Jahongir Shirinov
8-amaliy ish
Mavzu : Ruxsatni cheklash tizim osti dasturlarini tadqiq etish.
Ishdan maqsad: Ruxsatni nazorat qilishda foydalaniladigan apparat – vositalarning ishlash prinsipini ko’rib chiqish.
Nazariy qism
Kirishni boshqarish tizimlari jismoniy va tarmoq xavfsizligini anglatadi. Birinchidan, xavfsizlik xizmatchilari, har qanday qulflar, binoga kirishni tashkil etadigan biometrik identifikatsiya qilish tizimlari, xodimlarning ishga kirish va chiqish vaqtini qayd etish kiradi. Axborot tizimlariga o'xshash himoya qilish talab qilinadi: unda qulflar login va parollar bo'lib, kuzatuvchilar administratorlar va maxsus dasturiy mahsulotlardir. Standart axborot xavfsizligi vositalari (xavfsizlik devorlari, xavfsizlik tarmoqlari yoki IPS) rivojlangan tarmoq infratuzilmasiga ega tashkilotlar etarli emas. Foydalanishni boshqarish bo'yicha samarali ishlash uchun Tarmoqdan foydalanishni boshqarish (NAC) dasturiy ta'minoti yaratildi. Ular quyidagilarni amalga oshiradilar: autentifikatsiya qilish orqali tarmoqqa kirishni boshqarish; bog'lab qo'yilgan texnik vositalar davlatining xavfsizlik siyosatiga rioya qilinishini tekshirish; Korporativ tarmoqlarning qurilmalari va tarmoq dasturlarini inventarizatsiya qilish; mehmonlarga resurslardan foydalanishni cheklash. Tarmoqdan foydalanishni boshqarish yangi MAC va IP-manzilni tanib olish yo'li bilan amalga oshiriladi (DHCP-tizimiga asoslangan yangi tizimdan so'ng DHCP-asosidagi tizimlar uchun tunnellash jarayonidan so'ng VPN qurilmalari uchun). Qaror server qurilmada xavfsizlik tekshiruvini boshlaydi. So'ralgan ma'lumotni qurilmadan ichki serverlarga (antivirus, dasturiy ta'minot yangilanishlari serveri, LDAP) yuborganidan so'ng, ularning har biri qurilmani moslashuv darajasi haqida qaror qabul qiladi. Natijada, yangi qurilma tarmoqqa kira oladi, bu to'la yoki cheklangan bo'lishi mumkin. NACdan foydalanishning eng oddiy usuli kompaniyaning axborot xavfsizligi siyosatiga mos kelmaydigan qurilmalarga kirishni taqiqlashdan iborat. Tarmoqqa kirish uchun shart-sharoitlar korporativ antivirus, muntazam OS yangilanishi va boshqalar o'rnatilishi mumkin. Eng kamida bitta qoidaga rioya qilmaslik tarmoqqa kirishni taqiqlash uchun asos bo'ladi. Ko'pgina kompaniyalarda virtual lokal tarmoqlar (VLANlar) yordamida segmentirovkalash amalga oshiriladi - tarmoqlarning tarmoq bo'linmalariga va bo'limlariga bo'linishi. Xodimga ma'lum bir bo'lakka nisbatan NAC tegishli VLAN segmentiga ulanish imkonini beradi. Bu korporativ katalog xizmatini talab qiladi. Kirishni boshqarish shuningdek tarmoqni ish va karantin segmentlariga bo'lish orqali amalga oshiriladi. Karantinada belgilangan siyosatga mos kelmaydigan qurilmalar. Ushbu "zonada" kompyuterlar yoki boshqa qurilmalarni qabul qilingan AT xavfsizlik siyosatiga mos keladigan yangilanish serverlari o'rnatiladi. Ya'ni, bu holatda NAC qurilmani xavfsizlik siyosati shartlariga muvofiqligini tekshirmaydi, balki uni bajarishga majbur qiladi. NAC dasturlariga OS, antivirus va xavfsizlik devorining kiritilishi yangilanadi. Agar shartlar bajarilsa, kompyuter qayta ishlash segmentiga ishora qiladi Kompaniya korporativ tarmog'ining segmentlari cheklanmagan bo'lishi mumkin. Kompyuterdan olingan ma'lumotlarga asoslangan holda NACni ishlatish uchun ma'lum tarmoqlarga kirish uchun xizmatchilarga, mehmonlarga, hamkorlarga va tarmoq segmentlariga tegishli foydalanuvchilarning boshqa toifalariga kirish mumkin. NAC uzoqdan ulangan qurilmalarning holatini kuzatishi mumkin. Korporativ tarmoqqa uzoqdan ulanish vaqtida kompyuter xavfsizlik siyosatiga rioya qilish uchun tekshiriladi va undan keyin qaror qabul qilinadi. Bir qator sotuvchilar uy egasi darajasida hujumlarni oldini olish tizimlarini taklif qilishadi. Ushbu yechimlar odatda tarmoq asosidagi echimlar bilan birlashtiriladi: kirish kalitlari va maxsus qurilmalarni kiritish. Har qanday erkin foydalanishni boshqarish tizimi va boshqaruv kompaniyalari muvaffaqiyatli ishlashi uchun maqsadlarni aniqlash kerak. Bu tarmoq, serverlar va axborot xavfsizligini ta'minlash uchun javobgar bo'lgan turli bo'linmalarning o'zaro ishlashini talab qiladi. Tizimning amalga oshirilishi faqatgina uning ish modelini chuqur o'rganib chiqilgandan keyin amalga oshirilishi mumkin. Tarmoq ichida kirishni boshqarish sohasidagi tayyor echimlar. Har bir muammo uchun echim bor. Foydalanishni boshqarishni boshqarish uchun ko'plab dasturlar mavjud. Masalan, mijozlar bilan malakali ish GFI tomonidan amalga oshiriladi, unda kam quvvatli muhit va yirik tashkilotlarni qo'llab quvvatlash bilan kichik va o'rta biznesga mo'ljallangan o'ndan ortiq dasturiy mahsulotlar taqdim etiladi. Kompaniya samarali axborot xavfsizligini ta'minlash uchun turli yechimlarni taklif etadi. GFI EndPointSecurity dasturi, masalan, Gartner konsalting kompaniyasi ma'lumotlariga ko'ra, tarmoqlar uchun eng xavfli tahdidlardan biri bo'lgan USB qurilmalaridan foydalanish bilan bog'liq muammolar bilan kurashmoqda. Dasturiy ta'minot administratorlarga har qanday diskda faoliyat jurnalini saqlashga imkon beradi: media-pleyerlar, xotira kartalari, CD-disklar, ko'chma kompyuterlar, tarmoq kartalari, mobil telefonlar va boshqa qurilmalar. Bundan tashqari, GFI EndPointSecurity olinadigan disklarga kirishni to'liq nazorat qilish orqali ma'lumotlarni o'g'irlashni blokirovka qiladi; viruslarni va ruxsat etilmagan dasturiy ta'minotni joriy etishni oldini oladi; Noyob himoya bilan to'liq tarmoq boshqaruvini ta'minlaydi. Qo'shimcha bonus - GFI kompaniyasi tizimni tanlashga qaror qilmagan potentsial mijozlarini taklif qiladi. Ular uchun o'rnatilgan dastur bilan serverga ulanish orqali amalga oshiriladigan bepul onlayn-namoyish namoyish etiladi, uning davomida mutaxassislar dasturiy ta'minotning barcha funktsiyalarini namoyish etadilar.
DeviceLock DLP Suite xavfsizlik xizmatlarining vazifalariga qarab turli kombinatsiyalarda litsenziyalanadigan bir nechta modullarni o'z ichiga oladi. Dasturiy komponentlar kompyuterlarda tarmoq axborot vositalari kanallarini kontekstual nazorat qilishni, soya nusxasi ma'lumotlar bazalari va voqea jurnallarini to'liq qidirishni, fayllar va ma'lumotlarni o'chiriladigan qurilmalardan, pochta orqali va hokazolarni filtrlash mexanizmlarini ta'minlaydi; tanqidiy mazmundagi fayllarni aniqlash orqali tarmoq resurslarini tekshiradi. Dasturning ushbu va boshqa vazifalari katta korporativ tarmoqlarda kirishni boshqarishni boshqarish imkonini beradi. Lumension Device Control yordam dasturi I / U portlariga foydalanuvchi ruxsatini boshqarish uchun mo'ljallangan. Ushbu yechim zararli dasturlarning tarmoqqa kirib borishiga to'sqinlik qiladi, maxfiy ma'lumotlarning oqmasligiga yo'l qo'ymaydi, ruxsatsiz olinadigan qurilmalardan foydalanishni taqiqlaydi. Kirishni boshqarish bo'yicha boshqa echimlar - bu to'rtta yo'nalishda ishlaydigan Zecurion Zlock (Device Control) dasturi: flesh-kartalarni qo'llashni taqiqlash, USB qurilmalaridan foydalanish, mobil qurilmalar va kontentni filtrlash. Zecurion Zlock 6.0 ning eng so'nggi versiyasi rasmlarni o'z ichiga olgan hujjatlarni aniqlash uchun DocuPrints, SVM mos yozuvlar vektorlarini, OCR moduli bilan rasm fayllarini tahlil qilishni va ImagePrints texnologiyasini qo'llab-quvvatlaydi. Bundan tashqari, kompyuter korporativ tarmoqdan tashqarida bo'lsa, Internetga ulanishni blokirovka qilish imkoniyati paydo bo'ldi. Ushbu parametr uzoqdan ishlaydigan xodimlarni boshqarish uchun foydalidir. Safend Protector dasturining ishlab chiquvchilari ta'kidlaganidek, ulardan foydalanish oson, lekin u samarali va xavfsizdir. Mahsulot olinadigan haydovchini va tashqi qurilmalarni blokirovkalash orqali axborot qochqinidan himoya qilish uchun yechimlarning toifasiga kiritilishi mumkin. Dastur turli foydalanuvchilar uchun tuzilgan, administratorlarga axborot xavfsizligi strategiyasini tashkilot talablariga muvofiq tanlash va sozlash imkonini beradi. Kompaniyaning funktsional echimlari bilan rasmiy portalda e'lon qilingan demo versiyasida topish mumkin. Sophos Endpoint Xavfsizlik va Nazorat Windows, Mac, Linux yoki virtual platformalar bilan ishlaydigan noutbuklarni, ish stollarini va serverlarni himoya qiladigan xavfsizlik dasturlarining to'plamidir. Utility zararli qurilmalarni, viruslarni va dasturlarni aniqlash uchun keng doiradagi xususiyatlarga ega, ruxsatsiz foydalanuvchilarning kirishiga yo'l qo'ymaydi. U yirik korporatsiyalar uchun mo'ljallangan. Symantec Endpoint Protection dasturining ishlab chiquvchilari dunyoning eng yirik fuqarolik tahdidlarini tahlil qilish tarmog'i ma'lumotlarini ishlatib, ushbu dasturiy ta'minot uchun bozorda eng tezkor va samarali himoya qilishni ta'minlaydilar. Dasturning afzalliklari foydalanuvchilarning xususiyatlari va joylashuviga, jismoniy va virtual platformalar uchun qulay bo'lgan mijozlarga va boshqaruv konsoliga qarab, moslashuvchan siyosat parametrlarini ham o'z ichiga oladi. Korporativ tarmoqdagi kirishni boshqarish tizimlarini narxlashtirish tarmoqdagi kirishni boshqarish tizimining sotuvchilari narx-navo siyosati taqdim etilayotgan xizmatlarning hajmi va dasturlarning funktsionalligiga, ishlab chiqaruvchining markaziy ofisining joylashishiga va ish haqiga bog'liq. Dastur ishlab chiquvchining mashhurligini va ishlab chiqaruvchilar hisobot bermaslikni avfzal ko'rgan boshqa sub'ektiv omillarni ta'sir qil. Zamonaviy ishlab chiqaruvchilarning eng maqbul dasturlaridan biri GFI EndPointSecurity hisoblanadi. Narxlar litsenziya uchun 500 so'mdan boshlanadi. Dasturiy ta'minot versiyasiga qarab, bitta litsenziyadan biri cheksiz ko'p foydalanuvchilarga xizmat ko'rsatiladi. Saytdagi mijozlarga qulaylik yaratish uchun "O'zgarishlarni hisoblash" bo'limi, shuningdek "Aktsiyalar va chegirmalar" bo'limlari mavjud bo'lib, buning uchun siz o'zingizga tegishli variantni tanlashingiz mumkin. DeviceLock echimiga qaraganda, 1 dan 49 tagacha kompyuterga xizmat ko'rsatish kerak bo'lsa, qo'shimcha xarajatlar - 6000 rubl va arzonroq - 100 yoki undan ortiq kompyuterga litsenziya o'rnatishingiz kerak. Shunga qaramasdan, narxlar alohida tizimlar uchun litsenziyalar narxini o'z ichiga olmaydi. Lumension Device Control dasturi yirik tashkilotlar uchun foydalidir, chunki bitta litsenziya narxi taxminan 1300 rublni tashkil qiladi. Tugunlar soni 9999 gacha. Yuqorida tilga olingan dasturlarga qaraganda, Zecurion Zlock (Device Control) litsenziyasining paketlari kompaniyalarga juda ko'p pul sarflanadi - 6800 ta foydalanuvchi uchun 10 ta. Safend Protector litsenziyasining narxi narx oralig'ining o'rta segmentiga mos keladi. Kompaniya-ishlab chiquvchi buyurtmachining so'rovnomasini to'ldirishni taklif qiladi, unga javoban so'ralgan dastur haqida ma'lumotni bir kun ichida yuborishni va'da qiladi. Bundan ham qimmat dastur sotuvchisi Sophos - Sophos Endpoint Security and Control. Uchta kompyuterda yillik foydalanish qiymati 100 dollarni tashkil qiladi, joriy kursda yirik kompaniya ushbu dasturni moliyaviy jihatdan qiyinlashtiradi. "Ko'proq arzonroq" iborasi Symantec Endpoint Protection dasturiy ta'minotini xarid qilish shartlariga to'la mos keladi. Litsenziya olish uchun siz 2200 rublni (1 dan 24 tagacha paketlarni xarid qilayotganda) yoki 1300 rublni (500 ta paketlardan sotib olayotganda) to'lashingiz mumkin. Portativ qurilmalarga kirishni boshqarish uchun to'g'ri dasturiy ta'minotni qanday tanlash mumkin? Bugun hayotni tasodifiy media vositalarisiz tasavvur etib bo'lmaydi: flesh-kartalar, USB-qurilmalar, smartfonlar, DVD-disklar. Ko'plab ofis xodimlari muntazam ravishda o'z texnikasini ish maqsadlarida ishlatishadi, siz bosmadan, skanerdan o'tkazishingiz va boshqa kompyuterga ma'lumot uzatishingiz kerak. Rossiyalik tadqiqotchilar ishdan bo'shatilgan xodimlarning yarmidan ko'pi kompaniyadan maxfiy ma'lumot olishlarini taxmin qilishdi. Muhim xususiyatlar - ma'lumotlarning mavjudligi va sotuvchining ochiqligi siyosati. Rossiyalik xaridorga mo'ljallangan ishlab chiqaruvchilar rus tilida veb-sayt yaratishi mumkin, bu esa dasturlarning taxminiy bahosini ko'rsatadi. Misol uchun, GFI o'rtalarida baholi mahsulotlar taklif etadi, lekin ular bir necha qimmat uchinchi tomon dasturiy ustidan afzalliklarga ega: narxi imkoniyatlarini kengaytirish, dasturi, ishonchliligi va keng funksional barcha bosqichlarida uzoq qo'llab-quvvatlash imkoniyati. Kompaniyaning dasturiy ta'minot narxlarining oralig'ida (har bir litsenziya uchun 500-1200 rubl) raqobatchilar yo'q. Bundan tashqari, GFI mijozlarni foydali taklif bilan o'ziga jalb qiladi - raqobatchilar dasturidan foydalanganlarga xizmatlarga 50% chegirma taqdim etadi. dasturiy ta'minot ishlab chiqish sohasida GFI rahbariyati kompaniyasi har yili bunday Hisoblash Xavfsizlik Awards xalqaro professional tanlovlarda uchun egallaydi sovrinlar tasdiqlaydi. 2016 yil oxiridan e'tiboran kompaniya 500 mingdan ortiq mijozlarga va 10 mingdan ortiq etkazib beruvchilarga yordam ko'rsatadi.
1-rasm.Kirishni nazorat qilish qurilmalari.
2-rasm.Ruxsatlarni nazorat qilish sxemasi
Erkin foydalanish nazorat (ACS) cheklash va "o'tish nuqtalari" orqali berilgan sohada yozuvni va ob'ektlarini chiqish (odamlar, transport vositalari) yozib maqsadida apparat va dasturiy ta'minot, texnik xavfsizlik to'plami (Ingliz tili PACS Jismoniy Access Control tizimi.): eshiklar, eshiklar, nazorat nuqtasi.
Asosiy vazifa - ma'lum bir hududga kirishni nazorat qilish (kimga, qaysi vaqt va hududga), shu jumladanmuayyan hududga kirish cheklangan
muayyan hududga kirish imkoniyatiga ega bo'lgan shaxsni identifikatsiya qilish.
Qo'shimcha vazifalar:
ish soatlarini hisobga olish;
ish haqini hisoblash (buxgalteriya tizimlariga integratsiyalashganda);
xodimlar / mehmonlar bazasini yuritish;
Xavfsizlik tizimi bilan integratsiya, masalan:
CCTV bilan arxivlar tadbirlar tizimlarini, yozishni boshlash aniqlangan shubhali hodisalar oqibatlarini yozib olish uchun kamera yoqish uchun zarurligini xabar video kuzatuv uzatish tizimini birlashtirish;
xavfsizlik signalizatsiya tizimi (SOS) bilan, masalan, saqlanadigan xonalarga kirishni cheklash yoki binolarni avtomatik ravishda olib tashlash va jihozlash uchun.
yong'in signal tizimi (ATP) bir olov signal taqdirda yopilish yong'in yassi, favqulodda chiqish avtomatik ochilishi va yong'in eshik holati haqida ma'lumot olish uchun.
Ayniqsa tanqidiy saytlarda ACS tarmog'i boshqa axborot tarmoqlari bilan jismoniy ravishda uzilib qolgan.
Qurilmalarni taqiqlash [tahrir] | wiki-text] tahrir
Eshikka o'rnatilgan:
Electrocatch - va (kuchlanish yopiladi xakerlik ayniqsa zaif, shuning uchun ular ko'pincha ichki eshik (ichki ofis, va hokazo ...) Electrocatch, shuningdek qulflar boshqa turlari ochildi kuchlanish ustiga o'rnatilgan bo'ladi (ta'minoti qal'a kuchlanish, ya'ni, eshik ochiladi) ochiq-oydin, ular kuchlanish zo'riqishidan chetlatilganda, yong'inni tekshirish uchun tavsiya etilgan).
Elektromagnit qulflar - deyarli barchasi kuchlanish bilan qulflanadi, ya'ni yong'in paytida tashish yo'nalishlariga o'rnatish uchun mos.
Elektromexanik qulflar - ko'p (bu qulf ochish uchun amaliy puls, u uzoq himoyasi qilinadi, agar eshik ochish emas, deb, degan ma'noni anglatadi) mexanik perevzvod bor, (lock mexanik mustahkam bo'lsa) yorilish etarlicha barqaror bo'ladi.
Yo'l-yo'lakay o'tish joyi:
Registratsiyadan o'tishni boshqarish tizimiga ega Tripod belt
Turnikeler - Agar odamlar katta sonlar bir nazorat o'tishini tashkil etish istayman qaerda - korxonalar kirish nuqtalari, davlat muassasalari (stadionlar, temir yo'l vokzallari, metroda, ba'zi davlat tashkilotlari) da ishlatiladi. Turnstile ikki asosiy turga bo'linadi: kamar va to'liq balandlik. turniket keyingi tez (olov holda) bir erkin yurishiga ochish bo'lmasa, kamar turnike deb atalmish bilan jihozlangan bo'lishi kerak "antipanik" chivinlarni - oddiy odamning siqilish harakati (yong'inni nazorat qilish talabi).
Gateway kabinalari - bank ob'ektlarida, rejim ob'ektlarida (xavfsizlikning yuqori talablari bo'lgan korxonalarda) foydalaniladi.
Geyts va to'siqlar - asosan turar-joy binolari hovlilarida, mahalliy maydoni kiraverishda avtomobil parklari va to'xtab turish joylari bilan, korxona hududiga yozuvlari o'rnatilgan. Asosiy talab - iqlim sharoiti va avtomatlashtirilgan boshqarish imkoniyatlariga (erkin foydalanishni boshqarish tizimi orqali) qarshilik. (CCTV bilan integratsiya holda) qator teg, Plitalar, Ovozni o'qib hajmi - u tizimiga nazorat sayohat tadbirlarni kirish uchun kelganda, qo'shimcha shartlariga muvofiq bo'ladi.
Avtomatik yo'l to'siqlari - muhofaza qilinadigan hududga transport vositalarini ruxsatsiz o'tishining oldini olish uchun ishlatiladi. Terrorizmga qarshi kurash tadbirlari mavjudmi, chunki to'siqni to'sib qo'yish yo'li avtomobilni to'xtatib qo'yishga olib keladi.
ACSni qo'llash sohalari har xil:
kompaniyaning idoralari, biznes markazlari;
banklar;
ta'lim muassasalari (maktablar, texnik maktablar, universitetlar);
sanoat korxonalari;
muhofaza qilinadigan hududlar;
otopark, mashinalar joyi;
transport joylari;
xususiy uylar, turar-joy majmualari, kottejlar;
mehmonxonalar;
davlat muassasalari (sport majmualari, muzeylar, erosti va boshqalar)
Do'stlaringiz bilan baham: |