только необходимых сервисов

Для администрирования не использовать протоколы, передающие имена, пароли, данные и т.д. в открытом виде

 Угроза «маскарадинга»

Использование идентификации/аутентификации на активном оборудовании

Использование открытых ключей для связи внутри сети

Использование VPN-соединений вида «точка-точка», по средствам специальной опции “Secure” в конфигурации МСЭ (на маршрутизаторе)

Использование доверительных соединений (приобретение корневого сертификата)

На межсетевом экране строго расписать что, куда и откуда разрешено, остальное запретить; создать список закрытых/открытых портов и список сайтов в Интернете, на который разрешен доступ и кому, остальное запретить; вести аудит перемещений

Использование системы обнаружения атак

Обновление функционирующего ПО, отслеживание появления новых «дыр», атак и т.п.

Производить сканирование портов на предмет их состояния (открыт/закрыт)

 Угроза, возникающая от использования нелицензионного ПО, так как имеется необходимость выхода в Интернет.

Учет и использование только лицензионное ПО

Проведение инвентаризации ПО и АО

 Угроза прослушивания трафика (не смотря на то, что используются коммутаторы)

Настройка листов доступа на коммутаторе - строгая привязка связи между MAC-адресами

Мониторинг сетевого трафика

Наличие отдельной от общей системы электропитания, при этом осуществить связь каждого порта коммутатора с определенным MAC-адресом, свободные порты или при нарушениях осуществлять блокировку

Нарушение целостности

 Угроза модификации: воздействие вируса/злоумышленника

Аудит работ с конфиденциальной информацией

ОРМ по использованию паролей

ОРМ на использование Антивирусного комплекса

Наличие эталонных копий на неизменяемые части, к примеру, для создаваемой системы - эталон на схему БД

Использование открытых ключей для связи внутри сети

Использование VPN-соединений вида «точка-точка» по средствам специальной конфигурации модема

Использование доверительных соединений - приобретение корневого сертификата

 Угроза фальсификации: воздействие вируса/злоумышленника

Отдельный VLAN для работы с конфиденциальной информацией

Использование открытых ключей для связи внутри сети

Настройка TRUNK –соединений для коммуникаций

Синхронизация времени

Наличие эталонных копий на неизменяемые части, к примеру, для создаваемой системы - эталон на схему БД (ОРМ)

Нарушение доступности

 Нагрузка в сети – недоступность сервера

Деление сети на подсети

Мониторинг сети

Использование кластерного распределения на сервере по средствам Windows Advanced Server (при наличии второго сервера)

Использование RAID-массивов, источников бесперебойного питания

 Угроза выхода из строя активного оборудования

Наличие резерва

Для линий коммуникаций - наличие альтернативных путей

ПО ПРИНЦИПУ ВОЗДЕЙСТВИЯ

С использованием доступа

 Угроза несанкционированного доступа (НСД) – злоумышленник имеет доступ системе