Процесс защиты автоматизированной системы

Научный руководитель

Секция

Технические науки

Ключевые слова

информационная безопасность
система защиты информации
база данных
автоматизированная система

Аннотация статьи

В статье представлен процесс защиты автоматизированной системы с использованием многофункционального программного комплекса. Защита системы выполнена с точки зрения инженера по информационной безопасности. В результате была построена автоматизированная система в защищенном исполнении. В конце статьи сделан вывод о проделанной работе.

Текст статьи

Вводная часть

В наше время все сильнее увеличивается количество автоматизированных систем и растет количество пользователей, соответственно увеличивается количество конфиденциальной информации, которая подлежит защите. В связи с этим увеличивается количество потенциальных нарушителей. Использование автоматизированной системы в защищенном исполнении даст нам возможность существенно усилить безопасность хранимых и обрабатываемых данных, требующих защиты.

Основная часть

VipNet Client – многофункциональный программный комплекс для защиты локальных и удалённых рабочих мест сотрудников. На сегодняшний день это одна из самых масштабируемых технологий построения защищённых сетей на отечественном рынке. «ВипНет Клиент» обеспечивает защиту корпоративных рабочих станций от внешних и внутрисетевых угроз путём фильтрации трафика. В дополнение к этому программный комплекс обеспечивает безопасную работу удалённых сотрудников в корпоративных системах и сервисах. Защищённый мобильный и веб-доступ к ресурсам компании организуется с помощью зашифрованного канала связи.

Создадим защиту сети с помощью технологии ViPNet.

Для начала работы установим Центр управления сетью (ЦУС) на сервер и на ПК администратора. При первом запуске ЦУС выводится окно с выбором варианта начала работы с ЦУС. Выбираем вариант самостоятельной настройки структуры защищенной сети. Далее необходимо выбрать роли, которые будут выдаваться автоматически при создании координатора и клиента (рис. 1) и создадим новый координатор.

image.png

Рис. 1. Добавление ролей на сетевые узлы при их создании

Координатором будем использовать программно-аппаратный комплекс ViPNet Coordinator HW1000 (используем именно его, т. к. в отличие от ПО Windows или Linux, он имеет сертификат соответствия ФСТЭК России № 3692 на данный программно-аппаратный комплекс). Проверяем выданные роли нашему координатору как показано на рисунке 2. Так же создаем новых клиентов и пользователей.

image.png

Рис. 2. Проверка ролей

Теперь переходим к работе в программе Удостоверяющий и ключевой центр (УКЦ). Устанавливаем и настраиваем новую базу данных, что изображено на рисунке 3.

image.png

Рис. 3. Подключение к новой БД

Далее вводим Имя администратора сети, заполняем сведения о владельце запрашиваемого сертификата администратора, задаем пароль и завершаем инициализацию Электронной рулеткой. Затем необходимо выдать дистрибутив ключей для каждого пользователя.

После установки ключей появляется окно аутентификации ViPNet Client. При успешном прохождении аутентификации попадаем в главное окно программы, что изображено на рисунке 4.

image.png

Рис. 4. Окно программы VipNet Client

С помощью среды «Management Studio» создаются регистрационные имена сотрудников, защищенные паролем и роли для пользователей («managers» и «specialists»).

Далее для разделения обязанностей и повышенной защиты информации, были распределены доступы соответствующим ролям, а именно, роли «managers», было предоставлено разрешение на создание таблиц в базе данных, а также на изменение и удаление записей в таблице «Договор_аренды», роли «specialists» было добавлено разрешение только на добавление записей в таблицу, но только в определённые столбцы. Для этого напишем запрос:

Use BDKK
Grant create table to managers
go
Grant update on Договор_аренды to managers
go
Grant delete on Договор_аренды to managers
go
Grant update on Договор_аренды (Дата_договора, Условия, Срок_действия, Нормы_ответственности) to specialists
Go
Результат данного запроса представлен на рисунке 5.

image.png

Рис. 5. Разрешение для ролей «specialists» и «managers»

Теперь произведем защиту нашей БД с помощью прозрачного шифрования (Transparent Data Encryption или TDE) – это метод, который позволяет шифровать базу целиком. Когда страница данных сбрасывается из оперативной памяти на диск, она шифруется. Когда страница загружается обратно в оперативную память, она расшифровывается. Таким образом, БД на диске оказывается полностью зашифрованной, а в оперативной памяти – нет. Основным преимуществом TDE является то, что шифрование и расшифровка выполняются прозрачно. Следовательно, получить преимущества от использования TDE может любое приложение, использующее для хранения своих данных Microsoft SQL Server 2014.

Алгоритмы шифрования хорошо известны, и многие из них реализованы в операционной системе (например, AES). Сложнее придумать как защитить ключ, которым эти данные зашифрованы. Для решения этой задачи в SQL Server применяется специальная иерархия ключей.

Следующий этап заключается в настройке TDE (в написании хранимой процедуры защиты БД).

Чтобы зашифровать базу данных с помощью TDE, нужно выполнить следующие шаги:

1. Создать главный ключ БД master:
USE master
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'PassWORD1'

2. Создать сертификат, закрытый ключ которого должен быть зашифрован главным ключом БД master:
CREATE CERTIFICATE DEK_EncCert
WITH SUBJECT = 'DEK Encryption Certificate'

3. Создать DEK для БД. Ключ шифрования DEK будет создан с использованием созданного ранее сертификата:
USE BDKK
go
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_256 -- AES_128
ENCRYPTION BY SERVER CERTIFICATE DEK_EncCert

4. Теперь БД компании можно зашифровать.

Для этого необходимо выполнить запрос:
ALTER DATABASE BDKK
SET ENCRYPTION ON

Начинается процесс первоначального шифрования БД. Он выполняется «в фоне» в отдельном потоке.

Выполняем запрос в процессе выполнения первоначального шифрования базы данных:

SELECT DB_NAME(database_id), encryption_state, percent_complete
FROM sys.dm_database_encryption_keys

Вследствие чего, мы можем получить следующий результат, представленный на рисунке 6.

image.png

Рис. 6. Процесс выполнения шифрования базы данных «BDKK»

В столбце encryption_state содержится информация о текущем состоянии базы данных. Согласно SQL Server Books Online (BOL), в контексте TDE БД может находиться в 6 состояниях.

Таким образом, база данных компании теперь находится в зашифрованном состоянии.

Выводы по работе

Таким образом, в результате проделанной работы на основании готовой базы данных, была произведена ее защита с использованием многофункционального программного комплекса VipNet Client. Созданы, защищенные паролем, регистрационные имена сотрудников и роли для пользователей.

Список литературы

  1. Аверченко И.А. Методы обеспечения безопасности информации в базах данных, Информационные технологии и системы управления, 2018.
  2. Чискидов С.В., Федин Ф.О. Методологии и технологии проектирования информационных систем: учебно-методическое пособие. – Ч. IV. – М.: МГПУ, 2022. – 96 с.
  3. Чискидов С.В., Федин Ф.О. Методологии и технологии проектирования информационных систем: учебно-методическое пособие. – Ч. V. – М.: МГПУ, 2022. – 136 с.
  4. Белов Д.Н., Козлов А.В. Модели и методы защиты информации в системах баз данных, Журнал защиты информации, 2019.
  5. Коданев В.Л., Федин Ф.О. Карты самоорганизации в обеспечении безопасности информации автоматизированных систем предприятия. Автоматизация в промышленности // Автоматизация в промышленности. 2022, № 10. – 51-55 с.
  6. Fedin F.O., Trubienko O.V., Chiskidov S.V. Machine learning model of an intelligent decision support system in the information security sphere. В сборнике: Proceedings – 2020 International Russian Automation Conference, RusAutoCon 2020. С. 215-219.

Поделиться

585

Трофименко Д. И. Процесс защиты автоматизированной системы // Перспективы интеграции науки и образования в современном мире : сборник научных трудов по материалам Международной научно-практической конференции 11 июля 2024г. Белгород : ООО Агентство перспективных научных исследований (АПНИ), 2024. С. 5-11. URL: https://apni.ru/article/9739-process-zashity-avtomatizirovannoj-sistemy

Обнаружили грубую ошибку (плагиат, фальсифицированные данные или иные нарушения научно-издательской этики)? Напишите письмо в редакцию журнала: info@apni.ru

Похожие статьи

Актуальные исследования

#52 (234)

Прием материалов

21 декабря - 27 декабря

Остался последний день

Размещение PDF-версии журнала

1 января

Размещение электронной версии статьи

сразу после оплаты

Рассылка печатных экземпляров

17 января