path: root/pract/sem8/pract.tex

\documentclass[spec, och, pract]{Practice}
% параметр - тип обучения - одно из значений:
%    spec     - специальность
%    bachelor - бакалавриат (по умолчанию)
%    master   - магистратура
% параметр - форма обучения - одно из значений:
%    och   - очное (по умолчанию)
%    zaoch - заочное
% параметр - тип работы - одно из значений:
%    referat    - реферат
%    coursework - курсовая работа (по умолчанию)
%    diploma    - дипломная работа
%    pract      - отчет по практике
% параметр - включение шрифта
%    times    - включение шрифта Times New Roman (если установлен)
%               по умолчанию выключен

\usepackage{subfigure}
\usepackage{tikz,pgfplots}
\pgfplotsset{compat=1.5}
\usepackage{float}

%\usepackage{titlesec}
\setcounter{secnumdepth}{4}
%\titleformat{\paragraph}
%{\normalfont\normalsize}{\theparagraph}{1em}{}
%\titlespacing*{\paragraph}
%{35.5pt}{3.25ex plus 1ex minus .2ex}{1.5ex plus .2ex}

\titleformat{\paragraph}[block]
{\hspace{1.25cm}\normalfont}
{\theparagraph}{1ex}{}
\titlespacing{\paragraph}
{0cm}{2ex plus 1ex minus .2ex}{.4ex plus.2ex}

% --------------------------------------------------------------------------%


\usepackage[T2A]{fontenc}
\usepackage[utf8]{inputenc}
\usepackage{graphicx}
\graphicspath{ {./images/} }
\usepackage{tempora}

\usepackage[sort,compress]{cite}
\usepackage{amsmath}
\usepackage{amssymb}
\usepackage{amsthm}
\usepackage{fancyvrb}
\usepackage{listings}
\usepackage{listingsutf8}
\usepackage{longtable}
\usepackage{array}
\usepackage[english,russian]{babel}

% \usepackage[colorlinks=true]{hyperref}
\usepackage{url}


\newcommand{\eqdef}{\stackrel {\rm def}{=}}
\newcommand{\bsl}{\textbackslash{}}

\renewcommand\theFancyVerbLine{\small\arabic{FancyVerbLine}}

\newtheorem{lem}{Лемма}

\begin{document}

% Кафедра (в родительном падеже)
\chair{теоретических основ компьютерной безопасности и криптографии}

% Тема работы
\title{отчет}

% Курс
\course{второй}

% Группа
\group{231}

% Факультет (в родительном падеже) (по умолчанию "факультета КНиИТ")
\department{факультета компьютерных наук и информационных технологий}

% Специальность/направление код - наименование
%\napravlenie{09.03.04 "--- Программная инженерия}
%\napravlenie{010500 "--- Математическое обеспечение и администрирование информационных систем}
%\napravlenie{230100 "--- Информатика и вычислительная техника}
%\napravlenie{231000 "--- Программная инженерия}
\napravlenie{090301 "--- Компьютерная безопасность}

% Для студентки. Для работы студента следующая команда не нужна.
% \studenttitle{Студентки}

% Фамилия, имя, отчество в родительном падеже
\author{Гущина Андрея Юрьевича}

% Заведующий кафедрой
\chtitle{д.~ф.-м.~н.,~доцент} % степень, звание
\chname{М.~Б.~Абросимов}

%Научный руководитель (для реферата преподаватель проверяющий работу)
\satitle{доцент} %должность, степень, звание
\saname{Н.~Н.~Бондарев}

% Руководитель практики от организации (только для практики,
% для остальных типов работ не используется)
% \patitle{к.ф.-м.н.}
% \paname{С.~В.~Миронов}

% Семестр (только для практики, для остальных
% типов работ не используется)
\term{третий}

% Наименование практики (только для практики, для остальных
% типов работ не используется)
\practtype{Ознакомительная}

% Продолжительность практики (количество недель) (только для практики,
% для остальных типов работ не используется)
\duration{2}

% Даты начала и окончания практики (только для практики, для остальных
% типов работ не используется)
\practStart{22 июня 2020}
\practFinish{05 июля 2020}

% Год выполнения отчета
\date{2020}

\maketitle

% Включение нумерации рисунков, формул и таблиц по разделам
% (по умолчанию - нумерация сквозная)
% (допускается оба вида нумерации)
% \secNumbering

\tableofcontents

\intro

В теоретическкой части работы изучается тема сканирования сетей, сниффинга и ARP-спуфинга. В современном мире с увеличением количества устройств, способных соединяться
с интернетом, возрастает проблема атак сканирования и прослушивания сетей, а
также использования таких протоколов, как ARP в деструктивных целях. Многие
пользователи не задумываясь используют миниатюрные IoT-устройства, которые
могут содержать несовершенные методы защиты информации от воздействия
злоумышленников. Таким образом, исправление уязвимостей в сервисах, а также
более вдумчивое конфигурирование сетей выходит на передний план в сфере
обеспечения безопасности в сетевом окружении.

В рамках практического задания было выполнено моделирование защищённой
информационной системы на примере колледжа. Были рассмотрены нормативные
документы, регулирующие конфигурирование систем, занимающихся обработкой и
хранением конфиденциальной информации. Также было выполнено создание
одиночного домена в Windows Server 2003, реализующего изученные требования
защищённости, относящиеся к моделируемой защищённой ИС.

\section{Сканирование сети, сниффинг, ARP"=спуфинг. Способы защиты.}

    % Введение
    % 1.1 Цель и актуальность исследования
    % 1.2 Обзор основных терминов и понятий

    % Сканирование сети
    % 2.1 Определение сканирования сети
    % 2.2 Типы сканирования сети
    % 2.3 Инструменты и техники сканирования сети
    % 2.4 Риски и угрозы, связанные со сканированием сети

    % Сниффинг
    % 3.1 Понятие сниффинга
    % 3.2 Как работает сниффер
    % 3.3 Основные уязвимости и риски сниффинга
    % 3.4 Популярные инструменты сниффинга

    % ARP-спуфинг
    % 4.1 Что такое ARP-спуфинг
    % 4.2 Принцип работы ARP-спуфинга
    % 4.3 Угрозы и последствия ARP-спуфинга
    % 4.4 Защита от ARP-спуфинга

    % Способы защиты от сканирования сети, сниффинга и ARP-спуфинга
    % 5.1 Физические меры защиты
    % 5.2 Конфигурация сетевых устройств
    % 5.3 Программные средства защиты
    % 5.4 Обучение и осведомленность пользователей

    % Заключение
    % 6.1 Основные выводы и результаты исследования
    % 6.2 Перспективы развития темы

    % Список литературы

\subsection{Сканирование сети}

Сканирование сети "--- это процесс исследования компьютерных сетей для выявления активных узлов и доступных сервисов. Сканирование сети даёт возможность как злоумышленникам, так и администраторам сети получить информацию о состоянии сети, обнаружить потенциальные уязвимости и проблемы безопасности, а также определить ресурсы и службы, доступные в сети.

В ходе сканирования используются различные техники и инструменты, которые основываются на отправке и приеме сетевых пакетов. Такие инструменты могут определять открытые порты на узлах, исследовать сетевую топологию, получать информацию о версиях программного обеспечения и операционных системах, а также производить анализ безопасности сети \cite{kader2003}.

Цель сканирования сети включает следующие аспекты \cite{borshevikov2011}:
\begin{itemize}
  \item Определение активных узлов: Сканирование сети позволяет обнаружить все активные узлы в сети, включая компьютеры, серверы, маршрутизаторы и другие сетевые устройства.
  \item Определение открытых портов и служб: Сканирование сети может выявить открытые порты на узлах, что позволяет определить доступные сетевые службы и сервисы.
  \item Обнаружение уязвимостей: Сканирование сети позволяет выявить потенциальные уязвимости в настройках узлов или используемом программном обеспечении, что помогает администраторам принять соответствующие меры по их устранению и повышению безопасности сети.
  \item Изучение сетевой топологии: Сканирование сети может помочь в построении карты сетевой топологии, что позволяет понять структуру и организацию сети.
  \item Мониторинг и анализ безопасности: Сканирование сети способствует выявлению подозрительной активности, вторжений или несанкционированного доступа к сети и ее ресурсам.
\end{itemize}


Сканирование сети может быть выполнено различными способами, каждый из которых имеет свои особенности и применяется в зависимости от целей исследования.

Сканирование с помощью протокола ICMP позволяет определить активные узлы сканируемой сети. Зачастую используется злоумышленниками для первоначальной разведки атакуемой сети.

Следующим шагом при сканировании является сканирование с целью определения открытых портов на целевых узлах. Существуют два основных протокола, используемых для сканирования портов - TCP (Transmission Control Protocol) и UDP (User Datagram Protocol). Значительная часть протоколов и сервисов использует протокол TCP для своей работы и поэтому сканирование TCP-портов обычно более полноценно и позволяет получить информацию о службах, работающих на узлах. Сканирование UDP-портов обычно используется для более специфических целей \cite{kaspersky_scanner}.

Так как такая атака является самой распространённой при сканировании сети, у неё
есть некоторые модификации, позволяющие скрыть наличие атаки на больший промежуток времени.
Например, используя тот факт, что протокол TCP использует тройное рукопожатие
для установления соединения, злоумышленник может более эффективно сканировать
порты на наличие сервисов. Если злоумышленник будет отправлять только сообщение
SYN и в случае получения ответа разрывать соединение. Таким образом, сканируемый
сервис может не зафиксировать попытку соединения в своём журнале и просто
отбросит его как некорректное. Таким образом можно скрыть сканирование сети
при этом снизив нагрузку на сеть.

Сканирование ОС и служб: Этот тип сканирования направлен на определение операционных систем и служб, используемых на целевых узлах. При сканировании ОС определяются характерные особенности, такие как настройки стека TCP/IP или TTL (Time to Live) пакетов. Сканирование служб позволяет определить, какие конкретные сервисы работают на открытых портах.

Сканирование уязвимостей направлено на обнаружение уязвимостей в сетевых устройствах и сервисах. Используя специализированные инструменты и сканеры, можно проанализировать узлы и службы на предмет известных уязвимостей, внесённых в некоторую базу данных, что помогает администраторам принять меры по их устранению и повышению безопасности сети.

Для выполнения сканирования сети существует широкий спектр инструментов, которые могут быть использованы администраторами сети.

Nmap является одним из самых популярных инструментов сканирования сети. Он
позволяет определить активные узлы, открытые порты, используемые службы, а
также особенности операционной системы. Nmap поддерживает различные типы
сканирования, включая сканирование TCP и UDP портов. Данный инструмент также
позволяет производить сканирование ОС, служб и сканирование уязвимостей, но
всё же не предназначен для этих целей. Эти возможности реализованы с помощью
скриптов, написанных на встроенном скриптовом языке nmap и позволяют
определять очень ограниченное количество уязвимостей или других дополнительных
целей сканирования. Такие скрипты были реализованы во времена, когда ещё не были
созданы централизованные списки уязвимостей разного ПО.

На сегодняшний день в таких базах данных уязвимостей насчитывается более
200000 CVE, что невозможно эффективно проверить с помощью скриптов nmap.
По этой причине, данный инструмент в основном используется именно для
изначального сканирования сети для обнаружения активных узлов, построения
топологии сети и выявления открытых портов на активных узлах.

Для поиска уязвимостей в службах и приложениях отсканированной сети используется
специализированное ПО, которое способно намного более эффективно определять
уязвимости приложений.

Например, Nessus являющийся мощным инструментом сканирования уязвимостей. Он
выполняет сканирование сети на предмет известных уязвимостей, используя широкую
базу данных сигнатур и патчей. Этот инструмент предоставляет подробные отчеты о
найденных уязвимостях и рекомендации по их устранению. Подобные возможности
также предоставляет инструмент Сканер-ВС, разработанный российской компанией
НПО Эшелон.

\subsubsection{Способы защиты от сканирования сети}

Одним из основных инструментов защиты от сканирования сети является установка брандмауэров и сетевых экранов. Брандмауэры и сетевые экраны являются программными или аппаратными устройствами, которые контролируют и фильтруют входящий и исходящий сетевой трафик. Они позволяют настраивать правила доступа к сети и блокировать попытки сканирования путем отклонения нежелательных запросов или блокировки подозрительных IP-адресов.

Другим эффективным методом защиты от сканирование сети является скрытие портов.
При сканировании сети злоумышленник ищет открытые порты, которые могут быть
использованы для несанкционированного доступа. Отключение неиспользуемых портов
и скрытие активных портов снижает вероятность обнаружения и затрудняет попытки
сканирования.

Также важно регулярно проводить анализ уязвимостей сетевой инфраструктуры. Существуют специальные программные средства, которые позволяют сканировать сеть на наличие уязвимостей и предупреждать о потенциальных рисках. Регулярные аудиты и исправление уязвимостей позволяют удерживать сеть в безопасном состоянии.

Помимо общих рекомендаций по защите сети с помощью конфигурации сервисов и
физических устройств также есть специальные программные комплексы, позволяющие
обнаруживать и останавливать атаки на свою сеть. Такие программы называются системами обнаружения вторжений (Intrusion Detection Systems, IDS) и они играют важную роль в предотвращении сканирования сети. IDS анализируют сетевой трафик и события, происходящие в сети, с целью обнаружения аномалий или попыток несанкционированного доступа. Они могут обнаруживать сканирование сети путем анализа характеристик пакетов, сравнения сетевой активности с известными шаблонами атак и предупреждать администратора о потенциальных угрозах.


\subsection{Сниффинг}

Сниффинг (sniffing) представляет собой процесс перехвата и анализа сетевого трафика для получения чувствительной информации, передаваемой по сети. Этот метод используется для прослушивания и записи пакетов данных, которые проходят через сетевое соединение между двумя узлами.

Злоумышленники могут применять сниффинг для перехвата конфиденциальных данных, таких как пароли, логины, данные кредитных карт или другие конфиденциальные сведения. Они могут использовать специализированные инструменты или программное обеспечение для захвата пакетов данных и дальнейшего анализа содержимого.

Процесс сниффинга осуществляется на физическом или логическом уровне сетевого соединения. На физическом уровне, злоумышленник может физически подключиться к сетевому кабелю или использовать устройства, такие как хабы или коммутаторы, для перехвата трафика. На логическом уровне, сниффинг может осуществляться с использованием программного обеспечения, которое перехватывает пакеты данных, проходящие через сетевой интерфейс устройства.

Одним из наиболее распространенных протоколов, который может быть подвержен сниффингу, является протокол Ethernet. Пакеты данных, передаваемые по сети Ethernet, могут быть перехвачены и проанализированы для извлечения информации. Однако, сниффинг может также применяться к любым другим протоколам на любом уровне сетевого стека (например, Wi-Fi, TCP/IP и другие).

Рассмотрим основные принципы работы снифферов:

Для выполнения сниффинга, сниффер должен работать в режиме прослушивания, известном как <<промискуитетный режим>> (promiscuous mode). В этом режиме сниффер получает доступ ко всем сетевым пакетам, проходящим через сетевой интерфейс, включая те, которые не предназначены для него. Далее сниффер перехватывает сетевые пакеты, которые передаются по сети через сетевой интерфейс. Для этого он прослушивает сетевой трафик, который проходит через физическое соединение или виртуальные сетевые интерфейсы.

После перехвата достаточного количества пакетов, сниффер фильтрует и анализирует перехваченные пакеты, чтобы извлечь полезную информацию. Он может анализировать различные атрибуты пакетов, такие как IP-адреса и порты отправителя и получателя, протоколы, используемые для передачи данных, и содержимое пакетов. После анализа пакетов, сниффер декодирует данные и отображает их для пользователя. Это может включать информацию о заголовках пакетов, содержимом запросов и ответов, а также другую сетевую информацию, полезную для диагностики или анализа.

Снифферы могут быть реализованы как программное обеспечение на компьютере или как специализированные физические устройства, подключаемые к сетевым интерфейсам. В зависимости от потребностей и целей, выбирается соответствующий сниффер и настраивается для выполнения требуемых функций.

Существует множество инструментов, которые могут быть использованы для выполнения сниффинга и анализа сетевого трафика.

Wireshark является одним из самых известных и мощных инструментов сниффинга и анализа сетевого трафика. Он предоставляет детальные возможности захвата, отображения и анализа пакетов данных, а также поддерживает широкий спектр протоколов. Wireshark позволяет фильтровать и анализировать сетевой трафик, исследовать заголовки пакетов, просматривать содержимое и анализировать сетевую активность \cite{sniff}.

Другим похожим инструментом является консольная утилита tcpdump. Она доступна на различных операционных системах и позволяет пользователям перехватывать пакеты данных, отображать их содержимое, анализировать заголовки и применять фильтры для выборочного захвата. Tcpdump является мощным инструментом для анализа сетевого трафика в текстовом формате.

Cain \& Abel - это несколько менее известный инструмент сетевого анализа, который предоставляет возможности снифинга и восстановления паролей. Он может перехватывать различные протоколы и анализировать сетевой трафик, а также обладает функциональностью для восстановления паролей, включая хешированные пароли Windows, аутентификацию веб-сайтов и другие типы паролей.


\subsection{Основные способы защиты от сниффинга сети}

Одним из основных способов защиты от сниффинга сети является шифрование трафика. Шифрование позволяет защитить передаваемую информацию от несанкционированного доступа, так как даже при перехвате данных злоумышленник не сможет прочитать их без расшифровки. Для шифрования трафика могут использоваться протоколы, такие как SSL/TLS для веб-трафика или VPN (виртуальная частная сеть) для защиты всего сетевого соединения.

Сегментация сети является эффективным способом предотвращения сниффинга сети. При сегментации сети сетевой трафик разделяется на отдельные сегменты или подсети, что позволяет ограничить доступ злоумышленников к конфиденциальным данным. Каждый сегмент может иметь свои правила доступа и сетевые устройства, что усложняет задачу злоумышленникам, пытающимся перехватить информацию.

Помимо конфигурации сети и сервисов, для предотвращения прослушки также существуют специализированные средства и программы для обнаружения сниффинга сети. Они могут анализировать сетевой трафик и выявлять аномальные или подозрительные активности, которые могут указывать на наличие сниффера в сети. Такие инструменты помогают оперативно реагировать на угрозы и предотвращать утечку конфиденциальной информации.

Помимо рассмотренных программных способов обнаружения прослушивания в сети, физическая безопасность сетевых устройств также играет важную роль в защите от сниффинга. Ограничение физического доступа к сетевому оборудованию и серверным комнатам помогает предотвратить несанкционированный доступ к сетевым устройствам и предотвращает возможность установки снифферов.


\subsection{ARP-спуфинг}

ARP-спуфинг (ARP spoofing) - это техника атаки, при которой злоумышленник отправляет ложные ARP-ответы в сеть, с целью перехвата или подмены сетевого трафика. ARP (Address Resolution Protocol) - это протокол, используемый для связи между физическими адресами (MAC-адресами) и IP-адресами в локальной сети \cite{xgu_arp}.

При выполнении ARP-спуфинга злоумышленник отправляет ложные ARP-ответы, указывая свой собственный MAC-адрес в качестве соответствующего адреса для определенного IP-адреса в сети. Это делает его "арендатором" IP-адреса и позволяет перехватывать или перенаправлять сетевой трафик, предназначенный для этого IP-адреса.

Такая атака может иметь несколько целей:
\begin{itemize}
  \item Перехват сетевого трафика: Злоумышленник может перехватывать сетевой трафик, передаваемый между целевыми узлами в сети. Это может включать пароли, личные данные, финансовую информацию и другие конфиденциальные данные, которые могут быть использованы для дальнейших злоупотреблений.
  \item MITM-атака (Man-in-the-Middle): ARP-спуфинг может быть использован для выполнения атаки "человек посередине" (MITM), при которой злоумышленник становится промежуточным звеном между двумя коммуницирующими узлами. Это позволяет злоумышленнику просматривать и изменять передаваемые данные между ними, включая перехват паролей, изменение информации или внедрение вредоносного кода.
  \item Отказ в обслуживании (DoS): Атака ARP-спуфинга может привести к отказу в обслуживании (DoS) для целевого узла или всей сети. Это может произойти, когда злоумышленник создает конфликты между MAC-адресами, перенаправляя трафик на несуществующие узлы или блокируя доставку пакетов.
\end{itemize}


ARP-спуфинг является одной из наиболее распространенных атак в локальных сетях. Он основан на недостатках протокола ARP, который не предусматривает аутентификацию или проверку подлинности при обмене сообщениями.


Эта атака основывается на изменении таблиц ARP (Address Resolution Protocol) в локальной сети для создания ложных соответствий между IP-адресами и MAC-адресами устройств. 

    При проведении атаки, злоумышленник выбирает целевой узел или группу узлов в локальной сети, к которым он хочет получить доступ или перехватить их сетевой трафик. После этого злоумышленник мониторит локальную сеть, чтобы определить MAC-адреса других узлов и связанные с ними IP-адреса. Это может быть выполнено с помощью ARP-запросов для получения таблиц ARP устройств в сети.

Для начала атаки, злоумышленник начинает отправлять ложные ARP-ответы в сеть, где он указывает свой собственный MAC-адрес вместо фактического MAC-адреса целевого узла. Таким образом, злоумышленник создает ложное соответствие между своим MAC-адресом и IP-адресом целевого узла. Когда другие узлы в сети получают ложные ARP-ответы, они обновляют свои таблицы ARP, заменяя правильный MAC-адрес целевого узла на ложный MAC-адрес, указанный злоумышленником.

После успешного выполнения ARP-спуфинга, злоумышленник может перехватывать или перенаправлять сетевой трафик, предназначенный для целевого узла. Это может включать перехват паролей, изменение или внедрение данных, или выполнение MITM-атаки (Man-in-the-Middle) для анализа и манипулирования сетевым трафиком.

Для того чтобы минимизировать обнаружение своей деятельности, злоумышленник может предпринять меры для скрытия своих действий и следов. Это может включать удаление или подмену записей в таблицах ARP, использование шифрования или других методов для скрытия передаваемых данных.

\subsubsection{Способы защиты от ARP-спуфинга}

Для защиты от ARP-спуфинга и снижения риска подверженности этой атаке можно применять различные меры безопасности:
\begin{itemize}
  \item Использование защищенных сетей: Используйте защищеные сети, такие как Virtual LANs (VLANs) или сети, защищенные с помощью шифрования (например, Wi-Fi с протоколом WPA2-PSK или WPA3), чтобы ограничить доступ и возможность атаки злоумышленников.
  \item Использование сетевых коммутаторов с функцией порт-безопасности: Сетевые коммутаторы с поддержкой функции порт-безопасности могут помочь в обнаружении и предотвращении ARP-спуфинга. Эта функция позволяет привязывать определенный MAC-адрес к физическому порту коммутатора, что предотвращает подмену MAC-адресов.
  \item Использование аутентификации сети: Применение аутентификации сети, такой как 802.1X, может помочь в предотвращении ARP-спуфинга. 802.1X требует, чтобы пользователи аутентифицировались перед получением доступа к сети, что затрудняет злоумышленникам подделываться под другие устройства.
  \item Мониторинг ARP-таблиц: Регулярный мониторинг ARP-таблиц на сетевых устройствах, таких как маршрутизаторы или коммутаторы, может помочь в обнаружении подозрительной активности, такой как дубликаты MAC-адресов или неожиданные изменения ARP-записей.
  \item Использование ARP-защиты на сетевых устройствах: Многие сетевые устройства имеют функции защиты от ARP-спуфинга, которые могут быть включены для предотвращения подмены ARP-таблиц. Эти функции обычно основаны на контроле соответствия MAC-адресов и IP-адресов в ARP-ответах.
  \item Использование сетевых брандмауэров и IDS/IPS: Установка сетевых брандмауэров и систем обнаружения/предотвращения вторжений (IDS/IPS) может помочь в обнаружении и блокировке ARP-спуфинга. Эти системы могут анализировать сетевой трафик и обнаруживать подозрительные паттерны или активности, связанные с ARP-спуфингом.
  \item Образование и осведомленность пользователей: Образование пользователей о рисках ARP-спуфинга и соответствующих мероприятиях по безопасности, таких как неоткрытие подозрительных ссылок или использование VPN при подключении к общедоступным Wi-Fi сетям, может помочь в предотвращении атак и повышении осведомленности о безопасности.
\end{itemize}

Применение комбинации этих мер безопасности поможет снизить риск подверженности ARP-спуфингу и улучшить общую безопасность сети.

\section{Настройка Защищённой ИС}

\textbf{Вариант 6.}

Разрабатываемая система, соответствующая данному варианту:
\begin{itemize}
  \item Организация: Колледж
  \item Количество сотрудников: 100
  \item Подразделения:
    \begin{itemize}
      \item Директор колледжа
      \item Отдел кадров
      \item Учебный отдел
      \item Хозяйственный отдел
      \item Научный отдел
    \end{itemize}
  \item Количество обслуживаемых клиентов: 3000
  \item
    Вид конфиденциальной информации или ПДн:
    ПДн (сотрудники, иные), не конфиденциально
  \item Наличие удалённого доступа: Нет
\end{itemize}

Необходимо настроить подсистему регистрации и учета в домене на базе Windows
Server 2003 с учетом требований безопасности, предъявляемых к ИС, согласно
требуемому уровню защищенности.


\subsection{Защищаемые свойства информации}

Так как система не содержит конфиденциальной информации, то защите подлежат два
свойства информации, являющиеся обязательными: целостность и доступность.


\subsection{Требуемый уровень защищённости}

\subsubsection{Класс АС и соответствующие требования}

Согласно пунктам 1.8, 1.9 РД <<Автоматизированные системы. Защита от
несанкционированного доступа к информации. Классификация автоматизированных
систем и требования по защите информации.>> от 30 марта 1992 г., устанавливается
девять классов защищенности АС от НСД к информации. Каждый класс характеризуется
определенной минимальной совокупностью требований по защите. Классы
подразделяются на три группы, отличающиеся особенностями обработки информации в
АС.

Третья группа включает АС, в которых работает один пользователь, допущенный ко
всей информации АС, размещенной на носителях одного уровня конфиденциальности.
Группа содержит два класса "--- 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа
(полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях
различного уровня конфиденциальности. Группа содержит два класса "--- 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно
обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не
все пользователи имеют право доступа ко всей информации АС. Группа содержит пять
классов "--- 1Д, 1Г, 1В, 1Б и 1А.

Моделируемая система включает в себя многопользовательские АС и не все
пользователи имеют право доступа ко всей информации АС. Таким образом,
моделируемую систему необходимо отнести к первой группе классов подразделений.
Так как данная система не содержит государственную, банковскую или служебную
тайны, а также не содержит конфиденциальную информацию, данная АС относится к
классу 1Д.


\subsubsection{Уровень защищённости ИС}

Согласно Постановлению Правительства РФ от 1 ноября 2012 г. №1119 <<Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных>>, пункт 6, под актуальными
угрозами безопасности персональных данных понимается совокупность условий и
факторов, создающих актуальную опасность несанкционированного, в том числе
случайного, доступа к персональным данным при их обработке в информационной
системе, результатом которого могут стать уничтожение, изменение, блокирование,
копирование, предоставление, распространение персональных данных, а также иные
неправомерные действия.

\begin{itemize}
  \item
    Угрозы 1-го типа актуальны для информационной системы, если для нее в
    том числе актуальны угрозы, связанные с наличием недокументированных
    (недекларированных) возможностей в системном программном обеспечении,
    используемом в информационной системе.
  \item
    Угрозы 2-го типа актуальны для информационной системы, если для нее в
    том числе актуальны угрозы, связанные с наличием недокументированных
    (недекларированных) возможностей в прикладном программном обеспечении,
    используемом в информационной системе.
  \item
    Угрозы 3-го типа актуальны для информационной системы, если для
    нее актуальны угрозы, не связанные с наличием недокументированных
    (недекларированных) возможностей в системном и прикладном программном
    обеспечении, используемом в информационной системе.
\end{itemize}

Так как в данной системе будет использоваться сертифицированное ПО, актуальными
являются угрозы 3-го типа.

Так как данная система не обрабатывает конфиденциальные ПДн, а только ПДн
сотрудников и иные, то согласно пункту 12.б данного постановления, необходимость
обеспечения 4-го уровня защищенности персональных данных при их обработке
в информационной системе устанавливается если для информационной системы
актуальны угрозы 3-го типа и информационная система обрабатывает иные категории
персональных данных сотрудников оператора или иные категории персональных данных
менее чем 100000 субъектов персональных данных, не являющихся сотрудниками
оператора.

То есть ИС имеет 4-й уровень защищённости.

\subsubsection{Класс защищённости ГИС и СВТ}

Так как не указано иначе, предположим, что колледж является государственным, то
есть моделируемая система является ГИС.

Согласно приказу ФСТЭК от 11 февраля 2013 г. №17 <<ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ
О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ
В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ>>, пункт 14.2, классификация
информационной системы проводится в зависимости от значимости обрабатываемой в
ней информации и масштаба информационной системы (федеральный, региональный,
объектовый).

Устанавливаются три класса защищенности информационной системы, определяющие
уровни защищенности содержащейся в ней информации. Самый низкий класс - третий,
самый высокий - первый.

Уровень значимости информации определяется степенью возможного ущерба
для обладателя информации (заказчика) и (или) оператора от нарушения
конфиденциальности (неправомерные доступ, копирование, предоставление или
распространение), целостности (неправомерные уничтожение или модифицирование)
или доступности (неправомерное блокирование) информации.

Так как колледж является объектовой ИС с низким уровнем значимости информации,
данную систему можно отнести к третьему классу защищённости.

Согласно вышеуказанному приказу, технические меры защиты информации реализуются
посредством применения средств защиты информации, в том числе программных
(программно-аппаратных) средств, в которых они реализованы, имеющих необходимые
функции безопасности. При этом, в информационных системах 3 класса защищенности
применяются средства защиты информации 6 класса, а также средства вычислительной
техники не ниже 5 класса.

Таким образом, определим класс защищённости СВТ равным 5.


\subsection{Требования к подсистеме регистрации и учёта}

Согласно РД <<Автоматизированные системы. Защита от несанкционированного
доступа к информации. Классификация автоматизированных систем и требования по
защите информации.>> от 30 марта 1992 г., требования к классу защищенности 1Д
следующие:

Для подсистемы регистрации и учета:
\begin{enumerate}
  \item 
    Должна осуществляться регистрация входа (выхода) субъектов доступа в систему
    (из системы), либо регистрация загрузки и инициализации операционной системы
    и ее программного останова.
  \item
    Регистрация выхода из системы или останова не проводится в моменты
    аппаратурного отключения АС. В параметрах регистрации указываются:
    \begin{itemize}
      \item
        дата и время входа (выхода) субъекта доступа в систему (из системы) или
        загрузки (останова) системы;
      \item
        результат попытки входа: успешная или неуспешная - несанкционированная;
      \item
        идентификатор (код или фамилия) субъекта, предъявленный при попытке
        доступа;
      \item
        должен проводиться учет всех защищаемых носителей информации с помощью
        их маркировки и с занесением учетных данных журнала (учетную карточку);
      \item
        учет защищаемых носителей должен проводиться в журнале (картотеке) с
        регистрацией их выдачи (приема).
    \end{itemize}
\end{enumerate}

Для подсистемы обеспечения целостности:
\begin{enumerate}
  \item 
    Должна быть обеспечена целостность программных средств СЗИ НСД,
    обрабатываемой информации, а также неизменность программной среды.
  \item
    При этом:
    \begin{itemize}
      \item
        целостность СЗИ НСД проверяется при загрузке системы по контрольным
        суммам компонент СЗИ;
      \item
        целостность программной среды обеспечивается использованием трансляторов
        с языков высокого уровня и отсутствием средств модификации объектного
        кода программ в процессе обработки и (или) хранения защищаемой
        информации;
      \item
        должна осуществляться физическая охрана СВТ (устройств и носителей
        информации), предусматривающая контроль доступа в помещения АС
        посторонних лиц, наличие надежных препятствий для несанкционированного
        проникновения в помещения АС и хранилище носителей информации, особенно
        в нерабочее время;
      \item
        должно проводиться периодическое тестирование функций СЗИ НСД при
        изменении программной среды и персонала АС с помощью тест"=программ,
        имитирующих попытки НСД;
      \item
        должны быть в наличии средства восстановления СЗИ НСД, предусматривающие
        ведение двух копий программных средств СЗИ НСД и их периодическое
        обновление и контроль работоспособности.
    \end{itemize}
\end{enumerate}

Согласно РД от 30 марта 1992 г. <<Средства вычислительной техники. Защита
от несанкционированного доступа к информации. Показатели защищенности от
несанкционированного доступа к информации.>> для установленного класса
защищённости 5 СВТ можно выделить следующие требования:
\begin{enumerate}
  \item Дискреционный принцип контроля доступа
  \item Очистка памяти
  \item Идентификация и аутентификация
  \item Гарантии проектирования
  \item Регистрация
  \item Целостность КСЗ
  \item Тестирование
  \item Руководство для пользователя
  \item Руководство по КСЗ
  \item Тестовая документация
  \item Конструкторская (проектная) документация
\end{enumerate}

В соответствии с пунктом 13 Постановления Правительства РФ от 1 ноября 2012
г. №1119 для обеспечения 4-го уровня защищенности персональных данных при их
обработке в информационных системах необходимо выполнение следующих требований:
\begin{enumerate}
  \item
    организация режима обеспечения безопасности помещений, в которых размещена
    информационная система, препятствующего возможности неконтролируемого
    проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в
    эти помещения;
  \item обеспечение сохранности носителей персональных данных;
  \item
    утверждение руководителем оператора документа, определяющего перечень лиц,
    доступ которых к персональным данным, обрабатываемым в информационной системе,
    необходим для выполнения ими служебных (трудовых) обязанностей;
  \item
    использование средств защиты информации, прошедших процедуру оценки
    соответствия требованиям законодательства Российской Федерации в области
    обеспечения безопасности информации, в случае, когда применение таких средств
    необходимо для нейтрализации актуальных угроз.
\end{enumerate}

Согласно приказу ФСТЭК от 11 февраля 2013 г. №17 для установленного класса
защищённости 3 ГИС можно выделить следующие требования:
\begin{enumerate}
  \item
    Идентификация и аутентификация пользователей, являющихся работниками оператора
  \item
    Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
  \item
    Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
  \item
    Защита обратной связи при вводе аутентификационной информации
  \item
    Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
  \item
    Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
  \item
    Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
  \item
    Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
  \item
    Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
  \item
    Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
  \item
    Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
  \item
    Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
  \item
    Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
  \item
    Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
  \item
    Регламентация и контроль использования в информационной системе технологий беспроводного доступа
  \item
    Регламентация и контроль использования в информационной системе мобильных технических средств
  \item
    Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
  \item
    Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов
  \item
    Учет машинных носителей информации
  \item
    Управление доступом к машинным носителям информации
  \item
    Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания)
  \item
    Определение событий безопасности, подлежащих регистрации, и сроков их хранения
  \item
    Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
  \item
    Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
  \item
    Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти
  \item
    Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
  \item
    Генерирование временных меток и (или) синхронизация системного времени в информационной системе
  \item
    Защита информации о событиях безопасности
  \item
    Реализация антивирусной защиты
  \item
    Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
  \item
    Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
  \item
    Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
  \item
    Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
  \item
    Контроль состава технических средств, программного обеспечения и средств защиты информации
  \item
    Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе
  \item
    Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций
  \item
    Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
  \item
    Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
  \item
    Регистрация событий безопасности в виртуальной инфраструктуре
  \item
    Реализация и управление антивирусной защитой в виртуальной инфраструктуре
  \item
    Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей
  \item
    Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования
  \item
    Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
  \item
    Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
  \item
    Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
  \item
    Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств
  \item
    Защита беспроводных соединений, применяемых в информационной системе
  \item
    Защита мобильных технических средств, применяемых в информационной системе
\end{enumerate}

\subsection{Практическое исполнение установленных требований на базе одиночного
домена Windows Server 2003}

В первую очередь разработаем матрицу доступа к сетевым ресурсам. Столбцы в ней
обозначают каталоги в сети, а строки соответствующих пользователей. Буквой Ч
обозначается доступ пользователя на чтение, буквой З "--- на запись, знаком
минус "--- отсутствие доступа.

Дир "--- директор, Нач(К,У,Х,Н) "--- начальники отделов кадров, учебного,
хозяйственного, научного, (К/У/Х/Н)1,2 "--- работники соответствующих отделов.

\begin{table}[H]
  \caption{Матрица доступа}
  \centering
  \footnotesize
  \begin{tabular}{|c|c|c|c|c|c|c|c|c|c|c|c|c|c|c|}
    \hline
    Кат./П-ль & Дир & НачК & К1 & К2 & НачУ & У1 & У2 & НачХ & Х1 & Х2 & НачН & Н1 & Н2 & Общ \\ \hline
    Дир  & ЧЗ & Ч  & Ч  & Ч  & Ч  & Ч  & Ч  & Ч  & Ч  & Ч  & Ч  & Ч  & Ч  & ЧЗ \\ \hline
    НачК & -  & ЧЗ & Ч  & Ч  & -  & -  & -  & -  & -  & -  & -  & -  & -  & ЧЗ \\ \hline
    К1   & -  & -  & ЧЗ & -  & -  & -  & -  & -  & -  & -  & -  & -  & -  & ЧЗ \\ \hline
    К2   & -  & -  & -  & ЧЗ & -  & -  & -  & -  & -  & -  & -  & -  & -  & ЧЗ \\ \hline
    НачУ & -  & -  & -  & -  & ЧЗ & Ч  & Ч  & -  & -  & -  & -  & -  & -  & ЧЗ \\ \hline
    У1   & -  & -  & -  & -  & -  & ЧЗ & -  & -  & -  & -  & -  & -  & -  & ЧЗ \\ \hline
    У2   & -  & -  & -  & -  & -  & -  & ЧЗ & -  & -  & -  & -  & -  & -  & ЧЗ \\ \hline
    НачХ & -  & -  & -  & -  & -  & -  & -  & ЧЗ & Ч  & Ч  & -  & -  & -  & ЧЗ \\ \hline
    Х1   & -  & -  & -  & -  & -  & -  & -  & -  & ЧЗ & -  & -  & -  & -  & ЧЗ \\ \hline
    Х2   & -  & -  & -  & -  & -  & -  & -  & -  & -  & ЧЗ & -  & -  & -  & ЧЗ \\ \hline
    НачН & -  & -  & -  & -  & -  & -  & -  & -  & -  & -  & ЧЗ & Ч  & Ч  & ЧЗ \\ \hline
    Н1   & -  & -  & -  & -  & -  & -  & -  & -  & -  & -  & -  & ЧЗ & -  & ЧЗ \\ \hline
    Н2   & -  & -  & -  & -  & -  & -  & -  & -  & -  & -  & -  & -  & ЧЗ & ЧЗ \\ \hline
  \end{tabular}
\end{table}

Создал пользователей, указанных в задании.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{01_newuser}
  \caption{Создание пользователя}
\end{figure}

Также создал подразделение <<Колледж>> с подподразделениями отделов.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{02_unit}
  \caption{Организационная структура}
\end{figure}

В соответствующие отделы добавил пользователей.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{03_teachers}
  \caption{Пользователи подразделения}
\end{figure}

Создал сетевой каталог со структурой, соответствующей организации.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{04_folders}
  \caption{Сетевой ресурс}
\end{figure}

Для удобства управления работниками создал группы пользователей, в которые
их добавил.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{06_sci_group}
  \caption{}
\end{figure}

Для каталога директора прописал следующие разрешения:
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{18_dir_cat}
  \caption{Каталог директора}
\end{figure}

Таким образом, доступ к содержимому данного каталога имеет только директор.

Для каталогов отделов прописал такие разрешения, что к содержимому имеет
доступ только директор и работники соответствующего отдела.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{19_sci_cat}
  \caption{Каталог научного отдела}
\end{figure}

\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{20_hr_cat}
  \caption{Каталог отдела кадров}
\end{figure}

\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{21_teach_cat}
  \caption{Каталог учебного отдела}
\end{figure}

\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{22_supply_cat}
  \caption{Каталог хозяйственного отдела}
\end{figure}

Для начальников отделов прописал доступ на чтение для директора.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{23_supply_boss_cat}
  \caption{Каталог завхоза}
\end{figure}

Для каталогов работников также дополнительно есть доступ на чтение у
начальника соответствующего отдела.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{24_supply1_cat}
  \caption{Каталог работника хозяйственного отдела}
\end{figure}

Проверил корректность выданных разрешений на доступ к директориям.

Пользователь директора способен изменять содержимое своего каталога.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{08_director_access}
  \caption{Изменение каталога директора}
\end{figure}

Содержимое каталогов других пользователей он менять не может
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{09_director_deny}
  \caption{Изменение каталога начальника кадров от имени директора}
\end{figure}

У начальников отделов нет доступа к каталогу директора.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{10_sci_dir_deny}
  \caption{Доступ к каталогу директора от имени начальника учёного отдела}
\end{figure}

К каталогам других отделов также есть доступ только у соответствующих пользователей.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{11_sci_teach_deny}
  \caption{Доступ к каталогу учебного отдела от имени начальника учёного отдела}
\end{figure}

Начальник соответствующего отдела может открывать каталоги своих подчинённых,
но не менять их содержимое.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{12_sci_deny}
  \caption{Изменение каталога учёного 1 от имени его начальника}
\end{figure}

Свой каталог любой начальник может свободно изменять
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{13_sci_boss}
  \caption{Изменение каталога начальника научного отдела}
\end{figure}

Работники отделов не имеют доступа к каталогам других отделов.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{14_teach_hr_deny}
  \caption{Доступ к каталогу отдела кадров}
\end{figure}

Работники отделов не имеют доступа к каталогу своего начальника.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{15_teach_boss_deny}
  \caption{Доступ к каталогу директора}
\end{figure}

Работники отделов также не имею доступа к каталогам других работников этого
же отдела.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{16_teach_teach_deny}
  \caption{Доступ к каталогу начальника учебного отдела от имени работника этого отдела}
\end{figure}

Свои каталоги работники могут свободно изменять
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{17_teach_access}
  \caption{}
\end{figure}

Таким образом, проверили исполнение дискреционной модели контроля доступа.

Создадим политики для реализации требований к подсистеме.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{25_policy_create}
  \caption{}
\end{figure}

В первую очередь добавим политики аудита согласно РД <<Автоматизированные
системы. Защита от несанкционированного доступа к информации. Классификация
автоматизированных систем и требования по защите информации.>> от 30 марта 1992
г.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{26_audit_policy}
  \caption{Политики аудита}
\end{figure}

Для выполнения требований очистки памяти согласно РД от 30 марта 1992 г., а
также приказа ФСТЭК от 11 февраля 2013 г. No17 для установленного
класса защищённости 3 ГИС установим политику очистки страничного файла:
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{27_clear}
  \caption{Политика очистки страничного файла}
\end{figure}

Для реализации требований приказа ФСТЭК от 11 февраля 2013 г. No17 также необходимо
указать политики блокировки учётных записей при превышении количества попыток
входа.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{28_block_policy}
  \caption{Политики блокировки учётных записей}
\end{figure}

В соответствии с установленными политиками, доступ к журналу событий
безопасности для непривилегированного пользователя запрещён
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{29_deny_journ}
  \caption{Политики доступа к журналу событий безопасности}
\end{figure}

Проверим работу данных политик.
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{30_test_journ}
  \caption{Доступ к журналу безопасности}
\end{figure}

При проверке данного журнала на сервере, можно увидеть события входа в
систему пользователей согласно приказу ФСТЭК от 11 февраля 2013 г. No17
\begin{figure}[H]
  \centering
  \includegraphics[width=0.8\textwidth]{31_audit_vhod}
  \caption{Событие аудита}
\end{figure}

Остальные требования безопасности Согласно РД <<Автоматизированные системы.
Защита от несанкционированного доступа к информации. Классификация
автоматизированных систем и требования по защите информации.>> от 30 марта
1992 г., РД от 30 марта 1992 г. <<Средства вычислительной техники. Защита
от несанкционированного доступа к информации. Показатели защищенности от
несанкционированного доступа к информации.>>, Постановления Правительства РФ от
1 ноября 2012 г. No1119, приказу ФСТЭК от 11 февраля 2013 г. No17 выполняются
либо за счёт реализации дискреционного контроля доступа, либо за есть по
умолчанию в операционной системе, либо осуществляются в рамках организационных
мер.

\conclusion

В теоретической части работы были изучены основные векторы атаки на сетевое
окружение с помощью сканирования сети и сниффинга трафика, а также ARP-спуфинга.
Были рассмотрены основные инструменты, используемые злоумышленниками для
выполнения данных атак, а также основные способы программной и аппаратной
защиты от таких видов атак.

В рамках практического задания было выполнено создание
одиночного домена в Windows Server 2003, реализующего изученные требования
защищённости, относящиеся к моделируемой защищённой ИС. Помимо этого были
изучены основные нормативные документы, регламентирующие настройку
соответствующих информационных систем, а также проверена созданная реализация
защиты информации в операционных системах семейства Windows.


\begin{thebibliography}{99}
    \bibitem{borshevikov2011} Боршевников, А. Е. Сетевые атаки. Виды. Способы борьбы / А. Е. Боршевников. — Текст : непосредственный // Современные тенденции технических наук : материалы I Междунар. науч. конф. (г. Уфа, октябрь 2011 г.). — Уфа : Лето, 2011. — С. 8-13. — URL: \url{https://moluch.ru/conf/tech/archive/5/1115/} (дата обращения: 15.07.2020).

    \bibitem{kader2003} Кадер М. Разновидности сетевых атак. [Электронный ресурс] -- URL:~\url{https://www.cnews.ru/reviews/free/security/part7/net_attack.shtml} (дата обращения 15.07.2020) -- Загл. с экрана. Яз. рус.

    \bibitem{kaspersky_ddos} Распределенные сетевые атаки / DDoS [Электронный ресурс] -- URL:~\url{https://www.kaspersky.ru/resource-center/threats/ddos-attacks} (дата обращения 15.07.2023) -- Загл. с экрана. Яз. рус.

    \bibitem{kaspersky_scanner} Сканирование портов [Электронный ресурс] // Энциклопедия <<Касперского>> -- URL:~\url{https://encyclopedia.kaspersky.ru/glossary/port-scanning/} (дата обращения 15.07.2023) -- Загл. с экрана. Яз. рус.

    \bibitem{wiki_scanner} Port scanner [Электронный ресурс] // Википедия [Электронный ресурс] : свободная энциклопедия / текст доступен по лицензии Creative Commons Attribution-ShareAlike ; Wikimedia Foundation, Inc, некоммерческой организации. - Wikipedia®, 2001- . - URL: \url{https://en.wikipedia.org/wiki/Port_scanner} (дата обращения: 15.07.2023). -- Загл. с экрана. - Последнее изменение страницы: 16:56, 9 мая 2020 года. -- Яз. англ.

    \bibitem{xgu_arp} Сканирование портов [Электронный ресурс] -- URL:~\url{http://xgu.ru/wiki/ARP-spoofing} (дата обращения 15.07.2023) -- Загл. с экрана. Яз. рус.

    \bibitem{sniff} Снифферы и не только. Выбираем инструмент для перехвата и анализа трафика. [Электронный ресурс] -- URL:~\url{https://xakep.ru/2021/05/17/sniffers-windows/} (дата обращения 15.07.2023) -- Загл. с экрана. Яз. рус.
\end{thebibliography}


% \bibliographystyle{gost780uv}
% \bibliography{thesis}

\end{document}